个人金融信息保护技术规范解读

2020年2月20日，全国金融标准化技术委员会(以下简称“金标委”)公示了推荐性行业标准《个人金融信息保护技术规范》(以下简称“《金融信息规范》”)，该标准由中国人民银行于2020年2月13日发布并于当日实施。

个人金融信息分级制度

个人金融信息分级制度是《金融信息规范》中的重要规定，也将是金融业机构推行合规工作所绕不开的重点环节。《金融信息规范》中个人金融信息分级制度的分级内容及各级别额外要求如下表：

一、为什么要信息分级?—— 信息分级是合规的基础

从体系上来看，《金融信息规范》中个人金融信息分级的要求，与基于个人金融信息生命周期的安全技术要求与管理要求(以下称为“合规要求”)是融合统一的。

一方面，《个人信息规范》作为一项通用标准，对于个人信息的分类方式(个人信息、个人敏感信息)及辨识度，不能满足金融服务的实际需求。金融业机构需要更细化的信息分级，指导日常的金融信息保护。
另一方面，信息分级也是一切数据保护与合规工作的基础，有助于金融业机构辨识不同数据的风险等级与合规难点，做到因人(数据)而异、因地(场景)制宜，把握合规重点环节，节约合规成本

二、如何分级?—— 信息分级依据的几种标准

1. 一般标准

《金融信息规范》主要是根据数据泄露事件发生后的严重性(后果)进行分级。具体到条文中，从C1到C3级别，其分级依据分别表述为：该类信息一旦遭到未经授权的査看或变更，可能会对个人金融信息主体的信息安全与财产安全造成“一定影响”、“一定危害”、“严重危害”。

作为每个级别包含的个人金融信息类型，《金融信息规范》采取了“概述+不完全列举”的方式，罗列了若干具体的信息类型。那么，这是不是意味着企业应当按部就班地按照各级别列举的信息类型执行呢?我们理解，不应僵化地执行，还需要综合考虑各项条件，以多种标准灵活地判断某类数据的分级状况。

2. 场景化的标准

《金融信息规范》中明确，同一信息在不同服务场景中可能处于不同的级别，则应依据服务场景以及该信息在其中的作用对信息的级别进行识别，实施针对性的保护。

例如，低敏感程度级别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的，如经组合后构成交易授权完整要素的情况，则应提升相应的安全保障手段。

3. 动态化的标准

《金融信息规范》对个人金融信息的分级并不是固定的，而是会在特定条件下产生一定差异和转化，具体如下：

(1) 同一级别内不同信息类型的差别处理

即使是同一级别中的不同信息类型，《金融信息规范》对其的合规要求也有所不同。以“用户鉴别辅助信息”为例，其包括动态口令、短信验证码、密码提示问题答案、动态声纹密码等。分类上虽然属于C2类别，但与其他C2类相比，存在以下特殊合规要求：

不应委托给第三方机构进行处理(同于C3)
不应共享、转让(同于C3)
不应公开披露(同于C3)

同样，较为特殊的信息类型还包括C2中的“支付账号及其等效信息”(共享、转让时应使用支付标记化技术进行脱敏处理)、C3中的“个人生物识别信息”(不应公开披露)等。

(2) 同一信息类型在特定场景下的级别变化

《金融信息规范》规定，两种或两种以上的低敏感程度级别信息经过组合、关联和分析后可能产生髙敏感程度的信息，应采取针对性的保护措施。

比如：某手机厂商推出了具有动态声纹加密功能的手机，而动态声纹密码属于C2类别中的用户鉴别辅助信息。如果这类信息与账户结合使用可直接完成用户鉴别，则属于C3类别信息。

上述灵活的信息级别分类模式，一方面的确更加科学、严谨，另一方面也给企业的风控合规部门提出了新的挑战。一味的“抄作业”已经不可取了，如何将合规性要求，结合自身业务实际，转化为有效的内控措施;如何将个人金融信息的分级标准与企业自身在数据管理中沿用的数据分级、分类标准有机地统一起来，将成为金融业机构合规工作的重点和难点。

三、分级带来的重大影响?—— 与第三方机构合作风险

个人金融信息分级制度的一大影响，在于以数据为中心，对金融业机构与第三方机构的合作方式划出了红线。

《金融信息规范》中涉及第三方机构个人金融信息处理的主要条文如下：