文 / 华夏银行数字化转型工作推进办公室 刘杨
龙盈智达(北京)科技有限公司 王彦博 刘骊 杨璇
当前“后大数据时代”,个人隐私与数据保护问题已上升至国家高度。2020 年 10 月召开的“十三届全国人大常委会第二十二次会议”对《中华人民共和国个人信息保护法(草案)》进行了初次审议,并已公开征求社会意见。中国的隐私与数据保护立法时代已经开启。在此时代背景下,商业银行如何建立全面有效的个人信息保护体系,做好充分准备来迎接我国《个人信息保护法》的正式生效,已成为亟待解决的重要问题。本文面向《个人信息保护法(草案)》提出 8“O”解读视角,并立足于商业银行实践提出“POSTER”框架,以期为国内同业隐私与数据保护实践提供有益的探索。
《个人信息保护法(草案)》背景及简介
个人隐私权的概念最早于1890年由美国法学界提出,进入信息化时代后,隐私权赋予了自然人控制、管理、披露和保护自己个人信息的权利。全球130多个国家相继出台了专项法律法规。2016年欧盟发布了《通用数据保护条例》(简称“GDPR”), 并于2018年5月生效,因其具备内容全面、要求严格、处罚严厉等特征,成为各国个人信息保护立法的参照典范。
我国的《中华人民共和国民法典》已于2021年1月1日正式实施,其中明确了对个人隐私、个人信息以及个人数据的保护原则及立场。《个人信息保护法》将是个人信息和隐私保护领域中与民法典相配套和并行的法律,运用民事、行政、刑事等综合性手段对个人信息加以保护。草案编写过程中,参考了国内外相关经验与实践,目前虽然处于审议阶段,但草案具有一定的成熟度,可作为各类机构、组织、企业提前进行个人信息保护合规的参考依据。
基于 8“O”视角的
《个人信息保护法(草案)》要点解读
本次提交的草案共八章七十条,内容详实。文本基于 8“O”视角进行解读,将需要重点关注的内容明确如下。
1. 保护对象及适用范围(Object)。保护对象为中华人民共和国境内自然人。适用范围包括在中华人民共和国境内处理自然人个人信息的活动,以及在境外向境内个人提供产品或服务或者分析、评估境内个人行为的活动。
2. 明确个人信息处理的基本规则(Operation)。确立了以“告知─同意”为核心的个人信息处理一系列规则,处理个人信息应当采用合法、正当的方式,遵循诚信原则,处理限于实现处理目的的最小范围,公开处理规则等。
3. 明确个人作为信息主体的权利(Ownership)。草案对个人的各项权利进行了明确,包括知情权、决定权、查询权、更正权、删除权等。
4. 明确信息处理者的义务(Obligation)。信息处理者须采取必要的管理、技术、监督措施确保个人信息处理活动符合法规规定,防止未经授权的访问以及个人信息泄露或被窃取、篡改、删除等。
5. 对敏感个人信息、未成年人信息、个人公开信息等进行了额外规定(Other Rules)。草案规定处理敏感信息时需特别向个人告知处理的必要性和影响 ;处理不满 14 周岁未成年人个人信息,应当取得其监护人的同意 ;处理已公开的个人信息,应当符合该信息被公开时的用途。
6. 数 据 境 内 存 储 以 及 出 境 要 求(Overseas)。应当将在中华人民共和国境内收集和产生的个人信息存储在境内,确需向境外提供个人信息,应当通过国家网信部门组织的安全评估。
7. 延续多头监管的格局(Ongoing Regulation)。明确国家网信部门负责个人信息保护工作的统筹协调,国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
8. 处罚形式多样,惩处力度加大,并记入信用记录(On record)。处罚形式包括责令改正、没收违法所得、给予警告、罚款、责令暂停业务、停业整顿、吊销业务许可或营业执照、治安处罚和刑事处罚等,并且违反行为将记入信用档案,予以公示。
综上,《个人信息保护法(草案)》旨在为我国个人信息的处理、共享、应用等方面建立全面的法律约束和屏障。
商业银行个人信息保护合规依据及参考
银行业金融机构须满足央行、银保监会的行业监管要求,并符合我国相关国家法规、标准等。目前已生效的主要法律、规范等参见表 1。
表 1 商业银行需遵守的
主要个人信息保护法律、规范、标准
商业银行个人信息保护体系“POSTER”框架
以中国人民银行《中华人民共和国金融行业标准 JR/T 0171—2020 个人金融信息保护技术规范》为目标,借鉴银保监会的《关于银行保险机构加强消费者权益保护工作体制机制建设的指导意见》,本文将商业银行的个人信息保护工作概括为图1中所示的“POSTER”框架。
图1 个人信息保护管理体系——“POSTER”框架
1. Policy & Protection,隐私策略及个人信息保护体系。(1)对内 :建立自上而下的治理管控体系。制定全行的个人信息保护政策及规划,建立个人信息保护委员会,指派牵头管理部门及专职管理人员,建立自上而下、由内而外的全面个人信息保护体系。
(2)对外 :树立良好的保护形象,明确委托关系中的权责边界。一方面,完善和优化银行各种个人信息收集渠道中的隐私声明,达到隐私声明的信息完备的同时,提高可读性和用户友好程度。另一方面,对数据处理委托的业务和委托方进行梳理,加强对信息处理委托方的约束和监督。
2. Operation & Awareness,将个人信息保护融入全员意识和运营操作当中。(1)将个人信息保护在业务操作中进行落地。将个人信息保护的具体要求结合各岗位操作特点融入各操作流程及规范中,并纳入员工考核内容。
(2)提升全员的个人信息保护意识。进行个人信息保护专业人员培养,并将个人信息保护纳入全行全员常态化意识培训内容中。特别需要说明的是,个人信息保护不仅是对客户的信息进行保护,也包括对本行员工、服务提供商、合作伙伴等个人信息进行保护,需将个人信息保护体现在各个管理细节中。
3. Standard Certification,开展国际、国内标准认证。(1)持续对标国际相关标准。目前与个人信息保护相关的国际标准主要有《ISO/IEC 29151 :2017 信息技术—安全技术—个人身份信息保护实务准则》《ISO/IEC 27701:2019 安全技术—ISO/IEC 27001 与 ISO/IEC 27002 隐 私信息管理的扩展—安全与指南》等。
(2)满足国内相关标准与认证。我国的国家标准《中华人民共和国国家标准 GB/T 35273—2020 个人信息安全规范》、金融业标准《中华人民共和国金融行业标准 JR/T 0171—2020 个人金融信息保护技术规范》已发布。
4. Techniques & Tools,个人信息保护技术与工具的研发。(1)信息处理技术的研究与应用。大数据背景下的数据保护技术已处于研究和实践中,如 :联邦学习、多方安全计算技术等。在保证数据安全性方面,系统和数据的抗攻击技术也有很大研究空间。
(2)个人信息保护工作的相关工具。个人信息及个人数据保护过程中需要依赖各种管理工具和技术工具,才能实现对数据的有效管理、控制与保护。常用工具总结如下(见表 2)。
表 2 个人信息保护工作中的相关工具
5. Emergency Reaction, 建 立 对信息安全事件的高效应对能力。(1)数据泄露事件的及时响应和处置能力。将数据泄露事件作为信息安全事件中的重要一类,在全行形成高效的事件评估与决策机制,以及覆盖行内的业务、科技、客服、品牌等部门和行外的合作伙伴、关联机构、主要媒体等全面联动事件应对预案。
(2)适时适度进行数据泄露事件的沟通与披露。对于可能对个人产生较大风险的数据泄露,及时采用有效沟通渠道与受影响的个人沟通事件的性质、可能的影响、已采取的措施等信息,并提供风险防范的协助与支持。
6. Regulator Communication,与监管部门的积极沟通。(1)紧跟监管机构的法规和监管动态。近几年我国个人信息保护法规和标准密集发布,逐步形成与《个人信息保护法》配套的法制强监管体系。商业银行应进行监管法规的跟踪、解读和预判,及时为行内个人信息保护的规划和执行工作提供建议和依据。
由于我国个人信息保护多头监管的格局,因此商业银行应关注多个相关机构的监管政策和行动进展动态,及时满足和回应各监管部门的相关工作要求。
(2)进行积极的监管沟通。根据相关法规要求,作为收集和处理大量个人信息的金融机构,商业银行应指定个人信息保护责任人和责任机构,并在多种业务场景下积极向监管部门进行上报和咨询。
结 语
个人信息保护是一项综合、复杂、长期的工作,需要纳入商业银行的治理框架中,融入日常管理、运营、监督审计等过程中。各商业银行亟待完善个人信息保护体系,以迎接我国个人信息保护的法治与强监管时代。