9月15日,由北京金融科技产业联盟秘书处与中国银联支付学院联合推出的线上直播栏目“金融科技慕课学院”第十二期开播。在本期直播中,北京市竞天公诚律师事务所合伙人李力律师以“《个人信息保护法》与《数据安全法》解读”为主题,主要分享相继颁布的《数据安全法》与《个人信息保护法》对金融科技领域的“数据”和“个人信息”提出的要求,以及如何充分理解两法的立法宗旨、原则和具体制度对金融科技创新工作的重要指导意义。
第一部分:《个人信息保护法》
《个人信息保护法》的立法宗旨是保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用,以保护个人信息权利、限制处理者公开、禁止非法侵权或危害公共利益、维护国家安全为价值取向,适用于境内的数据处理活动和以向境内自然人提供产品或者服务为目的、分析和评估境内自然人的行为、法定其他情形的境外附条件的数据处理活动。
欧盟的《通用数据保护条例》(简称GDPR)以“数据”定义个人信息。数据和信息在内涵和外延上有所区别,我国的立法采取了更加体现概念内涵的模式。《个人信息保护法》的重要概念包括以下规制客体、规制对象、规制行为。
在《个人信息保护法》中,规制行为大致分为信息处理行为、衍生行为、关联行为、信息出境行为、行政管理行为等,其关联和延伸架构如下:
个人信息处理包括诚实信用、告知同意、公开透明、最小必要、准确完整等原则。个人信息处理的合法性基础是以告知同意为原则(《个人信息保护法》第十三条第一款第(一)项),其他法定情形(《个人信息保护法》第十三条第一款第(二)至第(七)项)为例外,其中包括:
在处理个人信息前,个人信息处理者应以显著方式,以清晰易懂的语言真实、准确、完整地告知被处理方,告知的内容包括个人信息处理者的名称/姓名和联系方式、处理目的和方式以及个人信息的种类和保存期限、个人行使权利的方式和程序、其他法定告知事项。个人信息处理者可以通过制定个人信息处理规则的方式告知,该规则须公开,且便于查阅、保存。如果遇到法定应当保密或不需要告知的情形,个人信息处理者可以不告知;如果遇到紧急情况,为保护自然人的生命健康和财产安全,个人信息处理者可以在事后及时告知。
“同意”分为明示同意、默示同意、单独同意、书面同意、重新取得同意、撤回同意等几种类型,其情形和要求见下表:
《个人信息保护法》第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。与之关联的规定如《常见类型移动互联网应用程序必要个人信息范围规定》,确定了39类APP的必要个人信息。
第十九条规定,除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。法定例外的情景如《反洗钱法》第19条第3款之规定,客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。又如《电子商务法》第31条之规定,商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。再如《证券法》第147条之规定,证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项资料……上述资料的保存期限不得少于二十年。
敏感个人信息处理的对应处理原则是最小必要和知情同意。前者要求个人信息处理者有特定的目的和充分的必要性,采取严格保护措施;后者要求个人信息处理者向个人告知处理敏感个人信息的必要性以及对个人权益的影响,并须取得单独同意。处理不满14周岁的未成年人个人信息时,须取得父母或其他监护人同意,制定专门的个人信息处理规则。
在委托处理时,委托人应约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等;监督受托人的个人信息处理活动。受托人应按照约定处理个人信息;委托合同不生效、无效、被撤销或终止时,应当返还或删除个人信息;未经委托人同意不得转委托。在共同处理时,双方共同决定处理目的和处理方式,约定权利和义务;个人可向其中任一信息处理者行使本法权利;侵害个人信息权益造成损害的,应当依法承担连带责任。
其他特殊情形包括自动化决策、公共采集等。对于自动化决策,须保证决策的透明度和结果公平公正,不得对个人在交易条件上实行不合理的差别待遇;通过自动化决策向个人进行信息推送、商业营销,应提供不针对个人特征的选项或便捷的拒绝方式;对个人权益具有重大影响的决定,个人有要求说明权和拒绝权。对于公共采集(即在公共场所安装图像采集、个人身份识别设备),应当为维护公共安全所必需;遵守国家有关规定,并设置显著的提示标识;收集的个人图像、身份识别信息只能用于维护公共安全的目的,取得个人单独同意的除外。
个人在个人信息处理活动中拥有知情权、决定权、删除权、请求更正/补充权、可携带权、代行使权、查阅/复制权、获得救济权等权利。
《个人信息保护法》规定了个人信息处理者的义务:
《个人金融信息保护技术规范》(JR/T0171-2020)根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。C3主要为用户鉴别信息,比如银行卡磁道数据、银行卡密码、账户的登录/交易/查询密码、个人生物识别信息等;C2主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,比如支付账号、账户登录用户名、用户鉴别辅助信息(短信验证码、密码提示问题答案)、个人财产信息、交易信息、照片、家庭住址等;C1主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息,比如账户开立时间、开户机构、基于账户信息产生的支付标记信息等。
特殊主体应履行相关义务。比如处理个人信息达到国家网信部门规定数量的个人信息处理者,应指定个人信息保护负责人,公开其联系方式,并报送履行个人信息保护职责的部门。再如大型互联网平台(提供重要互联网平台服务、用户数量巨大、业务类型复杂的平台),应建立健全合规制度,建立独立监督机构,规范平台内用户的个人信息处理活动,履行社会责任义务。
处理敏感信息、自动化决策、委托/提供/公开、境外提供、其他对个人权益有重大影响的情形,需进行事前个人信息保护影响评估。评估内容包括:处理目的、方式是否合法、正当、必要;对个人权益的影响及安全风险;保护措施是否合法、有效及与风险程度相适应。评估报告和处理情况记录至少保存三年。
紧急情况事后通知,即发生个人信息泄露、篡改、丢失时,应立即采取补救措施,并通知履行个人信息保护职责的部门和个人,采取措施能够有效避免信息泄露、篡改、丢失造成危害,可以不通知个人,而履行个人信息保护职责的部门认为可能造成危害的,有权要求其通知个人。通知内容包括信息种类泄漏/篡改/丢失的原因、可能造成的危害、个人信息处理者的补救措施、个人可以采取的减轻危害的措施、个人信息处理者的联系方式等。
个人信息跨境提供需至少满足下列前提条件之一:(1)通过国家网信部门组织的安全评估。(关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者专属)(2)经专业机构进行个人信息保护认证。(3)按照标准合同与境外接收方订立合同。(4)法律、行政法规或者国家网信部门规定的其他条件。
在进行个人信息跨境提供时,需向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并需取得个人的单独同意。特殊主体即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,需要将在境内收集和产生的个人信息存储在境内;确需向境外提供的,应当通过国家网信部门组织的安全评估,法定不需评估的情形除外。
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依照《个人信息保护法》和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作,县级以上地方人民政府有关部门负责个人信息保护和监督管理职责。所履行的个人信息保护职责包括(1)开展宣传教育,指导、监督个人信息处理者。(2)接受、处理投诉举报。(3)测评应用程序等。(4)调查处理违法活动。(5)法定其他职责。
《个人信息保护法》规定了行政责任、民事责任、刑事责任三类法律责任,责任行为和罚则如下:
第二部分:《数据安全法》
数据安全领域立法宗旨和原则是保证国家安全,《数据安全法》围绕责任和义务立法,是国家安全立法的一部分,与《网络安全法》《生物安全法》等并列。《数据安全法》保护客体是数据,有效保护数据的完整性、保密性、可用性,处理数据遵守法律法规、行业规范,具备保障持续安全状态的能力。完整性、保密性、可用性的描述和要求如下:
《数据安全法》立法目的主要有四个方面,一是保障国家安全,即数据是国家基础性战略资源,数据安全事关国家安全,应按照总体国家安全观的要求,通过立法加强数据安全保护,提升国家数据安全保障能力。二是维护公民、组织的合法权益,即数据处理者繁多、处理活动复杂,须立法加强数据安全保护以维护公民、组织的合法权益。三是促进数据开发和利用,立法规范数据活动,完善数据安全治理体系,有利于发挥数据的基础资源作用和创新引擎作用,有利于推动数字经济发展。四是推进电子政务发展。
《数据安全法》主要规定了各类数据安全制度,包括数据分类分级保护制度、出口管制和出境安全管理制度、数据安全审查制度及数据交易管理制度。
数据的分类分级的标准取决于数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度。特殊类型的数据包括重要数据和国家核心数据,分别需要采取“重点保护”和“实行更加严格的管理制度”等措施加以保护。重要数据由特定主体确定目录,国家数据安全工作协调机制统筹协调各地区、各(主管)部门,后者确定本地区、本部门以及相关行业、领域的重要数据具体目录。国家核心数据是关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。
《数据安全法》对重要数据的处理者规定了特别的义务,因此识别处理的数据是否属于重要数据至关重要。截至目前,包含重要数据具体目录的规范性文件只有《汽车数据安全管理若干规定(试行)》,而金融行业的重要数据目录可参考《金融数据安全数据安全分级指南》(JR/T0197—2020)附录C及《重要数据识别指南(征求意见稿)》来判断识别。
《数据安全法》第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查,依法作出的安全审查决定为最终决定。数据安全审查、网络安全审查、外商投资安全审查均属国家安全审查;实施主体、实施机制、审查内容未有明确规定;《网络安全审查办法(修订草案征求意见稿)》将部分数据安全审查的实质内容纳入网络安全审查中。
数据安全审查依据《国家安全法》和《数据安全法》进行,被审查行为是影响或者可能影响国家安全的数据处理活动。网络安全审查依据《国家安全法》《网络安全法》和《网络安全审查办法》进行,被审查行为是关键信息基础设施的运营者实施的可能影响国家安全的采购网络产品和服务的活动。
《数据安全法》明确规定了出口管制和出境安全管理制度,其中第25条规定了出口管制,即属于管制物项的数据,按照《出口管制法》的规定禁止出口或者出口受限制;第31条规定了重要数据出境安全管理,即关键信息基础设施的运营者适用《网络安全法》,其他数据处理者适用“由国家网信部门会同国务院有关部门制定的办法”(暂未出台);第36条规定了境外司法、执法机关数据调取审批,即我国主管机关根据我国缔结或参与的国际条约、协定或者按照平等互惠原则处理;第26条规定了反制措施;第24条规定了数据安全审查制度。
数据安全保护义务详见下表,其中,重要数据的处理者需要履行最下方三条的特殊义务:
《金融数据安全数据安全分级指南》中以数据的安全性(含保密性、完整性、可用性)、影响对象和影响程度为定级要素,将数据定为1-5级。其中对5级(重要数据)的描述为:“通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。”《金融数据安全数据安全分级指南》的附录C也为判断数据是否属于重要数据提供了参考。
在企业的日常经营过程中,遵循《金融数据安全数据安全分级指南》《个人金融信息保护技术规范》等行业标准,对企业处理的数据进行分类分级保护,有利于企业规范数据处理活动及应对未来法律法规更新带来的新挑战。
收集数据的方式应合法、正当,收集、使用数据的目的、范围符合法律、行政法规的规定。比如收集个人信息时,主要须遵循《个人信息保护法》《民法典》等;收集企业信息时,须遵循《反不正当竞争法》等;收集国家秘密时,须遵守《保守国家秘密法》等。
建立健全全流程数据安全管理制度,可参考《金融数据安全数据生命周期安全规范》(JR/T0223-2021),详见下表:
数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等,各类别对应的定义见下表:
组织保障的建议性框架和金融机构的信息管理系统近似,包括决策层,即机构高级管理层;包括管理层,即科技、业务、法律合规、风险管理等部门责人;包括执行层,即科技、业务、法律合规、风险管理等部门具数据安全岗位相关工作人员;包括监督层,即审计、稽核等部门相关工作人员。
信息系统运维保障,既属于全流程数据安全管理制度的一部分,也是履行“采取技术措施等保障数据安全”义务的一部分。其内容与信息科技风险管理相同步,实际上是采取技术手段保护数据的保密性、可用性、完整性。
更多精彩内容欢迎复制链接进入课程回看:
https://appakiiok2r7211.h5.xiaoeknow.com/v1/course/video/v_61430165e4b04518c614ef12?type=2
