動態(tài)與觀點

數(shù)據(jù)合規(guī)業(yè)務的藍海——金融行業(yè)數(shù)據(jù)合規(guī)要點

2021-08-12
瀏覽量
9548

- 1 -

目前數(shù)據(jù)合規(guī)法律業(yè)務的真正藍海

事件一:2021年7月初,“滴滴出行”因數(shù)據(jù)安全問題,國家網(wǎng)絡安全審查辦公室決定對其進行審查,7月中旬,國家七部委進駐“滴滴出行”,目前仍在審查過程中。

事件二:2021年6月,歷經(jīng)三年醞釀、兩次審議的《數(shù)據(jù)安全法》審議通過,并將于2021年9月1日正式實施,我國數(shù)據(jù)法律規(guī)范不斷完善,并最終將形成以《民法典》、《國家安全法》為綱領,《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息安全法》為分支的數(shù)據(jù)及個人信息法律保護體系。

上述事件,不僅讓“數(shù)據(jù)安全”再次進入大眾視野,更讓法律界重新掀起“數(shù)據(jù)合規(guī)”熱潮,律師同行們的普遍認識是數(shù)據(jù)合規(guī)法律業(yè)務仍有大片藍海,特別是互聯(lián)網(wǎng)及大數(shù)據(jù)行業(yè),在新的監(jiān)管形勢下對數(shù)據(jù)合規(guī)的需求將變得更加剛性。但同時,筆者認為“數(shù)據(jù)合規(guī)”目前真正藍海,不僅在互聯(lián)網(wǎng)和大數(shù)據(jù)企業(yè),而且在于數(shù)字化轉(zhuǎn)型過程中沉淀了海量數(shù)據(jù)并關乎民生的大量傳統(tǒng)行業(yè)。

下面我們以零售、醫(yī)療、金融、房地產(chǎn)四大行業(yè)為例,先來分析傳統(tǒng)企業(yè)在客戶端是如何進行數(shù)據(jù)化賦能。

1.零售行業(yè):對客戶信息及客戶消費記錄(消費種類、購買頻次、付費習慣等)進行收集分析,預測客戶潛在購買機會,并進行精準推薦及活動營銷。

2.醫(yī)療行業(yè):醫(yī)院及診療機構(gòu)在臨床醫(yī)學、醫(yī)療器械及可穿戴設備、醫(yī)療檢驗中產(chǎn)生的大量病患數(shù)據(jù),醫(yī)藥機構(gòu)在臨床試驗中獲取的試驗數(shù)據(jù),收集分析后將用于藥品研發(fā)、提高醫(yī)療診斷水平,預測及預防流行病傳播,同時,出現(xiàn)大量醫(yī)療數(shù)據(jù)分析應用公司及數(shù)據(jù)管理公司,對海量醫(yī)療數(shù)據(jù)進行分析管理,用于臨床決策支持及健康管理。

3.金融行業(yè):銀行業(yè)對資產(chǎn)數(shù)據(jù)和交易數(shù)據(jù)(如高額物管費代繳,信用卡高消費場景)等分析高凈值客戶,高端財富管理及理財客戶挖掘;證券業(yè)對客戶交易頻次、收益率及資金量數(shù)據(jù)分析,可分別對其進行其他理財、融資產(chǎn)品及投資顧問等精準推介;保險業(yè)對于家庭成員、健康情況的數(shù)據(jù)分析,進行保險復購挖掘等等;金融集團對銀行、證券、保險等行業(yè)的整合,又可在集團間進行數(shù)據(jù)共享,跨行業(yè)實現(xiàn)精準營銷及客戶挖掘。

4.房地產(chǎn)行業(yè):房地產(chǎn)開發(fā)商對擬開發(fā)區(qū)域的人口密度、人群消費信息優(yōu)化開發(fā)策略,物業(yè)機構(gòu)對小區(qū)業(yè)主的聯(lián)系方式、居住習慣、家庭情況等個人信息的收集分析,可自行及與第三方合作進行裝修推薦、家政服務及其他一體式服務,房產(chǎn)中介機構(gòu)對大量二手房交易信息的處理分析,可為買賣雙方提供買賣決策,甚至可用于預測房地產(chǎn)市場走勢,并可為房產(chǎn)開發(fā)、銀行、物流等領域提供數(shù)據(jù)服務。

我們看到,一方面,各個企業(yè)在數(shù)字化轉(zhuǎn)型中加強對數(shù)據(jù)的收集、整理、分析,用于用戶畫像,精準營銷,提高了經(jīng)濟效率,方便了用戶生活;另一方面,用戶數(shù)據(jù)屬于公民個人信息,受到法律保護,這些企業(yè)在收集使用用戶數(shù)據(jù)過程中如何做到合規(guī)化便成為如今一個迫在眉睫的問題。

本系列文章,筆者將結(jié)合我國數(shù)據(jù)合規(guī)主要法律體系,梳理對四大行業(yè)的主要數(shù)據(jù)合規(guī)要點,一家之言,以饗讀者。本文開篇將著重梳理金融行業(yè)的數(shù)據(jù)合規(guī)要點。

- 2 -

金融行業(yè)數(shù)據(jù)合規(guī)業(yè)務的主要法律體系

企業(yè)微信截圖_0c31647e-24c2-4a05-a5d2-0310d58aa460.png

圖片

- 3 -

金融數(shù)據(jù)生命周期的合規(guī)要點

一、個人信息及個人金融信息的界定

1.什么叫個人信息

以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人身份的各種信息。

網(wǎng)絡安全法列舉的個人信息包括:姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼;互聯(lián)網(wǎng)個人信息保護指南還列舉了:通信記錄及內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息;另外,個人信息安全規(guī)范遞進式區(qū)分了個人信息和個人敏感信息,對個人敏感信息采取明示同意的加強保護制度。

2.什么叫個人金融信息

根據(jù)《個人金融信息保護技術規(guī)范》,個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息。除按照網(wǎng)安法進行一般保護外,根據(jù)數(shù)安法分類分級保護原則,個人金融信息按敏感度從高到低分為C3、C2、C1三個類別進行分級保護 (C3主要為各類賬戶密碼,C2主要為賬戶、身份證信息、短信口令、KYC信息、住址等,C1主要為開戶時間、支付標記信息等)。

值得注意的是,個人信息持有者的界定,不僅僅是通過互聯(lián)網(wǎng)提供服務的企業(yè),還包括使用專網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個人信息的組織或個人。上述提到的零售、醫(yī)療、金融、房地產(chǎn)四大行業(yè),包括電信、教育等傳統(tǒng)行業(yè),只要涉及對個人信息的控制及處理,均屬于個人信息持有者范疇。

二、金融數(shù)據(jù)收集儲存使用原則及特別注意事項

1.數(shù)據(jù)收集使用原則:

網(wǎng)絡 安全法確定的三大原則:同意原則:必須經(jīng)過被收集者同意;合法、正當、必要性原則:合法正當收集信息及不得收集與其服務無關的信息;公開明示原則:公開收集使用規(guī)則,明示收集使用的目的、方式及范圍。

個人信息安全規(guī)范補充的:最小夠用原則,確保安全原則、主體參與原則。

2.數(shù)據(jù)收集特別注意事項:

不應大規(guī)模收集或處理我國公民的種族、民族、政治觀點、宗教信仰等敏感數(shù)據(jù)。

個人生物識別信息應僅收集和使用摘要信息,避免收集其原始信息。

3.數(shù)據(jù)保存特別注意事項:

1)境內(nèi)運營中的數(shù)據(jù)應境內(nèi)儲存,如需出境需遵守相關規(guī)定履行相應手續(xù)。

2)采取安全加密措施進行儲存,收集到個人信息后,應立即進行去標識化處理,對去標識化后的數(shù)據(jù)與可用于恢復識別的信息分開管理。

3)設置一定的保存時限,對超出時限外的數(shù)據(jù)予以刪除。這里存在一定的爭議,保存期限有最小化原則,即為實現(xiàn)目的所必須的最短時間,但實踐中為了方便個人信息主體查詢及配合司法執(zhí)法等情況,又對保存時間下限作出了規(guī)定,需要法律進一步明確,詳見筆者《兩個悖論---數(shù)據(jù)權利限制及數(shù)據(jù)儲存期限》。

4)保存設備具有備份和恢復的功能。

4.數(shù)據(jù)使用特別注意事項:

對數(shù)據(jù)的使用不能超過與個人信息主體約定的范圍,但經(jīng)過處理無法識別特定個人信息且不能復原的除外(即匿名化)。但應采取相應保護措施。這里注意有兩種方式:

1)匿名化:完全不能識別,經(jīng)過匿名化處理的數(shù)據(jù)不屬于個人信息。

2)去標識化:保留了個體顆粒度,如采取假名、加密、哈希函數(shù)等方式,可借助額外信息復原個人信息。去標識化處理的數(shù)據(jù)仍屬于個人信息,其使用同樣需要符合授權范圍。

三、數(shù)據(jù)使用過程中的委托、共享轉(zhuǎn)讓及公開披露

1.委托

委托第三方處理不得超過與個人信息主體約定的范圍,受托人必須具有相應安全保護能力,委托人與受托人形成委托代理關系,并需進行監(jiān)督及審計。

對重點數(shù)據(jù),不建議通過委托獨立第三方方式處理使用數(shù)據(jù),不利于監(jiān)督,發(fā)生數(shù)據(jù)泄露安全風險時委托方同樣需要承擔相應責任,建議采取內(nèi)設部門或聘請專業(yè)人員的方式統(tǒng)一歸口管理。 

2.共享和轉(zhuǎn)讓

原則上個人信息持有者對個人信息不得共享及轉(zhuǎn)讓,在需實現(xiàn)特定目的時,共享和轉(zhuǎn)讓需告知個人信息主體共享轉(zhuǎn)讓信息的目的、規(guī)模、接收方信息,取得個人信息主體的授權同意。以下是幾種例外的情形:

1)司法行政共享:處于訴訟及爭議解決需要,按照司法、行政機關的要求對外共享。

2)主動選擇共享:如實現(xiàn)特定目的,如電商平臺需向物流公司共享個人收獲地址信息,才能實現(xiàn)交易目的。

3)關聯(lián)公司共享:需嚴格限制向關聯(lián)公司共享信息的范圍,在取得同意情況下,只共享必要個人信息,并對關聯(lián)公司使用信息嚴格約束,如敏感信息或關聯(lián)公司改變使用目的,需取得再次同意。

4)授權合作伙伴共享:同樣應取得個人信息主體的同意,并在共享過程中進行去標識化處理。

3.公開披露

個人信息主體的明示同意,并告知個人信息主體公開披露的目的、類型及可能披露的敏感信息,個人生物識別信息,疾病、基因信息,種族民族、宗教信仰、政治觀點等信息不能公開披露。

- 4 -

其他合規(guī)要點

1.根據(jù)《關鍵信息基礎設施確定指南(試行)》,銀行業(yè)為金融行業(yè)中的關鍵業(yè)務。因此,商業(yè)銀行一般應被認定為關鍵信息基礎設施運營者,在履行網(wǎng)絡運營者的一般安全保護義務的基礎上,還需履行關鍵信息基礎設施運營者的特殊義務。

2.根據(jù)《網(wǎng)絡安全審查辦法》的規(guī)定,關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務,影響或可能影響國家安全的,應當按照該辦法進行網(wǎng)絡安全審查。其中,網(wǎng)絡產(chǎn)品和服務主要指“核心網(wǎng)絡設備、高性能計算機和服務器、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網(wǎng)絡產(chǎn)品和服務”。因此,商業(yè)銀行在采購網(wǎng)絡產(chǎn)品和服務時,應當預判該產(chǎn)品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查。

3.建立外包服務機構(gòu)和外包合作機構(gòu)管理制度,如通過協(xié)議方式,約束外部機構(gòu)不得留存C2、C3類別信息,對可能接觸金融數(shù)據(jù)的外部機構(gòu)人員,應通過簽訂保密協(xié)議方式對其進行約束監(jiān)督。

結(jié) 語

金融行業(yè)的數(shù)據(jù)除具有個人信息基本特性外,還包含交易信息等敏感特性,無論是在金融數(shù)據(jù)生命周期、還是對外部合作機構(gòu)的監(jiān)管約束上,應針對金融數(shù)據(jù)的不同類別進行分類分級的保護。

金融企業(yè)一方面要認識到金融數(shù)據(jù)合規(guī)方面的重要性,避免遭遇行政監(jiān)管甚至刑事風險的被動局面,另一方面也可以通過增強合規(guī)性提高自身市場競爭力,保護客戶的數(shù)據(jù)信息安全。


免責聲明:本文僅為分享、交流、學習之目的,不代表恒都律師事務所的法律意見或?qū)Ψ傻慕庾x,任何組織或個人均不應以本文全部或部分內(nèi)容作為決策依據(jù),因此造成的后果將由行為人自行負責。