近日,笔者就某银行数据资产入表进行了数据合规评估,该行入表数据为从第三方处购买的数据,在获得信息主体授权的前提下,可通过API接口方式从第三方处查询、使用用户信息。依赖多年来所沉淀的数据,该行从不同业务维度构建统计指标;基于智能化算法搭建评估模型;引入失信人员、失信企业等信息作为风险评估参考,形成了“某银行智能风控数据模型”。该数据模型可以为贷款准入、反欺诈、额度测算、评级、定价等服务提供数据依据,也可应用于内部运营管理,优化风控系统,通过相关数据资源提高服务效率和服务质量。
金融数据合规不仅要符合《民法典》《网络安全法》《数据安全法》《个人信息保护法》等普遍适用于数据合规的一般性规定;还应符合金融行业的特别监管要求,尤其需要注意一些指导金融机构开展金融数据安全防护工作的行业标准,如《金融数据安全分级指南》、《金融数据安全数据生命周期安全规范》、《个人金融信息保护技术规范》等,下面主要从数据分级分类和数据生命周期管控两个角度进行介绍:
《网络安全法》规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,采取数据分类、重要数据备份等措施;《数据安全法》也规定了要对数据实行分类分级保护。虽然对于数据分级分类国家尚无专门的法律规定,但金融行业作为合规性建设最早最完善的行业,早已出台了各种行业标准。从银行角度来看,中国人民银行于2020年2月13日发布了《个人金融信息保护技术规范》,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别:C3 类别信息主要为用户鉴别信息;C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息;C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该规定还强调,同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。 除此外,《金融数据安全分级指南》也从国家安全、公众权益、个人隐私、企业合法权益的角度,按照影响程度将金融数据安全级别从高到低进行了五级划分。
构建数据分类分级管理体系后,切实做好保障数据安全工作,还需具体落实在数据的采集、传输、存储、使用、删除和销毁等生命周期管理的各环节。《个人金融信息保护技术规范》、《金融数据安全 数据生命周期安全规范》等金融行业标准系统规定了采集、传输、存储、使用、删除和销毁等金融数据生命周期环节的合规要求。除了与《网络安全法》《数据安全法》《个人信息保护法》等法律规定一致的外,主要的特殊合规要求具体如下:(1)数据采集:应通过合同协议等方式,明确双方在数据安全方面的责任及义务;从外部数据供应方处采集数据,应制定数据供应方约束机制;采集的企业客户数据应与提供的金融产品或服务直接相关,不应超范围采集数据;应明确数据采集过程中个人金融信息和重要数据的知悉范围和安全管控措施,确保采集数据的合规性、完整性和真实性;采集数据时,应对数据采集设备或系统的真实性进行验证;采集 3 级及以上数据时,还应结合口令密码、设备指纹、设备物理位置、网络接入方式、设备风险情况等多种因素对数据采集设备或系统的真实性进行增强验证等;向个人信息主体采集数据时,APP、WEB 等客户端相关业务完成后不应留存 3 级及以上数据,并及时对缓存进行清理;采集的个人金融信息应与提供的金融产品或服务直接相关,并与合同协议条款、隐私政策中约定采集的内容保持一致,不应超范围采集数据等。(2)数据传输:采取措施加强数据传输过程中的网络和数据安全;金融数据传输涉及金融业机构内部数据传输、金融业机构与外部机构或客户的数据传输两种形式,不同传输形式和不同传输对象应采用不同的数据传输技术方式等。(3)数据存储:将数据分域分级存储;依据最小够用原则存储数据;不应因存储形式或存储时效的改变而降低安全保护强度等。(4)数据使用:就数据访问、数据导出、数据加工、数据展示、开发测试、汇聚融合、公开披露、数据转让、委托处理、数据共享提出了具体明确的要求。(5)数据删除:个人金融信息主体要求删除个人金融信息时,应依据国家及行业主管部门有关规定,以及与个人金融信息主体的约定予以响应;超过国家及行业主管部门有关规定、内部规章及合同协议所述保存期限的数据,应执行数据删除操作等。(6)数据销毁:采用不可恢复的方式对存储介质进行销毁;存储介质如需使用,通过技术手段安全地擦除数据,确保介质中的数据不可再被恢复或以其他形式被利用;定时验证数据删除结果等。
转载自:众成清泰律师事务所
浙公网安备 33010502006954号 
