動(dòng)態(tài)與觀點(diǎn)

數(shù)據(jù)合規(guī)業(yè)務(wù)的藍(lán)海——金融行業(yè)數(shù)據(jù)合規(guī)要點(diǎn)

2021-08-12
瀏覽量
9113

- 1 -

目前數(shù)據(jù)合規(guī)法律業(yè)務(wù)的真正藍(lán)海

事件一:2021年7月初,“滴滴出行”因數(shù)據(jù)安全問題,國家網(wǎng)絡(luò)安全審查辦公室決定對(duì)其進(jìn)行審查,7月中旬,國家七部委進(jìn)駐“滴滴出行”,目前仍在審查過程中。

事件二:2021年6月,歷經(jīng)三年醞釀、兩次審議的《數(shù)據(jù)安全法》審議通過,并將于2021年9月1日正式實(shí)施,我國數(shù)據(jù)法律規(guī)范不斷完善,并最終將形成以《民法典》、《國家安全法》為綱領(lǐng),《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息安全法》為分支的數(shù)據(jù)及個(gè)人信息法律保護(hù)體系。

上述事件,不僅讓“數(shù)據(jù)安全”再次進(jìn)入大眾視野,更讓法律界重新掀起“數(shù)據(jù)合規(guī)”熱潮,律師同行們的普遍認(rèn)識(shí)是數(shù)據(jù)合規(guī)法律業(yè)務(wù)仍有大片藍(lán)海,特別是互聯(lián)網(wǎng)及大數(shù)據(jù)行業(yè),在新的監(jiān)管形勢(shì)下對(duì)數(shù)據(jù)合規(guī)的需求將變得更加剛性。但同時(shí),筆者認(rèn)為“數(shù)據(jù)合規(guī)”目前真正藍(lán)海,不僅在互聯(lián)網(wǎng)和大數(shù)據(jù)企業(yè),而且在于數(shù)字化轉(zhuǎn)型過程中沉淀了海量數(shù)據(jù)并關(guān)乎民生的大量傳統(tǒng)行業(yè)。

下面我們以零售、醫(yī)療、金融、房地產(chǎn)四大行業(yè)為例,先來分析傳統(tǒng)企業(yè)在客戶端是如何進(jìn)行數(shù)據(jù)化賦能。

1.零售行業(yè):對(duì)客戶信息及客戶消費(fèi)記錄(消費(fèi)種類、購買頻次、付費(fèi)習(xí)慣等)進(jìn)行收集分析,預(yù)測客戶潛在購買機(jī)會(huì),并進(jìn)行精準(zhǔn)推薦及活動(dòng)營銷。

2.醫(yī)療行業(yè):醫(yī)院及診療機(jī)構(gòu)在臨床醫(yī)學(xué)、醫(yī)療器械及可穿戴設(shè)備、醫(yī)療檢驗(yàn)中產(chǎn)生的大量病患數(shù)據(jù),醫(yī)藥機(jī)構(gòu)在臨床試驗(yàn)中獲取的試驗(yàn)數(shù)據(jù),收集分析后將用于藥品研發(fā)、提高醫(yī)療診斷水平,預(yù)測及預(yù)防流行病傳播,同時(shí),出現(xiàn)大量醫(yī)療數(shù)據(jù)分析應(yīng)用公司及數(shù)據(jù)管理公司,對(duì)海量醫(yī)療數(shù)據(jù)進(jìn)行分析管理,用于臨床決策支持及健康管理。

3.金融行業(yè):銀行業(yè)對(duì)資產(chǎn)數(shù)據(jù)和交易數(shù)據(jù)(如高額物管費(fèi)代繳,信用卡高消費(fèi)場景)等分析高凈值客戶,高端財(cái)富管理及理財(cái)客戶挖掘;證券業(yè)對(duì)客戶交易頻次、收益率及資金量數(shù)據(jù)分析,可分別對(duì)其進(jìn)行其他理財(cái)、融資產(chǎn)品及投資顧問等精準(zhǔn)推介;保險(xiǎn)業(yè)對(duì)于家庭成員、健康情況的數(shù)據(jù)分析,進(jìn)行保險(xiǎn)復(fù)購?fù)诰虻鹊?;金融集團(tuán)對(duì)銀行、證券、保險(xiǎn)等行業(yè)的整合,又可在集團(tuán)間進(jìn)行數(shù)據(jù)共享,跨行業(yè)實(shí)現(xiàn)精準(zhǔn)營銷及客戶挖掘。

4.房地產(chǎn)行業(yè):房地產(chǎn)開發(fā)商對(duì)擬開發(fā)區(qū)域的人口密度、人群消費(fèi)信息優(yōu)化開發(fā)策略,物業(yè)機(jī)構(gòu)對(duì)小區(qū)業(yè)主的聯(lián)系方式、居住習(xí)慣、家庭情況等個(gè)人信息的收集分析,可自行及與第三方合作進(jìn)行裝修推薦、家政服務(wù)及其他一體式服務(wù),房產(chǎn)中介機(jī)構(gòu)對(duì)大量二手房交易信息的處理分析,可為買賣雙方提供買賣決策,甚至可用于預(yù)測房地產(chǎn)市場走勢(shì),并可為房產(chǎn)開發(fā)、銀行、物流等領(lǐng)域提供數(shù)據(jù)服務(wù)。

我們看到,一方面,各個(gè)企業(yè)在數(shù)字化轉(zhuǎn)型中加強(qiáng)對(duì)數(shù)據(jù)的收集、整理、分析,用于用戶畫像,精準(zhǔn)營銷,提高了經(jīng)濟(jì)效率,方便了用戶生活;另一方面,用戶數(shù)據(jù)屬于公民個(gè)人信息,受到法律保護(hù),這些企業(yè)在收集使用用戶數(shù)據(jù)過程中如何做到合規(guī)化便成為如今一個(gè)迫在眉睫的問題。

本系列文章,筆者將結(jié)合我國數(shù)據(jù)合規(guī)主要法律體系,梳理對(duì)四大行業(yè)的主要數(shù)據(jù)合規(guī)要點(diǎn),一家之言,以饗讀者。本文開篇將著重梳理金融行業(yè)的數(shù)據(jù)合規(guī)要點(diǎn)。

- 2 -

金融行業(yè)數(shù)據(jù)合規(guī)業(yè)務(wù)的主要法律體系

企業(yè)微信截圖_0c31647e-24c2-4a05-a5d2-0310d58aa460.png

圖片

- 3 -

金融數(shù)據(jù)生命周期的合規(guī)要點(diǎn)

一、個(gè)人信息及個(gè)人金融信息的界定

1.什么叫個(gè)人信息

以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人身份的各種信息。

網(wǎng)絡(luò)安全法列舉的個(gè)人信息包括:姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼;互聯(lián)網(wǎng)個(gè)人信息保護(hù)指南還列舉了:通信記錄及內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息;另外,個(gè)人信息安全規(guī)范遞進(jìn)式區(qū)分了個(gè)人信息和個(gè)人敏感信息,對(duì)個(gè)人敏感信息采取明示同意的加強(qiáng)保護(hù)制度。

2.什么叫個(gè)人金融信息

根據(jù)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》,個(gè)人金融信息包括賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息及其他反映特定個(gè)人某些情況的信息。除按照網(wǎng)安法進(jìn)行一般保護(hù)外,根據(jù)數(shù)安法分類分級(jí)保護(hù)原則,個(gè)人金融信息按敏感度從高到低分為C3、C2、C1三個(gè)類別進(jìn)行分級(jí)保護(hù) (C3主要為各類賬戶密碼,C2主要為賬戶、身份證信息、短信口令、KYC信息、住址等,C1主要為開戶時(shí)間、支付標(biāo)記信息等)。

值得注意的是,個(gè)人信息持有者的界定,不僅僅是通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè),還包括使用專網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個(gè)人信息的組織或個(gè)人。上述提到的零售、醫(yī)療、金融、房地產(chǎn)四大行業(yè),包括電信、教育等傳統(tǒng)行業(yè),只要涉及對(duì)個(gè)人信息的控制及處理,均屬于個(gè)人信息持有者范疇。

二、金融數(shù)據(jù)收集儲(chǔ)存使用原則及特別注意事項(xiàng)

1.數(shù)據(jù)收集使用原則:

網(wǎng)絡(luò) 安全法確定的三大原則:同意原則:必須經(jīng)過被收集者同意;合法、正當(dāng)、必要性原則:合法正當(dāng)收集信息及不得收集與其服務(wù)無關(guān)的信息;公開明示原則:公開收集使用規(guī)則,明示收集使用的目的、方式及范圍。

個(gè)人信息安全規(guī)范補(bǔ)充的:最小夠用原則,確保安全原則、主體參與原則。

2.數(shù)據(jù)收集特別注意事項(xiàng):

不應(yīng)大規(guī)模收集或處理我國公民的種族、民族、政治觀點(diǎn)、宗教信仰等敏感數(shù)據(jù)。

個(gè)人生物識(shí)別信息應(yīng)僅收集和使用摘要信息,避免收集其原始信息。

3.數(shù)據(jù)保存特別注意事項(xiàng):

1)境內(nèi)運(yùn)營中的數(shù)據(jù)應(yīng)境內(nèi)儲(chǔ)存,如需出境需遵守相關(guān)規(guī)定履行相應(yīng)手續(xù)。

2)采取安全加密措施進(jìn)行儲(chǔ)存,收集到個(gè)人信息后,應(yīng)立即進(jìn)行去標(biāo)識(shí)化處理,對(duì)去標(biāo)識(shí)化后的數(shù)據(jù)與可用于恢復(fù)識(shí)別的信息分開管理。

3)設(shè)置一定的保存時(shí)限,對(duì)超出時(shí)限外的數(shù)據(jù)予以刪除。這里存在一定的爭議,保存期限有最小化原則,即為實(shí)現(xiàn)目的所必須的最短時(shí)間,但實(shí)踐中為了方便個(gè)人信息主體查詢及配合司法執(zhí)法等情況,又對(duì)保存時(shí)間下限作出了規(guī)定,需要法律進(jìn)一步明確,詳見筆者《兩個(gè)悖論---數(shù)據(jù)權(quán)利限制及數(shù)據(jù)儲(chǔ)存期限》。

4)保存設(shè)備具有備份和恢復(fù)的功能。

4.數(shù)據(jù)使用特別注意事項(xiàng):

對(duì)數(shù)據(jù)的使用不能超過與個(gè)人信息主體約定的范圍,但經(jīng)過處理無法識(shí)別特定個(gè)人信息且不能復(fù)原的除外(即匿名化)。但應(yīng)采取相應(yīng)保護(hù)措施。這里注意有兩種方式:

1)匿名化:完全不能識(shí)別,經(jīng)過匿名化處理的數(shù)據(jù)不屬于個(gè)人信息。

2)去標(biāo)識(shí)化:保留了個(gè)體顆粒度,如采取假名、加密、哈希函數(shù)等方式,可借助額外信息復(fù)原個(gè)人信息。去標(biāo)識(shí)化處理的數(shù)據(jù)仍屬于個(gè)人信息,其使用同樣需要符合授權(quán)范圍。

三、數(shù)據(jù)使用過程中的委托、共享轉(zhuǎn)讓及公開披露

1.委托

委托第三方處理不得超過與個(gè)人信息主體約定的范圍,受托人必須具有相應(yīng)安全保護(hù)能力,委托人與受托人形成委托代理關(guān)系,并需進(jìn)行監(jiān)督及審計(jì)。

對(duì)重點(diǎn)數(shù)據(jù),不建議通過委托獨(dú)立第三方方式處理使用數(shù)據(jù),不利于監(jiān)督,發(fā)生數(shù)據(jù)泄露安全風(fēng)險(xiǎn)時(shí)委托方同樣需要承擔(dān)相應(yīng)責(zé)任,建議采取內(nèi)設(shè)部門或聘請(qǐng)專業(yè)人員的方式統(tǒng)一歸口管理。 

2.共享和轉(zhuǎn)讓

原則上個(gè)人信息持有者對(duì)個(gè)人信息不得共享及轉(zhuǎn)讓,在需實(shí)現(xiàn)特定目的時(shí),共享和轉(zhuǎn)讓需告知個(gè)人信息主體共享轉(zhuǎn)讓信息的目的、規(guī)模、接收方信息,取得個(gè)人信息主體的授權(quán)同意。以下是幾種例外的情形:

1)司法行政共享:處于訴訟及爭議解決需要,按照司法、行政機(jī)關(guān)的要求對(duì)外共享。

2)主動(dòng)選擇共享:如實(shí)現(xiàn)特定目的,如電商平臺(tái)需向物流公司共享個(gè)人收獲地址信息,才能實(shí)現(xiàn)交易目的。

3)關(guān)聯(lián)公司共享:需嚴(yán)格限制向關(guān)聯(lián)公司共享信息的范圍,在取得同意情況下,只共享必要個(gè)人信息,并對(duì)關(guān)聯(lián)公司使用信息嚴(yán)格約束,如敏感信息或關(guān)聯(lián)公司改變使用目的,需取得再次同意。

4)授權(quán)合作伙伴共享:同樣應(yīng)取得個(gè)人信息主體的同意,并在共享過程中進(jìn)行去標(biāo)識(shí)化處理。

3.公開披露

個(gè)人信息主體的明示同意,并告知個(gè)人信息主體公開披露的目的、類型及可能披露的敏感信息,個(gè)人生物識(shí)別信息,疾病、基因信息,種族民族、宗教信仰、政治觀點(diǎn)等信息不能公開披露。

- 4 -

其他合規(guī)要點(diǎn)

1.根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》,銀行業(yè)為金融行業(yè)中的關(guān)鍵業(yè)務(wù)。因此,商業(yè)銀行一般應(yīng)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者,在履行網(wǎng)絡(luò)運(yùn)營者的一般安全保護(hù)義務(wù)的基礎(chǔ)上,還需履行關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的特殊義務(wù)。

2.根據(jù)《網(wǎng)絡(luò)安全審查辦法》的規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國家安全的,應(yīng)當(dāng)按照該辦法進(jìn)行網(wǎng)絡(luò)安全審查。其中,網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指“核心網(wǎng)絡(luò)設(shè)備、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù),以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。因此,商業(yè)銀行在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí),應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險(xiǎn)。影響或者可能影響國家安全的,應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

3.建立外包服務(wù)機(jī)構(gòu)和外包合作機(jī)構(gòu)管理制度,如通過協(xié)議方式,約束外部機(jī)構(gòu)不得留存C2、C3類別信息,對(duì)可能接觸金融數(shù)據(jù)的外部機(jī)構(gòu)人員,應(yīng)通過簽訂保密協(xié)議方式對(duì)其進(jìn)行約束監(jiān)督。

結(jié) 語

金融行業(yè)的數(shù)據(jù)除具有個(gè)人信息基本特性外,還包含交易信息等敏感特性,無論是在金融數(shù)據(jù)生命周期、還是對(duì)外部合作機(jī)構(gòu)的監(jiān)管約束上,應(yīng)針對(duì)金融數(shù)據(jù)的不同類別進(jìn)行分類分級(jí)的保護(hù)。

金融企業(yè)一方面要認(rèn)識(shí)到金融數(shù)據(jù)合規(guī)方面的重要性,避免遭遇行政監(jiān)管甚至刑事風(fēng)險(xiǎn)的被動(dòng)局面,另一方面也可以通過增強(qiáng)合規(guī)性提高自身市場競爭力,保護(hù)客戶的數(shù)據(jù)信息安全。


免責(zé)聲明:本文僅為分享、交流、學(xué)習(xí)之目的,不代表恒都律師事務(wù)所的法律意見或?qū)Ψ傻慕庾x,任何組織或個(gè)人均不應(yīng)以本文全部或部分內(nèi)容作為決策依據(jù),因此造成的后果將由行為人自行負(fù)責(zé)。