我们正在进入一个新时代,数字经济将有望成为国民经济新引擎,作为数字经济的核心生产要素——数据要素,更是数字经济发展的“助推器”。数据资产化是商业银行数据价值持续释放的必经之路。
因此,以数据和服务开放共享为基础,深入应用于各类生活场景的开放银行,其所涉及的数据保护及合规实现问题受到了日益增多的关注。开放银行(Open Banking)指银行通过共享数据、业务服务等形式开展与业态的业务连接和场景合作,实现金融服务能力与客户生产生活、政务商务等服务贯通融合的金融服务方式。
其主旨和核心在于数据和服务的开放共享,是商业银行数字化转型的重要组成部分。开放银行业态涉及作为数据主体的客户、银行、第三方、技术信息转接机构等参与方。为了更好的发挥开放银行落地案例的指引作用,基于 2021 年报告以及报告发布之后的重点法规更新,对数据报告策略和合规要求进行总体性回顾和系统梳理。
(一)总体原则
开放银行的数据处理基本原则指的是数据处理者在数据生命周期的各阶段进行各种数据处理时均应遵循的根本准则,是指导监管机构制定规范、进行管理以及开放银行进行具体数据处理行为的纲领。根据《民法典》《个人信息保护法》《数据安全法》《网络安全法》等法律规范,开放银行数据处理者需遵循合法性,公开明示,知情同意,最小够用,数据安全与可问责性,准确性六大原则。
2022 年 12 月,中国银行保险监督管理委员会发布《银行保险机构消费者权益保护管理办法》,明确银行保险机构处理消费者个人信息,应当坚持合法、正当、必要、诚信原则,切实保护消费者信息安全权,整体上符合上述六大原则。
(二)数据收集合规
信息收集指获得信息的控制权的行为。根据《个人信息保护法》《个人金融信息技术保护规范》《网上银行系统信息安全通用规范》等法律法规,信息收集者应制定并公开收集规则,保证个人信息主体对收集的知情和同意,对特殊信息的收集采取特殊收集方式、遵守特殊规定。
具体来说,首先,在收集规则方面,在规则中明确收集目的,方式及范围,收集需合理且限于实现目的的最小范围,一般情况下,最小范围指“直接关联、最低频率和最小数量”。
其次,在获得信息主体同意方面,应以信息主体能理解的语言告知其收集者的身份、联系方式、收集目的、收集方式等内容。对于个人敏感信息,除上述告知内容外,还应当向个人告知收集敏感信息的必要性,并获得个人的单独同意。对于不满 14 周岁的自然人信息,除应取得其监护人同意,还应制定专门的个人信息处理规则。
再次,在收集方式方面,一般原则是收集个人信息应采用对个人权益影响最小的方式,并保证收集个人信息过程的安全性。特殊信息的收集则应遵守特别规定,例如对于 C3 类别信息,要使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取。最后,在停止收集方面,在用户不再使用某服务,或当个人信息控制者停止运营其产品或服务时应当停止收集。
(三)数据使用合规
根据《个人金融信息技术保护规范》,数据使用是指对个人金融信息进行展示、共享和转让、公开披露、委托处理、加工处理等操作的过程。根据《个人金融信息技术保护规范》等要求,数据使用前要对数据进行甄别,征得个人信息主体同意,对数据进行脱敏处理,以共享形式使用数据的数据控制者还应建立相应安全制度体系。
具体来说,在数据使用前,应先对数据是否能够进行使用进行甄别,剔除如动态口令等敏感级别较高的信息。在使用个人金融信息时,要征得个人金融信息主体明示同意,履行告知义务,并且采用去标识化等手段对数据进行脱敏处理,不使用未经处理的原始数据。此外,进行数据使用的个人金融信息控制者应建立安全制度体系,如个人金融信息控制者向第三方共享个人金融信息的,应对第三方对数据的使用情况、数据保护能力等进行审查与评估。
对于委托处理,即金融业机构因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(包含外包服务机构与外部合作机构)处理时,需注意委托行为不应超出已征得个人金融信息主体授权同意的范围,并准确记录和保存委托处理个人金融信息的情况。对于 C3 以及 C2 类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。对第三方机构进行监督的方式包括但不限于签署合同规定第三方的责任和义务,对第三方展开安全检查、评估和审计,对第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检测等。
(四)数据传输合规
数据传输指按照一定的规程,通过一条或者多条数据链路,将数据从数据源传输到数据终端。根据《个人信息保护法》,《个人金融信息技术保护规范》,《信息安全技术 数据安全能力成熟度模型》等要求,对于境内数据传输,金融机构使用公共网络传输 C2、C3 类信息时应使用加密通道或数据加密的方式进行传输,作为网络运营者的金融机构应对网络进行可用性管理,保证网络稳定运行。向境外传输数据则需要满足 更高的合规要求,例如需要向个人信息主体披露境外接收方的情况并获得单独同意, 向网信部门申报数据出境安全评估和网络安全审查,或者按照网信部门的规定进行个 人信息保护认证,或者根据《个人信息出境标准合同办法》与境外接收方订立合同等。
对于数据跨境传输,个人金融信息如果确需向境外提供的应当获得个人金融信息主体明示同意,开展个人金融信息出境安全评估等。
2021 年 12 月,国家互联网信息办公室等发布《网络安全审查办法(2021)》(《审查办法》),规定了应当向网络安全审查办公室申报网络安全审查的情形,申报网络安全审查应提交的材料,审查中重点评估的风险因素等。2022 年 7 月,国家互联网信息办公室发布《数据出境安全评估办法》(《评估办法》),规定了应当申报数据出境安全评估的情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息、自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。
《评估办法》提出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外,还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。
2022 年 6 月,全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》,在 2022 年 12 月发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范 V2.0》,为个人信息保护认证制度提供了法律依据,明确了适格的申请认证主体,认证申请的具体要求,个人信息主体的权利以及相关方的责任义务等。2022 年 11 月,国家市场监督管理总局,国家互联网信息办公室发布《个人信息保护认证实施规则》,指出认证采取“技术验证+现场审核+获证后监督”模式。
2023 年 2 月,国家网信办发布《个人信息出境标准合同办法》(《合同办法》),自 2023 年 6 月 1 日起施行,适用于个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向中华人民共和国境外提供个人信息的情形。《合同办法》对订立标准合同的个人信息处理者的主体要求、个人信息保护影响评估、标准合同的格式和条款、标准合同生效后的备案、标准合同的补充或重新订立、网信办及其工作人员的 职责等进行了规定。
此外,《合同办法》还公布了《个人信息出境标准合同》,对标准合同的内容和具体条款进行明确,除签订合同的双方主体信息外,还包括相关概念的定义、个人信息处理者的义务、境外接受方的义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利、救济、合同解除、违约责任以及其他共九条内容。《合同办法》明确,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
(五)数据存储合规
数据存储指银行在提供金融产品和服务、开展经营管理等活动中,将数据进行持久化保存的过程,包括但不限于云存储服务、网络存储设备等载体存储数据。根据《个人信息保护法》《网络安全法》《信息安全技术 个人信息安全规范》等法律法规,数据储存首先应保证数据安全,满足所储存数据的“保密性、完整性、可用性”。此外,个人金融信息存储还应满足“本地化”11存储要求,数据分类分级存储要求,存储期限最小化要求和去标识化后存储要求。
对于金融行业的云计算数据,还提出了云计算数据中心物理隔离,云服务商以资源控制范围定责原则(由金融机构先承担网络安全等责任,如相关云服务商对云计算环境安全有责任的,金融机构可追偿),对金融行业关键信息基础设施重要系统和数据库进行容灾备份的监管要求。
(六)其他最新法律法规
为更好的保护个人信息,并促进数据合规安全高效流通,在 2021 年报告发布之后的一年多时间里,国家部委、全国金融标准化技术委员会等密集出台了很多数据相关法律法规、行业标准等。
2021 年 11 月,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》,从一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等方面对网络数据安全参与者进行规范。《征求意见稿》拟建立数据分类分级保护制度,数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
《征求意见稿》还提出数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应当在八小时内向设区的市级网信部门和有关主管部门报告。
2021 年 12 月,全国金融标准化技术委员会发布关于征求《金融数据安全 数据安全评估规范(征求意见稿)》,以 JR/T 0197-2020《金融数据安全 数据安全分级指南》、JR/T 0223-2021《金融数据安全 数据生命周期安全规范》为金融数据安全评估的主要内容,从金融数据的安全管理评估、安全保护评估、安全运维评估三个方面对评估结果的判定原则和判定方式等进行说明。
2022 年 4 月,国家发展改革委办公厅银保监会办公厅发布《关于加强信用信息共享应用推进融资信用服务平台网络建设的通知》,并指出各银保监局要发挥监管部门了解银行的优势,及时收集并反映银行服务中小微企业的实际需求,推动各地更加精准、更加全面地归集共享信息,优化数据交换方式,提升信用信息的可用性,为银行提高中小微企业服务能力做好数据支撑。各银行业金融机构要积极对接各级平台,把握好信用信息共享深化的有利时机,强化自身数据能力建设,充分利用信用信息资源和银行内部金融数据,综合运用大数据等金融科技手段,扎实推进小微企业、涉农贷款业务的数字化转型,提高授信审批、风险预警管理的能力,创新信贷产品。
2022 年 12 月,中共中央国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”),从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度,提出二十条政策举措,指出要建立健全个人信息数据确权授权机制。对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,不得采取“一揽子授权”、强制同意等方式过度收集个人信息,促进个人信息合理利用。金融行业作为天然依赖数据的行业,数据已经逐步成为金融机构数字化经营的核心资产。
- 在数据产权方面,数据二十条提出的数据产权结构性分置制度对于金融机构的数据管理具有重大意义,包括合法保障多方权益、释放推动数据要素流通的积极信号,打破数据资源的单一垄断,和奠定数据收益分配的基础;
- 在流通交易方面,对于金融机构而言,数据二十条的发布将大幅提升数据交易市场的活跃度,金融机构在数据的交易与流通中不再仅限于传统的“数据需求方”角色,而是在此基础上进一步衍生出“数据供给方”及“数据生态服务方”的职能,以三方角色融入数据交易生态圈,深度参与数据要素市场建设;
- 在收益分配方面,数据二十条明确了“谁投入、谁贡献、谁受益”原则,金融机构需要以差异化的视角思考各参与主体间的收益分配关系;
- 在安全治理方面,数据二十条明确守住数据安全是数据要素流通交易的红线和底线,只有建立健全数据要素安全体系,才能保障数据能够更加有效地运转和流通,金融机构应加强数据安全治理中的责任落实,建立完备的数据安全治理体系,共同维护以安全合规为基础的数据要素市场环境,积极推动数据的有效流通,充分发挥金融机构数据的责任和义务。
本文摘编自中国银联技术管理委员会发布的《开放银行数据保护与合规实践案例报告》,全文下载请留意后续落地案例。
2 评论