金融數據合規管理研究 - 網安 - 專業的網絡安全產業、社區、知識平臺

0 引言

依托信息技術的發展，眾多金融基礎業務、核心流程、行業間往來等均運行在信息網絡與系統之上，金融業機構生產運行過程中產生海量金融數據，并逐步資產化。隨著數據生產要素地位的確立及大數據、人工智能等技術的應用，金融數據的重要性更加凸顯。深挖數據價值、釋放數據潛能的同時，金融數據泄露、濫用、竊取、篡改等安全風險及事件與日俱增，影響范圍也逐步從單個機構擴大至行業間、行業外，甚至影響國家安全與金融秩序^[1]。近年來，立法方面，《中華人民共和國數據安全法》（以下簡稱《數據安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護示》）等數據安全基礎性法律不斷出臺，數據安全與個人信息保護制度趨于完善；監管方面，相關主管部門從個人金融信息保護、金融數據出境安全、APP違法違規治理等方面，對金融科技產業數據合規問題進行穿透監管；消費者方面，全社會對個人信息保護的關注度與日俱增，消費者在享有金融產品和服務的過程中，越來越關注自身的金融信息安全，力求保障個人合法權益^[2]。金融數據重要性凸顯，數據法網愈發嚴密，責任體系日臻完善，金融數據合規管理體系亟需建立健全。

合規管理體系的構建首先應當明晰金融數據合規的基本概念，熟識其主要特點，在此基礎上，梳理出金融數據合規的主要依據，即由數據安全領域一般規范及金融行業數據安全管理規定構成的規則體系。合規要點建構在規則體系之上，是金融數據合規的具象化，為金融數據合規實踐提供指引。

1 概述

1.1 基本概念

金融業本質上是一種信息技術產業，與數據緊密相連^[3]。根據中國人民銀行發布的行業標準，金融數據是金融機構開展金融業務、提供金融服務以及日常經營管理所需或產生的各類數據，具體包括個人及單位等客戶數據、賬戶信息等業務數據、技術管理等經營管理數據、數據報送等監管數據4 類，每個類別可再進行二類、三類、四類的劃分，4類金融數據共302 個^[4]。金融數據重要性高、數量大、類型復雜，其安全合規管理尤其重要。金融數據合規管理是指金融機構及其員工的經營管理行為符合相關法律、行政法規、部門規章、規范性文件等要求，避免引發刑事責任、監管處罰、經濟或聲譽損失以及其他負面影響的合規風險。

1.2 主要特點

從效力上看，金融數據合規具有強制性。金融機構數據合規的法律依據是明顯具有公法性質的《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《數據安全法》《個人信息保護法》，極具國家強制力。金融業機構合規管理以相關法律的強制性規定為準繩，是要求金融業機構必須為某些行為的義務性規范及不得為某些行為的禁止性規范，不具有可選擇性。

從內容上看，金融數據合規具有全面性。金融數據合規涉及重要數據、個人金融信息、數據分類分級、數據出境等多個方面，涉及采集、傳輸、存儲、使用、銷毀等多個環節，各個方面與環節共同形成金融數據合規體系。

從效果上看，金融數據合規同時具有預防與救濟的雙重作用。事前預防體現在建立健全完善的合規體系，提前識別合規風險并有效化解，從而將風險控制在金融業機構內部；事后救濟體現在一旦面臨國家權力機關的調查，合規管理是獲得監管激勵或刑法激勵的重要方式，金融業機構可以此爭取寬大處理，從而最大限度地避免或減少合規風險。

2 規則體系

規則體系是金融數據治理的起點與基準。金融數據合規的規則體系主要由數據安全領域的一般法，和金融行業數據安全管理規定構成。

就一般法而言，其基礎架構由網絡空間治理和數據保護三駕馬車《網絡安全法》《數據安全法》《個人信息保護法》。其中，《網絡安全法》是落實國家總體安全觀的重要舉措，立法宗旨是保障網絡安全、保護人民群眾合法權益；《數據安全法》是數據安全領域的基礎性法律，主要目的是規范數據處理活動、保障數據安全并促進數據開發利用；《個人信息保護法》是保護公民個人信息的專門性法律，立法目的是保護個人信息權益、規范個人信息處理活動促進個人信息合理利用。法律之下，網信等部門獲得法律授權，得以通過部門規章、規范性文件等方式，不斷細化具體內容，逐步覆蓋數據活動的方方面面。日前，國家互聯網信息辦公室已公布《數據出境安全評估辦法（征求意見稿）》《網絡數據安全管理條例（征求意見稿）》等文件，并正在起草《個人信息出境標準合同規定》《人臉識別技術應用安全管理暫行規定》等配套規定。

行業規定可分為4種。一是鑒于金融行業的特性，部分規定在一般法之外提出行業數據合規管理的要求，如《中華人民共和國中國人民銀行法》《中華人民共和國商業銀行法》（以下簡稱《商業銀行法》）》《中華人民共和國反洗錢法》（以下簡稱《反洗錢法》）、《個人存款賬戶實名制規定》的保密規定、反洗錢義務等。二是部分規定早在一般法出臺之前就已明確，如2011 年中國人民銀行印發的《關于銀行業金融機構做好個人金融信息保護工作的通知》，這些規定與現有要求不存在沖突與抵觸，可繼續適用。三是順應一般法實施的潮流，相關主管部門制定規范性文件以提升數據安全管理能力，如《中國銀保監會監管數據安全管理辦法（試行）》《個人金融信息（數據）保護試行辦法》（未公開）。四是為配合上述文件的實施，中國人民銀行為加強所監管單位的數據安全合規管理，規范機構數據處理活動，自2020年2月起先后發布了《個人金融信息保護技術規范》《金融數據安全數據生命周期安全規范》《金融業數據能力建設指引》《金融數據安全數據生命周期安全規范》等行業標準。從效力上看，這些行業標準以推薦為主，不具有強制力，但從功能上看，可為金融機構數據合規管理提供具體的指引和參考，金融機構可選擇適用^[5]。

綜上，金融數據合規的規則體系，以《數據安全法》等一般法為主，以《商業銀行法》等金融行業規定為補充，形成金融數據雙線合規體系。

3 合規要點

各合規要點在金融數據合規體系中所發揮作用的環節、方式、主次存在差異，從差異性出發，可將合規要點分為基礎性、主要性、輔助性3個面向。基礎性面向源自其作用范圍的普遍性，如保密、資質及關鍵信息基礎設施保護，影響金融數據合規的各個環節和方面；主要性面向直接決定金融業機構數據管理是否合規及合規風險大小，由個人金融信息保護及重要數據安全兩個重要方面構成；輔助性面向是金融數據合規有效性的保障，是金融數據合規管理體系不可分割的一部分，具體包括技術措施、全流程管理、教育培訓、風險監測與應對等方面。

3.1 基礎性面向

如上所述，保密要求、資質要求、關鍵信息基礎設施保護并非直接指向數據，但相關要求構成了合規基礎，貫穿整個金融數據合規體系，如若缺失，即便在技術、制度、運營方面達到了其他數據管理要求，也仍是非合規的。

3.1.1 保密要求

因金融數據與個人切身利益、國家經濟運行息息相關，具有高隱私性和高敏感性，相較于其他行業，金融數據具有天然的保密要求和傳統。在大數據時代到來之前，我國就已形成了對金融數據的一系列保護規則和制度。例如，1995年實施的《商業銀行法》規定商業銀行應當遵循為存款人保密的原則，2006年頒布的《反洗錢法》規定金融機構對客戶身份資料和交易信息負有保密義務，2002年通過的《金融統計管理規定》規定公布金融統計資料須履行備案及批準等相關手續^[6]。

3.1.2 資質要求

與保密要求類似，許可或備案等經營資質也是金融行業的天然要求。作為金融數據合規的壓艙石，金融機構向消費者提供支付、征信、信貸等金融性質服務時，持有相應經營資質則是數據合規的應有之義。以征信為例，2020年12月26日，中國人民銀行等金融管理部門聯合約談螞蟻集團，對其征信業務提了整改要求，即“依法持牌、合法合規經營個人征信業務，保護個人數據隱私”。為此，從事征信業務的金融機構應嚴格遵守《征信業管理條例》《征信業務管理辦法》，從事個人征信業務的，應取得中國人民銀行個人征信機構許可；從事企業征信業務的，應辦理企業征信機構備案；從事信用評級業務的，應辦理信用評級機構備案^[7]。

3.1.3 關鍵信息基礎設施運行安全

作為數據的載體，關鍵信息基礎設施（以下簡稱“關基”）運行安全直接決定關基運營者所收集和存儲數據的安全和利用。根據《網絡安全法》第三十一條，金融屬于“重要行業”，是一旦運行中斷或者數據泄露，可能會對國家安全、國計民生、公共利益產生嚴重危害的關基。金融行業等關基保護的基本原則是基礎性保護與重點保護相結合，其中基礎性保護即網絡安全等級保護制度（以下簡稱“等保”），重點保護則在等保基礎上進行增強式保護。

一是踐行等保義務。《網絡安全法》第二十一條明確了網絡運營者的等保義務，根據此條，金融業機構應當在制度、技術等方面落實安全保護責任。首先，制定內部安全管理制度和操作規程，形成覆蓋全面、流程規范的管理體系；其次，采取防范攻擊、侵入等危害網絡安全行為的技術措施，及時監測發現網絡運行風險，準確規范記錄網絡安全事件；再次，分類管理數據，嚴控個人金融信息使用范圍，對重要金融數據進行備份和加密管理。二是履行等保之外關基的重點保護義務。《網絡安全法》第三十四條明確了關基的重點保護義務，根據此條，金融業機構還應當在組織機構、教育培訓、技術措施方面強化網絡安全。組織機構方面，設置專門的安全管理機構，審查安全負責人和關鍵崗位人員；教育培訓方面，對從業人員定期開展網絡安全教育、培訓、考核；技術措施方面，容災備份重要系統和數據庫，制定并定期演練網絡安全事件應急預案。

3.2 主要性面向

個人信息金融信息與個人資產狀況高度相關，一旦泄露可能會對個人財產安全構成威脅，金融行業的重要數據被稱為市場晴雨表，反映了市場運行狀況。個人金融信息保護與重要金融數據安全是金融數據合規管理的重中之重，二者共同構成了金融數據合規主要性面向。

3.2.1 個人金融信息保護

（1）個人信息與個人金融信息

2011年，《關于銀行業金融機構做好個人金融信息保護工作的通知》（以下簡稱《通知》）首次使用了“個人金融信息”這一概念。根據《通知》，個人金融信息是指銀行業金融機構在開展業務時，或通過接入中國人民銀行征信系統、支付系統以及其他系統獲取、加工和保存的個人信息，包括個人身份信息、個人財產信息、個人賬戶信息、個人信用信息、個人金融交易信息及其他個人信息。后續，《中國人民銀行金融消費者權益保護實施辦法》對消費者金融信息的界定、《個人金融信息保護技術規范》（JR/T 0171—2020）、《金融數據安全數據安全分級指南數據》（JR/T 0197—2020）等標準對個人金融信息的描述，與《通知》大同小異，且與2021 年11月1日生效的《個人信息保護法》一致。

（2）個人金融信息保護

個人金融信息保護的邏輯與規則展開以《個人信息保護法》為主，以金融行業相關文件為輔^[9]。一是遵守個人金融信息處理的規則，按照合法、必要、正當原則，收集個人金融信息應取得個人同意，使用個人金融信息應與收集目的直接相關。需要指出的是，金融機構負有賬戶實名制、反洗錢等法定職責，為履行法定職責或法定義務所必需時，可在未取得個人同意的情況下處理個人金融信息。二是響應信息主體的請求權。個人金融信息主體依法享有查閱、復制、可攜、更正、刪除、解釋說明的權利，銀行業金融機構應當及時、便捷響應信息主體的上述請求權。三是確保個人金融信息安全的義務，綜合采取管理和技術措施，包括但不限于制定內部管理制度和操作規程，采取去標識化等安全技術措施，合理確定個人信息處理的操作權限，進行合規審計、個人信息保護影響評估等。四是個人金融信息本地化存儲及出境安全評估。個人金融信息應當在本地存儲，因業務需要確需向境外提供的應當經過安全評估。安全評估的目的在于評估個人金融信息出境對國家安全及個人權益造成的風險是否可控，其基本流程為自評估、申報安全評估及收到評估結果。安全評估之外，金融業機構還應取得個人金融信息主體的單獨同意，并履行告知義務，同時保障境外接收方處理個人金融信息的活動達到《個人信息保護法》規定的個人信息保護標準。

此外，中國人民銀行于2020年2月13日發布了推薦性行業標準《個人金融信息保護技術規范》（JR/T0171—2020）。該標準在《個人信息保護法》基礎上，從技術及管理兩方面細化了個人信息安全保護要求。相比于《個人信息保護法》，該標準根據金融行業的特性，做出了更為細致更為完善的規定，如在個人信息收集方面，規定了資質與密碼方面的要求，即不應委托或授權無金融業相關資質的機構收集相關信息，用戶輸入銀行卡密碼、網絡支付密碼時，應采取展示屏蔽等措施防止密碼明文顯示等。對于金融機構而言，一方面應完全遵守《個人信息保護》所規定的義務，在此基礎上可結合自身情況，選擇適用行標對個人金融信息的安全保護要求。

3.2.2 重要數據安全

（1）重要數據目錄管理

《數據安全法》確定了重要數據目錄管理的原則。具體而言，國家有關部門肩負重要數據目錄制定及保護兩項職責；數據處理者根據已制定的目錄確定其處理的數據中是否存在重要數據，并采取相應的保護措施。特別需要指出的是，為便于金融業機構等數據處理者準確識別重要數據，重要數據目錄應當明確、具體。

（2）重要數據識別

《金融數據安全數據安全分級指南》（JR/T0197—2020）明確了金融數據中的重要數據概念及目錄。根據這一標準，重要數據的概念包含兩個要素。其一，從范圍上看，重要數據不涉及國家秘密，但與國家安全、經濟發展以及公共利益密切相關；其二，從后果看，重要數據的危害后果指向國家安全、社會公共利益、個人合法權益。該標準中對重要數據的界定與《網絡數據安全管理條例（征求意見稿）》基本一致。重要數據的目錄方面，上述《網絡數據安全管理條例（征求意見稿）》并未明確，而標準中列舉了4類重要數據，分別是反映經濟或社會特征的宏觀特征數據、覆蓋多省市金融消費者真實交易信息的衍生特征數據、行業監管機構在履職過程中未公開的受控數據、關基網絡安全缺陷信息等。金融業機構可參考這一目錄判斷、識別本機構重要數據。

但是，該標準同時指出，重要數據不包括企業生產經營管理信息及個人信息。這一規定簡單地將個人信息排除在重要數據范圍之外，存在問題。首先，重要數據與個人信息存在交叉，但不具有直接的排斥關系。國家網信辦等五部門出臺的《汽車數據安全管理若干規定（試行）》也明確指出，“包含人臉信息、車牌信息等的車外視頻、圖像數據”以及“涉及個人信息主體超過10 萬人的個人信息”屬于重要數據。其次，正如《個人金融信息保護技術規范》（JR/T 0171—2020）所描述，個人金融信息一旦泄漏，將直接侵害金融消費者的合法權益，影響金融業機構的正常運營，甚至會帶來系統性的金融風險。這一定義從個人金融信息泄漏造成的危害后果角度，說明部分個人金融信息可被認定為重要數據。

（3）重要數據保護

重要數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能會危害國家安全、公共利益，故而需要對重要數據予以特別保護。金融業機構在識別其處理的數據中存在重要數據后，需踐行以下合規要點。

一是識別其重要數據后的15 個工作日內向設區的市級網信部門備案，備案內容包括金融業機構的基本信息，處理重要數據的目的、規模、方式等。二是明確數據安全管理機構和負責人。需要說明的是，《網絡安全法》同樣賦予了關基運營者管理機構和負責人的設置義務，據此金融業機構若已根據關基要求設置了專門的安全管理機構和負責人，則不必再履行本條規定，從而避免重復設置。三是定期開展數據處理活動的風險評估，并將風險評估報告報送有關主管部門。風險評估報告由三部分構成，分別是重要數據基本情況、數據處理活動、數據安全風險及應急措施。四是數據出境安全評估。關基運營者在境內收集和產生重要數據向境外提供的原則和規則同個人信息，金融業機構可參照個人金融信息開展重要數據的安全評估。

此外，有關金融數據出境，金融行業根據行業特點細化了金融數據跨境流動規則。一方面，行業規則較一般規則更嚴密。如《個人金融信息保護技術規范》（JR/T 0171—2020）規定，應對境外機構進行現場核查，監督境外機構履行個人金融信息保密、刪除、案件協查等職責義務。這些規則比一般法確立的規則更為嚴苛，金融機構若完全遵守，必將受到更多的限制或付出更大的成本。另一方面，過于嚴格的行業規則可導致無效。《金融數據安全數據生命周期安全規范》（JR/ T 0223—2021）規定，5級數據應僅在我國境內存儲，未規定例外情況及配套措施。如上所述，重要數據定級應在5級以上，那么根據此條規定，金融數據中的重要數據在任何情況下均不允許出境，這一結論與《數據安全法》及《數據出境安全評估辦法（征求意見稿）》不符，可實施性存疑。

3.3 輔助性面向

基礎性面向、主要性面向是金融數據合規較為基礎、重要的合規義務，但并未涵蓋全面合規。上述合規義務之外，采取技術措施、形成全流程管理制度、開展教育培訓、加強風險監測等要求也在《數據安全法》等中得以明確，并在《金融數據安全數據生命周期安全規范》（JR/T 0223—2021）等中進一步細化，這些要求是金融數據全面合規的重要組成部分。

3.3.1 采取技術措施和其他必要措施

金融業機構在開展業務和進行經營管理的過程中，應采取必要技術措施，防止數據泄漏、損毀、丟失。數據傳輸時，使用加密通道或數據加密的方式傳輸，采用密碼技術、入侵檢測等防止數據傳輸中斷、篡改、偽造、竊取；數據存儲時，采取加密措施確保數據存儲的保密性，采用磁盤、磁帶、云存儲服務、網絡存儲設備等載體存、儲數據，采取邏輯隔離的方式存儲匿名化數據與個人金融信息；數據使用時，結合訪問、導出、加工、展示、開發測試、匯聚融合、公開披露、轉讓、委托處理、共享等不同應用場景，配備與之相適應的加密、隔離、脫敏、評估等措施；數據刪除時，徹底去除金融產品和服務所涉及系統及設備中的數據，使其不可被檢索、不可被訪問；數據銷毀時，對數據庫、服務器和終端中的剩余數據以及硬件存儲介質等采取數據擦除或者物理銷毀的方式，確保數據無法復原。

3.3.2 建立健全全流程數據安全管理制度

技術措施之外，金融業機構還應當建立制度體系，明確工作職責，規范工作流程，對金融數據進行采集、傳輸、存儲、使用、刪除、銷毀等整個過程的管理^[10]，以使金融數據處理行為全面合規。相關制度至少包括：一是制定金融數據保護管理規定，明確本機構數據安全策略、方針、目標和原則；二是建立日常管理及操作流程，對采集、傳輸、存儲、使用、刪除、銷毀等環節提出具體要求；三是明確數據調取權限與使用范圍，根據“業務需要”和“最小權限”原則配置訪問、使用權限，并實行專門的審批流程；四是嚴格外包服務機構及外部合作機構管理，審查和評估其能力是否達到相關要求，并通過協議約定其留存數據的范圍，明確其義務與責任并進行監督。

3.3.3 組織開展數據安全教育培訓

制定數據安全相關崗位的專項培訓計劃，按照培訓計劃定期開展數據安全意識、能力的教育與培訓，確保相關人員全面、準確掌握最新政策和相關規程。培訓周期為每年至少一次。培訓內容包括但不限于上述國家法律法規、行業規章制度、技術標準，以及金融業機構內部制度與管理規程等。對培訓結果進行評價、記錄與歸檔。

3.3.4 加強風險監測，采取應急措施，及時告知并報告

開展數據處理活動首先應當加強風險監測，安全監測的手段包括但不限于操作分析、流量分析、異常行為監測、態勢感知等。操作分析可追蹤數據生命周期過程中的相關處理行為；流量分析可對數據處理關鍵節點進行監測，告警異常流量及異常行為；異常行為監測可發現日常數據泄漏、數據篡改、數據竊取、數據非法使用；態勢感知可有效感知內部數據安全風險，并準確定位響應。其次，監測到數據安全風險時，要及時啟動風險處理預案，消除安全隱患；發生數據安全事件時，要立即采取補救措施，防止危害擴大；再次，應及時告知用戶并向有關主管部門報告。發生銀保監會監管數據泄漏或非法使用、損毀或丟失等重大安全風險事項的，應于48 h內向歸口管理部門報告。發生或者可能發生個人金融信息泄露、篡改、丟失的，要及時通知履行個人金融信息保護職責的部門和個人。

4 結束語

本文在研究相關法律法規、標準文件的基礎上，系統梳理了金融數據合規要求，對金融業機構開展數據合規建設具有指導意義。但同時應當看到，金融數據復雜多樣，金融機構千差萬別，金融數據合規工作還需結合自身業務及產品特點，方行之有效。

參考文獻

[1] 潘潤紅. 完善數據治理體系為金融科技良性可持續發展奠定基礎[J]. 清華金融評論, 2021(2):41-43.

[2] 湛煒標. 強化金融數據安全制度與技術保障[J]. 中國金融, 2021(15):39-40.

[3] 李偉. 切實做好金融數據治理和信息保護工作[J]. 中國金融, 2021(20):15-17.

[4] 孫亞東, 蔚晨. 金融機構數據安全治理實施路徑思考[J]. 中國信用卡, 2021(11):59-61.

[5] 姚卓. 金融數據治理體系建設[J]. 金融科技時代, 2020(9):33-35.

[6] 范思博. 個人金融數據跨境流動的治理研究[J/OL]. 重慶大學學報(社會科學版):1-17.

[7] 中國評測. 企業數據合規白皮書(2021)[R], 2021.

[9] 朱蕓陽. 個人金融信息保護的邏輯與規則展開[J]. 環球法律評論, 2021,43(6):56-73.

[10] 張凱. 金融數據治理的突出困境與創新策略[J]. 西南金融, 2021(9):15-27.

文章來源：信息通信技術與政策