未来金融行业的创新和发展,无疑高度依赖于数据的处理和分析,然后金融数据通常涉及个人的敏感信息,并且具有高度精确识别性,因此对风险控制要求、信息安全和数据防护能力以及技术处理手段,提出了更高要求。因此,从美、欧、中三个国家和地区的立法趋势来看,对金融数据的主基调是更强的安全、更好的保护,在此基础上,给予金融数据开放和利用一定的空间。
美国
随着针对金融机构开展的网络攻击和数据窃取越来越普遍,美国纽约州金融服务部(New York State Department of Financial Services)于2017年3月率先通过了“在全美境内首部”(“first-in-the-nation regulation”)针对金融机构的网络安全法规(23 NYCRR 500)。该法规从3月1日起生效。由于纽约州是美国最重要的金融中心之一,大量的金融机构将总部设立于此,因此该法规事实上成为美国金融业最新的“网络安全法”。对此,纽约州州长Andrew M. Cuomo在该法规通过时,自豪地声称:美国的消费者和金融体系正在遭受严重的经济损害,这些经济损害往往由国家支持的组织、全球恐怖主义网络和其他犯罪团伙造成,而纽约正在引领全国,采取了果断的行动。以下介绍该法规的主要内容:
首先来看该法规管辖的金融机构。该法规适用于需要纽约州金融服务部(“NY DFS”)的许可、在NY DFS注册、需NY DFS特许才可运营的实体,以及接受NY DFS监管的实体。此外该法规还适用于向上述实体提供服务的第三方服务商。由于该法规规定的网络安全义务较重,该法规还规定了以下机构可豁免某些的网络安全义务:雇用少于10人、过去三年每年在纽约经营业务取得的年度总收入不到500万美元,以及年终总资产少于1000万美元的组织。
其次,该法规规定的具体义务。根据该法规规定,受监管的实体必须定期评估所面临的可能危害自身网络和信息安全和非公开信息(non-public information)安全的风险。而对于非公开信息,特指:(1)如不当披露,可能对实体导致“重大不利影响”的商业信息;(2)个人信息,该法规中的个人信息特指名字,或与社保号码、驾驶证号码、金融帐号、金融帐号密码或生物识别信息相结合的标识符;(3)某些健康信息。
该法规还规定,公司必须基于上述风险评估来制定自身的网络安全保护策略,且该策略必需能够(1)有效防范影响非公开信息安全性和完整性的风险威胁;(2)建立并运用“防御基础设施”(defensive infrastructure)来保护系统和非公开信息;(3)有效侦测“网络安全事件”(cybersecurity events),该法规将“网络安全事件”定义为“未经授权访问、破坏或滥用信息系统或存储于其信息上的行为或企图”;(4)有效对网络安全事件做出响应并减少损害;(5)帮助实体从网络安全事件中迅速恢复;(6)满足监管报告的要求。
非常有意思的是,该法规对上述网络和数据安全提出了四个合规期限,分别是:
阶段 | 合规义务 | 合规截止日期 |
1 | 500.02-网络安全 500.03-网络安全政策 500.04(a)-首席信息安全官(职位) 500.07-访问权限 500.10-网络安全人员和情报 500.16-事故响应计划; 其他一些辅助性条款 | 2017年9月1日 |
2 | 500.04(b)- 首席信息安全官报告 500.05-渗透测试和漏洞评估 500.09-风险评估 500.12-多因素认证 500.14(b)-人员网络安全培训 | 2018年3月1日 |
3 | 500.06-审计跟踪 500.08-应用程序安全 500.13-数据留存限制 500.14(a)-关于持续监控的策略和程序的实施 500.15-非公开信息的加密要求 | 2018年9月1日 |
4 | 500.11节-第三方服务提供商的安全政策 | 2019年3月1日 |
最后,纽约州的金融机构网络安全法规与联邦层面对金融机构的立法——the Gramm-Leach-Bliley Act (GLBA)既有相似之处,也有显著不同。与GLBA只覆盖面向消费者提供金融商品和服务的公司相比,纽约州的法规管辖范围更广,包涵纽约银行法、保险法或金融服务法规制运营的任何实体。就实体义务的内容来说,GLBA与纽约州的网络安全法规都采用了风险路径(risk-based approach,即要求企业自评估风险并采取适当的安全措施),但纽约州法规所规范的方面和义务的详细程度有大幅提升。从前文罗列的合规项目来说,可以认为纽约州法规更加关注为金融机构建立最低的安全要求。这两点区别体现出,现今的美国立法在应对网络安全和金融数据安全风险时,无论是涵盖的方面或者具体的安全要求,都呈扩张的趋势。
欧盟
在欧盟,最吸引人眼球的数据方面立法莫过于《通用数据保护条例》(GDPR)。于2018年5月25日生效后,全球随即刮起了一道GDPR旋风。GDPR中的许多元素体现了欧盟对个人数据的基本态度。例如,欧盟将个人数据保护当成基本人权;欧盟通过一部单行法GDPR覆盖了包括公私部门在内的各行各业的个人信息处理行为;GDPR详细规定了个人信息处理的基本原则,如最少够用、目的限定、存储期限最小化等;GDPR赋予了个人对其信息非常广泛的控制权利,如数据可携带权、被遗忘权、反对自动化决策机制权利等;GDPR对大规模处理个人信息的企业,要求设立数据保护官(DPO);GDPR要求产品和服务应实现通过设计和默认设置实现隐私保护(Privacy by Design and by Default);GDPR重构了欧盟层面的个人数据保护的落实机制;GDPR处罚额度可高达2000万欧元或年收入4%,两者取其高;GDPR要求个人数据流出欧盟,应确保足够的(adequate)保护水平等。
很有意思的是,从立法理念来说,GDPR也宣称自己采取了与前文美国立法所坚持的风险路径。无论是与欧盟委员会官员的私下交流,还是与德国、比利时、希腊的数据保护局(Data Protection Authority)的正式会面和合作中,笔者都能经常听见“风险为路径”的字眼。在2018年欧盟委员会发布的官方宣介材料——“GDPR:新机会、新义务”(The GDPR: New Opportunities, New Obligations)中,欧盟委员会也将“风险为路径”作为GDPR的主要特征。正如欧盟委员会报告所述,坚持风险路径“避免繁重、僵化的义务,并根据不同风险定制化了不同的义务”(avoids a burdensome, one-size-fits-all obligation and instead tailors obligationsto the respective risks.)用大白话说则是:面包店涉及的处理个人数据的风险,显然和开展征信业务的公司所涉及的风险截然不同,GDPR并不要求前者采取和后者相同的个人数据保护义务,例如任命个人数据保护官、开展数据保护影响评估等。
金融数据中主要内容也是个人数据。欧盟在通过GDPR提升对金融数据的保护水平同时,也通过“支付服务指令修正案指令”(简称PSD2,欧盟指令No 2015/2366)增强对金融业特别是银行业数据的开放利用。PSD2于2016年1月12日生效,并要求各成员国于2018年1月13日前将指令转换为国内法。从数据开放利用角度来说,PSD2最主要的内容是要求银行允许第三方支付服务提供商(“TPP”)在获得客户明示同意后,得以访问该客户的银行账户及账户数据,以使TPP能够为用户提供个性化、多样性的账户信息和支付启动服务。这既是所谓的开放银行(open banking)。
数据原本只为银行掌握,但在PSD2之后TPP也能访问使用这些数据,导致了新的网络和数据安全风险。例如,美国联邦存款保险公司前主席Sheila Bair曾于2017年10月在《金融时报》上发表题为“为什么我们要增加对银行数据的网络危险”的文章中指出:开放银行将导致数据从高度监管、高度保护的环境流向“恶劣的”环境中;“开放银行”限制了银行管控数据供应链(或生态)安全风险的能力;“开放银行”限制了银行做风控的能力等。
对于类似的担忧,欧盟拿出了自己的对策。在PSD2中,TPP也纳入于监管之中,同时PSD2要求欧洲银行管理局(“EBA”)开发“监管技术标准:强用户认证和共同安全开放通信”(RTS on strong customer authentication and common and secure communication),确保金融数据在银行、TPPs、付款人和收款人之间的安全流动。2017年11月27日,欧盟通过了期待已久的“监管技术标准”,该标准将于2019年9月13日生效。其中最重要的两个内容是:
一是用户认证。用户认证必须基于以下三个元素的两个或全部:用户所知晓的(例如密码),用户所拥有的(例如卡或移动电话)和用户所固有的(例如指纹或虹膜扫描)。上述元素的组合将生成一次性的认证代码。RTS还为每个元素建立了最低要求,以及要求将用户交易与特定金额和特定收款人进行动态链接(如此一来对金额或收款人的任何更改都会导致验证码无效)。同时RTS要求保证上述元素各自的独立性,如此任一元素的泄露不会损害到其他元素。当然,RTS也规定了在某些情况下并不需要采用强认证。
二是限制“屏幕抓取”数据。目前,TPP通常使用称为“屏幕抓取”的技术来访问银行账户信息并启动支付。屏幕抓取意味着TPP在从用户那获取账号和密码后,直接访问银行的客户界面并抓取数据(相当于模仿用户行为,且不向银行表明身份)。一般来说,银行从安全和成本方面考虑,希望完全禁止这样的行为,而TPP则希望能够继续使用屏幕抓取,至少作为后备解决方案。而在RTS生效后,银行将主要通过API接口向TPP提供数据,只有银行没有提供API接口或API接口持续30秒不可用时,TPP才能使用“屏幕抓取”,且必须向银行表明自己的身份。
中国
再来看中国。日前《个人信息保护法》和《数据安全法》列入了十三届全国人大常委会立法规划。但在这两部法律问世之前,《网络安全法》提供了迄今为止对数据安全和个人信息保护最为全面的法律规定。它不仅吸收了2012年全国人大常委会《关于加强网络信息保护的决定》、2013年全国人大常委会《关于修改<中华人民共和国消费者权益保护法>的决定》,以及2009年《刑法修正案(七)》和2015年《刑法修正案(九)》,还根据新的时代特征、发展需求和保护理念,创造性地增加了部分规定,例如最少够用原则(“网络运营者不得收集与其提供的服务无关的个人信息”)。
《网络安全法》还明确提出了“谁收集,谁负责”的基本原则,将收集和使用个人信息的网络运营者,设定为个人信息保护的责任主体。第40条规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”。按该条款的规定,无论是在防范内部人员倒卖个人信息,还是保障系统不被攻破导致信息泄露等方面,收集和使用个人信息的网络运营者都是第一责任主体。
此外,《网络安全法》与现行国际规则及美欧个人信息保护方面的立法实现了理念上的接轨。目前,全球公认的个人信息保护方面的主要法律文本有OECD隐私框架、APEC隐私框架、GDPR、欧美“隐私盾”协议(Privacy Shield)、美国“消费者隐私权法案(讨论稿)”(Consumer Privacy Bill of Rights Act of 2015)等。综合这些立法,可得出个人信息保护的主要原则,包括目的明确原则、同意和选择原则、最少够用原则、开放透明原则、质量保证原则、确保安全原则、主体参与原则、责任明确原则、披露限制原则等。上述原则在《网络安全法》中均得到体现。
《网络安全法》还力图在个人信息保护和利用间实现平衡。其首先在法律层面给予个人信息交易一定的空间。《关于加强网络信息保护的决定》规定“不得出售”公民个人信息;而《网络安全法》规定“不得非法出售”公民个人信息,换句话说,《网络安全法》为我国大数据产业发展提供了空间。当然,个人信息交易的合规条件有待后续进一步的规定。《网络安全法》还进一步规定了合法提供个人信息的情形。规定至少在两种情形下,可以合法对外提供个人信息:一是被收集者也就是个人的同意;二是将收集到的个人信息进行匿名化处理,使得无论是单独或者与其他信息相结合后,仍然无法识别特定个人且不能复原。
最后,《网络安全法》新增了个人信息安全事件发生后的强制告知和报告。在全球范围看来,包括个人信息安全事件在内的网络安全事件的强制报告和告知均是近期的立法重点。许多国家和地区都注重通过强制对外报告和告知,进一步增强组织和机构的责任主体意识,敦促其认真对待保护个人信息的义务。
由于《网络安全法》仅在第40到44条提供了个人信息保护的原则和框架,实践急需详细、可落地的指引。在中央网信办的指导下,全国信息安全技术标准化委员会从2016年5月开始着手制定信息安全技术国家标准《个人信息安全规范》。该标准于2017年12月29日正式发布,并于2018年5月1日正式生效。《个人信息安全规范》立足于我国现有的法律、法规、规章、标准,并参考个人信息保护方面最先进的国外立法和个人信息保护方面的国际标准的基础上,围绕个人信息处理的全生命周期,针对各类组织提出具体的保护要求。其定位为我国个人信息保护工作的基础性标准文件,为今后开展与个人信息保护相关的各类活动提供依据,为制定和实施个人信息保护相关法律法规奠定基础,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据。在实践中,《个人信息安全规范》无论已经在中央网信办对企业约谈中,还在中央网信办、工信部、公安部、国标委组织的隐私条款专项评审中,发挥了基础性作用,成为企业在《网络安全法》时代的个人信息保护工作的有效标尺。
2018年3月,中国银行保险监督管理委员正式发布了《银行业金融机构数据治理指引》。该《指引》为实现通过数据治理实现数据价值,推动银行业由高速增长向高质量发展转变,从数据治理组织架构、数据管理和质量质效、监管监督等方面都做出详细的规定。对于数据安全,该《指引》在第24条规定:“银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全”。与《指引(征求意见稿)》相比,该条还新增了:“银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。”有论者提出,该新增条款,事实上将国家标准《个人信息安全规范》正式纳入了银行业金融机构的合规标准体系。
展望
未来金融行业的创新和发展,无疑高度依赖于数据的处理和分析,然而金融数据通常涉及个人的敏感信息,并且具有高度精准识别性,因此对风险控制要求、信息安全和数据防护能力以及技术处理手段提出了很大挑战。因此,从欧美中三国的立法趋势来看,对金融数据的主基调是更强的安全,更好的保护,在此基础上,给予金融数据开放和利用一定的空间。
从对我国金融数据保护进行展望的角度,笔者认为有以下几个方面可具体实施:首先,健立健全完善的法律保障体系。以《网络安全法》以及将来出台的《个人信息保护法》和《数据安全法》等基本法律为基石,融合《刑法》、《侵权责任法》等单行法律法规,辅以银行、保险、证券业中与个人信息安全保护相关的行业规章,以及《个人信息安全规范》等有实际指导意义的国家标准,共同构建金融数据保护的完整法律保障体系。
其次,加强行政监管与行业自律管理。金融企业的行业监管机构一般为行业主管部门,建议可以仿照美国做法,要求企业全面制定合规措施和完成时限并且需要定期评估。也可以依照欧盟做法,由行业组织牵头制定统一的监管技术标准。另外,金融机构应当对获取客户信息得到客户知情同意,告知使用目的和范围、信息批露与第三方共享、安全措施能力、责任承担等,应当做出明确承诺(如《隐私权声明》或《隐私政策》等)并随时接受用户、社会、行业主管机构以及自律管理机构的检查。行业自律部门还可权根据主管机关的政策规定,切实有效地制定相关行业指引和联合倡议、声明等。
最后,金融企业需要提升内部合规能力。由于金融数据的特殊性与重要性,企业内部更需要高度重视合规体系建设提升自己的合规能力。比如要建立金融数据保护责任人及工作小组制度;对关键岗位与涉密人员需要加强内控管理,签订岗位责任书与保密协议等;要有先进的防火墙、强身份认证、数据加密、数字签名、第三方认证以及网络安全监控等技术;建立数据安全防护体系,保护网络硬件安全、网络运行安全、数据传递安全;加强信息安全培训与教育,杜绝泄露、散布、滥用、买卖客户个人信息,设立举报与投诉渠道;制定数据危机事件应急方案等。
本文发表于《中国银行业》2018年11期(2018年11月出版)
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。