虽然个人信息在我国《民法典(草案)》中被放置于“人格权编”部分,通常会认为个人信息是一类具有财产属性的人格权,会体现一定的经济利益。而在各类个人信息中,个人金融信息无疑是最具财产属性的个人信息之一。通常个人信息泄露,不一定能直接造成经济损失,但个人金融信息一旦泄露会直接给个人信息主体带来巨大的经济伤害,具有更高的敏感性。
2020年2月13日,中国人民银行发布《个人金融信息保护技术规范》(JR/T 0171-2020),为个人金融信息保护打上补丁。虽然《个人金融信息保护技术规范》只是行业推荐性标准,但预期仍会在金融执法、合规过程中起到关键作用。所有提供金融产品与金融服务的机构,在“接触”个人信息时,都需要以《个人金融信息保护技术规范》为“漫游指南”。
一、概念们
二、体系
仔细研读《个人金融信息保护技术规范》的体例,可以归纳出个人金融信息合规的基本框架:
金融机构开展个人信息保护,是一个体系,不止局限于《个人金融信息保护技术规范》。比如《网络安全法》中的等级保护制度,就是金融机构收集、处理个人信息网络的基本要件。《中国人民银行金融消费者权益保护实施办法》也仍然有效,而且是部门规章,具备比行业标准更高的层级。要求金融机构至少每半年排查一次个人金融信息安全隐患;并且明确金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免。
在体系上,数据跨境也是一个敏感的问题。金融机构一旦被认定为关键信息基础设施,则需要在《网络安全法》承担数据本地化与跨境安全评估的义务,但这两项制度至今仍处于迷雾之中……再加上《中国人民银行金融消费者权益保护实施办法》与《个人金融信息保护技术规范》,这迷雾更加浓厚:
除此以外,信息屏蔽是《个人金融信息保护规范》中的关键技术措施,以降低个人金融信息的法律风险。虽然《个人金融信息保护规范》的附录列举了部分的信息屏蔽措施,但屏蔽措施的落实更需要参考《信息安全规范 个人信息去标识化指南》(GB/T 37964-2019),选取合适的技术与模型保护个人信息。
三、数据分类
《网络安全法》要求网络运营者采取数据分类、重要数据备份和加密等措施。《个人金融信息保护技术规范》根据敏感程度从高到低分为C3、C2、C1三级。
不同等级下,也对应着不同的法律义务:
四、关注
相对法律、行政法规、部门规章,《个人金融信息保护技术规范》是一份技术标准,需要金融行业的IT人员更加关注,对照自家金融机构IT系统,能否实现《个人金融信息保护技术规范》中的各项要求。
对于合规人员,则更需要关注内部管理制度的建设。技术与管理是《个人金融信息保护技术规范》中明显的两条线索。对于法律工作者,更需要对《个人金融信息保护技术规范》中涉及第三方管理的条款尤其注意,确保与第三方签订的协议内容与IT系统的设置保持一致。
而在此之上,需要金融机构高层牵头,将个人金融信息保护落实到具体责任人,协调不同部门的资源开展贯标工作。
虽然个人信息在我国《民法典(草案)》中被放置于“人格权编”部分,通常会认为个人信息是一类具有财产属性的人格权,会体现一定的经济利益。而在各类个人信息中,个人金融信息无疑是最具财产属性的个人信息之一。通常个人信息泄露,不一定能直接造成经济损失,但个人金融信息一旦泄露会直接给个人信息主体带来巨大的经济伤害,具有更高的敏感性。
2020年2月13日,中国人民银行发布《个人金融信息保护技术规范》(JR/T 0171-2020),为个人金融信息保护打上补丁。虽然《个人金融信息保护技术规范》只是行业推荐性标准,但预期仍会在金融执法、合规过程中起到关键作用。所有提供金融产品与金融服务的机构,在“接触”个人信息时,都需要以《个人金融信息保护技术规范》为“漫游指南”。
一、概念们
二、体系
仔细研读《个人金融信息保护技术规范》的体例,可以归纳出个人金融信息合规的基本框架:
金融机构开展个人信息保护,是一个体系,不止局限于《个人金融信息保护技术规范》。比如《网络安全法》中的等级保护制度,就是金融机构收集、处理个人信息网络的基本要件。《中国人民银行金融消费者权益保护实施办法》也仍然有效,而且是部门规章,具备比行业标准更高的层级。要求金融机构至少每半年排查一次个人金融信息安全隐患;并且明确金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免。
在体系上,数据跨境也是一个敏感的问题。金融机构一旦被认定为关键信息基础设施,则需要在《网络安全法》承担数据本地化与跨境安全评估的义务,但这两项制度至今仍处于迷雾之中……再加上《中国人民银行金融消费者权益保护实施办法》与《个人金融信息保护技术规范》,这迷雾更加浓厚:
除此以外,信息屏蔽是《个人金融信息保护规范》中的关键技术措施,以降低个人金融信息的法律风险。虽然《个人金融信息保护规范》的附录列举了部分的信息屏蔽措施,但屏蔽措施的落实更需要参考《信息安全规范 个人信息去标识化指南》(GB/T 37964-2019),选取合适的技术与模型保护个人信息。
三、数据分类
《网络安全法》要求网络运营者采取数据分类、重要数据备份和加密等措施。《个人金融信息保护技术规范》根据敏感程度从高到低分为C3、C2、C1三级。
不同等级下,也对应着不同的法律义务:
四、关注
相对法律、行政法规、部门规章,《个人金融信息保护技术规范》是一份技术标准,需要金融行业的IT人员更加关注,对照自家金融机构IT系统,能否实现《个人金融信息保护技术规范》中的各项要求。
对于合规人员,则更需要关注内部管理制度的建设。技术与管理是《个人金融信息保护技术规范》中明显的两条线索。对于法律工作者,更需要对《个人金融信息保护技术规范》中涉及第三方管理的条款尤其注意,确保与第三方签订的协议内容与IT系统的设置保持一致。
而在此之上,需要金融机构高层牵头,将个人金融信息保护落实到具体责任人,协调不同部门的资源开展贯标工作。
- [ 2022-08-08 ] 云顶集团动态│沈昌祥院士莅临云顶集团信安考察指导
- [ 2024-10-25 ] 云顶集团动态丨yd2333云顶电子游戏与合肥工业大学、京师合肥律所开展产学研三方合作交流
- [ 2024-10-21 ] 中国中检江苏公司认证事业部总经理冯旭升一行莅临yd2333云顶电子游戏调研交流
- [ 2024-10-03 ] 云顶集团网络安全合规治理数智平台入选安徽省工信厅第七批省级服务型制造示范
- [ 2024-10-01 ] 云顶集团动态丨yd2333云顶电子游戏9月攻防演练精彩回顾
- [ 2024-09-23 ] 网络安全进校园丨yd2333云顶电子游戏助力安徽师范大学开展2024年“国家网络安全宣传周”系列活动
- [ 2024-09-19 ] yd2333云顶电子游戏与海润天睿合肥律所签订战略合作协议