2020年2月20日,全国金融标准化技术委员会(以下简称“金标委”)公布了推荐性行业标准《个人金融信息保护技术规范》(以下简称“”"),本标准由中国人民银行于2020年2月13日发布,并于当日实施。个人金融信息分级制度个人金融信息分级制度是《金融信息规范》的一项重要规定,也将是金融机构开展合规工作不可回避的关键环节。《金融信息规范》个人金融信息分级制度各等级分级内容及附加要求如下:1、为什么要进行信息分级?——信息分级是合规的基础。本要求融合了基于个人金融信息生命周期的安全技术要求和管理要求(以下简称“合规要求”)。一方面,《个人信息规范》作为通用标准,无法满足金融服务对个人信息分类方式(个人信息、个人敏感信息)和识别程度的实际需求。金融机构需要更详细的信息分类来指导日常金融信息保护。另一方面,信息分类也是所有数据保护和合规工作的基础,有助于金融机构识别不同数据的风险等级和合规难点,做到因人(数据)、因地而异。地点(场景)。是的,把握合规要点,节省合规成本2、如何分类?——信息分级的几个标准1.通用标准《金融信息规范》主要按照数据泄露事件的严重程度(后果)进行分级。具体而言,在规定中,从C1到C3级别,分级依据分别表示为:此类信息一旦被擅自查看或更改,可能“对信息主体的信息安全和财产安全造成一定影响”。个人财务信息。””、“一定危害”、“严重危害”。作为每个层级包含的个人财务信息类型,《金融信息规范》采用“概览+不完全列举”的方式,列出了具体的几类信息。那么,这是否意味着企业是否应该按层级列出的信息类型分步实施?我们理解不应该死板地实施,还需要综合考虑各种情况,以多种标准灵活判断某一类数据的归类2.基于场景的标准《金融信息规范》明确指出,相同的信息在不同的服务场景中可能处于不同的层次,应根据服务场景和信息在其中的作用来识别信息的层次,并实施针对性保护。例如,低敏感度的个人金融信息,因参与身份验证等关键活动而敏感度增加,若结合形成完整的交易授权要素,则应完善相应的安全措施。3、动态标准《金融信息规范》没有固定个人金融信息的分类,而是在特定情况下会产生一定的差异和转化,具体如下:(1)同一层级内不同信息类型甚至不同类型信息的差异化处理同一级别有不同的合规要求。以“用户认证辅助信息”为例,包括动态密码、短信验证码、密码提示问题答案、动态声纹密码等,虽然在分类上属于C2类,但与其他C2类相比,有以下特殊合规要求:不应委托第三方机构处理(同C3)不应共享、转让(同C3)不应公开披露(同C3)同样,更特殊信息类型包括C2中的“支付账号及其等价信息”(共享和传输时应使用支付令牌化技术进行脱敏)、C3信息中的“个人生物识别”(不应公开披露)等(2)特定场景下同一信息类型的级别变化《金融信息规范》规定两个或两个以上的低敏感级别信息可能产生高敏感信息结合、关联、分析后的信息,有针对性地采取措施。保障。例如某手机厂商推出了一款带有动态声纹加密功能的手机,动态声纹密码属于C2类用户认证辅助信息。如果此类信息与账号结合使用,直接完成用户认证,则属于C3类信息。上述灵活的信息层级分类模型一方面确实更加科学严谨,另一方面也对企业的风控合规部门提出了新的挑战。一味地“抄作业”不可取。如何结合自身业务实际,将合规要求转化为有效的内控措施;如何将个人金融信息分类标准与数据分类相结合,分类标准的有机统一将成为金融机构合规工作的重点和难点。3、分级的重大影响?——与第三方机构合作的风险个人金融信息分级制度的一个重大影响在于以数据为中心,为金融行业机构与第三方的合作划定了红线机构。《金融信息规范》中关于第三方机构处理个人金融信息的主要规定如下:数据采集:不得委托或授权不具备金融行业相关资质的机构采集C3、C2类信息——6.1.1a)数据共享和转让:C2类信息中的C3类信息和用户认证辅助信息不应共享或转让——7.1.3a)数据处理:用户认证辅助信息中的C3和C2类信息不应共享委托第三方处理——6.1.1.4b)数据存储:外包服务机构、对外合作机构原则上不应保留C2、C3类信息。存储个人金融信息的数据库不得交由外部合作机构运维。——7.2.1g)本规定进一步明确了持牌金融机构与第三方金融服务机构开展(业务/技术)合作的标准、内容、范围和边界,特别是详细规定了个人金融信息在各自领域的处理方式和方式。各阶段责任主体对各方参与金融科技活动具有重要指导意义。对于一些金融科技公司或借贷机构来说,可能会面临业务监管和转型的问题。过去,收集和存储大量敏感的个人金融信息,与金融机构共同进行贷款风控和贷后催收的业务模式将难以生存。.从持牌金融机构来看,通过与金融科技公司的合作,将风控外包,只做“钱箱”不问数据来源的粗放模式不再适用。尽快适应新的监管要求,提升自身风控能力,建立合规合规的新型第三方合作模式,将成为下一阶段合规工作的重点。
