文│北京安理律师事务所高级合伙人 罗为 王新锐
金融领域个人信息违法违规行政和刑事执法案例数量在2019年呈爆发式增长趋势,特别是2019年9月以来,刑事力量已经开始介入与金融行业密切相关的大数据行业。在此背景下,金融领域的个人信息保护立法备受关注。由于2019年的《中国人民银行金融消费者权益保护实施办法》(征求意见稿)和《个人金融信息(数据)保护试行办法》(征求意见稿)目前仍在征求意见之中,2020年2月13日,经中国人民银行颁布并实施的《个人金融信息保护技术规范》(JR/T 0171-2020)(以下简称“《技术规范》”),引起各界热议。
一、《技术规范》的法律性质
《技术规范》发布以来,有人认为,该《技术规范》是中国人民银行颁布的规范性文件,具有一定的强制性;还有人认为,该《技术规范》只是一个行业推荐标准,并无强制性,那么,如何看待《技术规范》的法律性质呢?
《技术规范》其实是由全国金融标准化技术委员会(SAC/TC 180)(以下简称“金标委”)归口的金融行业推荐性标准,而金标委是国家标准化管理委员会授权,在金融领域内从事全国性标准化工作的非法人技术组织;之所以《技术规范》由中国人民银行发布,是因为中国人民银行受国家标准化管理委员会委托对金标委进行领导和管理。
尽管如此,《技术规范》由中国人民银行科技司提出并负责起草,其参考和引用了在业界非常有影响力的《个人信息安全规范》,而中国支付清算协会、中国互联网金融协会、银联、网联、商业银行、支付机构、保险公司、证券公司、金融认证机构等多家单位,也共同参与了起草工作。
可以预见的是,中国人民银行今后关于金融领域的个人信息保护的立法工作,很有可能会参考甚至引用《技术规范》的相关内容。从这个意义上讲,我们建议在实务中将其理解为“准强制性标准”,并尽量以其作为合规风险的衡量准绳。
二、《技术规范》的适用范围
根据《技术规范》的有关规定,其适用于提供金融产品和服务的金融业机构,而根据其定义,“金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构”。我们注意到,不少作者对于涉及个人金融信息处理的相关机构做了扩大性的解释,认为金融产业链的相关机构均可能落入《技术规范》规制范围,其中包括助贷、P2P、贷后管理(如催收)等非持牌机构,甚至包括提供身份验证服务的电信服务商、信息技术提供商、风控服务解决方案提供商、市场营销服务提供商等。
我们认为,不宜对金融业机构做此类扩大解释。首先,《技术规范》虽然规定“金融业机构”包括“涉及个人金融信息处理的相关机构”,但是,根据《技术规范》的规定,“个人金融信息”是指“金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”,两相结合,难免有循环定义之嫌。其次,根据《中华人民共和国立法法》的有关规定,在没有明确的法律或行政法规等上位法律依据的情况下,有关规章规范的内容,不得设定减损公民、法人和其他组织权利或者增加其义务的内容。而《技术规范》作为行业的推荐性标准,其起草和制订也未见相关行业从业者参与其中,如将金融业机构做扩大性解释,显然也不合理。第三,之所以把《技术规范》视为“准强制标准”是由于日后的立法和监管执法可能会参照或者援引相关规定,除非能够给上述金融产业链的所有相关机构明确监管部门,否则,有关规定也无异于水中捞月,根本无法落地。
当然,不对适用范围做扩大性解释,并不意味着《技术规范》对于涉及金融行业产业链的相关机构没有任何影响。监管部门对于持牌金融机构或征信机构等受其监督管理机构的要求和执法,同样会让其将受到监管的合规压力向相关行业和机构进行传输,最后对整个行业造成巨大的影响。届时,有关机构出于业务的压力,可能也需参照《技术规范》的要求进行相应的调整。
三、《技术规范》中授权同意的例外
由于个人金融信息的特殊性,中国人民银行等金融监管部门一直关注个人金融信息的授权同意的要求。从2005年颁布的《个人信用信息基础数据库管理暂行办法》和2011年颁布的《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,到2013年颁布的《征信业管理条例》和2016年颁布的《中国人民银行金融消费者权益保护实施办法》,再到2019年颁布的《中国人民银行金融消费者权益保护实施办法》(征求意见稿)和《个人金融信息(数据)保护试行办法》(征求意见稿),都对个人金融信息的采集和使用提出了严格的获取个人客户授权同意的要求。但是,上述法规基本没有考虑到取得授权同意的例外情形。
我们认为,个人金融信息由于具有人格属性和财产属性双重特点,同时,也对国民经济具有重要影响力,对于个人金融信息的采集、处理、使用进行严格要求,无可厚非。但是,目前我国关于个人金融信息的定义范围非常广泛,以2016年颁布的《中国人民银行金融消费者权益保护实施办法》为例,个人金融信息“是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息”,而这个定义,从文义解释来看,个人金融信息将与金融机构所处理的所有个人信息无限趋同。
然而,金融机构处理有关个人信息的行为,天然具有其特殊性。一方面,金融机构开展业务时会受到严格监管,在履行“了解你的客户”(KYC)义务以及面对反洗钱的要求时,其对信息的采集和处理就不能完全依赖于客户同意;另一方面,金融机构在采取技术手段进行反欺诈和反盗用时,如果仍严格要求其遵守用户同意的原则,则有可能给金融机构甚至国民经济带来重大负面影响。此外,即便是在以对个人信息严格保护著称的欧洲,其也并不将取得个人信息主体的同意视为解决问题的唯一路径,根据GDPR的有关规定,除取得信息主体的同意外,还存在为履行合同、履行法定义务所必须,保护信息主体或他人的重大利益所必须,为实现数据控制者所追求的合法利益所必须等其他合规路径。
为了解决法律规定与个人信息保护的现实困难之间的问题,GB/T 35273-2017《信息安全技术 个人信息安全规范》的5.6条对于征得授权同意的例外情况做出规定:“以下情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意:a) 与个人信息控制者履行法律法规规定的义务相关的;b) 与国家安全、国防安全直接相关的;c) 与公共安全、公共卫生、重大公共利益直接相关的;d) 与刑事侦查、起诉、审判和判决执行等直接相关的;e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;f) 所涉及的个人信息是个人信息主体自行向社会公众公开的;g) 根据个人信息主体要求签订和履行合同所必需的;(注:个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同)h) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;i) 维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障;j)个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;k) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。”
我们注意到,《技术规范》参照GB/T 35273-2017《信息安全技术 个人信息安全规范》的有关规定,在7.1.1d)款对征得授权同意的例外做出专门设定,其内容与2017年版《信息安全技术 个人信息安全规范》的规定基本相同,但是,在最后一项“用于维护所提供的金融产品或服务的安全稳定运行所必需的”情形中,特别举例包括“识别、处置金融产品或服务中的欺诈或被盗用等”情形。虽然有观点认为《技术规范》作为一个推荐性标准,此类例外原则的内容从某种程度上突破了上位法的规定,并因此对其效力存疑,但是,我们认为,这一规定真实反映了行业特点与行业的迫切需求,对国民经济和金融稳定而言具有正面意义,且并不一定会对个人信息保护工作带来很大的负面影响。考虑到我国的特殊国情,此类突破性的规定,是否能得到监管部门在今后立法及执法方面的认可和参考,尚具有很大的不确定性。
四、《技术规范》中关于个人金融信息的分类保护
如前所述,我国之前的立法对“个人金融信息”做了极为宽泛的定义,《技术规范》也不例外。根据《技术规范》的规定,“个人金融信息”是指“金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。由于定义过于宽泛,而不同个人金融信息被泄露或滥用所带来的影响和危害不同,《技术规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,对不同类别的个人金融信息,做不同的规范性要求。
根据《技术规范》的规定,C3类别信息主要为用户鉴别信息,包括银行卡磁道数据(或芯片等效信息)、卡片有效期等账户信息,及银行卡密码、交易密码,卡片验证码,用于用户鉴别的个人生物识别信息等鉴别信息;C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,包括但不限于支付账号及其等效信息、账户登录的用户名、用户鉴别辅助信息(若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于 C3 类别信息)、个人财产信息、交易信息、个人金融信息主体照片、音视频等影像信息、家庭地址等能够识别出特定主体的信息;而C2 和 C3 类别信息中未包含的其他个人金融信息将被划为 C1类别信息。
对于C3类的信息,《技术规范》要求最为严格。根据《技术规范》的规定,不应委托或授权无金融业相关资质的机构收集C3类信息;传输应使用加密方式进行;不应留存非本机构的银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等C3类别信息,若确有必要留存的,应取得个人金融信息主体及账户管理机构的授权;不应委托给第三方机构进行处理;不应共享、转让、公开披露;约束外包服务机构与外部合作机构不应留存C3类别信息。
对于C2类的信息,除特别明确用户鉴别辅助信息不得委托第三方机构处理,不应共享、转让、公开披露之外,《技术规范》对于C2类信息,只是要求不应委托或授权无金融业相关资质的机构收集C2类信息,传输方式应当加密,且约束外包服务机构与外部合作机构不应留存C2类信息。
有观点认为,上述规定要求收集个人金融信息(C2/C3)的主体必须为金融业持牌机构(例如持牌的小贷公司、消金公司、征信机构等),而将其他非持牌机构(例如导流、助贷、大数据分析公司)排除在外。
我们对此持不同看法。首先,《技术规范》仅仅要求不应委托或授权上述机构收集C3类信息,但并未禁止用户委托或授权上述机构向金融机构提交此类信息;其次,禁止委托或授权上述机构收集,并不必然代表禁止有关第三方服务主体采集相关信息并输出相关验证结果;此外,正如本文第二部分的分析,对于需要取得资质的金融业机构而言,《技术规范》具有准规范性的效力,对于其他没有明确金融监管部门的行业而言,此类要求显然没有意义。
五、《技术规范》中关于个人生物识别信息的规定
2020年3月6日,全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术个人信息安全规范》正式发布,并将于2020年10月1日实施。由于个人生物识别技术的普遍应用,且一旦发生信息安全事件,将对个人产生重大不利影响。新版《个人信息安全规范》对于个人生物识别信息做了特别的保护要求:第一,新版《个人信息安全规范》要求“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意”;第二,“个人生物识别信息应与个人身份信息分开存储”;第三,“原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:1) 仅存储个人生物识别信息的摘要信息;2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。”
《技术规范》中关于个人生物识别信息的要求与新版《个人信息安全规范》的规定也是互相呼应。首先,《技术规范》将“用于用户鉴别的个人生物识别信息”列为敏感度最高级别的C3类别信息,对其收集、传输、存储、使用和共享等各方面提出了最为严格的要求;其次,《技术规范》要求“受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN 和 CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生物识别信息的样本数据、模板,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时予以清除。”
六、结语
《技术规范》对个人金融信息的定义、分类,以及收集、传输、存储、使用、删除、销毁全生命周期进行了规定,还包括了安全制度体系建立与发布等内容,参考了大量的安全规范,其涉及的内容非常广泛。我们将持续关注《技术规范》在行业内的适用情况,并希望《技术规范》能够对将来的金融领域信息保护立法和执法带来积极的影响。
(本文刊登于《中国信息安全》杂志2020年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。