「 道可特法视界第1619篇原创文章 」
目 录
综合篇(一):金融行业数据治理概况
综合篇(二):金融行业数据立法分析
综合篇(三):金融行业数据监管动态综合篇(四):金融行业数据治理建议
金融行业数据立法分析
01.《金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级管理办法》2018年5月2日,该办法由中国人民银行随《关于进一步加强征信信息安全管理的通知》作为附件发布并实施,其中针对金融机构详细提出了信息安全与技术保障义务,以及针对金融信用信息违规的严厉考核标准。分析:首先,金融机构应按办法要求重视信息安全与技术保障,反映接入机构通过完善征信管理系统、采取技术措施对征信业务活动及相关风险进行管控的情况,包括系统功能、网络连接、访问控制、信息安全管理等方面。其次,需谨防下列情况发生,以免对机构企业造成整体影响:发生涉及征信信息犯罪的案件,相关机构或者人员被依法追究刑事责任的;发生征信信息泄露、买卖征信信息等事件,相关人员被依法采取刑事强制措施的;发生征信信息泄露、非法查询等违规案件,全国性接入机构被人民银行及其分支机构予以5次以上行政处罚,或者地方性接入机构被予以3次以上行政处罚,且未有效整改、征信合规状况持续恶化、存在重大风险隐患的;未经批准擅自开展征信机构业务的。02.《金融信息服务管理规定》
2018年12月26日,国家互联网信息办公室发布该规定,于2019年2月1日正式生效,明确金融信息服务是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务。分析:该规定针对金融信息服务作出了规定,明确了禁止性行为、对服务提供者的要求和惩戒方法等。具体包括:一是散布虚假金融信息、恶意解读国家财政货币政策、教唆他人实施经济犯罪、虚构金融市场事件或新闻、宣传禁止性金融产品或服务,被明文列为禁止性行为。
二是金融信息服务提供者应规范服务,从事相关业务应取得业务资质、配备与服务相适应的人员、确保信息来源可追溯、发现违法信息内容应及时采取措施,是规定对金融信息服务提供者提出的要求。三是金融信息服务提供者违规提供信息,或违反规定要求,将被采取约谈、公开谴责、责令改正、列入失信名单、行政处罚、甚至追究刑事责任,是规定对违规金融信息服务提供者的惩戒。03.《个人金融信息保护技术规范》(JR/T 0171—2020)
2020年2月13日中国人民银行发布实施金融行业标准《个人金融信息保护技术规范》(JR/T 0171—2020)。该规范规定了个人金融信息保护,以保护个人金融信息为目标,对个人金融信息全生命周期进行了全面细致的规定。分析:该规范对于行政机关进行金融数据检查工作具有参考意义,相应地,金融企业也可据此进行自查自纠。首先,根据第1条,该规范“为安全评估机构开展安全检查与评估工作提供参考”。所以,行政机构在进行有关个人金融信息的安全检查与评估工作时将参考适用该规范。其次,根据《金融规范》第1条,该规范“为安全评估机构开展安全检查与评估工作提供参考”。所以,行政机构在进行有关个人金融信息的安全检查与评估工作时将参考适用该规范。实践中,监管部门开展的多项专项整治工作也将同样把推荐性标准《安全规范》作为主要参照依据,要求相关企业据此进行整改。04.《金融控股公司监督管理试行办法》
2020年9月1日,中国人民银行发布该试行办法,于2020年11月1日生效,该试行办法在对金融控股公司提出了较为全面的监督管理要求,其中涉及客户信息、数据共享等具体方面。分析:该试行办法针对客户信息尤其是共享客户信息提出了明确要求,要求该等数据处理不得损害客户权益,明确风险承担主体,防止风险责任不清、交叉传染及利益冲突。首先,在集团内部共享客户信息时,应当确保依法合规、风险可控并经客户书面授权或同意,防止客户信息被不当使用。其次,该办法要求提供综合化金融服务时,应当尊重客户知情权和选择权,因此相关公司应将客户信息处理纳入对客户的告知范围,而不仅限于对金融服务的介绍。最后,办法对相关公司的数据存储、风险隔离提出了较高要求,要求金融控股公司应当建立健全集团整体的风险隔离机制,及时进行信息披露,否则需承担风险责任。05.《金融消费者权益保护实施办法》
2020年9月15日,中国人民银行发布该办法,于2020年11月1日生效,填补了个人金融信息保护方面的制度空白,标志着对金融消费者更为全面的信息保护。分析:该办法要求金融机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集信息的基础上新增了不得变相强制收集消费者金融信息的原则性规定。也就是说,金融机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择是否同意金融机构将其金融信息用于上述目的。除非处理其金融信息属于提供金融产品或者服务所必需时,金融机构不得因消费者不同意提供其消费者金融信息,而拒绝提供金融产品或服务,以此来有效预防个人金融信息的强制性收集。06.《金融数据安全 数据安全分级指南》(JR/T 0197–2020)
2020年9月23日,中国人民银行发布《金融数据安全 数据安全分级指南》(JR/T 0197-2020)明确了金融数据安全分级的目标、原则和定级范围。分析:该标准以数据安全性遭到破坏后可能造成的影响是作为确定数据安全级别的重要判断依据,对金融数据损坏影响程度分为具体等级,可供金融行业参考,实际执行仍需具体判别。本标准对数据影响程度分为四级:严重损害、一般损害、轻微损害、无损害。根据影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。(个人金融信息保护技术规范中定为C3、C2、C1类,分别对应4、3、2级)5级涉及影响国家安全;4级是普通金融机构最高级别数据;3级以上在公众认知里即可识别为重要数据/敏感数据;2级为企业机构内部办公常用数据;1级为可公开数据。07.《金融行业网络安全等级保护测评指南》(JR/T 0072—2020)
2020年11月11日,中国人民银行发布金融行业标准《金融行业网络安全等级保护测评指南》(JR/T 0072—2020)并生效。分析:该标准适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。本标准规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求。08.《分布式数据库技术金融应用规范》系列行业标准
2020年11月26日,中国人民银行发布了《分布式数据库技术金融应用规范 技术架构》(JR/T 0203—2020)《分布式数据库技术金融应用规范 安全技术要求》(JR/T 0204—2020)《分布式数据库技术金融应用规范 灾难恢复要求》(JR/T 0205—2020)三项行业标准,为金融数据库技术提出技术管理标准和要求。分析:该系列行业标准围绕分布式数据库技术金融应用规范进行,可在技术、安全、恢复方面为金融机构数据库搭建与升级提供标准和参考。上述文件规定了在金融领域分布式事务数据库技术的框架、功能特征和运维管理及研发测试、评估应用等方面。09.《金融业数据能力建设指引》(JR/T 0218-2021)
2021年2月9日,中国人民银行发布金融行业标准《金融业数据能力建设指引》(JR/T 0218-2021)并生效。分析:本文件适用于指导金融机构开展金融数据能力建设,规定了数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用、数据生存周期管理能力域划分,明确了相关能力项,提出了每个能力项的建设目标和思路。10.《金融数据安全数据生命周期安全规范》(JR/T 0223–2021)
2021年4月8日,中国人民银行正式发布金融行业标准《金融数据安全 数据生命周期安全规范》(JR/T 0223—2021)并生效。分析:该标准适用于为数据安全生命周期保护工作提供指导,优化资源配置,构建全周期的管理框架和安全保护体系。该标准在数据安全分级的基础上,结合金融数据特点,梳理数据安全保护要求,形成覆盖数据生命周期全过程的、差异化的金融数据安全保护要求,有助于金融业机构统筹规划并建立完善的金融数据安全保护体系。11.《金融机构反洗钱和反恐怖融资监督管理办法》
2021年4月15日,中国人民银行发布该办法,于2021年8月1日正式生效,该办法围绕反洗钱和反恐怖融资对金融机构提出了监督管理要求,其中涉及客户身份资料和交易信息的对外提供问题。分析:该办法明确,金融机构对依法履行反洗钱和反恐怖融资职责或者义务获得即依法收集的客户身份资料和交易信息,应当予以保密,非依法律规定不得对外提供。首先是在共享和使用反洗钱和反恐怖融资信息方面应当依法提供信息并防止信息泄露。其次是在对反洗钱和反恐怖融资工作信息进行报送时,金融机构应对相关信息的真实性、完整性、有效性负责。最后,中国人民银行及其分支机构进入金融机构现场开展反洗钱和反恐怖融资检查的,可以对金融机构依照规定程序和流程开展洗钱和恐怖融资风险现场评估。12.《金融数据安全 数据安全评估规范》(征求意见稿)
2021年12月3日,全国金融标准化技术委员会发布公告,就《金融数据安全 数据安全评估规范》征求意见。分析:该征求意见稿适用于金融数据安全评估使用,并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。内容上包括了金融数据安全评估触发条件、原则、参与方、内容、流程及方法,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域,及安全评估主要内容和方法。13.《金融产品网络营销管理办法(征求意见稿)》
2021年12月31日,该征求意见稿由中国人民银行、工业和信息化部、国家互联网信息办公室、中国银行保险监督管理委员会、中国证券监督管理委员会、国家外汇管理局、国家知识产权局正式发布。该征求意见稿规定的基本原则为开展金融产品网络营销,应当遵守相关法律法规制度和社会公序良俗,诚实守信,公平竞争,保障金融消费者知情权、自主选择权和个人信息安全,不得损害国家利益、社会公众利益和金融消费者合法权益。分析:该征求意见稿对金融产品的精准营销和责任划分都提出了具体要求。首先是自动化决策方面,若根据金融消费者兴趣爱好、消费习惯等开展精准营销,须同时提供不针对个人特征推送的选项或便捷的拒绝方式。其次是金融机构委托第三方互联网平台经营者开展金融产品网络营销的责任方面:第一,该等情况下,金融机构应当作为业务主体承担管理责任;第三方互联网平台经营者未按约定履行受托义务,损害金融消费者权益或造成其他不良影响的,依法承担相关责任。
第二,未经金融管理部门批准,第三方互联网平台经营者不得介入或变相介入金融产品的销售业务环节,包括但不限于就金融产品与消费者进行互动咨询、金融消费者适当性测评等。第三,金融机构利用第三方互联网平台的网络空间经营场所,应当确保业务独立、技术安全、数据和个人信息安全。第三方互联网平台经营者应当恪守信息技术服务本位,不得变相开展金融业务活动,不得借助技术手段帮助合作金融机构规避监管。第四,金融机构和第三方互联网平台应当采取必要的技术安全措施,保障数据传输的保密性、完整性,防止其他机构和个人非法破解、截留、存储有关数据。14.《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》
2022年1月19日,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员发布该办法,于2022年3月1日正式生效。该办法提出了金融机构应当勤勉尽责,遵循“了解你的客户”的原则,识别并核实客户及其受益所有人身份,针对具有不同洗钱或者恐怖融资风险特征的客户、业务关系或者交易,采取相应的尽职调查措施。分析:目前该办法于2022年2月21日因技术原因暂缓实行,但其提出的尽职调查要求和信息保存办法仍值得企业在合规时予以参考。首先,金融机构应当根据该办法以及反洗钱和反恐怖融资相关法律规定,结合金融机构面临的洗钱和恐怖融资风险状况,建立健全客户尽职调查、客户身份资料及交易记录保存等方面的内部控制制度。其次,该办法对与金融机构获取客户信息的多种场景也提出了具体要求和措施,包括但不限于金融机构怀疑客户及其交易涉嫌洗钱或恐怖融资的,证券公司、期货公司、证券投资基金管理公司以及其他从事基金销售业务的机构在为客户办理以下业务的:经纪业务;资产管理业务;向不在本机构开立账户的客户销售各类金融产品且交易金额单笔人民币5万元以上或者外币等值1万美元以上的;融资融券、股票质押、约定购回等信用交易类业务;场外衍生品交易等柜台业务;承销与保荐、上市公司并购重组财务顾问、公司债券受托管理、非上市公众公司推荐、资产证券化等业务;中国人民银行和中国证券监督管理委员会规定的应当开展客户尽职调查的其他证券业务。此外,还对金融机构应当通过来源可靠、独立的证明材料、数据或者信息核实客户身份的方式进行了列举式的规定。特别福利:加作者微信可免费获得金融行业数据合规文件汇编,前十名加微信的金融机构可以获得一次免费数据合规企业内训的机会。白小莉北京市道可特律师事务所高级合伙人
道可特知识产权全国专业委员会主任
道可特北京办公室管委会委员邮箱:baixiaoli@dtlawyers.com.cn
陈 杰北京市道可特律师事务所高级合伙人
管委会委员、金融专业委员会主任
北京市律师协会银行金融专业委员会委员
华茂金台基金管理有限公司(人民网基金)投资决策委员会委员
北海国际仲裁院仲裁员
理财师协会首席法律顾问
手机:13366052290
邮箱:chenjie@dtlawyers.com.cn