原创|个人金融信息,烫手的香饽饽?
感谢某大型金融消费公司的邀请,针对个人金融信息保护的内容与业内老友们分享我们的见解和处置思路。由于《个人信息保护法》(草案)刚向社会公开征求意见完毕,我们认为未来该法通过概率极高,今天文章也将进行前瞻讨论,欢迎大家提出宝贵意见。
有同行说道:给企业讲课最简单,只需要找几本相关书籍,从中挑选有趣的案例,一上午就在哈哈哈中过去了,但是飒姐认为,我们还是得切中要害,给客户真正想要的知识和技能,让人家回到工作中能够看得透、用得上。
工作中接触的数据,都有怎样的法律属性?
有必要说明,公民个人信息与企业信息的法律保护是有巨大差异的。个人信息的保护根植于人格权,在即将生效的《民法典》第四编第六章隐私权中可以找到其民法渊源。而企业信息的法律保护,多落入商业秘密、专利权等知识产权保护的范畴,其基础是信息具备“经济利益属性”,也即是说,从立法出发点上讲,前者是因为对人的尊重而保护,后者是因为Know-how值钱。
因此,读者们在平日工作中,也无需畏首畏尾,首先区分哪些是企业数据,对于企业数据关注是否为对方的采取保密措施的信息,if not,直接使用即可;if yes, 与对方协商后使用。若发现数据为个人信息或可以还原为特定人的信息,则马上要意识到这些信息不能直接使用,除非得到明确授权。
目前,我国法律在司法实践中是承认“概括授权”的,此举在《个人信息保护法》草案中亦有印证。通常的操作是各大网络运营商或企业网站会在“注册协议”中悄然添加条款或弹窗,用户要想注册成为网站会员就需要点击“同意”。
法律在个人信息保护和大数据流转中,寻觅动态平衡,因此我们会发现近年来关于个人信息保护的法律法规文件层出不穷。本文我们介绍与公民个人信息相关最重要的几个法律节点。
正本清源,个人金融信息的内涵与外延
根据银发【2020】45号文《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》附的技术标准,个人金融信息的定义是“个人信息在金融领域围绕账户信息、鉴别信息(含登录密码、查询密码等)、金融交易信息、个人身份信息(含生物识别信息)、财产信息(含纳税、公积金)、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。”我们了解了个人金融信息,那么,更基础的概念,到底什么是个人信息?
咱们从最底层的法律红线开始看,我国刑法中有专门的侵犯公民个人信息罪,其对公民个人信息的定义是:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。而未来即将出台的主要规制个人信息的《个人信息保护法》对于个人信息的定义是“以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息”与刑法标准雷同,但是强调排除了“匿名化处理后的信息”。
总结下来,对于金融行业而言,需要关注的个人信息是指没有被匿名化的信息,能够单独或与其他信息结合识别特定自然人身份或活动的信息,只有这些个人信息才是最危险的。其中,飒姐提一个点“金融账户”属于一旦被泄露或者非法使用,可能导致个人财产安全受到严重危害的个人信息,因此是重中之重,对于处理此类敏感信息,在基于个人同意基础上,还应当取得个人的单独同意,法律或行者法规定须书面同意的,从其规定。处理个人敏感信息,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
个人金融信息的特殊保护
对于个人金融信息的保护,除《个人信息保护法》草案的通用性规定之外,上月1号施行的《中国人民银行金融消费者权益保护实施办法》第三章消费者金融信息保护,以及今年年初3月4日出台的《个人金融信息保护技术规范》都规定了个人金融信息保护的特殊之处,为了解风向,飒姐简要选取了几个方面为各位梳理:
其一,个人金融信息保护技术规范的扩大适用。倘若按照“顾名思义”来理解,个人金融信息保护技术标准中的“金融业机构”似乎仅指持牌金融机构,但实际上此行业标准对于“涉及个人金融信息处理的相关机构”也囊括在内,换句话说,金融机构委托处理个人信息的科技公司需要受到规制,而非只有持牌机构被严格管理。
其二,C3类别+C2类别信息均为敏感信息,C1信息为非敏感信息。所谓C3类别信息主要为用户鉴别信息,包括银行卡芯片有效信息、卡片有效期、银行卡密码、网银交易密码、查询密码、交易密码、登录密码、个人生物识别信息;所谓C2类别信息主要为客识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,包括支付账号、手机号、证件类识别信息、登录用户名、动态口令、短信验证码、密码提示问题(请注意倘若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于更敏感的C3类别信息)、个人财产信息、借贷信息、交易信息、KYC过程中留存的照片、音频视频、家庭住址等。被排除在敏感信息之外的是C1类信息,账户开立时间、开户机构、基于账户类信息产生的支付标记信息等。按照《个人信息保护法》草案,敏感信息处理更严格,要求取得个人单独授权或书面同意,还应当告知信息被采集人敏感信息对个人的影响。同时,在入刑的门槛方面,敏感信息的入罪门槛为500条,而非敏感信息为5000条,倘若是金融机构服务中留存数据被贩卖或提供给他人,敏感信息的入罪门槛为250条。
其三,个人金融信息之生命周期。
收集:对个人金融信息主体各类信息进行获取和记录的过程;
传输:个人金融信息在终端设备、信息系统内部或信息系统间传递的过程;
存储:个人金融信息在终端设备、信息系统内保存的过程;
使用:对个人金融信息进行展示、共享和转让、公开披露、委托处理、加工处理等操作的过程;
删除:使个人金融信息不可被检索、访问的过程;
销毁:对个人金融信息进行清除,使其不可恢复的过程。
数据合规的真正路径?
履职或提供服务中获得个人信息出售或提供给他人,从重处罚,因此,需要在事前合规时,将数据泄露的条数进行减半处理。即泄露征信信息、财产信息不得超过25条;其他影响财产安全的公民个人信息不超过250条;不影响财产安全的其他个人信息不超过2500条;数量未达标准的,按照相应比例合计达到数量标准也是红线;违法所得不超过人民币2500元。显然,这些规定都十分严格,需要在涉及内部控制流程时就内嵌制度,将内鬼能够拿到的信息控制在如上标准之内,否则,单位本身也可能构成侵犯公民个人信息罪。
道德风险,虽然难防,还是要防
定期对关键岗位和全员进行数据法律风险系列讲座,飒姐认为应当将刑事案例摆在大家面前,毕竟不单纯是丢脸辞退的问题,而是失去自由和前程的大事,同时直接影响子女未来考学和工作。
建章立制,把规矩立在前面
传统数据合规的方法还是有一定效果的,那就是识别法律风险点,然后针对风险点进行内部制度建设,包括但不限于岗位手册、内部电脑使用规程等,但是由于缺乏及时反馈机制,往往只能防君子不防小人。
使用区块链等技术,将数据流管理清晰
目前,市面上已经有技术公司研发对数据流的监控,从监管机关使用的效果看还是不错的。一位技术流读者在读到飒姐数据合规的文章后,告知飒姐已经采取加密技术将数据的所有者、使用者的风险做到了“自证清白”,飒姐十分欣慰,希望此类产品尽快上市,以排除金融业多家单位的刑事法律风险。
对已有劣迹的员工,进行留取证据、律师谈话
在各级检查和内部自查中,往往可以发现历史上某些领导或个人对本单位公民信息曾经有过转让或互换等行为。对于类似行为,不能姑息,尤其是已经被发现的情况下,务必进行及时存证,由2名以上律师对其进行谈话,并准备好相关举报材料,一旦有风险,及时切割单位与个人的风险,不要觉得飒姐心狠,如果单位都保不住了,个人更悲催。
