2020年2月20日，全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)(以下簡(jiǎn)稱(chēng)“金標(biāo)委”)公示了推薦性行業(yè)標(biāo)準(zhǔn)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(以下簡(jiǎn)稱(chēng)“《金融信息規(guī)范》”)，該標(biāo)準(zhǔn)由中國(guó)人民銀行于2020年2月13日發(fā)布并于當(dāng)日實(shí)施。

個(gè)人金融信息分級(jí)制度

個(gè)人金融信息分級(jí)制度是《金融信息規(guī)范》中的重要規(guī)定，也將是金融業(yè)機(jī)構(gòu)推行合規(guī)工作所繞不開(kāi)的重點(diǎn)環(huán)節(jié)。《金融信息規(guī)范》中個(gè)人金融信息分級(jí)制度的分級(jí)內(nèi)容及各級(jí)別額外要求如下表： 

一、為什么要信息分級(jí)?—— 信息分級(jí)是合規(guī)的基礎(chǔ)

從體系上來(lái)看，《金融信息規(guī)范》中個(gè)人金融信息分級(jí)的要求，與基于個(gè)人金融信息生命周期的安全技術(shù)要求與管理要求(以下稱(chēng)為“合規(guī)要求”)是融合統(tǒng)一的。

• 一方面，《個(gè)人信息規(guī)范》作為一項(xiàng)通用標(biāo)準(zhǔn)，對(duì)于個(gè)人信息的分類(lèi)方式(個(gè)人信息、個(gè)人敏感信息)及辨識(shí)度，不能滿足金融服務(wù)的實(shí)際需求。金融業(yè)機(jī)構(gòu)需要更細(xì)化的信息分級(jí)，指導(dǎo)日常的金融信息保護(hù)。
• 另一方面，信息分級(jí)也是一切數(shù)據(jù)保護(hù)與合規(guī)工作的基礎(chǔ)，有助于金融業(yè)機(jī)構(gòu)辨識(shí)不同數(shù)據(jù)的風(fēng)險(xiǎn)等級(jí)與合規(guī)難點(diǎn)，做到因人(數(shù)據(jù))而異、因地(場(chǎng)景)制宜，把握合規(guī)重點(diǎn)環(huán)節(jié)，節(jié)約合規(guī)成本

二、如何分級(jí)?—— 信息分級(jí)依據(jù)的幾種標(biāo)準(zhǔn)

1. 一般標(biāo)準(zhǔn)

《金融信息規(guī)范》主要是根據(jù)數(shù)據(jù)泄露事件發(fā)生后的嚴(yán)重性(后果)進(jìn)行分級(jí)。具體到條文中，從C1到C3級(jí)別，其分級(jí)依據(jù)分別表述為：該類(lèi)信息一旦遭到未經(jīng)授權(quán)的査看或變更，可能會(huì)對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成“一定影響”、“一定危害”、“嚴(yán)重危害”。

作為每個(gè)級(jí)別包含的個(gè)人金融信息類(lèi)型，《金融信息規(guī)范》采取了“概述+不完全列舉”的方式，羅列了若干具體的信息類(lèi)型。那么，這是不是意味著企業(yè)應(yīng)當(dāng)按部就班地按照各級(jí)別列舉的信息類(lèi)型執(zhí)行呢?我們理解，不應(yīng)僵化地執(zhí)行，還需要綜合考慮各項(xiàng)條件，以多種標(biāo)準(zhǔn)靈活地判斷某類(lèi)數(shù)據(jù)的分級(jí)狀況。

2. 場(chǎng)景化的標(biāo)準(zhǔn)

《金融信息規(guī)范》中明確，同一信息在不同服務(wù)場(chǎng)景中可能處于不同的級(jí)別，則應(yīng)依據(jù)服務(wù)場(chǎng)景以及該信息在其中的作用對(duì)信息的級(jí)別進(jìn)行識(shí)別，實(shí)施針對(duì)性的保護(hù)。

例如，低敏感程度級(jí)別的個(gè)人金融信息因參與身份鑒別等關(guān)鍵活動(dòng)導(dǎo)致敏感程度上升的，如經(jīng)組合后構(gòu)成交易授權(quán)完整要素的情況，則應(yīng)提升相應(yīng)的安全保障手段。

3. 動(dòng)態(tài)化的標(biāo)準(zhǔn)

《金融信息規(guī)范》對(duì)個(gè)人金融信息的分級(jí)并不是固定的，而是會(huì)在特定條件下產(chǎn)生一定差異和轉(zhuǎn)化，具體如下：

(1) 同一級(jí)別內(nèi)不同信息類(lèi)型的差別處理

即使是同一級(jí)別中的不同信息類(lèi)型，《金融信息規(guī)范》對(duì)其的合規(guī)要求也有所不同。以“用戶(hù)鑒別輔助信息”為例，其包括動(dòng)態(tài)口令、短信驗(yàn)證碼、密碼提示問(wèn)題答案、動(dòng)態(tài)聲紋密碼等。分類(lèi)上雖然屬于C2類(lèi)別，但與其他C2類(lèi)相比，存在以下特殊合規(guī)要求：

• 不應(yīng)委托給第三方機(jī)構(gòu)進(jìn)行處理(同于C3)
• 不應(yīng)共享、轉(zhuǎn)讓(同于C3)
• 不應(yīng)公開(kāi)披露(同于C3)

同樣，較為特殊的信息類(lèi)型還包括C2中的“支付賬號(hào)及其等效信息”(共享、轉(zhuǎn)讓時(shí)應(yīng)使用支付標(biāo)記化技術(shù)進(jìn)行脫敏處理)、C3中的“個(gè)人生物識(shí)別信息”(不應(yīng)公開(kāi)披露)等。

(2) 同一信息類(lèi)型在特定場(chǎng)景下的級(jí)別變化

《金融信息規(guī)范》規(guī)定，兩種或兩種以上的低敏感程度級(jí)別信息經(jīng)過(guò)組合、關(guān)聯(lián)和分析后可能產(chǎn)生髙敏感程度的信息，應(yīng)采取針對(duì)性的保護(hù)措施。

比如：某手機(jī)廠商推出了具有動(dòng)態(tài)聲紋加密功能的手機(jī)，而動(dòng)態(tài)聲紋密碼屬于C2類(lèi)別中的用戶(hù)鑒別輔助信息。如果這類(lèi)信息與賬戶(hù)結(jié)合使用可直接完成用戶(hù)鑒別，則屬于C3類(lèi)別信息。

上述靈活的信息級(jí)別分類(lèi)模式，一方面的確更加科學(xué)、嚴(yán)謹(jǐn)，另一方面也給企業(yè)的風(fēng)控合規(guī)部門(mén)提出了新的挑戰(zhàn)。一味的“抄作業(yè)”已經(jīng)不可取了，如何將合規(guī)性要求，結(jié)合自身業(yè)務(wù)實(shí)際，轉(zhuǎn)化為有效的內(nèi)控措施;如何將個(gè)人金融信息的分級(jí)標(biāo)準(zhǔn)與企業(yè)自身在數(shù)據(jù)管理中沿用的數(shù)據(jù)分級(jí)、分類(lèi)標(biāo)準(zhǔn)有機(jī)地統(tǒng)一起來(lái)，將成為金融業(yè)機(jī)構(gòu)合規(guī)工作的重點(diǎn)和難點(diǎn)。

三、分級(jí)帶來(lái)的重大影響?—— 與第三方機(jī)構(gòu)合作風(fēng)險(xiǎn)

個(gè)人金融信息分級(jí)制度的一大影響，在于以數(shù)據(jù)為中心，對(duì)金融業(yè)機(jī)構(gòu)與第三方機(jī)構(gòu)的合作方式劃出了紅線。

《金融信息規(guī)范》中涉及第三方機(jī)構(gòu)個(gè)人金融信息處理的主要條文如下：

• 數(shù)據(jù)收集：不應(yīng)委托或授權(quán)無(wú)金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集C3、C2類(lèi)別信息——6.1.1 a)
• 數(shù)據(jù)共享、轉(zhuǎn)讓?zhuān)篊3類(lèi)別信息以及C2類(lèi)別信息中的用戶(hù)鑒別輔助信息不應(yīng)共享、轉(zhuǎn)讓——7.1.3 a)
• 數(shù)據(jù)處理：C3以及C2類(lèi)別信息中的用戶(hù)鑒別輔助信息，不應(yīng)委托給第三方機(jī)構(gòu)進(jìn)行處理——6.1.1.4 b)
• 數(shù)據(jù)存儲(chǔ)：外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu)原則上不應(yīng)留存C2、C3類(lèi)別信息.不應(yīng)將存儲(chǔ)個(gè)人金融信息的數(shù)據(jù)庫(kù)交由外部合作機(jī)構(gòu)運(yùn)維。——7.2.1 g)

這些規(guī)定進(jìn)一步明確了持牌金融機(jī)構(gòu)與第三方機(jī)構(gòu)在金融服務(wù)中開(kāi)展(業(yè)務(wù)/技術(shù))合作的標(biāo)準(zhǔn)、內(nèi)容、范圍和邊界，特別是細(xì)化了個(gè)人金融信息在各個(gè)階段的處理方式和責(zé)任主體，對(duì)金融科技活動(dòng)的各方參與主體具有重要的指導(dǎo)意義。

對(duì)于一些金融科技企業(yè)或助貸機(jī)構(gòu)，其或?qū)⒚媾R業(yè)務(wù)規(guī)范和轉(zhuǎn)型的問(wèn)題，以往大量收集、存儲(chǔ)敏感的個(gè)人金融信息，與金融機(jī)構(gòu)聯(lián)合開(kāi)展貸款風(fēng)控、貸后催收的業(yè)務(wù)模式將難以存續(xù)。

而站在持牌金融機(jī)構(gòu)的角度，通過(guò)與金融科技公司合作、風(fēng)控外包，不過(guò)問(wèn)數(shù)據(jù)來(lái)源，只做“錢(qián)柜子”的粗放模式也不再適用。盡快適應(yīng)新監(jiān)管要求，完善自身風(fēng)控能力，并確立新型、合規(guī)的第三方合作模式，將成為下一階段合規(guī)工作的重點(diǎn)。