金融資料保護的美歐中立法趨勢概覽
未來金融行業的創新和發展,無疑高度依賴於資料的處理和分析,然後金融資料通常涉及個人的敏感資訊,並且具有高度精確識別性,因此對風險控制要求、資訊保安和資料防護能力以及技術處理手段,提出了更高要求。因此,從美、歐、中三個國家和地區的立法趨勢來看,對金融資料的主基調是更強的安全、更好的保護,在此基礎上,給予金融資料開放和利用一定的空間。
美國
隨著針對金融機構開展的網路攻擊和資料竊取越來越普遍,美國紐約州金融服務部(New York State Department of Financial Services)於2017年3月率先通過了“在全美境內首部”(“first-in-the-nation regulation”)針對金融機構的網路安全法規(23 NYCRR 500)。該法規從3月1日起生效。由於紐約州是美國最重要的金融中心之一,大量的金融機構將總部設立於此,因此該法規事實上成為美國金融業最新的“網路安全法”。對此,紐約州州長Andrew M. Cuomo在該法規通過時,自豪地聲稱:美國的消費者和金融體系正在遭受嚴重的經濟損害,這些經濟損害往往由國家支援的組織、全球恐怖主義網路和其他犯罪團伙造成,而紐約正在引領全國,採取了果斷的行動。以下介紹該法規的主要內容:
首先來看該法規管轄的金融機構。該法規適用於需要紐約州金融服務部(“NY DFS”)的許可、在NY DFS註冊、需NY DFS特許才可運營的實體,以及接受NY DFS監管的實體。此外該法規還適用於向上述實體提供服務的第三方服務商。由於該法規規定的網路安全義務較重,該法規還規定了以下機構可豁免某些的網路安全義務:僱用少於10人、過去三年每年在紐約經營業務取得的年度總收入不到500萬美元,以及年終總資產少於1000萬美元的組織。
其次,該法規規定的具體義務。根據該法規規定,受監管的實體必須定期評估所面臨的可能危害自身網路和資訊保安和非公開資訊(non-public information)安全的風險。而對於非公開資訊,特指:(1)如不當披露,可能對實體導致“重大不利影響”的商業資訊;(2)個人資訊,該法規中的個人資訊特指名字,或與社保號碼、駕駛證號碼、金融帳號、金融帳號密碼或生物識別資訊相結合的識別符號;(3)某些健康資訊。
該法規還規定,公司必須基於上述風險評估來制定自身的網路安全保護策略,且該策略必需能夠(1)有效防範影響非公開資訊保安性和完整性的風險威脅;(2)建立並運用“防禦基礎設施”(defensive infrastructure)來保護系統和非公開資訊;(3)有效偵測“網路安全事件”(cybersecurity events),該法規將“網路安全事件”定義為“未經授權訪問、破壞或濫用資訊系統或儲存於其資訊上的行為或企圖”;(4)有效對網路安全事件做出響應並減少損害;(5)幫助實體從網路安全事件中迅速恢復;(6)滿足監管報告的要求。
非常有意思的是,該法規對上述網路和資料安全提出了四個合規期限,分別是:
階段 |
合規義務 |
合規截止日期 |
1 |
500.02-網路安全 500.03-網路安全政策 500.04(a)-首席資訊保安官(職位) 500.07-訪問許可權 500.10-網路安全人員和情報 500.16-事故響應計劃; 其他一些輔助性條款 |
2017年9月1日 |
2 |
500.04(b)- 首席資訊保安官報告 500.05-滲透測試和漏洞評估 500.09-風險評估 500.12-多因素認證 500.14(b)-人員網路安全培訓 |
2018年3月1日 |
3 |
500.06-審計跟蹤 500.08-應用程式安全 500.13-資料留存限制 500.14(a)-關於持續監控的策略和程式的實施 500.15-非公開資訊的加密要求 |
2018年9月1日 |
4 |
500.11節-第三方服務提供商的安全政策 |
2019年3月1日 |
最後,紐約州的金融機構網路安全法規與聯邦層面對金融機構的立法——the Gramm-Leach-Bliley Act (GLBA)既有相似之處,也有顯著不同。與GLBA只覆蓋面向消費者提供金融商品和服務的公司相比,紐約州的法規管轄範圍更廣,包涵紐約銀行法、保險法或金融服務法規制運營的任何實體。就實體義務的內容來說,GLBA與紐約州的網路安全法規都採用了風險路徑(risk-based approach,即要求企業自評估風險並採取適當的安全措施),但紐約州法規所規範的方面和義務的詳細程度有大幅提升。從前文羅列的合規專案來說,可以認為紐約州法規更加關注為金融機構建立最低的安全要求。這兩點區別體現出,現今的美國立法在應對網路安全和金融資料安全風險時,無論是涵蓋的方面或者具體的安全要求,都呈擴張的趨勢。
歐盟
在歐盟,最吸引人眼球的資料方面立法莫過於《通用資料保護條例》(GDPR)。於2018年5月25日生效後,全球隨即颳起了一道GDPR旋風。GDPR中的許多元素體現了歐盟對個人資料的基本態度。例如,歐盟將個人資料保護當成基本人權;歐盟通過一部單行法GDPR覆蓋了包括公私部門在內的各行各業的個人資訊處理行為;GDPR詳細規定了個人資訊處理的基本原則,如最少夠用、目的限定、儲存期限最小化等;GDPR賦予了個人對其資訊非常廣泛的控制權利,如資料可攜帶權、被遺忘權、反對自動化決策機制權利等;GDPR對大規模處理個人資訊的企業,要求設立資料保護官(DPO);GDPR要求產品和服務應實現通過設計和預設設定實現隱私保護(Privacy by Design and by Default);GDPR重構了歐盟層面的個人資料保護的落實機制;GDPR處罰額度可高達2000萬歐元或年收入4%,兩者取其高;GDPR要求個人資料流出歐盟,應確保足夠的(adequate)保護水平等。
很有意思的是,從立法理念來說,GDPR也宣稱自己採取了與前文美國立法所堅持的風險路徑。無論是與歐盟委員會官員的私下交流,還是與德國、比利時、希臘的資料保護局(Data Protection Authority)的正式會面和合作中,筆者都能經常聽見“風險為路徑”的字眼。在2018年歐盟委員會發布的官方宣介材料——“GDPR:新機會、新義務”(The GDPR: New Opportunities, New Obligations)中,歐盟委員會也將“風險為路徑”作為GDPR的主要特徵。正如歐盟委員會報告所述,堅持風險路徑“避免繁重、僵化的義務,並根據不同風險定製化了不同的義務”(avoids a burdensome, one-size-fits-all obligation and instead tailors obligationsto the respective risks.)用大白話說則是:麵包店涉及的處理個人資料的風險,顯然和開展徵信業務的公司所涉及的風險截然不同,GDPR並不要求前者採取和後者相同的個人資料保護義務,例如任命個人資料保護官、開展資料保護影響評估等。
金融資料中主要內容也是個人資料。歐盟在通過GDPR提升對金融資料的保護水平同時,也通過“支付服務指令修正案指令”(簡稱PSD2,歐盟指令No 2015/2366)增強對金融業特別是銀行業資料的開放利用。PSD2於2016年1月12日生效,並要求各成員國於2018年1月13日前將指令轉換為國內法。從資料開放利用角度來說,PSD2最主要的內容是要求銀行允許第三方支付服務提供商(“TPP”)在獲得客戶明示同意後,得以訪問該客戶的銀行賬戶及賬戶資料,以使TPP能夠為使用者提供個性化、多樣性的賬戶資訊和支付啟動服務。這既是所謂的開放銀行(open banking)。
資料原本只為銀行掌握,但在PSD2之後TPP也能訪問使用這些資料,導致了新的網路和資料安全風險。例如,美國聯邦存款保險公司前主席Sheila Bair曾於2017年10月在《金融時報》上發表題為“為什麼我們要增加對銀行資料的網路危險”的文章中指出:開放銀行將導致資料從高度監管、高度保護的環境流向“惡劣的”環境中;“開放銀行”限制了銀行管控資料供應鏈(或生態)安全風險的能力;“開放銀行”限制了銀行做風控的能力等。
對於類似的擔憂,歐盟拿出了自己的對策。在PSD2中,TPP也納入於監管之中,同時PSD2要求歐洲銀行管理局(“EBA”)開發“監管技術標準:強使用者認證和共同安全開放通訊”(RTS on strong customer authentication and common and secure communication),確保金融資料在銀行、TPPs、付款人和收款人之間的安全流動。2017年11月27日,歐盟通過了期待已久的“監管技術標準”,該標準將於2019年9月13日生效。其中最重要的兩個內容是:
一是使用者認證。使用者認證必須基於以下三個元素的兩個或全部:使用者所知曉的(例如密碼),使用者所擁有的(例如卡或行動電話)和使用者所固有的(例如指紋或虹膜掃描)。上述元素的組合將生成一次性的認證程式碼。RTS還為每個元素建立了最低要求,以及要求將使用者交易與特定金額和特定收款人進行動態連結(如此一來對金額或收款人的任何更改都會導致驗證碼無效)。同時RTS要求保證上述元素各自的獨立性,如此任一元素的洩露不會損害到其他元素。當然,RTS也規定了在某些情況下並不需要採用強認證。
二是限制“螢幕抓取”資料。目前,TPP通常使用稱為“螢幕抓取”的技術來訪問銀行賬戶資訊並啟動支付。螢幕抓取意味著TPP在從使用者那獲取賬號和密碼後,直接訪問銀行的客戶介面並抓取資料(相當於模仿使用者行為,且不向銀行表明身份)。一般來說,銀行從安全和成本方面考慮,希望完全禁止這樣的行為,而TPP則希望能夠繼續使用螢幕抓取,至少作為後備解決方案。而在RTS生效後,銀行將主要通過API介面向TPP提供資料,只有銀行沒有提供API介面或API介面持續30秒不可用時,TPP才能使用“螢幕抓取”,且必須向銀行表明自己的身份。
中國
再來看中國。日前《個人資訊保護法》和《資料安全法》列入了十三屆全國人大常委會立法規劃。但在這兩部法律問世之前,《網路安全法》提供了迄今為止對資料安全和個人資訊保護最為全面的法律規定。它不僅吸收了2012年全國人大常委會《關於加強網路資訊保護的決定》、2013年全國人大常委會《關於修改<中華人民共和國消費者權益保護法>的決定》,以及2009年《刑法修正案(七)》和2015年《刑法修正案(九)》,還根據新的時代特徵、發展需求和保護理念,創造性地增加了部分規定,例如最少夠用原則(“網路運營者不得收集與其提供的服務無關的個人資訊”)。
《網路安全法》還明確提出了“誰收集,誰負責”的基本原則,將收集和使用個人資訊的網路運營者,設定為個人資訊保護的責任主體。第40條規定:“網路運營者應當對其收集的使用者資訊嚴格保密,並建立健全使用者資訊保護制度”。按該條款的規定,無論是在防範內部人員倒賣個人資訊,還是保障系統不被攻破導致資訊洩露等方面,收集和使用個人資訊的網路運營者都是第一責任主體。
此外,《網路安全法》與現行國際規則及美歐個人資訊保護方面的立法實現了理念上的接軌。目前,全球公認的個人資訊保護方面的主要法律文字有OECD隱私框架、APEC隱私框架、GDPR、歐美“隱私盾”協議(Privacy Shield)、美國“消費者隱私權法案(討論稿)”(Consumer Privacy Bill of Rights Act of 2015)等。綜合這些立法,可得出個人資訊保護的主要原則,包括目的明確原則、同意和選擇原則、最少夠用原則、開放透明原則、質量保證原則、確保安全原則、主體參與原則、責任明確原則、披露限制原則等。上述原則在《網路安全法》中均得到體現。
《網路安全法》還力圖在個人資訊保護和利用間實現平衡。其首先在法律層面給予個人資訊交易一定的空間。《關於加強網路資訊保護的決定》規定“不得出售”公民個人資訊;而《網路安全法》規定“不得非法出售”公民個人資訊,換句話說,《網路安全法》為我國大資料產業發展提供了空間。當然,個人資訊交易的合規條件有待後續進一步的規定。《網路安全法》還進一步規定了合法提供個人資訊的情形。規定至少在兩種情形下,可以合法對外提供個人資訊:一是被收集者也就是個人的同意;二是將收集到的個人資訊進行匿名化處理,使得無論是單獨或者與其他資訊相結合後,仍然無法識別特定個人且不能復原。
最後,《網路安全法》新增了個人資訊保安事件發生後的強制告知和報告。在全球範圍看來,包括個人資訊保安事件在內的網路安全事件的強制報告和告知均是近期的立法重點。許多國家和地區都注重通過強制對外報告和告知,進一步增強組織和機構的責任主體意識,敦促其認真對待保護個人資訊的義務。
由於《網路安全法》僅在第40到44條提供了個人資訊保護的原則和框架,實踐急需詳細、可落地的指引。在中央網信辦的指導下,全國資訊保安技術標準化委員會從2016年5月開始著手製定資訊保安技術國家標準《個人資訊保安規範》。該標準於2017年12月29日正式釋出,並於2018年5月1日正式生效。《個人資訊保安規範》立足於我國現有的法律、法規、規章、標準,並參考個人資訊保護方面最先進的國外立法和個人資訊保護方面的國際標準的基礎上,圍繞個人資訊處理的全生命週期,針對各類組織提出具體的保護要求。其定位為我國個人資訊保護工作的基礎性標準檔案,為今後開展與個人資訊保護相關的各類活動提供依據,為制定和實施個人資訊保護相關法律法規奠定基礎,為國家主管部門、第三方測評機構等開展個人資訊保安管理、評估工作提供指導和依據。在實踐中,《個人資訊保安規範》無論已經在中央網信辦對企業約談中,還在中央網信辦、工信部、公安部、國標委組織的隱私條款專項評審中,發揮了基礎性作用,成為企業在《網路安全法》時代的個人資訊保護工作的有效標尺。
2018年3月,中國銀行保險監督管理委員正式釋出了《銀行業金融機構資料治理指引》。該《指引》為實現通過資料治理實現資料價值,推動銀行業由高速增長向高質量發展轉變,從資料治理組織架構、資料管理和質量質效、監管監督等方面都做出詳細的規定。對於資料安全,該《指引》在第24條規定:“銀行業金融機構應當建立資料安全策略與標準,依法合規採集、應用資料,依法保護客戶隱私,劃分資料安全等級,明確訪問和拷貝等許可權,監控訪問和拷貝等行為,完善資料安全技術,定期審計資料安全”。與《指引(徵求意見稿)》相比,該條還新增了:“銀行業金融機構採集、應用資料涉及到個人資訊的,應遵循國家個人資訊保護法律法規要求,符合與個人資訊保安相關的國家標準。”有論者提出,該新增條款,事實上將國家標準《個人資訊保安規範》正式納入了銀行業金融機構的合規標準體系。
展望
未來金融行業的創新和發展,無疑高度依賴於資料的處理和分析,然而金融資料通常涉及個人的敏感資訊,並且具有高度精準識別性,因此對風險控制要求、資訊保安和資料防護能力以及技術處理手段提出了很大挑戰。因此,從歐美中三國的立法趨勢來看,對金融資料的主基調是更強的安全,更好的保護,在此基礎上,給予金融資料開放和利用一定的空間。
從對我國金融資料保護進行展望的角度,筆者認為有以下幾個方面可具體實施:首先,健立健全完善的法律保障體系。以《網路安全法》以及將來出臺的《個人資訊保護法》和《資料安全法》等基本法律為基石,融合《刑法》、《侵權責任法》等單行法律法規,輔以銀行、保險、證券業中與個人資訊保安保護相關的行業規章,以及《個人資訊保安規範》等有實際指導意義的國家標準,共同構建金融資料保護的完整法律保障體系。
其次,加強行政監管與行業自律管理。金融企業的行業監管機構一般為行業主管部門,建議可以仿照美國做法,要求企業全面制定合規措施和完成時限並且需要定期評估。也可以依照歐盟做法,由行業組織牽頭制定統一的監管技術標準。另外,金融機構應當對獲取客戶資訊得到客戶知情同意,告知使用目的和範圍、資訊批露與第三方共享、安全措施能力、責任承擔等,應當做出明確承諾(如《隱私權宣告》或《隱私政策》等)並隨時接受使用者、社會、行業主管機構以及自律管理機構的檢查。行業自律部門還可權根據主管機關的政策規定,切實有效地制定相關行業指引和聯合倡議、宣告等。
最後,金融企業需要提升內部合規能力。由於金融資料的特殊性與重要性,企業內部更需要高度重視合規體系建設提升自己的合規能力。比如要建立金融資料保護責任人及工作小組制度;對關鍵崗位與涉密人員需要加強內控管理,簽訂崗位責任書與保密協議等;要有先進的防火牆、強身份認證、資料加密、數字簽名、第三方認證以及網路安全監控等技術;建立資料安全防護體系,保護網路硬體安全、網路執行安全、資料傳遞安全;加強資訊保安培訓與教育,杜絕洩露、散佈、濫用、買賣客戶個人資訊,設立舉報與投訴渠道;制定資料危機事件應急方案等。
本文發表於《中國銀行業》2018年11期(2018年11月出版)
宣告:本文來自網安尋路人,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。