金融数据合规管理研究
摘要
关键词 :金融数据;合规;个人金融数据保护;重要数据安全
0 引言
随着信息技术的发展
多项
在构建金融数据合规管理体系的过程中,首要任务是在建立对金融数据合规基本概念的认知基础上透彻了解其核心特征,在此基础上归纳出由数据安全领域一般规范及金融行业数据安全管理规定构成的规则体系作为主要依据。通过规则体系为框架来构建合规要点这一具体实践环节,在实际操作中为金融数据合规工作提供清晰指引。
1 概述
1.1 基本概念
金融业本质上是一种信息技术产业,在与数据之间具有紧密相关性[3]。按照中国银监会发布的行业标准,金融数据被定义为金融机构在开展金融业务活动,提供金融服务,以及日常经营管理过程中所需要或者所产生的各类信息资源,具体涵盖客户个人及单位信息等基础业务数据,技术管理相关经营数据以及监管要求下的报送等监管数据四个大类别,每个类别又可划分为二类、三类及四类共302个小类别[4]。由于金融数据具有属性高、数量大且类型复杂等特点,其安全合规管理显得尤为重要。金融数据合规管理强调金融机构及其工作人员的行为必须遵守相关法律法规,包括但不限于法律条文、行政法规、部门规章以及规范性文件等规定,从而规避因不当行为导致刑事法律责任、监管部门处罚措施以及可能的社会经济损失或其他潜在负面影响的相关合规风险
1.2 主要特点
就其效力而言,金融数据合规具有强制性特征。金融机构数据合规活动所遵循的法律依据均属于国家层面的法律法规范畴,《中华人民共和国网络安全法》(简称《网络安全法》)、《数据安全法》以及《个人信息保护法》,这些法律法规都具有的是不可违抗的效力。金融业机构在合规管理方面应当严格遵守相关法律法规所规定的各项义务性规范和禁止性规定,在具体实践中没有任何可以选择规避的情形。
就内容而言,金融数据合规涵盖范围广且复杂度高。它不仅包括关键的数据管理要素——如重要资产记录、个人的金融信息资料以及按等级进行分类管理的数据资产——还涉及到跨境处理流程以及各类操作规范的执行情况等多方面考量。从流程层面来看,在获取、传输、存储以及使用这些资产的过程中都必须严格遵守相关法律法规及内部制度要求,并对产生的结果进行妥善处理与追踪评估等环节性操作。
就其效果而言,金融数据合规既具有防范风险的作用也具有救助于难的功能.事前防范主要体现在建立完善的风险预警机制,及时识别潜在风险并采取措施加以化解,从而将潜在威胁降到最低.在遭遇国家监管机构调查时,合管理是获得监管激励或刑法激励的重要手段,通过规范管理可使相关机构在面临处罚时享受宽大处理的可能性.
2 规则体系
规则体系作为实现金融数据治理的核心基础,并被视为这一领域的根本标准。
在构建金融数据合规的规则体系时,
主要包含两部分:
一是依据通用规范的数据安全原则,
二是结合行业特点的具体操作指引。
就一般法而言,其核心架构由网络空间治理与数据保护两大核心要素构成,主要包含《网络安全法》《数据安全法》与《个人信息保护法》三部重要法律。其中,《网络安全法》作为保障国家安全的重要举措,其立法宗旨是维护网络安全并保护人民群众合法权益;《数据安全法》作为数据领域基础性法律,旨在规范数据处理活动,保障数据安全并推动 data 的开发利用;《个人信息保护法》则专门针对个人信息领域,通过立法明确个人信息权益,规范个人信息处理活动并促进其合理利用。在此法律框架之下,网信等部门依法获得授权,通过部门规章和规范性文件等具体形式不断细化规定内容,逐步覆盖至 data 活动的方方面面。目前,国家互联网信息办公室已发布《数据出境安全评估办法(征求意见稿)》及《网络数据安全管理条例(征求意见稿)》等文件,同时正在起草 《个人信息出境标准合同规定》及 《人脸识别技术应用安全管理暂行规定》等相关配套法规
行业规定可分为四类。第一类是基于金融行业的特殊属性,在一般法之外制定了行业数据合规管理的具体要求。例如,《中华人民共和国商业银行法》《中华人民共和国反洗钱法》以及《个人存款账户实名制规定》等均对保密义务等相关内容作出明确规定。
第二类是在一般法之前已有的规定仍然适用。如2011年中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》,这些规定与现有要求并无冲突。
第三类是顺应一般法实施的趋势,《中国银保监会监管数据安全管理办法(试行)》等规范性文件的出台旨在进一步提升数据安全管理能力。
第四类是以推动相关机构完善数据安全管理措施为主,《个人金融信息保护技术规范》《金融业数据能力建设指引》等标准自2020年2月起陆续发布并实施。
从法律效力上看这些标准多为推荐性规定不具有强制执行力但从功能层面可为金融机构提供具体的合规指引可供参考
综上所述,在构建金融数据合规规范体系时,默认情况下主要由《数据安全法》等相关一般性法规作为基础框架,并辅以《商业银行法》等相关金融行业规范进行完善与补充,从而形成较为全面的金融数据双线合规机制。
3 合规要点
各合规要点在金融数据合规体系中的作用环节、方式及轻重程度存在差异,在这种差异基础上可将合规要点划分为基础性、主要性和辅助性的三大维度。基础性维度源于其普遍适用性特点,在此维度下包括保密措施、资质认证以及关键信息基础设施的安全防护等要素,并对涉及金融数据合规的各个方面产生影响;主要性维度则由个人金融信息保护和重要数据安全两大核心要素构成,在此维度下直接决定了金融业机构的数据管理是否符合规范以及潜在的合规风险大小;辅助性维度则是构建完善的数据合规管理体系的重要保障,在此维度下具体涵盖了技术手段应用、全流程规范化管理策略以及相关从业人员培训教育等内容,并通过风险监测与应对机制来进一步提升整体管控效能
3.1 基础性面向
如上所述,在保密要求与资质要求下以及对关键信息基础设施的保护方面,并未直接指向具体的数据类型或形态。然而这些规定共同构成了合规的基础并且贯穿于整个金融数据合规体系中缺少这些则无法满足整体合规标准无论是在技术手段制度保障还是运营管理体系层面都未能单独达到其他数据管理标准的情况下仍无法被视为完全合规
3.1.1 保密要求
由于金融数据不仅关系到个人切身利益以及国家经济运行的整体情况,并且涉及范围广泛,在实际操作中具有极高的隐私性和敏感性。相比而言,在以往的历史时期中,在未出现大数据技术的情况下我国就已经建立了较为完善的金融数据保护体系和相关法规制度。例如,在1995年,《商业银行法》明确规定商业银行应当遵循为存款人保密的原则;随后于2006年,《反洗钱法》进一步确立了金融机构对客户身份资料和交易信息负有保密义务;而在2002年,《金融统计管理规定》则明确规定了公布金融统计资料的相关备案及批准手续等具体要求[6]。
3.1.2 资质要求
与保密要求相仿的是金融行业对经营资质的基本条件。作为金融数据合规的重要基石之一,在为消费者提供支付服务、征信服务以及信贷支持时,金融机构必须具备相应的经营资质才能满足数据合规的基本要求。以征信业务为例,在2020年12月26日之前,中国人民银行等相关部门已对蚂蚁集团开展业务前受到的相关规定进行联合约谈,并明确指出其征信业务应当"依法取得经营许可证并规范经营个人征信业务活动"以保障个人数据隐私权益。因此,在开展相关业务时金融机构应当严格遵守《征信业管理条例》和《征信业务管理办法》等相关法律法规,并根据具体类别采取相应的资质申请措施:从事个人征信业务的机构应当申请取得中国人民银行颁发的个人征信机构许可;而从事企业征信业务的机构则需办理企业征信机构备案手续;对于从事信用评级相关业务的机构,则应当完成信用评级机构备案流程[7]。
3.1.3 关键信息基础设施运行安全
作为数据的主要载体,关键信息基础设施(以下简称"关基")的运行安全直接影响关基运营者所收集和存储的数据的安全性和应用价值。根据《网络安全法》第三十一条规定,在面临运行中断或数据泄露可能造成国家安全、经济社会发展大局受到影响的重要行业中,金融属于"重要行业"范畴。金融系统等关键信息基础设施的防护遵循基础性与重点相结合的原则:基础性防护即网络安全等级保护制度(以下简称"等保"),重点防护则在等保标准基础上进一步强化防护措施。
第一部分是践行网络安全法中的等保义务。根据《网络安全法》第二十二条的规定,网络运营者需履行相应的安全保护义务。金融业机构需从制度建设和技术防范两个方面加强安全管理措施:首先,建立全面的安全管理制度并制定操作规范流程;其次,实施防护技术和安全防护措施以防止网络攻击和入侵行为发生;再次,定期监测网络运行状态,准确记录所有网络安全事件并及时处理相关问题。第二部分是履行《网络安全法》第三十四条中规定的重点保护职责。金融业机构除承担上述工作外,还需从组织机构建设、教育培训体系完善和技术保障能力提升三个方面强化网络信息安全工作:机构设置方面,应设立专门的安全管理部门并对重要岗位人员进行定期审查与评估;教育培训方面,应定期开展全员安全意识培训并通过考核检验培训效果;技术保障方面,应建立重要系统数据备份机制并定期演练应急响应方案。
3.2 主要性面向
个人信息及其相关的金融数据与个人资产状况具有密切关联,在发生泄露的情况下可能造成严重的影响;这些关键的数据被视为市场风向标,能够反映整个市场的动态变化趋势。确保信息安全和个人隐私保护是维护金融市场稳定的基础保障;与此同时,在金融科技快速发展的背景下, 保障重要金融服务系统的安全性至关重要
3.2.1 个人金融信息保护
(1)个人信息与个人金融信息
在2013年发布的《商业银行信用卡风险分类与评级标准指引》中首次提出了一种新的风险分类方法
在实际操作中
对于具体的操作流程
值得注意的是
(2)个人金融信息保护
以《个人信息保护法》为主要依据,并参考相关的金融行业文件[9]来阐述个人金融信息保护的逻辑与规则。具体而言:
一是规范处理个人金融信息的行为,在遵循合法、必要和正当性原则的同时确保在获取和个人金融信息时征得相关主体的明确同意。
二是明确对个人信息主体的权利义务,在 banking institutions 必须及时便捷地响应其权利义务的基础上制定相应的保障措施。
三是确立信息安全的基本要求,在通过内部管理制度和技术手段相结合的方式下合理界定处理权限并建立合规审计机制以及信息安全风险评估流程。
四是落实本地化管理要求,在涉及跨境业务时应当履行安全审查程序以便于防范国家安全和社会秩序可能面临的潜在风险。
此外, 中国人民银行于2020年2月13日发布了推荐性行业标准《个人金融信息保护技术规范》(JR/T 0171—2020)。这一标准相较于《个人信息保护法》,从技术和管理角度对个人信息安全保护作出了更为细致、完善的规范。就信息收集环节而言, 本标准规定了资质与密码方面的具体要求, 即不得委托或授权无金融业相关资质的机构进行相关信息采集, 用户在输入银行卡密码、网络支付密码时, 应采取展示屏蔽等方式防止密码明文显示等措施。就金融机构方面而言, 在遵守《个人信息保护法》的基础上, 可结合自身实际情况选择适用行标对个人金融信息的安全保护要求。
3.2.2 重要数据安全
(1)重要数据目录管理
《数据安全法》明确了重要数据范围的管理框架。具体而言,在法律实施过程中:负责制定和维护重要数据目錄的相关机构应当依据已公布的目录识别其处理的数据中是否存在重要数据,并采取相应的保护措施;特别需要注意的是:为了便于金融业机构等实际处理者准确识别和识别重要数据的具体情况,在制定重要数据目錄时应当尽量做到具有明确且具体的标注要求。
(2)重要数据识别
《金融数据安全数据安全分级指南》(JR/T0197—2020)对金融数据中的重要数据内涵及分类进行了明确规定。根据该标准规定,重要数据内涵包含两个基本要素:其一,从范围维度看,重要数据不涉及国家秘密,但与国家安全、经济发展以及公共利益高度关联;其二,从影响效果看,重要数据可能引发危害后果指向国家安全、社会公共利益以及个人合法权益等方面的风险事件。该标准对重要数据内涵的规定与《网络数据安全管理条例(征求意见稿)》基本一致,但在具体细化方面存在差异:在重要数据目录方面,《网络数据安全管理条例(征求意见稿)》未作出明确规定,而该标准则列举了4种典型的重要数据类型,分别是反映经济或社会特征的宏观特征统计数据、覆盖多省市地区金融消费者交易行为的衍生特征统计数据、由行业监管机构履职过程中未对外公开的受控统计数据以及基于网络安全缺陷信息收集的相关统计信息等。金融机构可以根据这一规范性文件的具体规定判断识别本机构范围内的重要数据类型
然而,《汽车数据安全管理若干规定(试行)》明确指出,《汽车数据安全管理若干规定(试行)》明确指出,“包含人脸信息、车牌信息等的车外视频、图像数据以及‘涉及个人信息主体超过10 万人的个人信息’属于重要数据”。此外,《个人金融信息保护技术规范》(JR/T 0171—2020)明确规定:“一旦泄漏会导致金融消费者合法权益受到直接影响并影响金融业机构正常运营甚至引发系统性金融风险”的个人金融信息应被视为重要数据。”该定义从个人金融信息泄露造成的危害后果角度出发,并未对所有个人金融信息予以限制
(3)重要数据保护
重要数据一旦受到威胁或受到影响,并可能被非法获取或不当使用时,则可能导致严重的后果。
因此必须采取严格措施来保护重要数据。
当金融机构识别出其处理的数据中存在重要数据时,则应当遵守相关合规要求。
一是确定其重要数据后 fifteen个工作日内向设区的市级网信部门备案,备案内容应包括金融业机构的基本信息,处理重要数据的目的、规模、方式等内容。二是建立数据安全管理机构并指定负责人。需要注意的是,《网络安全法》也对关键业务运营者明确了 setup 责任,因此如果金融业机构已根据相关要求设置了专门的数据安全管理机构及其负责人,则无需再履行本项规定,从而避免重复设置。三是定期开展数据处理活动的风险评估,并将风险评估报告报送有关主管部门。风险评估报告应包含以下三个组成部分:重要数据基本情况、数据处理活动以及相关安全风险及应急措施等信息。四是实施数据出境安全评估制度。关键业务运营者在境内收集与产生重要数据向境外提供的原则与规则与个人信息的安全评估相同,金融业机构可参照个人金融信息的安全评估方法进行操作。
就金融数据跨境流动而言,在全球范围内推动数据治理已成为各国金融监管机构的重要议题。就现有法规来看,在这一领域各国采取了不同的做法以平衡保护个人隐私与促进经济活动之间的关系。就现有法规来看,在这一领域各国采取了不同的做法以平衡保护个人隐私与促进经济活动之间的关系。就现有法规来看,在这一领域各国采取了不同的做法以平衡保护个人隐私与促进经济活动之间的关系.
3.3 辅助性面向
基础类面向和主要类面向是金融数据合规中的基础性和重要义务,但并未覆盖全部合规要求。除了上述义务外,通过技术手段并建立全流程管理制度,实施定期培训机制,加强风险监测等内容也在《数据安全法》等相关法规中得到明确规定,并在《金融数据安全 数据生命周期安全规范》(JR/T 0223—2021)等文件中进一步明确,这些规定构成了实现金融数据全面合规的重要组成部分
3.3.1 采取技术措施和其他必要措施
金融业机构在业务经营和经营管理过程中应当采取必要技术手段防止数据泄漏损坏丢失等风险事件的发生。具体而言应当采用加密传输通道或数据加密技术对敏感信息进行全方位保护以确保数据传输的安全性;在数据存储环节应当部署多种安全载体如磁盘磁带云存储服务网络存储设备等以保障存储数据的安全性;对于不同场景下的数据访问操作导出加工展示开发测试 etc都应当配备相应的安全防护措施包括但不限于加密隔离脱敏评估等技术手段;在执行删除操作时应当彻底清除涉及金融产品的相关系统设备中的所有相关信息使其无法被检索访问;对于销毁操作则应在数据库服务器终端等存储介质上实施严格的物理清除措施如数据擦除或物理销毁等方式确保删除后原始数据无法恢复
3.3.2 建立健全全流程数据安全管理制度
金融业机构应建立制度体系,并规范工作流程以实现对金融数据全过程的有效管理[10]。具体而言相关制度包括:一是制定数据安全管理制度明确本机构的安全策略方针目标及原则;二是确立日常管理操作规范对各环节提出具体要求;三是规定数据调取权限及其使用范围依据'业务需求'与'最小权限'原则配置访问使用权限并实施专门的审批程序;四是严格执行外包服务及外部合作机构管理审查评估其合规性并界定其存储范围明确其义务与责任并实施监督
3.3.3 组织开展数据安全教育培训
规划特定岗位的数据安全专项课程方案,并按照既定安排定期组织数据安全意识教育与技能提升活动。学校负责部门应根据培养目标要求系统掌握最新政策法规及操作规范,并结合实际需求制定详细的工作流程及考核标准。每学年至少组织一次常规性业务技能训练活动,并通过情景模拟等方式强化应急处置能力培养工作。学校负责部门应根据培养目标要求系统掌握最新政策法规及操作规范,并结合实际需求制定详细的工作流程及考核标准。(注:此处为示例补充说明,请删除)
3.3.4 加强风险监测,采取应急措施,及时告知并报告
为了提升数据处理的安全性,在开展相关活动时应特别关注潜在风险,并采取有效防护措施以规避可能发生的威胁
4 结束语
本文在深入研究相关法律法规、规范性文件的基础上,全面归纳了金融数据合规的相关要求。不容忽视的是,在当前复杂的金融市场环境下,各类金融机构之间存在显著差异性特征;因此,在推进数据合规建设的过程中,则必须结合各机构的具体业务模式与产品类型进行针对性规划。