虽然个人信息在我国《民法典(草案)》中被放置于“人格权编”部分,通常会认为个人信息是一类具有财产属性的人格权,会体现一定的经济利益。而在各类个人信息中,个人金融信息无疑是最具财产属性的个人信息之一。通常个人信息泄露,不一定能直接造成经济损失,但个人金融信息一旦泄露会直接给个人信息主体带来巨大的经济伤害,具有更高的敏感性。
2020年2月13日,中国人民银行发布《个人金融信息保护技术规范》(JR/T 0171-2020),为个人金融信息保护打上补丁。虽然《个人金融信息保护技术规范》只是行业推荐性标准,但预期仍会在金融执法、合规过程中起到关键作用。所有提供金融产品与金融服务的机构,在“接触”个人信息时,都需要以《个人金融信息保护技术规范》为“漫游指南”。
一、概念们
二、体系
仔细研读《个人金融信息保护技术规范》的体例,可以归纳出个人金融信息合规的基本框架:
金融机构开展个人信息保护,是一个体系,不止局限于《个人金融信息保护技术规范》。比如《网络安全法》中的等级保护制度,就是金融机构收集、处理个人信息网络的基本要件。《中国人民银行金融消费者权益保护实施办法》也仍然有效,而且是部门规章,具备比行业标准更高的层级。要求金融机构至少每半年排查一次个人金融信息安全隐患;并且明确金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免。
在体系上,数据跨境也是一个敏感的问题。金融机构一旦被认定为关键信息基础设施,则需要在《网络安全法》承担数据本地化与跨境安全评估的义务,但这两项制度至今仍处于迷雾之中……再加上《中国人民银行金融消费者权益保护实施办法》与《个人金融信息保护技术规范》,这迷雾更加浓厚:
除此以外,信息屏蔽是《个人金融信息保护规范》中的关键技术措施,以降低个人金融信息的法律风险。虽然《个人金融信息保护规范》的附录列举了部分的信息屏蔽措施,但屏蔽措施的落实更需要参考《信息安全规范 个人信息去标识化指南》(GB/T 37964-2019),选取合适的技术与模型保护个人信息。
三、数据分类
《网络安全法》要求网络运营者采取数据分类、重要数据备份和加密等措施。《个人金融信息保护技术规范》根据敏感程度从高到低分为C3、C2、C1三级。
不同等级下,也对应着不同的法律义务:
四、关注
相对法律、行政法规、部门规章,《个人金融信息保护技术规范》是一份技术标准,需要金融行业的IT人员更加关注,对照自家金融机构IT系统,能否实现《个人金融信息保护技术规范》中的各项要求。
对于合规人员,则更需要关注内部管理制度的建设。技术与管理是《个人金融信息保护技术规范》中明显的两条线索。对于法律工作者,更需要对《个人金融信息保护技术规范》中涉及第三方管理的条款尤其注意,确保与第三方签订的协议内容与IT系统的设置保持一致。
而在此之上,需要金融机构高层牵头,将个人金融信息保护落实到具体责任人,协调不同部门的资源开展贯标工作。