针对个保法带来的新的管理和合规要求,我们总结了“十二大应对措施”供各行业和企业参考。我们也将针对不同行业如何根据具体的行业环境和需求落实这些应对措施提出建议。“十二大应对措施”如下:
建立个人信息分类分级管理制度
建立个人信息保护组织,在符合要求的情况下指定个人信息保护负责人
建立个人信息全生命周期管理体系
建立个人信息主体授权管理平台并与企业访问权限管理系统对接
建立个人信息安全影响评估体系
建立个人信息安全事件应急响应制度及配合监管部门调查取证的流程
建立个人信息受托方管理制度
建立个人信息主体行使权利的申请受理和处理机制
建立个人信息保护合规审计制度
建立个人信息安全教育和培训制度
建立个人信息跨境传输安全评估体系
建立隐私设计体系,针对应用程序(APP)对用户画像、大数据分析、人工智能等高新技术使用的审核机制,充分利用加密、去标识化等隐私计算技术。
下图将这“十二大应对措施“与个保法框架中的需求进行了映射
以下是我们针对“十二大应对措施”在金融行业中的具体应用进行阐述。
- 建立个人信息分类分级管理制度
个保法51条规定个人信息处理者需要“对个人信息实行分类管理”,不少金融机构在前几年的数据治理项目中已经对金属数据进行了分类,不过普遍缺乏从安全视角的输入。
于2020年10月1日生效的GB/T 35273-2020《个人信息安全规范》3.1及3.2定义了个人信息及个人敏感信息并在附录A及B中给出了判定方法和类型。
而央行颁布的于2020年2月13日生效的JR/T 0171-2020 《个人金融信息保护技术规范》3.2和3.3给出了个人金融信息及支付敏感信息的定义,并在4.1和4.2中给出了详细解释和分类:
C3: 用户鉴别信息
C2: 用户识别信息、金融状况信息及产品服务关键信息
C1: 金融机构内部使用个人金融信息
央行于2020年9月23日颁布生效的JR/T 0197-2020 《金融数据安全分级指南》进一步规范了广义的金融数据的分级安全保护,是金融数据安全分类分级管理最详细的指南。其中3.10定义了金融数据,3.11对个人金融信息的定义与《个人金融信息保护技术规范》3.2定义完全一致;.2和4.3进一步阐明了定级的原则和范围;第5大节则详细描述了金融数据安全定级的要素、规则和过程,动态级别变更管理及重要数据的识别:
附录A中非常详细地列举了金融典型数据定级规则的参考表,其中关于个人金融数据的列示更完整详细,并且完全可以对应到《个人金融信息保护技术规范》中的C3,C2,C1以及《个人信息安全规范》中的个人信息和个人敏感信息,如下表。建议金融机构可以根据参考表的颗粒度并结合本单位的实际情况进行分类分级工作:
JR/T 0197 | JR/T 0171 | GB/T 35273 |
4级:非常严重影响个人隐私的信息传统鉴别信息(银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN 和CVN2)、卡片有效期、银行卡密码、网络支付交易密码、账户登陆密码、交易密码、查询密码等)弱隐私生物特征信息(人脸、声纹、步态、耳纹、眼纹、笔迹等)强隐私生物特征信息(指纹、虹膜等) | C3 | 个人敏感信息 |
3级:严重影响个人隐私的信息个人基本概况信息(姓名、性别、国籍、民族、婚姻、证件、住址等)个人财产信息(收入、不动产、车辆、纳税额、公积金、社保、医保等)个人联系信息(手机、固话、电子邮箱、微信号等)个人健康生理信息(病症、住院志、医嘱、检验报告、手术麻醉记录、护理记录、用药记录、过敏信息、生育信息、病史、诊治情况、家族病史、现病史、传染病史等)个人地理位置信息(国家、城市、区域、街道、经纬度等)个人鉴别辅助信息(动态口令、短信验证码、密码提示问题答案、动态声纹密码等)个人信贷信息(借款信息、还款信息、欠款信息)个人间关系信息(父母、子女、兄弟姐妹、配偶、社交关系)基础标签信息(基于基本属性如教育、职业等构建的个人标签)关系标签信息(基于关联属性如家庭关系、职业关系、商业关系构建的个人标签) | C2 | 个人敏感信息 |
2级:中等或轻微程度影响个人隐私的信息个人就学信息(学校、院系、学历、学位、学科、入学日期、毕业日期等)个人职业信息(单位、职位、工作地点、收入、起始时间、结束时间等)个人资质证书信息(证书编号、颁发机构、生效日期、到期日期等)个人党政信息(党派、加入时间)公私间关系信息(职务信息)个人行为信息(线上线下咨询、购买、使用记录;浏览记录、驾驶习惯等)其他标签(签约标签、交易标签、行为标签、营销服务标签、风险标签、价值标签) | C1 | 个人信息 |
- 建立个人信息保护组织,在符合要求的情况下指定个人信息保护负责人
个保法52条规定个人信息处理者需要“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”在66条法律责任中规定“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的……对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的……对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”
个人信息保护负责人类似于GDPR规定的DPO,其工作职责可以参考JR/T 0171-2020 《个人金融信息保护技术规范》中7.2.2.B的建议:
负责制定和管理本机构个人金融信息安全管理制度;
制定、实施、定期更新隐私政策和相关规程;
监督本机构内部,以及本机构与外部合作方个人金融信息安全管理;
开展信息安全管理内部审计、分析处理信息安全相关事件;
组织开展个人金融信息安全影响评估,提出个人金融信息保护的对策建议;
组织在金融产品或服务上线发布前进行技术检测,避免未知(与金融产品或服务功能及隐私政策不符)的个人金融信息收集、使用、共享等处理行为;
公布投诉与申诉方式等信息并及时受理个人金融信息有关的投诉、申诉。
更全面的个人金融信息保护组织架构,可以参考央行于2021年4月8日颁布生效的JR/T0223-2021《金融数据生命周期安全规范》第8节“数据安全组织保障”:
金融业机构应设立数据安全管理委员会,建立自上而下的覆盖决策、管理、执行、监督四个层面的数据安全管理体系(见上图),明确组织架构和岗位设置,保障数据生命周期安全防护要求的有效落实。
- 建立个人金融信息全生命周期管理体系
个保法第4条清晰地定义了个人信息处理包括“个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,覆盖了个人信息的整个生命周期,而第5-32条规定了各种相应的详细要求。金融机构必须建立覆盖个人金融信息全生命周期的管理体系才能动态地在各个环节中满足个保法的要求。
JR/T 0171-2020 《个人金融信息保护技术规范》的6,7两大节分别对个人金融信息生命周期提出了技术要求和管理要求。而JR/T0223-2021《金融数据生命周期安全规范》则对整体金融数据从生命周期的视角提出了更完整的体系化的安全要求。
根据网络安全等级保护2.0更新并于2020年11月11日生效的JR/T0071.2-2020《金融行业网络安全等级保护实施指引》也对个人信息保护提出了针对金融行业的增强要求(7.1.4.11,8.1.4.11和9.1.4.11),将通用等保2.0对于个人信息的保护要求从2条扩展到了6条,尤其增加了对整体生命周期进行管理、控制、检查和评估的要求,以及对于展示、开发测试、共享转让环节的要求。
几个规范是可以比较好的映射起来的,结合在一起也基本能满足个保法里面的相应要求(如下图)
- 建立个人信息主体授权管理平台并与企业访问权限管理系统对接
个保法第13条规定了个人信息主体的授权同意是首要的个人信息收集处理的合法性基础,第23,25,26,29,39条还分别规定了在向第三方提供、公开处理,公共场所收集的个人信息用于其他目的,收集处理敏感个人信息,向境外提供等5种情形下都需获得个人信息主体的单独同意。第15条赋予了个人信息主体撤回同意的权利。所以金融机构必须建立可以动态地将个人信息主体的授权与企业访问控制系统联动起来的平台以覆盖整个个人金融信息生命周期来满足个保法的各项要求。
如下图所示,统一授权管理平台将个人信息主体(客户)的明确授权通过标签等方式将收集的数据赋予“授权属性”,为这些数据建立基于授权属性的访问控制(Attribute Base Access Control – ABAC),然后与企业级的身份认证及访问控制系统通常所用的基于角色的访问控制(Role Base Access Control – RBAC)相结合,运用到涉及个人信息生命周期的各个应用系统和业务流程环节中,并实现动态的调整。
- 建立个人信息安全影响评估体系
个保法第55条要求在下列情形时候要进行个人信息安全影响评估:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
第56条,规定了个人信息保护影响评估应包括的内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
GB/T 39335-2020 《个人信息安全影响评估指南》给出了个人信息安全影响评估的基本原理和实施流程,并在附录中列举了评估的要点,高风险个人信息处理活动示例,常用工具表及参考方法,是一个非常实用的国标,金融机构可据此根据自身的实际情况来建立适合自己的个人金融信息安全评估体系。下图是此国标建议的具体评估步骤:
根据其附录B“高风险的个人信息处理活动示例”,金融机构需要关注的有:
数据处理涉及对个人信息主体的评价或评分,特别是对个人信息主体的工作表现、经济状况、健康状况、偏好或兴趣的评估或预测(如贷款前的信用分析,根据生活方式、健康状况作出的保费设置决策等)
使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定(如通过用户画像设置针对用户特定偏好的营销计划)
收集的个人敏感信息数量、比重较多,收集的频率要求高,与个人经历、思想观点、健康、财务状况等密切相关
对不同处理活动的数据集进行匹配和合并,并应用于业务(防欺诈、风控等)
数据处理涉及弱势群体的,如未成年人、病人、老人、低收入人群等。
创新型技术或解决方案的应用,如生物特征识别、物联网、人工智能等(如人工智能客服)
处理个人信息可能导致个人信息主体无法行使权利、使用服务或得到合同保障等(如对潜在客户制定信贷决策)
附录D“个人信息安全影响评估参考方法”中还给出了“影响级别”和“可能性级别”两个维度进行综合评估的风险等级判定表:
- 建立个人信息安全事件应急响应制度及配合监管部门调查取证的流程
个保法第51条规定个人信息处理者必须“制定并组织实施个人信息安全事件应急预案”,第57条规定了“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人,以及具体需要通知的内容”;第63条赋予了个人信息保护部门调查取证的权利。金融机构应该按照本法要求,并参照《银行保险机构应对突发事件金融服务管理办法》,GB/T 38645 《网络安全事件应急演练指南》,《上海市网络安全事件应急预案(2019年版)》等制定个人信息泄露、篡改、丢失事件应急预案。
- 建立个人信息受托方管理制度
个保法第22条规定“受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托方不得转委托他人处理个人信息。”第55条规定“受托人应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。”金融机构可以结合原来银监会针对信息科技外包风险的一系列规定以及JR/T0223-2021《金融数据生命周期安全规范》中8.4的要求进行管理。
- 建立个人信息主体行使权利的申请受理和处理机制
个保法第4章第44条至49条赋予了个人信息主体一系列权利,并在50条要求“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。”,并赋予了个人信息主体在其申请被拒绝的情况下起诉的权利,第70条进一步规定了相关部门、组织提起公诉的机制。
从“便捷”这个要求来看,金融机构应当尽量建立全渠道的受理平台,尤其是考虑各种线上渠道如APP,公众号等。
- 建立个人信息保护合规审计制度
个保法第54条要求“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,第64条赋予相关部门可以要求“个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。第58条对于“重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,要求“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”并“定期发布个人信息保护社会责任报告,接受社会监督”
金融机构可以根据JR/T0223-2021《金融数据生命周期安全规范》8.1.d明确安全审计
合规稽核、风险管理等相关岗位,作为数据安全管理的监督层,应该履行一下工作职责:
1) 根据本机构数据相关业务实际情况,确定相应审计策略及规范,包括但不限于审计周期、审计方式、审计形式等内容。
2) 监督数据安全政策、方针的执行。
3) 公布投诉、举报方式等信息,并及时受理数据安全和隐私保护相关投诉和举报。
4) 开展数据安全内部审计和分析,发现并反馈问题和风险,并对机构后续相关整改工作进行监督。
5) 配合开展外部审计相关的组织和协调工作。
- 建立个人信息安全教育和培训制度
个保法第51条要求“定期对从业人员进行安全教育和培训”。可以参考《金融数据生命周期安全规范》8.3.b的要求制定培训计划:
1) 按照培训计划定期开展数据安全意识教育与培训,培训内容包括但不限于国家有关法律法规、行业规章制度、技术标准,以及金融业机构内部数据安全有关制度与管理规程等内容,并对培训结果进行评价、记录和归档。
2) 对密切接触高安全等级数据的人员定期开展数据安全意识教育和培训,培养办公数据定期删除意识,并定期开展数据删除自查工作。
3) 每年至少对数据安全管理专职与关键岗位人员进行1 次数据安全专项培训。
4) 至少每年1 次或在隐私政策发生重大变化时,对数据安全关键岗位上的人员开展专业化培训和考核,确保人员熟练掌握隐私政策和相关规程。
全员个人信息安全意识的建设,通常包括培训内容、评估和追踪、沟通计划、意识文化四个部分。
- 建立个人信息跨境传输安全评估体系
个保法第38至43条规范了个人信息的跨境传输。下面总结适用于金融机构的关于个人金融信息本地化和跨境传输的法律法规和国家及行业标准条款:
a. 《网络安全法》第37条:
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
b. 《数据安全法》第26条:
任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
c. 《数据安全法》第31条:
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
d. 《数据安全法》第36条:
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
e. 《个人信息保护法》第40条:
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。
f. 《个人信息保护法》第41条:
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息
g. 《个人信息保护法》第42条:
境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施
h. 《个人信息保护法》第43条:
任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施
i. 《证券法》第177条:
境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。
j. 《反洗钱法》第5条:
对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。
k. 《网络安全审查办法-修订草案征求意见稿》第6条:
掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查
l. 《网络安全审查办法-修订草案征求意见稿》第10条:
产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险
产品和服务供应中断对关键信息基础设施业务连续性的危害
产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。
产品和服务提供者遵守中国法律、行政法规、部门规章情况。
核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险。
国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
m. 《个人金融信息(数据)保护试行办法》第20条及《个人金融信息保护技术规范》7.1.3.d都规定了:
在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。。因业务需要,确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的,具体要求如下:
应符合国家法律法规及行业主管部门有关规定;
应获得个人金融信息主体明示同意;
应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;
应与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。
n. 《个人信息出境安全评估办法 – 征求意见稿》第2条:
网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。
几乎所有的法律法规都提到了出境需要进行安全评估的要求,而央行针对个人金融信息更是明确了本地“存储、处理和分析”,出境需要安全评估和审批。而个保法第38条也明确:
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
另外还要求个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
目前《个人信息出境安全评估办法-征求意见稿》以及《数据出境安全评估指南-征求意见稿》都还没有生效。但在金融机构自身没有更全面完善的个人信息出境安全评估体系的情况下,如果确实因为业务需要必须向境外传输个人信息,建议还是按照这2个未生效的法规和标准进行安全评估并向监管提交报告并获得批准。
按照《数据出境安全评估指南-征求意见稿》,首先要进行目的评估,确保个人信息出境的合法性、正当性和必要性,然后再对信息本身的影响程度以及数据发送者、接收者的安全管理和技术能力进行安全评估:
表3:个人权益及国家安全、经济发展和社会公共利益受影响等级判定表
表4:发送方及接收方安全保障能力赋
表5:安全事件可能性等级判定表
表6:安全风险级别判定参考表
根据指南4.2.5“经评估,数据出境计划不满足出境目的评估中合法性、正当性和必要性要求的或数据出境安全风险评估中的出境安全风险为高或极高的,个人信息和重要数据不得出境”
- 建立隐私设计体系,针对应用程序(APP)对用户画像、大数据分析、人工智能等高新技术使用的审核机制,充分利用加密、去标识化等隐私计算技术。
个保法第73条对自动化决策进行了定义:“是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。在第24条中作出了具体要求对大数据和算法划出了红线,尤其增加了“不得对个人在交易价格等交易条件上实行不合理的差别待遇”来杜绝“大数据杀熟”的现象,以及要求提供“便捷的拒绝方式”,另外,《个人信息安全规范》7.4也对用户画像的使用作出了限制,要求进行商业推送时应使用间接用户画像。金融机构应该建立隐私设计体系,将缺省隐私的概念落实到产品开发,服务等各个环节。
个保法第73条对匿名化和去标识化进行了定义,并在51条要求个人信息处理者“采取相应的加密、去标识化等安全技术措施”,金融机构可以根据JR/T 0171-2020 《个人金融信息保护技术规范》中对加密和去标识化的具体要求,并参考GB/T 37964-2019《个人信息去标识化指南》在需要的场景中运用恰当的加密、去标识化技术。
央行为了鼓励隐私计算技术在金融行业的运用,专门发布了JR/T 0196-2020 《多方安全计算金融应用技术规范》(MPC),并提出了安全及性能的要求,下图是主要隐私计算技术的比较
如果将来隐私计算技术得到更长足的发展,能在适用范围和性能上满足各种金融业务场景的需求,将极大程度保障数据在各种需求下的共享同时拥有极高的安全性,如联合征信,数据跨境等场景。各金融机构应密切关注隐私计算技术的发展,并积极尝试。
最后向大家推荐一下咨询机构德勤的“个人信息管理体系总体框架”
以及本文中反复推荐的三大央行发布的金融标准对于帮助实现这“十二大应对措施”的映射。
感谢大家阅读,我们将继续推出针对其他强监管行业的分析,敬请期待!
在这个数字世界里,企业的声誉可能始于网络,也可能止于网络。网络无处不在,所以网络安全是整个企业的共同责任。信任是各种关系的基石,是您与员工,供应商,合作伙伴和客户进行所有交互的基础。
原创文章,作者:David,如若转载,请注明出处:https://cncso.com/measures-for-personal-information-protection-law.html
评论列表(2条)
非常不错的个保法实施参考,落地性比较强,赞。
@路人甲:一起学习新法。:)