商业银行数据合规体系构想(一):构建商业银行的金融信息“护城河”
商业银行数据合规体系构想(一):构建商业银行的金融信息“护城河”
■引言
对于商业银行而言,其所从事的业务本身即对风险的经营,正如前美联储主席格林斯潘所言:"银行的基本职能是预测、承担和管理风险。"根据巴塞尔委员会制定发布的《有效银行监管核心原则》(2012版)的规定,银行所面临的风险类型包括信用风险、国家风险和转移风险、市场风险、银行账户利率风险、流动性风险、操作风险等。随着互联网技术在金融领域的深入应用以及新型互联网金融业态对传统商业银行的不断变革,互联网、大数据、电子签名等技术在商业银行开展的各项业务中使用的范围也愈加广泛,在技术迭代更新的同时也给商业银行带来了新的数据合规风险。2020年至今,中国人民银行陆续发布了《个人金融信息保护技术规范》及《金融消费者权益保护实施办法》等有关金融信息和数据保护的法律法规及国家标准。与此同时,近期频发数起商业银行个人金融信息泄露及数据安全事件,引发了监管机构的处罚行动以及公众对于商业银行的信任危机。因此,商业银行建立健全的数据风险合规体系已迫在眉睫。
对于商业银行建立数据合规体系的路径,我们通过对目前电子银行业务、互联网贷款、电子合同系统、数据外包等可能导致商业银行发生相关数据风险的业务类型进行分析,结合《网络安全法》、《电子银行业务管理办法》、《电子签名法》以及近期出台的《民法典》、《金融消费者权益保护实施办法》、《个人金融信息保护规范》等法律法规和国家标准,我们分别从个人金融信息保护、电子银行业务合规、电子合同及存证三个角度阐述商业银行数据合规体系的构建指南。本文将先就商业银行的金融信息保护规范及如何构建金融信息"护城河"进行分析与总结。
金融信息保护的规范梳理
随着国家对金融信息安全和金融消费者权益保护的重视,相关的法律法规也在陆续出台中。目前,我国针对金融信息保护、网络安全等方面制定颁布的相关法律法规及政策文件主要包括如下:
名称 |
制定机关 |
生效时间 |
数据安全法(草案) |
/ |
/ |
个人信息保护法(草案) |
/ |
/ |
民法典 |
全国人大 |
2021年1月1日 |
中国人民银行金融消费者权益保护实施办法 |
中国人民银行 |
2020年11月1日 |
信息安全技术 个人信息安全规范 |
国家市监总局、国家标准委 |
2020年10月1日 |
个人信息去标识化指南 |
国家市监总局、国家标准委 |
2020年3月1日 |
个人金融信息保护技术规范 |
中国人民银行 |
2020年2月20日 |
银行业金融机构数据治理指引 |
银保监会 |
2018年5月21日 |
网络安全法 |
全国人大常委会 |
2017年6月1日 |
电信和互联网用户个人信息保护规定 |
工信部 |
2013年9月1日 |
关于银行业金融机构进一步做好个人金融信息保护工作的通知 |
中国人民银行 |
2012年3月27日 |
关于银行业金融机构做好个人金融信息保护工作的通知 |
中国人民银行 |
2011年5月1日 |
金融机构客户身份识别和客户身份资料及交易记录保存管理办法 |
中国人民银行、银监会、保监会、证监会 |
2007年8月1日 |
个人信息信用基础数据管理暂行办法 |
中国人民银行 |
2005年10月1日 |
尽管相关法规陆续出台,但有关商业银行因个人金融信息保护不力,导致网络安全合规事件仍有频发的情况。例如,2021年1月,银保监会开出2021年的第1号罚单,某国有银行因发生重要信息系统突发事件未报告,制卡数据违规明文留存,生产网络、分行无线互联网络保护不当,数据安全管理较粗放,存在数据泄露风险,网络信息系统存在较多漏洞,互联网门户网站泄露敏感信息等六项问题被处罚400余万元。2021年2月,中国人民银行对某国有银行省级分行作出处罚,处罚的违规行为包括"未按规定收集、使用消费者个人金融信息"等。以上针对金融信息保护的"重拳"使得商业银行不得不面对信息及数据安全方面的合规风险,以确保客户的个人信息安全和社会公众利益免遭侵害。
金融信息"护城河"的合规构建
根据以上规定,目前商业银行在金融信息保护方面应从个人信息、网络安全及金融信息保护等多个方面的规定相结合。我们现从以下六个方面,对商业银行构建金融信息"护城河"的要点和建议总结如下:
(一)个人金融信息保护合规
根据《个人金融信息保护技术规范》,个人金融信息是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。商业银行除应按照《网络安全法》履行一般个人信息保护和网络安全的合规义务外,还应当履行作为"金融机构"和"个人金融信息控制者"的个人金融信息保护义务。与一般的个人信息安全保护相比,对于个人金融信息的保护主要基于"保障金融消费者"的"信息安全权等基本权利"、"严格防控金融消费者信息泄露风险,保障金融消费者信息安全"的要求,是对于金融消费者专有的信息权利提出的保护措施。具体包括如下:
(1) 遵守《网络安全法》有关个人信息保护的规定
根据《信息安全技术 个人信息安全规范》的规定,个人信息是指"以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息"。商业银行在大规模发展电子银行、开发移动互联网应用程序(App)方便客户办理业务的同时,其本身也成为了收集、使用用户个人信息的"网络运营者",应当按照《网络安全法》的要求,采取技术措施和其他必要措施,保护客户的个人信息,履行作为网络运营者的个人信息保护义务。商业银行在收集、使用个人信息时,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。不得收集与其提供的服务无关的个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
(2) 金融信息的收集、保存、使用行为合规
商业银行通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。不得将客户授权或同意其将个人信息用于营销、对外提供等作为与客户建立业务关系的先决条件、但该业务关系的性质决定需要预先做出相关授权或同意的除外。依据信息泄露、非法使用或篡改后所产生的影响和危害,个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。《个人金融信息保护技术规范》要求金融业机构应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。
(3) 个人金融信息的跨境传输合规
商业银行在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,商业银行不得向境外提供境内个人金融信息。境内商业银行为处理跨境业务且经当事人授权,向境外机构 (含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。
(二)网络安全等级保护合规
根据《网络安全法》的要求,网络运营者应当按照网络安全等级保护制度的要求,履行相应等级的安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。对于商业银行来说,国家对其在网络安全等级保护制度的基础上,实行重点保护。根据《关键信息基础设施确定指南(试行)》,银行业为金融行业中的关键业务。因此,商业银行一般应被认定为关键信息基础设施运营者,在履行网络运营者的一般安全保护义务的基础上,还需履行关键信息基础设施运营者的特殊义务。
(三)网络及数据安全审查合规
根据《网络安全审查办法》的规定,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照该办法进行网络安全审查。其中,网络产品和服务主要指"核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务"。违反本项规定的,将由有关主管部门责令停止使用,并处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下的罚款。因此,商业银行在采购网络产品和服务时,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。对于申报网络安全审查的采购活动,特别是对于涉及到数据存储、软件系统等进行业务外包时,商业银行应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
同时,根据已经处于征求意见阶段的《数据安全法(草案)》,其中拟就国家建立数据安全审查制度进行了规定,将对影响或者可能影响国家安全的数据活动进行国家安全审查,且安全审查决定为最终决定。当然,目前该安全审查还只是原则性要求,并未明确具体内容。此外,数据安全的安全审查制度与我们现有法律框架下的其他相关安全审查制度(例如《外商投资法》外商投资安全审查制度、《网络安全审查办法》关键信息基础设施运营者安全审查制度等)如何衔接和适用,可能有待于进一步法规和政策的诠释。
(四)金融消费者的权益保护合规
商业银行应当建立健全金融消费者权益保护的各项内控制度。商业银行应当加强产品和服务信息的披露,并在产品和服务推介过程中主动向银行业消费者真实说明产品和服务的性质、收费情况、合同主要条款等内容,禁止欺诈性、误导性宣传,提高信息真实性和透明度,合理揭示产品风险,以便银行业消费者根据相关信息做出合理判断。应当尊重银行业消费者的知情权和自主选择权,履行告知义务,不得在营销产品和服务过程中以任何方式隐瞒风险、夸大收益,或者进行强制性交易。
(五)金融信息保护的内控制度和文件合规
商业银行应当建立健全内部控制制度,对易发生个人金融信息泄露的环节进行充分排查,明确规定各部门、岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露或滥用事件的发生。商业银行要完善信息安全技术防范措施,确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露。商业银行要加强对从业人员的培训,强化从业人员个人金融信息安全意识,防止从业人员非法使用、泄露、出售个人金融信息。接触个人金融信息岗位的从业人员在上岗前,应当书面做出保密承诺。
结语
综上,商业银行的个人金融信息合规是随着互联网技术的不断发展和监管政策的更新而产生的新型合规问题,同时也是相关金融机构在通过电子方式开展个人金融业务时需要着重考虑的风险点。商业银行既要感知到金融信息合规方面的重要性,也需要在业务实践中通过构建金融信息"护城河"的方式增强合规性的竞争优势,保护客户和金融消费者的权益和信息安全。