數(shù)據(jù)合規(guī)業(yè)務(wù)的藍(lán)海——金融行業(yè)數(shù)據(jù)合規(guī)要點(diǎn)
2021-08-12
- 1 -
目前數(shù)據(jù)合規(guī)法律業(yè)務(wù)的真正藍(lán)海
事件一:2021年7月初�,“滴滴出行”因數(shù)據(jù)安全問題,國家網(wǎng)絡(luò)安全審查辦公室決定對其進(jìn)行審查�����,7月中旬��,國家七部委進(jìn)駐“滴滴出行”�����,目前仍在審查過程中�����。
事件二:2021年6月��,歷經(jīng)三年醞釀���、兩次審議的《數(shù)據(jù)安全法》審議通過,并將于2021年9月1日正式實(shí)施�����,我國數(shù)據(jù)法律規(guī)范不斷完善,并最終將形成以《民法典》����、《國家安全法》為綱領(lǐng),《網(wǎng)絡(luò)安全法》���、《數(shù)據(jù)安全法》��、《個人信息安全法》為分支的數(shù)據(jù)及個人信息法律保護(hù)體系�。
上述事件����,不僅讓“數(shù)據(jù)安全”再次進(jìn)入大眾視野,更讓法律界重新掀起“數(shù)據(jù)合規(guī)”熱潮�,律師同行們的普遍認(rèn)識是數(shù)據(jù)合規(guī)法律業(yè)務(wù)仍有大片藍(lán)海,特別是互聯(lián)網(wǎng)及大數(shù)據(jù)行業(yè)����,在新的監(jiān)管形勢下對數(shù)據(jù)合規(guī)的需求將變得更加剛性。但同時��,筆者認(rèn)為“數(shù)據(jù)合規(guī)”目前真正藍(lán)海���,不僅在互聯(lián)網(wǎng)和大數(shù)據(jù)企業(yè)����,而且在于數(shù)字化轉(zhuǎn)型過程中沉淀了海量數(shù)據(jù)并關(guān)乎民生的大量傳統(tǒng)行業(yè)。
下面我們以零售����、醫(yī)療、金融����、房地產(chǎn)四大行業(yè)為例,先來分析傳統(tǒng)企業(yè)在客戶端是如何進(jìn)行數(shù)據(jù)化賦能��。
1.零售行業(yè):對客戶信息及客戶消費(fèi)記錄(消費(fèi)種類�、購買頻次、付費(fèi)習(xí)慣等)進(jìn)行收集分析��,預(yù)測客戶潛在購買機(jī)會�����,并進(jìn)行精準(zhǔn)推薦及活動營銷����。
2.醫(yī)療行業(yè):醫(yī)院及診療機(jī)構(gòu)在臨床醫(yī)學(xué)���、醫(yī)療器械及可穿戴設(shè)備����、醫(yī)療檢驗(yàn)中產(chǎn)生的大量病患數(shù)據(jù),醫(yī)藥機(jī)構(gòu)在臨床試驗(yàn)中獲取的試驗(yàn)數(shù)據(jù)��,收集分析后將用于藥品研發(fā)�����、提高醫(yī)療診斷水平�����,預(yù)測及預(yù)防流行病傳播����,同時,出現(xiàn)大量醫(yī)療數(shù)據(jù)分析應(yīng)用公司及數(shù)據(jù)管理公司��,對海量醫(yī)療數(shù)據(jù)進(jìn)行分析管理�,用于臨床決策支持及健康管理。
3.金融行業(yè):銀行業(yè)對資產(chǎn)數(shù)據(jù)和交易數(shù)據(jù)(如高額物管費(fèi)代繳��,信用卡高消費(fèi)場景)等分析高凈值客戶,高端財(cái)富管理及理財(cái)客戶挖掘�;證券業(yè)對客戶交易頻次、收益率及資金量數(shù)據(jù)分析�����,可分別對其進(jìn)行其他理財(cái)����、融資產(chǎn)品及投資顧問等精準(zhǔn)推介;保險(xiǎn)業(yè)對于家庭成員��、健康情況的數(shù)據(jù)分析�����,進(jìn)行保險(xiǎn)復(fù)購?fù)诰虻鹊?�;金融集團(tuán)對銀行����、證券、保險(xiǎn)等行業(yè)的整合��,又可在集團(tuán)間進(jìn)行數(shù)據(jù)共享��,跨行業(yè)實(shí)現(xiàn)精準(zhǔn)營銷及客戶挖掘。
4.房地產(chǎn)行業(yè):房地產(chǎn)開發(fā)商對擬開發(fā)區(qū)域的人口密度�、人群消費(fèi)信息優(yōu)化開發(fā)策略,物業(yè)機(jī)構(gòu)對小區(qū)業(yè)主的聯(lián)系方式�、居住習(xí)慣、家庭情況等個人信息的收集分析��,可自行及與第三方合作進(jìn)行裝修推薦�����、家政服務(wù)及其他一體式服務(wù)��,房產(chǎn)中介機(jī)構(gòu)對大量二手房交易信息的處理分析����,可為買賣雙方提供買賣決策�,甚至可用于預(yù)測房地產(chǎn)市場走勢,并可為房產(chǎn)開發(fā)����、銀行、物流等領(lǐng)域提供數(shù)據(jù)服務(wù)�����。
我們看到,一方面��,各個企業(yè)在數(shù)字化轉(zhuǎn)型中加強(qiáng)對數(shù)據(jù)的收集�����、整理����、分析,用于用戶畫像�,精準(zhǔn)營銷,提高了經(jīng)濟(jì)效率�����,方便了用戶生活���;另一方面��,用戶數(shù)據(jù)屬于公民個人信息���,受到法律保護(hù),這些企業(yè)在收集使用用戶數(shù)據(jù)過程中如何做到合規(guī)化便成為如今一個迫在眉睫的問題。
本系列文章���,筆者將結(jié)合我國數(shù)據(jù)合規(guī)主要法律體系�����,梳理對四大行業(yè)的主要數(shù)據(jù)合規(guī)要點(diǎn)�,一家之言�,以饗讀者。本文開篇將著重梳理金融行業(yè)的數(shù)據(jù)合規(guī)要點(diǎn)�����。
- 2 -
金融行業(yè)數(shù)據(jù)合規(guī)業(yè)務(wù)的主要法律體系
- 3 -
金融數(shù)據(jù)生命周期的合規(guī)要點(diǎn)
一����、個人信息及個人金融信息的界定
1.什么叫個人信息
以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人身份的各種信息���。
網(wǎng)絡(luò)安全法列舉的個人信息包括:姓名���、出生日期、身份證件號碼�����、個人生物識別信息、住址����、電話號碼;互聯(lián)網(wǎng)個人信息保護(hù)指南還列舉了:通信記錄及內(nèi)容����、賬號密碼、財(cái)產(chǎn)信息�����、征信信息��、行蹤軌跡�、住宿信息、健康生理信息��、交易信息���;另外�����,個人信息安全規(guī)范遞進(jìn)式區(qū)分了個人信息和個人敏感信息���,對個人敏感信息采取明示同意的加強(qiáng)保護(hù)制度���。
2.什么叫個人金融信息
根據(jù)《個人金融信息保護(hù)技術(shù)規(guī)范》,個人金融信息包括賬戶信息����、鑒別信息、金融交易信息��、個人身份信息���、財(cái)產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息�。除按照網(wǎng)安法進(jìn)行一般保護(hù)外,根據(jù)數(shù)安法分類分級保護(hù)原則�����,個人金融信息按敏感度從高到低分為C3���、C2���、C1三個類別進(jìn)行分級保護(hù) (C3主要為各類賬戶密碼���,C2主要為賬戶、身份證信息����、短信口令、KYC信息����、住址等,C1主要為開戶時間����、支付標(biāo)記信息等)。
值得注意的是����,個人信息持有者的界定,不僅僅是通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè)��,還包括使用專網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個人信息的組織或個人����。上述提到的零售����、醫(yī)療����、金融、房地產(chǎn)四大行業(yè)�,包括電信、教育等傳統(tǒng)行業(yè)�,只要涉及對個人信息的控制及處理,均屬于個人信息持有者范疇�����。
二���、金融數(shù)據(jù)收集儲存使用原則及特別注意事項(xiàng)
1.數(shù)據(jù)收集使用原則:
網(wǎng)絡(luò) 安全法確定的三大原則:同意原則:必須經(jīng)過被收集者同意���;合法�、正當(dāng)、必要性原則:合法正當(dāng)收集信息及不得收集與其服務(wù)無關(guān)的信息�����;公開明示原則:公開收集使用規(guī)則,明示收集使用的目的����、方式及范圍。
個人信息安全規(guī)范補(bǔ)充的:最小夠用原則��,確保安全原則�、主體參與原則。
2.數(shù)據(jù)收集特別注意事項(xiàng):
不應(yīng)大規(guī)模收集或處理我國公民的種族��、民族����、政治觀點(diǎn)、宗教信仰等敏感數(shù)據(jù)��。
個人生物識別信息應(yīng)僅收集和使用摘要信息��,避免收集其原始信息�。
3.數(shù)據(jù)保存特別注意事項(xiàng):
1)境內(nèi)運(yùn)營中的數(shù)據(jù)應(yīng)境內(nèi)儲存,如需出境需遵守相關(guān)規(guī)定履行相應(yīng)手續(xù)��。
2)采取安全加密措施進(jìn)行儲存���,收集到個人信息后�����,應(yīng)立即進(jìn)行去標(biāo)識化處理��,對去標(biāo)識化后的數(shù)據(jù)與可用于恢復(fù)識別的信息分開管理�。
3)設(shè)置一定的保存時限,對超出時限外的數(shù)據(jù)予以刪除�。這里存在一定的爭議,保存期限有最小化原則����,即為實(shí)現(xiàn)目的所必須的最短時間,但實(shí)踐中為了方便個人信息主體查詢及配合司法執(zhí)法等情況�,又對保存時間下限作出了規(guī)定,需要法律進(jìn)一步明確���,詳見筆者《兩個悖論---數(shù)據(jù)權(quán)利限制及數(shù)據(jù)儲存期限》�。
4)保存設(shè)備具有備份和恢復(fù)的功能����。
4.數(shù)據(jù)使用特別注意事項(xiàng):
對數(shù)據(jù)的使用不能超過與個人信息主體約定的范圍,但經(jīng)過處理無法識別特定個人信息且不能復(fù)原的除外(即匿名化)��。但應(yīng)采取相應(yīng)保護(hù)措施��。這里注意有兩種方式:
1)匿名化:完全不能識別���,經(jīng)過匿名化處理的數(shù)據(jù)不屬于個人信息����。
2)去標(biāo)識化:保留了個體顆粒度���,如采取假名�、加密�、哈希函數(shù)等方式,可借助額外信息復(fù)原個人信息�。去標(biāo)識化處理的數(shù)據(jù)仍屬于個人信息,其使用同樣需要符合授權(quán)范圍��。
三����、數(shù)據(jù)使用過程中的委托、共享轉(zhuǎn)讓及公開披露
1.委托
委托第三方處理不得超過與個人信息主體約定的范圍�����,受托人必須具有相應(yīng)安全保護(hù)能力��,委托人與受托人形成委托代理關(guān)系,并需進(jìn)行監(jiān)督及審計(jì)���。
對重點(diǎn)數(shù)據(jù)�,不建議通過委托獨(dú)立第三方方式處理使用數(shù)據(jù)�,不利于監(jiān)督,發(fā)生數(shù)據(jù)泄露安全風(fēng)險(xiǎn)時委托方同樣需要承擔(dān)相應(yīng)責(zé)任����,建議采取內(nèi)設(shè)部門或聘請專業(yè)人員的方式統(tǒng)一歸口管理。
2.共享和轉(zhuǎn)讓
原則上個人信息持有者對個人信息不得共享及轉(zhuǎn)讓�,在需實(shí)現(xiàn)特定目的時,共享和轉(zhuǎn)讓需告知個人信息主體共享轉(zhuǎn)讓信息的目的����、規(guī)模、接收方信息���,取得個人信息主體的授權(quán)同意�����。以下是幾種例外的情形:
1)司法行政共享:處于訴訟及爭議解決需要����,按照司法、行政機(jī)關(guān)的要求對外共享����。
2)主動選擇共享:如實(shí)現(xiàn)特定目的��,如電商平臺需向物流公司共享個人收獲地址信息�,才能實(shí)現(xiàn)交易目的。
3)關(guān)聯(lián)公司共享:需嚴(yán)格限制向關(guān)聯(lián)公司共享信息的范圍�����,在取得同意情況下���,只共享必要個人信息�����,并對關(guān)聯(lián)公司使用信息嚴(yán)格約束���,如敏感信息或關(guān)聯(lián)公司改變使用目的,需取得再次同意�。
4)授權(quán)合作伙伴共享:同樣應(yīng)取得個人信息主體的同意,并在共享過程中進(jìn)行去標(biāo)識化處理。
3.公開披露
個人信息主體的明示同意��,并告知個人信息主體公開披露的目的���、類型及可能披露的敏感信息���,個人生物識別信息,疾病����、基因信息,種族民族�、宗教信仰、政治觀點(diǎn)等信息不能公開披露��。
- 4 -
其他合規(guī)要點(diǎn)
1.根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》���,銀行業(yè)為金融行業(yè)中的關(guān)鍵業(yè)務(wù)�����。因此�����,商業(yè)銀行一般應(yīng)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者����,在履行網(wǎng)絡(luò)運(yùn)營者的一般安全保護(hù)義務(wù)的基礎(chǔ)上,還需履行關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的特殊義務(wù)�。
2.根據(jù)《網(wǎng)絡(luò)安全審查辦法》的規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,影響或可能影響國家安全的,應(yīng)當(dāng)按照該辦法進(jìn)行網(wǎng)絡(luò)安全審查�����。其中�����,網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指“核心網(wǎng)絡(luò)設(shè)備�、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲設(shè)備���、大型數(shù)據(jù)庫和應(yīng)用軟件�、網(wǎng)絡(luò)安全設(shè)備�����、云計(jì)算服務(wù),以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”����。因此,商業(yè)銀行在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時���,應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險(xiǎn)����。影響或者可能影響國家安全的�����,應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查�。
3.建立外包服務(wù)機(jī)構(gòu)和外包合作機(jī)構(gòu)管理制度,如通過協(xié)議方式��,約束外部機(jī)構(gòu)不得留存C2����、C3類別信息,對可能接觸金融數(shù)據(jù)的外部機(jī)構(gòu)人員�,應(yīng)通過簽訂保密協(xié)議方式對其進(jìn)行約束監(jiān)督���。
結(jié) 語
金融行業(yè)的數(shù)據(jù)除具有個人信息基本特性外,還包含交易信息等敏感特性����,無論是在金融數(shù)據(jù)生命周期、還是對外部合作機(jī)構(gòu)的監(jiān)管約束上�����,應(yīng)針對金融數(shù)據(jù)的不同類別進(jìn)行分類分級的保護(hù)����。
金融企業(yè)一方面要認(rèn)識到金融數(shù)據(jù)合規(guī)方面的重要性����,避免遭遇行政監(jiān)管甚至刑事風(fēng)險(xiǎn)的被動局面,另一方面也可以通過增強(qiáng)合規(guī)性提高自身市場競爭力���,保護(hù)客戶的數(shù)據(jù)信息安全����。
免責(zé)聲明:本文僅為分享�、交流���、學(xué)習(xí)之目的,不代表恒都律師事務(wù)所的法律意見或?qū)Ψ傻慕庾x��,任何組織或個人均不應(yīng)以本文全部或部分內(nèi)容作為決策依據(jù)��,因此造成的后果將由行為人自行負(fù)責(zé)��。
