原創 羅為 王新銳 中國信息安全
文│北京安理律師事務所高級合夥人 羅為 王新銳
金融領域個人信息違法違規行政和刑事執法案例數量在2019年呈爆發式增長趨勢,特別是2019年9月以來,刑事力量已經開始介入與金融行業密切相關的大數據行業。在此背景下,金融領域的個人信息保護立法備受關注。由於2019年的《中國人民銀行金融消費者權益保護實施辦法》(徵求意見稿)和《個人金融信息(數據)保護試行辦法》(徵求意見稿)目前仍在徵求意見之中,2020年2月13日,經中國人民銀行頒佈並實施的《個人金融信息保護技術規範》(JR/T 0171-2020)(以下簡稱“《技術規範》”),引起各界熱議。
一、《技術規範》的法律性質
《技術規範》發佈以來,有人認為,該《技術規範》是中國人民銀行頒佈的規範性文件,具有一定的強制性;還有人認為,該《技術規範》只是一個行業推薦標準,並無強制性,那麼,如何看待《技術規範》的法律性質呢?
《技術規範》其實是由全國金融標準化技術委員會(SAC/TC 180)(以下簡稱“金標委”)歸口的金融行業推薦性標準,而金標委是國家標準化管理委員會授權,在金融領域內從事全國性標準化工作的非法人技術組織;之所以《技術規範》由中國人民銀行發佈,是因為中國人民銀行受國家標準化管理委員會委託對金標委進行領導和管理。
儘管如此,《技術規範》由中國人民銀行科技司提出並負責起草,其參考和引用了在業界非常有影響力的《個人信息安全規範》,而中國支付清算協會、中國互聯網金融協會、銀聯、網聯、商業銀行、支付機構、保險公司、證券公司、金融認證機構等多家單位,也共同參與了起草工作。
可以預見的是,中國人民銀行今後關於金融領域的個人信息保護的立法工作,很有可能會參考甚至引用《技術規範》的相關內容。從這個意義上講,我們建議在實務中將其理解為“準強制性標準”,並儘量以其作為合規風險的衡量準繩。
二、《技術規範》的適用範圍
根據《技術規範》的有關規定,其適用於提供金融產品和服務的金融業機構,而根據其定義,“金融業機構是指由國家金融管理部門監督管理的持牌金融機構,以及涉及個人金融信息處理的相關機構”。我們注意到,不少作者對於涉及個人金融信息處理的相關機構做了擴大性的解釋,認為金融產業鏈的相關機構均可能落入《技術規範》規制範圍,其中包括助貸、P2P、貸後管理(如催收)等非持牌機構,甚至包括提供身份驗證服務的電信服務商、信息技術提供商、風控服務解決方案提供商、市場營銷服務提供商等。
我們認為,不宜對金融業機構做此類擴大解釋。首先,《技術規範》雖然規定“金融業機構”包括“涉及個人金融信息處理的相關機構”,但是,根據《技術規範》的規定,“個人金融信息”是指“金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息”,兩相結合,難免有循環定義之嫌。其次,根據《中華人民共和國立法法》的有關規定,在沒有明確的法律或行政法規等上位法律依據的情況下,有關規章規範的內容,不得設定減損公民、法人和其他組織權利或者增加其義務的內容。而《技術規範》作為行業的推薦性標準,其起草和制訂也未見相關行業從業者參與其中,如將金融業機構做擴大性解釋,顯然也不合理。第三,之所以把《技術規範》視為“準強制標準”是由於日後的立法和監管執法可能會參照或者援引相關規定,除非能夠給上述金融產業鏈的所有相關機構明確監管部門,否則,有關規定也無異於水中撈月,根本無法落地。
當然,不對適用範圍做擴大性解釋,並不意味著《技術規範》對於涉及金融行業產業鏈的相關機構沒有任何影響。監管部門對於持牌金融機構或徵信機構等受其監督管理機構的要求和執法,同樣會讓其將受到監管的合規壓力向相關行業和機構進行傳輸,最後對整個行業造成巨大的影響。屆時,有關機構出於業務的壓力,可能也需參照《技術規範》的要求進行相應的調整。
三、《技術規範》中授權同意的例外
由於個人金融信息的特殊性,中國人民銀行等金融監管部門一直關注個人金融信息的授權同意的要求。從2005年頒佈的《個人信用信息基礎數據庫管理暫行辦法》和2011年頒佈的《人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》,到2013年頒佈的《徵信業管理條例》和2016年頒佈的《中國人民銀行金融消費者權益保護實施辦法》,再到2019年頒佈的《中國人民銀行金融消費者權益保護實施辦法》(徵求意見稿)和《個人金融信息(數據)保護試行辦法》(徵求意見稿),都對個人金融信息的採集和使用提出了嚴格的獲取個人客戶授權同意的要求。但是,上述法規基本沒有考慮到取得授權同意的例外情形。
我們認為,個人金融信息由於具有人格屬性和財產屬性雙重特點,同時,也對國民經濟具有重要影響力,對於個人金融信息的採集、處理、使用進行嚴格要求,無可厚非。但是,目前我國關於個人金融信息的定義範圍非常廣泛,以2016年頒佈的《中國人民銀行金融消費者權益保護實施辦法》為例,個人金融信息“是指金融機構通過開展業務或者其他渠道獲取、加工和保存的個人信息,包括個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息及其他反映特定個人某些情況的信息”,而這個定義,從文義解釋來看,個人金融信息將與金融機構所處理的所有個人信息無限趨同。
然而,金融機構處理有關個人信息的行為,天然具有其特殊性。一方面,金融機構開展業務時會受到嚴格監管,在履行“瞭解你的客戶”(KYC)義務以及面對反洗錢的要求時,其對信息的採集和處理就不能完全依賴於客戶同意;另一方面,金融機構在採取技術手段進行反欺詐和反盜用時,如果仍嚴格要求其遵守用戶同意的原則,則有可能給金融機構甚至國民經濟帶來重大負面影響。此外,即便是在以對個人信息嚴格保護著稱的歐洲,其也並不將取得個人信息主體的同意視為解決問題的唯一路徑,根據GDPR的有關規定,除取得信息主體的同意外,還存在為履行合同、履行法定義務所必須,保護信息主體或他人的重大利益所必須,為實現數據控制者所追求的合法利益所必須等其他合規路徑。
為了解決法律規定與個人信息保護的現實困難之間的問題,GB/T 35273-2017《信息安全技術 個人信息安全規範》的5.6條對於徵得授權同意的例外情況做出規定:“以下情形中,個人信息控制者收集、使用個人信息不必徵得個人信息主體的授權同意:a) 與個人信息控制者履行法律法規規定的義務相關的;b) 與國家安全、國防安全直接相關的;c) 與公共安全、公共衛生、重大公共利益直接相關的;d) 與刑事偵查、起訴、審判和判決執行等直接相關的;e) 出於維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人授權同意的;f) 所涉及的個人信息是個人信息主體自行向社會公眾公開的;g) 根據個人信息主體要求籤訂和履行合同所必需的;(注:個人信息保護政策的主要功能為公開個人信息控制者收集、使用個人信息範圍和規則,不宜將其視為合同)h) 從合法公開披露的信息中收集個人信息的,如合法的新聞報道、政府信息公開等渠道;i) 維護所提供產品或服務的安全穩定運行所必需的,如發現、處置產品或服務的故障;j)個人信息控制者為新聞單位,且其開展合法的新聞報道所必需的;k) 個人信息控制者為學術研究機構,出於公共利益開展統計或學術研究所必要,且其對外提供學術研究或描述的結果時,對結果中所包含的個人信息進行去標識化處理的。”
我們注意到,《技術規範》參照GB/T 35273-2017《信息安全技術 個人信息安全規範》的有關規定,在7.1.1d)款對徵得授權同意的例外做出專門設定,其內容與2017年版《信息安全技術 個人信息安全規範》的規定基本相同,但是,在最後一項“用於維護所提供的金融產品或服務的安全穩定運行所必需的”情形中,特別舉例包括“識別、處置金融產品或服務中的欺詐或被盜用等”情形。雖然有觀點認為《技術規範》作為一個推薦性標準,此類例外原則的內容從某種程度上突破了上位法的規定,並因此對其效力存疑,但是,我們認為,這一規定真實反映了行業特點與行業的迫切需求,對國民經濟和金融穩定而言具有正面意義,且並不一定會對個人信息保護工作帶來很大的負面影響。考慮到我國的特殊國情,此類突破性的規定,是否能得到監管部門在今後立法及執法方面的認可和參考,尚具有很大的不確定性。
四、《技術規範》中關於個人金融信息的分類保護
如前所述,我國之前的立法對“個人金融信息”做了極為寬泛的定義,《技術規範》也不例外。根據《技術規範》的規定,“個人金融信息”是指“金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息”,包括賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息。由於定義過於寬泛,而不同個人金融信息被洩露或濫用所帶來的影響和危害不同,《技術規範》將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別,對不同類別的個人金融信息,做不同的規範性要求。
根據《技術規範》的規定,C3類別信息主要為用戶鑑別信息,包括銀行卡磁道數據(或芯片等效信息)、卡片有效期等賬戶信息,及銀行卡密碼、交易密碼,卡片驗證碼,用於用戶鑑別的個人生物識別信息等鑑別信息;C2類別信息主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息,以及用於金融產品與服務的關鍵信息,包括但不限於支付賬號及其等效信息、賬戶登錄的用戶名、用戶鑑別輔助信息(若用戶鑑別輔助信息與賬號結合使用可直接完成用戶鑑別,則屬於 C3 類別信息)、個人財產信息、交易信息、個人金融信息主體照片、音視頻等影像信息、家庭地址等能夠識別出特定主體的信息;而C2 和 C3 類別信息中未包含的其他個人金融信息將被劃為 C1類別信息。
對於C3類的信息,《技術規範》要求最為嚴格。根據《技術規範》的規定,不應委託或授權無金融業相關資質的機構收集C3類信息;傳輸應使用加密方式進行;不應留存非本機構的銀行卡磁道數據(或芯片等效信息)、銀行卡有效期、卡片驗證碼(CVN和CVN2)、銀行卡密碼、網絡支付密碼等C3類別信息,若確有必要留存的,應取得個人金融信息主體及賬戶管理機構的授權;不應委託給第三方機構進行處理;不應共享、轉讓、公開披露;約束外包服務機構與外部合作機構不應留存C3類別信息。
對於C2類的信息,除特別明確用戶鑑別輔助信息不得委託第三方機構處理,不應共享、轉讓、公開披露之外,《技術規範》對於C2類信息,只是要求不應委託或授權無金融業相關資質的機構收集C2類信息,傳輸方式應當加密,且約束外包服務機構與外部合作機構不應留存C2類信息。
有觀點認為,上述規定要求收集個人金融信息(C2/C3)的主體必須為金融業持牌機構(例如持牌的小貸公司、消金公司、徵信機構等),而將其他非持牌機構(例如導流、助貸、大數據分析公司)排除在外。
我們對此持不同看法。首先,《技術規範》僅僅要求不應委託或授權上述機構收集C3類信息,但並未禁止用戶委託或授權上述機構向金融機構提交此類信息;其次,禁止委託或授權上述機構收集,並不必然代表禁止有關第三方服務主體採集相關信息並輸出相關驗證結果;此外,正如本文第二部分的分析,對於需要取得資質的金融業機構而言,《技術規範》具有準規範性的效力,對於其他沒有明確金融監管部門的行業而言,此類要求顯然沒有意義。
五、《技術規範》中關於個人生物識別信息的規定
2020年3月6日,全國信息安全標準化技術委員會歸口的GB/T 35273-2020《信息安全技術個人信息安全規範》正式發佈,並將於2020年10月1日實施。由於個人生物識別技術的普遍應用,且一旦發生信息安全事件,將對個人產生重大不利影響。新版《個人信息安全規範》對於個人生物識別信息做了特別的保護要求:第一,新版《個人信息安全規範》要求“收集個人生物識別信息前,應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和範圍,以及存儲時間等規則,並徵得個人信息主體的明示同意”;第二,“個人生物識別信息應與個人身份信息分開存儲”;第三,“原則上不應存儲原始個人生物識別信息(如樣本、圖像等),可採取的措施包括但不限於:1) 僅存儲個人生物識別信息的摘要信息;2) 在採集終端中直接使用個人生物識別信息實現身份識別、認證等功能;3) 在使用面部識別特徵、指紋、掌紋、虹膜等實現識別身份、認證等功能後刪除可提取個人生物識別信息的原始圖像。”
《技術規範》中關於個人生物識別信息的要求與新版《個人信息安全規範》的規定也是互相呼應。首先,《技術規範》將“用於用戶鑑別的個人生物識別信息”列為敏感度最高級別的C3類別信息,對其收集、傳輸、存儲、使用和共享等各方面提出了最為嚴格的要求;其次,《技術規範》要求“受理終端、個人終端及客戶端應用軟件均不應存儲銀行卡磁道數據(或芯片等效信息)、銀行卡有效期、卡片驗證碼(CVN 和 CVN2)、銀行卡密碼、網絡支付密碼等支付敏感信息及個人生物識別信息的樣本數據、模板,僅可保存完成當前交易所必需的基本信息要素,並在完成交易後及時予以清除。”
六、結語
《技術規範》對個人金融信息的定義、分類,以及收集、傳輸、存儲、使用、刪除、銷燬全生命週期進行了規定,還包括了安全制度體系建立與發佈等內容,參考了大量的安全規範,其涉及的內容非常廣泛。我們將持續關注《技術規範》在行業內的適用情況,並希望《技術規範》能夠對將來的金融領域信息保護立法和執法帶來積極的影響。
(本文刊登於《中國信息安全》雜誌2020年第4期)
