张旭刚 谢宗晓(中国金融认证中心)
1 概述
个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害金融消费者的合法权
益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。本文将对2020年2月13日发布的JR/T 0171—2020《个人金融信息保护技术规范》从产生背景、适用范围、个人金融信息类别、分类重点防护、安全管理要求等方面进行相关介绍。
2 产生背景
中国在金融领域发布的法律法规汇总见表1。
表1 金融领域发布的法律法规
时间2017年6月2019年5月2019年10月2019年12月
法律法规
发布机构
《中华人民共和国网络安全法》第四章 全国人民代表大会常务委员会
网络信息安全
《数据安全管理办法(征求意见稿)》国家互联网信息办公室《个人金融信息(数据)保护试行办法
中国人民银行
(初稿)》
《中国人民银行金融消费者权益保护实
中国人民银行
施办法(征求意见稿)》
由表1可以看出,金融行业已经有了较为完善的法律和相关法规,但缺少个人金融信息保护方面的具体实施规范,在此背景下,2020年2月13日,中国人民银行正式发布了行业标准JR/T 0171—2020《个人金融信息保护技术规范》(以下简称《规范》),《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
从上面可以看出这里的适用对象主要包括两个:持牌金融机构和个人金融信息处理相关机构。在我国持牌金融机构主要分为银行和非银行,银行包括:政策性银行、大型商业银行、股份制商业银行、城商行、农商行、农村信用社、外资银行、村镇银行等;非银行金融机构指不经营一般银行业务的金融机构,主要提供专门的金融服务和开展指定范围内的业务。这类机构比较庞杂,主要包括:支付机构、信托、证券、保险、公募基金、私募基金、典当行、融资租赁等机构以及财务公司等。
个人金融信息处理的相关机构,主要是为持牌
3 适用范围
《规范》明确了适用于提供金融产品和金融服务的金融业机构,同时又定义了金融业机构为由国
- 23 -
标准咨询
金融机构业务提供基础支持服务而需要处理个人金融信息的企业,如电信服务商、信息技术提供商、市场营销服务提供商等。举个例子,某公司不是金融持牌机构,但是与银行合作的过程中需要把个人贷款信息影像的非结构化数据录入到系统转变为结构化数据,那么该公司也适用。此外,《规范》的安全管理要求也提到了金融业机构应对个人金融信息生命周期全过程进行安全检查和评估,安全检查
和评估的范围包括金融业机构,以及与金融业机构合作的外部第三方。
4 个人金融信息类别
《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,具体见表2。
表2 个人金融信息分类
类别
影响和危害
定义
举例
银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、银行卡密码、登录密码、交易密码、个人生物识别信息等
支付账号、身份证、护照、账户登录的用户名、动态口令、短信验证码、个人财产信息、交易信息、KYC信息、家庭住址等
C3
对个人金融信息主体的信息安全与财产安全造成严重危害
主要为用户鉴别信息
C2
主要为可识别特定个人金融
对个人金融信息主体的信息安全与信息主体身份与金融状况的财产安全造成一定危害个人金融信息,以及用于金
融产品与服务的关键信息
C1
主要为机构内部的信息资
对个人金融信息主体的信息安全与账户开立时间、开立机构、基于
产,主要指供金融业机构内
财产安全造成一定影响账户产生的支付标记信息等
部使用的个人金融信息
这里要注意两种或两种以上的低类别信息经过组合、关联和分析后可能产生高敏感程度的信息。比如账号和短信验证码均属于C2类别信息,但是在转账业务过程中通过短信验证码认证方式就能完成一笔转账,此时的短信验证码属于C3类别信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。同样用上面的例子,如果在转账业务过程中,除了需要短信验证码还需要交易密码才能完成一笔转账,那么
此时的短信验证码就属于C2类别信息。
5 分类重点防护
个人金融信息的分类不仅对个人信息控制者提出了不同类别的个人金融信息应实施不同的安全防护策略,而且对金融业机构的数据分类分级提供了指导和参考。笔者梳理了《规范》对C2、C3类别的个人金融信息在收集、传输、存储、使用等生命周期的重点安全防护要求,见表3。
表3 个人金融信息分类重点防护要求个人金融信息类别
C2
C3
生命周期解析
收集
这一条很严格,将对部分金融科技公司、大数据公司等产生巨大影响,因为实名认证的四要
不应委托或授权无金融业相关资质的机构收集
素都是C2类别的信息。目前相关资质具体是什
C3、C2类别信息
么没有明确说明,但相信会进一步完善,相关机构的准入也会更加严格
- 24 -续表
生命周期
个人金融信息类别
C2
C3
对于C3类别信息,通过受理终端、客户端应用软件、浏览器等方式收集时,应使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取
收集
在网络支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效措施防止合作机构获取、留存支付敏感信息
解析
这里明确了通过受理终端(ATM、VTM、POS等相关设备)、应用系统、App、浏览器等收集卡片验证码、卡片有效期、银行卡密码、交易密码、登录密码等C3类别信息时应采取加密措施,一般通过调用加密算法、密码控件、数字证书等方式实现
这条没有明确说明是C3类别信息应该满足的要求,但是指明对象是支付敏感信息,而支付敏感信息在定义中规定为涉及支付主体隐私和身份识别的重要信息,如卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等,适用于大部分C3类别信息
这条明确了传输C2、C3类别信息时应采用加密方式,常见的是通道加密和数据加密,通道加
通过公共网络传输时,C2、C3类别信息应使用安
密比较常见的就是HTTPS,这种属于传输层的
全通道或数据加密的方式进行传输,保障个人金
加密;数据加密是对应用层的数据信息进行加
融信息传输过程的安全
密,一般通过调用加密算法实现,属于应用层加密
传输
各行业对C3类别中的支付敏感信息的安全防护要求不同,比如2016年中国人民银行关于银行业发布的《中国人民银行关于进一步加强银行
对于C3类别中的支付敏感信息,其
卡风险管理的通知》中明确规定“加强支付敏
安全传输技术控制措施应符合有关
感信息安全防护,各商业银行、支付机构在客
行业技术标准与行业主管部门有关
户端软件与服务器、服务器与服务器之间进行
规定要求
通道加密和双向认证”,这里还需实现双向认证。因此,安全传输技术控制措施需要符合有关行业技术标准与行业主管部门有关规定要求不应留存非本机构的银行卡磁道(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等C3类别信息,若确有必要留存的,应获得个人金融信息主体及账户管理机构的授权
这条明确了C3类别的信息只能由账户管理机构留存,如果其他机构确有必要留存,应获得个人信息主体和账户管理机构的授权。目前仅通过个人主体授权而获得C3类别信息的机构需要整改
C3类别个人金融信息应采用加密措
对C3类别的信息需要加密存储
施确保数据存储的保密性
存储
受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生物识别数据的样本数据、模板,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时予以清除
这条明确了受理终端、个人终端及客户端应用软件都不能存储支付敏感信息及个人生物识别数据的样本数据、模板,仅能保存当前交易所必需的要素,并在完成交易后清除。那么通过App刷脸支付的,人脸信息就不能存储在本地,交易完成后应立即删除
- 25 -
标准咨询
续表
生命周期
个人金融信息类别
C2
C3
解析
这条明确了在未登录的状态下,个人金融信息
处于未登录状态时,不应展示与个
主体相关的C3类别信息不能展示,即使是处理
人金融信息主体相关的C3类别信息
后,也不能以“*”形式展示处于登录状态时,登录密码、交易密码、查询
处于已登录状态时,除银行卡有效
密码、银行卡密码等C3类别的信息不能明文展
期外,C3类别信息不应明文展示
示,应采取信息屏蔽等处理措施后台系统和相关业务支撑系统也不能明文显示
应用软件的后台管理与业务支撑系银行卡有效期外的C3类别信息。如银行的手机统,除银行卡有效期外,C3类别信银行后台管理系统和客户信息系统不能明文显息不应明文展示示手机银行登录密码、交易密码、查询密码等
信息
这条明确了不能委托第三方机构处理卡片验证
C3以及C2类别信息中的用户鉴别辅助信息,不应
码、卡片有效期、银行卡密码、网络支付交易
委托给第三方机构进行处理。转接清算、登记结
密码、登录密码、个人生物识别信息、动态口
算等情况,应依据国家有关法律法规及行业主管
令、短信验证码等C3类以及C2类别信息中的用
部门有关规定与技术标准执行
户鉴别辅助信息
使用
目前,金融业机构基本都有了自己的大数据平台,那么从业务系统数据到大数据平台数据的转化以及在大数据平台的处理和分析中就要对
应采取必要的技术手段和管理措施,确保在个人
个人金融信息进行保护,对C2、C3类别信息还
金融信息清洗和转换过程中对信息进行保护,对
应采取更加严格的保护措施,如使用数据分析
C2、C3类别信息,应采取更加严格的保护措施
中的个人数据执行去标识化处理的技术工具,即对C2、C3类别信息从数据中进行去标识化处理这条对当前的开放银行来说是一种巨大的考验。因为开放银行的本质是一种利用开放API C3类别信息以及C2类别信息中的用户鉴别辅助信或SDK技术实现银行与第三方之间数据共享,息不应共享、转让从而提升客户体验的平台合作模式。这就对银
行与第三方平台之间哪些数据能共享,哪些不能,提供了指导和参考金融业机构原则上不应该公开披露个人金融信息,金融业机构经法律授权或具备合理事由确
C3类别信息以及C2类别信息中的用户鉴别辅助信
需公开披露个人金融信息时,也不能公开披露
息不应公开披露
C3类别信息以及C2类别信息中的用户鉴别辅助信息
6 安全管理要求
《规范》从安全准则、安全策略、访问控制、安全监测与风险评估以及安全事件处置5个方面对安全管理进行了要求。安全准则主要规定了个人金融信息在收集、存储、使用等环节应遵循的原则和
相关要求;安全策略从安全制度体系建立与发布、组织架构岗位设置和人员管理方面对金融业机构提出了相关要求;访问控制提出了个人金融信息应根据“业务需要”和“最小权限”原则进行权限管理,并对个人金融信息访问进行记录,保证操作日志的完备性、可用性及可追溯性;安全监测与风险评估
(下转第30页)
- 26 -本刊特约
(1)一个前提:合规。企业信息安全治理实践过程中不能突破底线,这是最基本的前提。在当前的监管环境下,企业的信息安全治理合规行为暴露出不少问题。例如,少数网络运营者打“擦边球”,存在买卖用户信息的现象。企业信息安全治理如何通过形式上的合规,上升至治理内容的合规,是当前信息安全治理的一个难点。
(2)一项任务:安全要求的嵌入。将信息安全管理策略的要求融入到内部各项业务以及员工日常工作行为中去,要满足这一要求需要做到以下三点:第一,信息安全知识体系化。信息安全知识体现了对信息安全行为的认知,良好的认知可以有效降低信息安全风险;第二,端正信息安全态度,通过设置适当的奖惩机制,树立正确的信息安全态度,面对信息安全风险时能够提高警惕,做出信息安全应对行为;第三,明确正确的信息安全行为规范,可以有效帮助员工在日常工作中落实安全职责。
(3)三个目标:目标一致、价值提供和风险控制。信息安全治理的目标是使信息安全目标和战略业务目标一致,为信息安全治理相关利益主体带来价值,以及确保组织内部信息安全风险得到有效控制。上述三个目标实际上对应于治理实践中所面对的三个矛盾:第一,目标的冲突。企业应该“追求安全”还是“追求绩效”。第二,信息的不对称。不同职能部门以及业务流程之间由于沟通不畅,造成的信息不对称。第三,信息安全风险的应对。企业管理者存在的有限理性导致的外部风险不确定性与内部信息安全水平之间的偏差。例如,管理者一
旦认定企业内部信息安全水平较高,自然会降低对信息安全资源的投入。
4 小结
管理信息系统领域的学者们对信息安全治理给出了不同的概念,而不同的概念有不同的强调重点。本文给出的信息安全治理概念,通过将信息安全的各项要求融入到各项业务以及员工工作中,实现对信息安全风险的有效控制。在企业信息安全治理中,如何将治理机制的各种制度有效落地是亟须考虑的现实问题。
(注:本文仅做学术探讨,与作者所在单位观点无关)
参考文献
[1] 甄杰,谢宗晓,李康宏,等.信息安全治理与企业绩效:一个被 调节的中介作用模型[J].南开管理评论, 2020, 23(1): 158- 168.
[2] 甄杰,谢宗晓,董坤祥.信息安全压力与员工违规意愿:被调节 的中介效应[J].管理科学, 2018, 31(4): 91-102.[3] 甄杰,谢宗晓,林润辉.治理机制、制度化与企业信息安全绩 效[J].工业工程与管理, 2018, 23(3): 171-176.[4] SCHINAGL S, SHAHIM A. What do we know about information security governance? “From the basement to the boardroom”: Towards digital security governance [J/OL].Information and Computer Security,2020, 28 (1):1-32[2020-02-20].https://www.emerald.com/ insight/content/doi/10.1108/ICS-02-2019-0033/full/ html.
(上接第26页)
明确了对个人金融信息全生命周期进行用户行为分析和异常流量监测,同时金融业机构应对个人金融信息生命周期全过程进行安全检查和评估,安全检查和评估的范围包括金融业机构,以及与金融业机构合作的外部第三方;安全事件处置对制定个人金融信息安全事件应急预案、组织内部相关人员进行个人金融信息保护应急预案相关培训和应急演练做出了规定。以上内容不再详细解读。
息安全技术 个人信息安全规范》是一项关于我国个人信息安全保护的标准,而此次《规范》中的一些要求参考了GB/T 35273—2017,从安全技术和安全管理两个方面对个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期环节提出了安全防护要求,可以说是中国人民银行在GB/T 35273—2017的基础上对个人金融信息提出的增强型要求。对加强个人金融信息管理,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,维护金融市场稳定,提供了重要意义。
(注:本文仅做学术探讨,与作者所在单位观点无关)
7 结束语
2018年5月1日实施的GB/T 35273—2017《信
- 30 -
因篇幅问题不能全部显示,请点此查看更多更全内容