动态与观点
- 1 -
目前数据合规法律业务的真正蓝海
事件一:2021年7月初,“滴滴出行”因数据安全问题,国家网络安全审查办公室决定对其进行审查,7月中旬,国家七部委进驻“滴滴出行”,目前仍在审查过程中。
事件二:2021年6月,历经三年酝酿、两次审议的《数据安全法》审议通过,并将于2021年9月1日正式实施,我国数据法律规范不断完善,并最终将形成以《民法典》、《国家安全法》为纲领,《网络安全法》、《数据安全法》、《个人信息安全法》为分支的数据及个人信息法律保护体系。
上述事件,不仅让“数据安全”再次进入大众视野,更让法律界重新掀起“数据合规”热潮,律师同行们的普遍认识是数据合规法律业务仍有大片蓝海,特别是互联网及大数据行业,在新的监管形势下对数据合规的需求将变得更加刚性。但同时,笔者认为“数据合规”目前真正蓝海,不仅在互联网和大数据企业,而且在于数字化转型过程中沉淀了海量数据并关乎民生的大量传统行业。
下面我们以零售、医疗、金融、房地产四大行业为例,先来分析传统企业在客户端是如何进行数据化赋能。
1.零售行业:对客户信息及客户消费记录(消费种类、购买频次、付费习惯等)进行收集分析,预测客户潜在购买机会,并进行精准推荐及活动营销。
2.医疗行业:医院及诊疗机构在临床医学、医疗器械及可穿戴设备、医疗检验中产生的大量病患数据,医药机构在临床试验中获取的试验数据,收集分析后将用于药品研发、提高医疗诊断水平,预测及预防流行病传播,同时,出现大量医疗数据分析应用公司及数据管理公司,对海量医疗数据进行分析管理,用于临床决策支持及健康管理。
3.金融行业:银行业对资产数据和交易数据(如高额物管费代缴,信用卡高消费场景)等分析高净值客户,高端财富管理及理财客户挖掘;业对客户交易频次、收益率及资金量数据分析,可分别对其进行其他理财、融资产品及投资顾问等精准推介;保险业对于家庭成员、健康情况的数据分析,进行保险复购挖掘等等;金融集团对银行、、保险等行业的整合,又可在集团间进行数据共享,跨行业实现精准营销及客户挖掘。
4.房地产行业:房地产开发商对拟开发区域的人口密度、人群消费信息优化开发策略,物业机构对小区业主的联系方式、居住习惯、家庭情况等个人信息的收集分析,可自行及与第三方合作进行装修推荐、家政服务及其他一体式服务,房产中介机构对大量二手房交易信息的处理分析,可为买卖双方提供买卖决策,甚至可用于预测房地产市场走势,并可为房产开发、银行、物流等领域提供数据服务。
我们看到,一方面,各个企业在数字化转型中加强对数据的收集、整理、分析,用于用户画像,精准营销,提高了经济效率,方便了用户生活;另一方面,用户数据属于公民个人信息,受到法律保护,这些企业在收集使用用户数据过程中如何做到合规化便成为如今一个迫在眉睫的问题。
本系列文章,笔者将结合我国数据合规主要法律体系,梳理对四大行业的主要数据合规要点,一家之言,以飨读者。本文开篇将着重梳理金融行业的数据合规要点。
- 2 -
金融行业数据合规业务的主要法律体系
- 3 -
金融数据生命周期的合规要点
一、个人信息及个人金融信息的界定
1.什么叫个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人身份的各种信息。
网络安全法列举的个人信息包括:姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码;互联网个人信息保护指南还列举了:通信记录及内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息;另外,个人信息安全规范递进式区分了个人信息和个人敏感信息,对个人敏感信息采取明示同意的加强保护制度。
2.什么叫个人金融信息
根据《个人金融信息保护技术规范》,个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。除按照网安法进行一般保护外,根据数安法分类分级保护原则,个人金融信息按敏感度从高到低分为C3、C2、C1三个类别进行分级保护 (C3主要为各类账户密码,C2主要为账户、身份证信息、短信口令、KYC信息、住址等,C1主要为开户时间、支付标记信息等)。
值得注意的是,个人信息持有者的界定,不仅仅是通过互联网提供服务的企业,还包括使用专网或非联网环境控制和处理个人信息的组织或个人。上述提到的零售、医疗、金融、房地产四大行业,包括电信、教育等传统行业,只要涉及对个人信息的控制及处理,均属于个人信息持有者范畴。
二、金融数据收集储存使用原则及特别注意事项
1.数据收集使用原则:
网络 安全法确定的三大原则:同意原则:必须经过被收集者同意;合法、正当、必要性原则:合法正当收集信息及不得收集与其服务无关的信息;公开明示原则:公开收集使用规则,明示收集使用的目的、方式及范围。
个人信息安全规范补充的:最小够用原则,确保安全原则、主体参与原则。
2.数据收集特别注意事项:
不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据。
个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息。
3.数据保存特别注意事项:
1)境内运营中的数据应境内储存,如需出境需遵守相关规定履行相应手续。
2)采取安全加密措施进行储存,收集到个人信息后,应立即进行去标识化处理,对去标识化后的数据与可用于恢复识别的信息分开管理。
3)设置一定的保存时限,对超出时限外的数据予以删除。这里存在一定的争议,保存期限有最小化原则,即为实现目的所必须的最短时间,但实践中为了方便个人信息主体查询及配合司法执法等情况,又对保存时间下限作出了规定,需要法律进一步明确,详见笔者《两个悖论---数据权利限制及数据储存期限》。
4)保存设备具有备份和恢复的功能。
4.数据使用特别注意事项:
对数据的使用不能超过与个人信息主体约定的范围,但经过处理无法识别特定个人信息且不能复原的除外(即匿名化)。但应采取相应保护措施。这里注意有两种方式:
1)匿名化:完全不能识别,经过匿名化处理的数据不属于个人信息。
2)去标识化:保留了个体颗粒度,如采取假名、加密、哈希函数等方式,可借助额外信息复原个人信息。去标识化处理的数据仍属于个人信息,其使用同样需要符合授权范围。
三、数据使用过程中的委托、共享转让及公开披露
1.委托
委托第三方处理不得超过与个人信息主体约定的范围,受托人必须具有相应安全保护能力,委托人与受托人形成委托代理关系,并需进行监督及审计。
对重点数据,不建议通过委托独立第三方方式处理使用数据,不利于监督,发生数据泄露安全风险时委托方同样需要承担相应责任,建议采取内设部门或聘请专业人员的方式统一归口管理。
2.共享和转让
原则上个人信息持有者对个人信息不得共享及转让,在需实现特定目的时,共享和转让需告知个人信息主体共享转让信息的目的、规模、接收方信息,取得个人信息主体的授权同意。以下是几种例外的情形:
1)司法行政共享:处于诉讼及争议解决需要,按照司法、行政机关的要求对外共享。
2)主动选择共享:如实现特定目的,如电商平台需向物流公司共享个人收获地址信息,才能实现交易目的。
3)关联公司共享:需严格限制向关联公司共享信息的范围,在取得同意情况下,只共享必要个人信息,并对关联公司使用信息严格约束,如敏感信息或关联公司改变使用目的,需取得再次同意。
4)授权合作伙伴共享:同样应取得个人信息主体的同意,并在共享过程中进行去标识化处理。
3.公开披露
个人信息主体的明示同意,并告知个人信息主体公开披露的目的、类型及可能披露的敏感信息,个人生物识别信息,疾病、基因信息,种族民族、宗教信仰、政治观点等信息不能公开披露。
- 4 -
其他合规要点
1.根据《关键信息基础设施确定指南(试行)》,银行业为金融行业中的关键业务。因此,商业银行一般应被认定为关键信息基础设施运营者,在履行网络运营者的一般安全保护义务的基础上,还需履行关键信息基础设施运营者的特殊义务。
2.根据《网络安全审查办法》的规定,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照该办法进行网络安全审查。其中,网络产品和服务主要指“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务”。因此,商业银行在采购网络产品和服务时,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
3.建立外包服务机构和外包合作机构管理制度,如通过协议方式,约束外部机构不得留存C2、C3类别信息,对可能接触金融数据的外部机构人员,应通过签订保密协议方式对其进行约束监督。
结 语
金融行业的数据除具有个人信息基本特性外,还包含交易信息等敏感特性,无论是在金融数据生命周期、还是对外部合作机构的监管约束上,应针对金融数据的不同类别进行分类分级的保护。
金融企业一方面要认识到金融数据合规方面的重要性,避免遭遇行政监管甚至刑事风险的被动局面,另一方面也可以通过增强合规性提高自身市场竞争力,保护客户的数据信息安全。
免责声明:本文仅为分享、交流、学习之目的,不代表尊龙凯时律师事务所的法律意见或对法律的解读,任何组织或个人均不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。