您所在的位置:

九卦 2万字报告!隐私计算赋能开放银行数据合规

发布时间:2022-08-02 23:50:12 来源:竞技宝JJB 作者:竞技宝官网

产品详情/ Product description

  开放银行(Opening Bank)概念,尚无行业共识的定义。中国互联网金融协会认为,开放银行是商业银行数字化转型的重要组成部分,强调以用户为中心,以 API、SDK 等技术实现方式为特点,通过双向开放的形式深化银行与第三方合作机构的业务链接和合作,将金融服务能力与客户生活、生产场景深度融合,从而优化资源配置,提升服务效率,实现双方或多方合作共赢。

  中国人民大学在其研究中也有类似定义,认为开放银行是一种银行向第三方开放数据和服务的模式。 本文所谓的开放银行指银行通过开放数据等形式与第三方机构合作,将银行服务嵌入各类生活场景的金融服务。其主旨和核心在于数据和服务的开放和共享。

  自英国首先提出开放银行的概念后,各国家/地区开始推动本国/地区的开放银行的实践和监管。2015 年 11 月,欧洲议会和欧盟理事会发布了支付服务指令(Payment services,PSD 2),要求欧洲经济区内各国银行必须在 2018 年 1 月 13 日之前将客户数据以 API 的形式开放给第三方机构。

  截至 2020 年 12 月,英国共有 294 个受监管的供应商包括金融科技公司加入开放银行的生态系统, API 调用量从 2018 年的6680 万增加到 2020 年的近 60 亿。

  中国的开放银行主要由市场驱动,各商业银行充分结合自身特点,都在不断推进和尝试开放银行。2012 年中国银行推出首个开放平台,2015 年工行 API 开放平台上线 年 浦发银行推出无边界 API Bank,建设银行、招商银行、农业银行、平安银行等纷纷推出开放银行平台。目前各开放银行发展趋势可以概括为借助金融科技手段努力将自身产品嵌入各类场景以拓宽业务渠道。

  随着中国开放银行实践的不断深入,中国也在加紧制定规范以求在保证数据和信息安全的同时促进开放银行的发展。2019 年央行印发了《金融科技(FinTech)发展规划(2019-2021 年)》。2020 年 2 月,央行进一步发布了《商业银行应用程序接口安全管理规范》和《个人金融信息保护技术规范》。

  随着《数据安全法》以及《个人信息保护法》的出台,我国对于数据安全的监管力度进一步加大。数据的可复制性和极低的边际成本意味着一旦发生数据安全事故,个人隐私受到严重侵害,银行的数据资产的价值也会极大缩水、数据掌控能力下降,国家金融安全和信息安全也将面临威胁。

  因此,数据安全不仅是监管机构的监管重点,也是关系到银行的客户、银行本身以及国家利益的关键问题。

  本研究报告的主要目的是梳理开放银行场景中相关的数据合规性要求,探索发布一系列符合安全监管要求的开放银行数据处理策略和规则,促进开放银行生态建设,实现银行关键数据资产的安全共享与利用。

  本研究报告所研究的数据是在开放银行场景中由金融机构收集和使用的各类信息数据。开放银行信息数据主要来自个人和企业。根据数据来源主体性质的不同,可以分为个人信息与企业信息。

  个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

  其中,个人金融信息是金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。

  企业信息是企业在从事生产经营活动过程中形成的信息,以及政府部门在履行职责过程中产生的能够反映企业状况的信息等。

  企业信息可分为企业公示信息与非公示信息。《企业信息公示暂行条例》中对企业需要公示的信息进行了详细的列举,包括:

  1)企业基本信息:企业注册登记、备案信息;企业通信地址、邮政编码、联系电话、电子邮箱等信息。

  2)行政许可和行政处罚信息:行政许可取得、变更、延续信息;行政处罚信息。

  3)企业经营信息:动产抵押登记信息;股权出质登记信息;知识产权出质登记信息;企业开业、歇业、清算等存续状态信息;有限责任公司股东股权转让等股权变更信息;企业网站以及从事网络经营的网店的名称、网址等信息。

  除上述依法应当公示的信息外,企业对法律法规未做硬性要求的企业信息可以选择不公示。对于企业的商业秘密,企业还应采取适当的保密措施进行保护。

  具体到金融领域,《金融安全数据安全分级指南》中将企业信息分为基本信息,身份鉴别信息,资讯信息,关系信息,行为信息,标签信息五类。

  同时,《金融安全数据安全分级指南》还根据数据安全性遭到破坏后产生影响的大小,将上述信息的数据安全级别从高到低分成了 5 级、4 级、3 级、2 级、1 级。

  我国现行法律法规较为重视对个人信息的保护,陆续出台了《个人金融信息保护技术规范》、《个人信息保护法》等相关规定,而对企业信息的规定相对较少。因此本研究报告将重点探讨开放银行业务落地中个人信息数据的保护问题,同时也包括企业信息数据的保护问题。

  为更清晰地了解开放银行业务过程中所涉及的数据,进一步明确数据保护对象,从而有的放矢的实施数据安全管理,可以结合相关数据规范及实践对开放银行场景中的数据进行分类分析。

  就个人金融信息来说,可以根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,按敏感程度从低到高分为C1、C2、C3三个类别。区别各类信息的标准及相应示例如下表所示:

  除了上述主要分类方式,实践中,也有银行根据采集方式不同,将数据分为直接数据和间接数据。

  ,由政府主导开放电子政务数据资源,银行利用政务数据提升金融服务水平,提供普惠金融服务,推动数字政府的建设。例如,某银行与某地交警合作开发交通罚款缴费工具,提供认证、资金结算等服务。

  ,在银行联盟、行业协会或银行之间开展数据合作。例如,多家银行将接口接入统一的开放银行平台,进行数据共享。

  ,企业和银行之间进行数据合作,银行利用企业的社交、消费、生活等行为数据为金融服务提质增效;企业利用银行资金渠道拓展业务领域,双方相互促进各自业务发展。例如,某银行向停车场和地铁提供商户运营、账户管理、资金结算、网络融资等服务。除此之外,企业还可以将开放银行的服务纳入企业管理和商业运营。例如,某银行为企业提供员工工资结算、投资理财、网络融资等服务。

  ,银行利用医疗、教育等社会服务行业进一步开放数据,将开放银行嵌入社会的各个领域,帮助行业从业者获得一站式的支付解决方案。例如,某银行与医院合作,为医院提供对公综合金融服务,提供包括身份认证、费用收缴、资金结算等多种服务。

  开放银行生态圈中涉及作为数据主体的客户、银行、第三方、技术信息转接机构等各方参与者,本部分将就开放银行运行过程中涉及的不同主体的权利和义务进行分析。

  个人客户即金融信息标识的自然人,根据《个人信息保护法》,个人拥有的权利包括:

  4)查阅和复制权:个人有权查阅和复制保存在信息处理者一方的信息,信息处理者应当如实提供。

  5)可携带权:个人有权将个人信息转移至其指定的其他个人信息处理者,信息处理者应当提供转移途径。

  6)更正权:个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。信息处理者核实信息后应及时更正。

  7)删除权:在处理目的已实现、个人撤回同意等情况下,个人可以要求信息处理者删除数据等。

  由于企业数据的构成中包含大量的个人数据,因此企业数据的权利问题相对复杂,目前学界还存在一定分歧,尚未有定论。实践中,企业数据的权利被侵犯时,企业常常倾向应用《不正当竞争法》的方法,诉诸于法律途径解决问题。

  在实践中,开放银行业务涉及的企业数据主要来自企业本身,如企业交易明细等。这种情况下,可以认为企业作为数据的产生者应享有和个人同样的权利,即知情权、决定权、限制和拒绝权、可携带权、更正权、删除权等相关的权利。

  当然,数据主体享有的权利并非绝对的,与国家安全、国防安全直接相关的、和与公共安全、公共卫生、重大公共利益直接相关的个人金融信息的共享、转让、公开披露无需征得个人信息主体的授权同意。

  关于个人作为数据主体的义务,《反洗钱法》及相关规章明确规定,“金融机构应当建立健全和执行客户身份识别制度,遵循‘了解你的客户’原则,了解客户及其交易目的和交易性质, 了解实际控制客户的自然人和交易的实际受益人”,但相应的,我国法律未规定个人在办理金融业务时,必须向银行如实提供真实有效的身份信息以及开户和交易的目的、资金的来源和用途等信息,也未规定个人必须如实向金融机构告知账户或交易的受益所有人。

  尽管如此,个人不提供真实数据应承担不利后果,例如,《网络安全法》第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

  再如,《保险法》第三十二条规定,投保人申报的被保险人年龄不真实,并且其真实年龄不符合合同约定的年龄限制的,保险人可以解除合同。

  关于企业作为数据主体的义务,虽然我国法律尚未明确规定企业作为数据主体在办理金融业务时如实提供信息的义务,但诚实信用是民事主体从事经济活动的基本准则,同时,法律在其他部门法中也有明确规定,例如,《电子商务法》第二十七条规定,电子商务平台应当要求平台内经营者提交真实信息,进行核验、登记,并定期更新。

  因此,尽管尚无金融特别法明文规定个人或企业必须提交真实信息,但个人或企业在办理金融业务时也应遵循诚实信用原则,保证信息的真实性,否则将承担不利后果。

  银行是个人金融信息的控制者,是有权决定个人金融信息处理目的、方式等的机构。

  银行可以依法收集、处理、展示、披露、共享个人信息。可以对使用其数据的第三方合作者进行事前及事后监督,如设立准入门槛、评估安全能力、停止开放、降低合作等级等。

  根据《网络安全法》、《个人信息保护法》以及相关行业标准的要求,银行处理信息数据时应当履行以下义务:

  1)确保数据处理安全的义务:根据信息处理目的、处理方式、信息的种类以及对数据主体权益的影响、可能存在的安全风险等,采取相应措施保障数据安全;

  3)评估和记录义务:对于敏感信息、委托他人处理的信息、向第三方提供的信息、向境外提供的信息等,银行应当事前进行信息处理影响的评估,并对处理情况进行记录;

  4)补救和报告义务:在发生数据泄露时,要采取及时有效的补救措施并及时上报泄漏事件;

  5)关键信息基础设施运营者义务:根据《关键信息基础设施确定指南(试行)》,若银行的设施和系统被监管机构认定为关键信息基础设施,应履行如建设网络安全机制、设置专门的安全管理机构、进行风险评估等义务。

  值得特别注意的是,作为个人信息的收集者、处理者和控制者,处理个人信息侵害个人信息权益造成损害,银行不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这意味着一旦发生个人信息泄露事件,银行需承担举证责任,即使没有过错,但不能举证证明的仍旧可能面临承担损害赔偿等侵权责任的风险。

  第三方指的是利用开放银行共享数据嵌入自身行业应用场景中的各类机构和企业。现有实践表明,政务服务、校园管理、景区管理、物业服务、宗教管理、党务管理和人力资源管理等领域的机构均可成为数据的使用者。

  第三方可以利用开放银行分享的数据满足具体的场景需求, 也可以在其本身服务范围内合法收集、使用数据。

  如《个人信息保护法》规定的确保数据安全义务、合法处理数据义务、补救和报告义务等。《个人信息安全规范》规定的响应信息主体请求的义务、处理投诉的义务等。无论第三方企业/机构来自何种领域均应遵循上述法律规范。

  ,第三方业务涉及特殊行业或领域的,还需要遵循特殊领域的数据安全的要求。如交通出行类企业需遵守《汽车数据安全管理若干规定(试行)》等行业特殊的法律规范,医疗机构遵循《国家健康医疗大数据标准、安全和服务管理办法(试行)》等法律规范。

  第三方需遵循相关开放银行对于第三方的评估要求和签署的《使用协议》规定的义务。

  现有实践中,开放银行多根据公安部网络安全等级保护 2.0 标准评估第三方的技术和管理的安全等级。第三方可结合此标准自我评估是否满足开放银行的安全要求。

  除此之外,作为第三方,应严格遵守其与开放银行签署的《数据共享和使用协议》,如不得转售、不得自行留存、采取符合开放银行要求的数据安全保护措施等。

  技术信息转接机构是指伴随着开放银行业务发展起来的管理类组织,其主要负责制定统一的接口和安全规范、建设和更新服务目录,以及对开放银行参与方(银行、第三方)进行注册及管理,和对服务参与方身份验证、权限设定,及证书、密钥的管理。

  此外,技术信息转接机构也提供相应的测试服务以帮助接口和服务的落地。国外实践中已产生相应的主体,目前国内仍在探索中。

  因此,技术信息转接机构能够促使银行基于用户许可通过技术聚合平台向第三方进行数据和服务开放,实现了开放银行生态规模化发展。技术信息转接机构本身不参与具体银行业务或账户管理,仅负责数据和信息的传输。

  在国内现有监管制度安排下,商业银行对于“数据开放”总体上持谨慎态度,通常是将开放银行作为创新金融产品和服务供给模式,依托 API/SDK 等技术,通过线上场景化链接,有效触达长尾客户。

  一方面,开放银行应用方有多家银行连接的需求,支持统一的标准接口是市场的强需求;

  另一方面,银行希望规范市场合作,尤其是长尾、中小合作伙伴的合作准入,建立统一的业务安全门槛,避免出现因准入标准不统一产生的恶性竞争;

  再则,从产业可持续发展角度,需要有一个良好低成本的运营环境,避免多对多连接提高整体社会运营成本。

  在应用方面也需要加强穿透式监管的应用支持,技术信息转接机构应运而生,在国外具体实践中,已有技术信息转接机构的角色存在,如以美国为代表的市场驱动开放银行市场,就主要由 Plaid 等技术信息转接机构协助市场应用,在监管驱动模式的韩国,则由其金融清算所承担技术信息转接机构的角色。中国市场可借鉴其优点并根据自身发展特色,有效、平稳、安全地推动开放银行健康、常态发展。

  技术信息转接机构在生态中发挥了信息转接的功能,进行数据传输和汇聚,为保障合作方的利益,其承担相应的合作方管理职能,享有一定的管理权。

  技术信息转接机构主要功能包括制定统一的接口和安全规范,对开放银行参与方(银行、第三方)进行注册及管理,建设服务目录实现对参与方的身份验证、权限设定,管理证书和密钥,并更新服务目录信息,此外,为帮助市场落地提供相应的测试服务。

  按照《金融数据安全 数据安全分级指南》,汇聚融合是导致数据发生升降级的主要技术手段之一。

  汇聚融合是指对数据进行集中、清洗、转换、重组、关联分析、多方计算等处理的过程,相对于汇聚融合前的数据的安全级别,经过不同的数据汇聚融合处理手段所产生的数据,其安全级别可能上升,也可能下降。

  一般性的数据安全规范的要求:技术信息转接机构在其业务中涉及数据传输和管理,需遵循一般性数据安全规范的要求,如《个人信息保护法》、《网络安全法》、《数据安全法》、《互联网个人信息安全保护指南》等附录。

  关键信息基础设施保护的义务:技术信息转接机构作为开放银行和第三方之间的桥梁,其业务中涉及大量金融信息,一旦遭到破坏或造成泄露会严重危害国计民生和国家安全,按照《关键信息基础设施安全保护条例》的规定,应属于关键信息基础设施。

  如果技术信息转接机构被认定为关键信息基础设施,应在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件。

  1)建立健全网络安全保护制度和责任制。由技术信息转接机构的主要负责人负责信息基础设施的安全;设置安全管理机构,负责安全培训、管理、制定应急预案等;对关键岗位的责任人员进行背景审查;

  2)发生重大网络安全事件或者发现重大网络安全威胁时向保护工作部门、公安机关报告;

  3)采购网络产品和服务时按照国家有关规定与网络产品和服务提供者签订安全保密协议等。

  基于合作协议的义务:技术信息转接机构应遵循其与开放银行和第三方签订的协议,履行协议中的义务,如不得留存数据、不得转售数据等。

  作为数据交易中介服务商的义务:技术信息转接机构作为汇总、交换相关数据的渠道,属于《数据安全法》第三十三条所规范的数据交易中介服务机构,在提供数据交易中介服务过程中,必须要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

  开放银行的数据基本原则指的是数据处理者在数据生命周期的各阶段进行各种数据处理时均应遵循的根本准则,是指导监管机构制定规范、进行管理以及开放银行进行具体数据处理行为的纲领。

  根据《民法典》、《个人信息保护法》等法律规范,开放银行数据处理者需遵循合法性、公开明示、知情同意、最小够用、数据安全与可问责性、准确性六大原则。

  作为第一项基本原则,《民法典》、《网络安全法》、《数据安全法》和《个人信息保护法》等均指出处理个人信息应当遵循合法性原则,遵守国家各类法律规范,不得通过误导、欺诈、胁迫、窃取等方式处理个人信息。

  为保证信息主体对收集的知情权,本项原则要求个人信息收集者履行公开、明示义务,要求在收集前明示个人信息的收集规则,明示处理的目的、方式和范围。数据控制者应制定明确的信息处理规则并进行公开,规则的内容应包含信息处理的方式和目的。

  在公开明示原则的基础上,在收集、使用、披露、展示、共享个人金融信息时,履行告知义务,征得数据主体的同意。此原则内容分为两个部分:告知以及征得同意。数据处理者需要以容易理解的语言对数据处理的范围、过程和目的等内容进行明确的告知,告知后以合法的方式征得数据主体同意,不能采用捆绑性同意等方法。

  处理个人信息时,应当限于实现处理目的的最小范围,不得过度收集或调用个人信息,即首先确定恰当的数据处理目的,然后根据目的确定满足目的的最小范围,在调用数据时以最小的频次进行,并以最少时间存储。

  例如在从事某一特定活动时可以使用、也可以不使用个人信息时,要尽量不使用。再如,在收集个人信息时, 其所获取的个人信息应当以满足使用目的为限, 不得超出该范围收集个人信息。为达到目的如 果只需要使用权利人的非敏感个人信息,则不应该扩大信息收集和使用的范围。

  数据处理者应当采取必要措施保护信息安全。包括但不限于建立安全制度体系,采取技术保护措施,进行安全情况评估,确定信息保护负责人,定期进行安全教育和培训,制定并组织实施个人信息安全事件应急预案等。

  数据处理者应保证信息的准确性,避免因信息不准确给数据主体的权益造成不利影响。

  可以看出,我国法律规范中确定的以上几条原则基本对标欧盟《通用数据保护条例》,对信息和数据的保护采取了较为严格的态度。

  信息收集是个人金融信息生命周期的第一个环节。信息收集指获得信息的控制权的行为。

  本部分将从信息收集规则、收集同意、收集方式、停止收集几部分对开放银行数据收集的合规性进行详述。在涉及特殊信息类型和特殊信息主体时,将分别展开讨论。

  制定收集规则是进行获取数据的第一步,银行等金融机构应当制定信息收集的规则,明示收集的目的及方式。

  除制定收集规则外,正式收集信息前要经过信息主体的同意。如果法律规定需要书面做出同意表示的,还应征求书面同意。

  为保证信息主体对收集的完全知情,应以信息主体能理解的语言告知其收集者的身份、联系方式、收集目的、收集方式,收集的个人信息种类、保存期限、个人享有的权利和行使方式及程序、自身的数据安全能力、对外共享的转让的规则等。对于敏感信息,除上述告知内容外,还应当向个人告知收集敏感信息的必要性,并获得个人的单独同意。收集不满 14 周岁的自然人信息的,还应取得其监护人同意。

  开放银行不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。

  对于当事人未申请/使用的业务,不应通过捆绑产品或服务各项业务功能的方式,要求个人同意其收集。另外,如果利用 APP 收集数据,还需提供撤回同意的功能。如未向用户提供撤回同意收集个人信息的途径、方式则视为没有获得用户同意。

  在特定情况下可以不经信息主体同意进行收集。根据《个人信息保护法》等相关法律规范,在

  现行法律规范中对不同信息的收集方式和不同的渠道收集方式做出差别化规定。无论以何种方式收集何种信息,都应遵守收集方式的一般原则。

  收集个人信息应采用对个人权益影响最小的方式,并保证收集个人信息过程的安全性。一般来说安全的收集方式应当:

  C3 及敏感信息:《个人金融信息保护技术规范》、《数据安全管理办法(征求意见稿)》及《互联网个人信息安全保护指南》等法律规范对 C3 类信息及敏感信息的收集做出了特别规定。

  具体来说,收集 C3 类别信息要使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取。以经营为目的收集个人敏感信息的,应向所在地网信部门备案,并明确数据安全责任人。

  其他信息:对于除上述特殊信息的其他信息的收集,应遵守开放银行指定的收集规则和收集的一般原则。

  直接收集指由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等自动采集行为,如通过门户网站、APP 客户端等渠道从个人直接获取信息,而不经过第三者。直接收集应遵守开放银行制定的收集规则,以及收集方式的一般原则。

  间接收集指通过共享、转让、搜集公开信息等间接获取个人金融信息等行为,如银行通过对政务服务开放 API 获取信息,通过连接银联的端口获取数据。对间接收集数据的,应要求信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;了解信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除。

  委托收集指委托他人/机构按照开放银行的要求进行数据收集。首先,需要查证受托方的资质,不得委托或授权无金融业相关资质的机构收集 C3、C2 类别信息。事前对委托收集进行信息安全影响评估。委托收集过程中要记录收集情况。

  根据上述合规性要求和银行实践中的做法,就信息收集阶段,推荐按照以下流程和方案。

  制定规则程序方面,建议首先明确负责部门,由负责部门组织其他相关部门制定。然后全面梳理开放银行现有的收集的信息类型、收集方式,根据不同的类型和方式制定不同的规则。在规则制定时建议一并确定规则修改的程序。

  收集规则遵循最小范围原则,详见第 5.1.1 收集规则。具体来说,可以参考《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》对各类互联网服务可收集信息的最小范围的示范。

  就网络支付领域来说,最小信息范围信息应为:网络日志;手机号码;身份证件信息:姓名、身份证件种类、身份证件号码、身份证件有效期限、身份证件复印件或影印件;客户操作行为;交易信息;账号信息:账户、口令;银行账户信息:开户行名称、银行卡卡号、银行卡有效期、银行预留手机号;交易身份验证信息:静态密码、数字证书、电子签名、动态密码。

  a)收集者信息:基本信息;收集者的主要负责人、数据安全责任人的姓名及联系方式;

  规则制定后及时公开且应保证用户易于访问。规则可通过弹窗、文本链接、附件、常见问题(FAQs)等多种形式进行展示,但建议在页面的固定路径展示规则避免仅在用户注册时才能查阅。

  实践中,第三方和开放银行多以用户注册服务时点击同意《隐私政策》的方式进行请求授权。但我国规范中要求处理敏感信息、向境外或第三方提供个人信息的应单独告知。

  尽管对于“单独”的操作并未明确,但是参考欧盟《通用数据保护条例》(GDPR)及现有的案例 , “一揽子”请求基于不同目的的信息收集不符合公开透明性的原则。

  因此,为了符合合规要求,个人信息控制者可采用分阶段、分窗口、 分屏幕等方式逐条、明确的请求授权,以向信息主体展示信息收集者、收集目的和后果。 窗口采用的语言应清楚易懂,不能采用模糊性或概括性语言。不能采用预同意的方式取得授权。

  首先对第三方设立恰当的准入门槛。建议参考英国《开放银行标准》(The Opening Bank Standard)中的做法。根据该标准,英国采用“白名单”的方式确定“开放银行” 的参与机构。 国内开放银行可考虑成立行业联盟,并由联盟确定第三方的评估标准和方式。对符合评估要求的第三方开放服务,并允许其收集信息。

  其次,对已确定可以进入开放银行生态系统的第三方的具体应用场景,建议采用“多岗审核制”,在第三方通过开放银行的接口收集信息前,要求其提交收集的范围和目的,并由技术、法务、风险控制等部门对其安全性和必要性进行审核。

  除此之外,还建议继续使用与第三方签署承诺书或数据协议的方式,在承诺书或协议中要求第三方按照法律规定和协议收集数据并明确第三方违规的责任。

  具体来说,可以要求第三方提供数据来源合法的证明文件、要求第三方定期披露信息收集的情况并进行追踪记录,发现超出法律规定和协议约定范围的及时采取措施。

  其次,要求第三方遵守“三重授权原则”,即“用户授权”+“平台授权”+“用户授权”。 开放银行直接收集用户数据时需获得用户授权,第三方开发者通过开放银行 API 接口间接收集用户数据的,还需获得开放银行授权并再次获得用户授权。授权协议应告知数据主体授权的对象具体为哪个平台/公司的何种服务、授权的起止时间、授权范围、授权可能产生的结果等信息。

  最后,可通过一定的技术方案控制第三方可以获得的信息。建议对于敏感信息,采用强制性页面跳转,当数据主体在第三方合作者的平台上输入信息时,强制跳转到开放银行的界面,使第三方无法接触原始信息。

  建议对违规或违约收集信息的第三方进行降级处理,限制其与开放银行的合作。另外,可以考虑建立行业联盟,联盟成员可以分享违规或违约第三方的名单,提示其他银行对该第三方进行更严格的事前审核。

  数据主体的知情权确认需要各参与方共同推进。数据主体对信息的认知与收集者的认知存在差异。另外,对知情权的合规保护和用户体验之间的平衡也需要做好相应的处理和安排。

  实现合规目标的成本高。例如,法律法规要求银行对全部的第三方进行安全评估和追踪监督,然而实践中,开放银行服务有大量的第三方参与,因此较高的评估和监督成本业限制了开放银行服务的高速发展。

  因此,各银行在设计数据收集环节的操作流程时需要格外注意上述问题,同时也要密切关注新的技术进步带来的可能性解决方案。

  根据《个人金融信息技术保护规范》对使用的定义,使用指对个人金融信息进行展示、共享和转让、公开披露、委托处理、加工处理等操作的过程。从定义可以看出,“使用”包含了数据处理、数据披露、数据转让和数据共享等多种含义。

  其中,“共享”是指个人金融信息控制者向其他控制者提供个人金融信息,且双方分别对个人金融信息拥有独立控制权的过程。结合开放银行对数据共享的使用,针对数据共享的合规要求归纳为以下几点:

  首先,要对数据是否能够进行共享进行甄别、定性。例如,C3 类别信息以及 C2 类别信息中的用户鉴别辅助信息(如动态口令、短信验证码、密码提示问题答案、动态声纹密码)不应共享、转让。对于上述信息应直接从数据共享“数据池”中剔除。

  在共享个人金融信息时,要征得个人金融信息主体同意,履行告知义务。除法律法规与行业主管部门另有规定或开展金融业务所必需的数据共享与转让(如转接清算等)外,金融业机构原则上不应共享、转让其收集的个人金融信息,确需共享、转让的,需要向个人金融信息主体告知共享、转让个人金融信息的目的、数据接收方的类型,并事先征得个人金融信息主体明示同意。

  但并不是所有的个人金融信息共享行为均需要获得个人信息主体的同意,以下行为无需征得个人金融信息主体的授权同意:

  5)出于维护个人金融信息主体或其他主体的生命、财产等重大合法权益但又很难得到本人同意的;

  7)从合法公开披露的信息中收集个人金融信息的,如合法的新闻报道、政府信息公开等渠道的情况金融业机构共享、转让、公开披露个人金融信息。

  在收集到个人信息后,个人信息控制者宜立即采用去标识化、匿名化、数字偏移取整、掩码遮蔽、无效化等手段对数据进行脱敏处理。在共享个人金融信息时,不应共享未经处理的原始数据,共享 “去标识化”处理(不应仅使用加密技术) 的个人金融信息时,如确保数据接收方无法重新识别个人金融信息主体的,无需履行 5.1.2 的明示告知和征得同意的义务。例如,在共享支付账号及其他类似信息时,可采用支付标记化技术(JR/T 0149-2016)进行脱敏处理。

  为更好的保障个人金融信息的安全,进行数据共享的个人金融信息控制者应建立安全制度体系,具体包括应建立个人金融信息保护组织架构,制定个人金融信息安全影响评估制度,归档保存安全评估报告等。

  个人金融信息控制者在向第三方共享个人金融信息后,应对第三方对共享数据的使用情况进行审查与评估,评估其个人金融信息的保护能力是否达到国家、行业主管部门与金融业机构的要求。

  对数据信任问题,可以考虑启用第三方机构进行数据可信度评估,建立数据发布、下载可追溯制度,可持续对共享数据的真实性、可信度进行打分,对于可信度低甚至恶意发布误导性数据的数据提供方,采取禁号、清退等措施。

  技术层面,可以从共享者身份,共享数据来源,共享数据通道,共享数据使用等方面进行信用评估及记录,形成底层是技术资源(区块链、动态加密等),中间层是数据共享平台(身份鉴定、交易保护、安全流转等),最上层则是各行业/产业应用的立体数据共享系统。

  数据共享前,对数据的可共享性进行识别,可设置数据共享前的前置审批程序,并设立“多岗审核”机制,依据《个人金融信息保护技术规范》中的分级分类规定,由业务人员对数据进行一轮风险评估,由产品经理对数据进行二轮字段和使用场景评估,由技术人员对数据进行三轮技术层面的安全警告,使用技术手段对不具有数据共享性的用户鉴别辅助信息数据进行识别、拦截和警报,阻止该部分数据的共享,并从 “数据共享池”中删除。最终达到全流程均评估具备数据可共享性的数据才能进行对外数据共享,保证数据安全。

  在进行个人金融信息共享前,需要获得个人金融信息主体的同意,即明确授权。这要求信息收集者不仅在数据收集的时候获得个人金融信息主体的明确授权,在后续使用、分享的时候也需获得个人金融信息主体的明确授权。实践中信息收集主体往往只获得了“信息收集的明确授权”,没有遵循“用户授权+平台授权+用户授权”的三重授权原则。因此,建议信息收集主体再对外进行数据共享时,应当再次征询个人金融信息主体的同意,征询内容应当包括个人金融信息共享的目的,数据接收方的类型等。

  实际操作中可以考虑在需要对个人金融信息数据进行共享时,自动弹出窗口,注意征询收集同意的窗口应在征询共享同意的窗口之前,由用户逐个进行授权。当用户选择同意时,个人信息收集主体获得相应的授权,后续不再弹出授权同意征询窗口。对于用户选择不同意的情况,在信息收集主体再次想要对个人金融信息数据进行共享时需要再次弹出窗口进行同意征询,为防止多次弹出降低使用感受,需设置“不再弹出” 选项,由用户自行选择。

  3.敏感数据在共享时应进行“去标识化”等脱敏处理,实践中常见的脱敏做法包括进行替换、重排、加密、截断、掩码、日期偏移取整,根据不同的场景需求选择最优的脱敏方法。

  例如用户身份证号和电话号等可以进行数据替换,使用虚拟值替换真值,或者也可以“*”代替。再如,用户的名字可以使用对称加密的方法进行处理,通过加密密钥和算法进行加密,通过密钥解密可以恢复原始数据。再如,对于时间类的数据,可以采取日期偏移取证的方法,通过随机移位改变数字数据,偏移取整在保持了数据的安全性的同时保证了范围的大致真实性。

  实践中,数据脱敏手段往往采取多方案配合使用的方式,以达到更高的安全级别。另外,在涉及到开放银行数据共享的方案设计时,一方面可以采用数据脱敏技术,在源头上避免敏感数据流出。另一方面,隐私计算技术(如差分隐私、同态加密、秘密分享、混淆电路等)能做到在原始数据不离开本地的情况与第三方进行联合计算,并将结果返回给调用方。因此,隐私计算技术也可以作为数据脱敏手段使用,来打造开放银行业务场景解决方案。

  4、在应对保障个人金融信息的安全性要求时,可按照数据共享的时间顺序进行安全部署,例如在共享个人金融信息前,个人金融信息控制者应开展个人金融信息安全影响评估和个人金融信息接收方信息安全保障能力评估,同时报经行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准。

  在共享个人金融信息后,个人金融信息控制者应记录包括但不限于日期、规模、目的、范围,以及数据接收方基本情况与使用意图等在内的个人金融信息共享和转让情况,确保共享和转让的信息及其过程可被追溯。应部署信息防泄露监控工具,和流量监控技术措施,对共享、转让的信息进行监控和审计等,及时掌握泄露、盗取个人金融信息的违法行为。

  首先,数据控制者应完善组织机构建设,成立专门的数据安全管理团队,指定明确的安全保护负责人,自上而下建立从领导层面至基层的管理组织架构,包括决策层、管理层,执行层和监督层;

  其次,完善技术手段,结合具体业务场景,建立围绕数据安全生命周期的安全防护体系,实现数据安全的自动化落实;

  最后提升人员数据安全管理能力,根据内部参与人员的角色,培养内部人员的安全意识、安全能力等。

  在安全风险评估方面,首先要梳理安全基线,定期梳理面临风险,更新对应的安全策略,形成安全基线,同时进行监控审计。

  在进行安全评估时,将业务现状与安全基线对标,不断升级、优化安全措施。形成周期性的内部评估工作机制,由管理层牵头并将评估结果与绩效考核挂钩,可采取内部评估自查、应急演练、对抗模拟等形式的内部评估方法。也可以引入第三方评估,从组织架构、制度流程、技术工具、人员能力体系等维度进行数据安全能力评估。

  一些国家已经形成了比较完备的数据安全评估评测体系,例如美国的 TURSTe 认证,欧盟 GDPR 认证。2020 年 12 月,中国信息通信研究院团体标准 T/ISC-0011-2021《数据安全治理能力评估方法》推出了国内首个数据安全治理能力评估服务,为实践提供操作指南和度量准则。

  实践中,以某互联网公司为例,APP 上线前,需要经过代码检测、动态沙箱及真机模拟检测,确保各场景的数据采集合法、正当、必要。APP 上线后,通过覆盖全场景的安全切面技术对 APP 进行保护,及时发现针对 APP 的异常攻击行为,并进行细粒度动态安全管控。

  5、 对第三方的监督和约束方面,通过访谈发现,大部分的数据控制者是通过协议或合同的方式约束第三方的,需注意此种协议和合同中至少需要约定外包服务机构与外部合作机构不应留存 C2、C3 类别信息。对于 C2 类别信息中的支付账号等信息,若因清分清算、差错处理等业务需要确需留存,金融业机构应明确第三方机构的保密义务与保密责任,并应根据安全要求落实安全控制措施,将有关资料留档备查。

  对数据可共享性识别时存在一定挑战,这导致了敏感信息间接泄露的问题。恶意合作方可以利用撞库等相关技术手段,对共享的数据样本实现重标识,因此某些敏感信息或用户鉴别的辅助信息有可能被推导出来,导致敏感信息泄漏。

  开放银行的参与方在数据共享时需要建议对应的信任机制。随着开放银行数据共享的范围的扩大和参与机构数量的增多,在数据合规共享过程中,还需要关注参与方之间信任机制的建设工作,从而提升通过开放银行实现数据共享的效率。

  因此,各银行在设计数据共享使用环节的操作流程时需要格外注意上述情形,同时也要密切关注新的技术进步带来的解决方案。

  数据传输就是按照一定的规程,通过一条或者多条数据链路,将数据从数据源传输到数据终端,它的主要作用就是实现点与点之间的信息传输与交换。

  根据《个人金融信息保护技术规范》,金融机构在使用公共网络传输时需对 C2、C3 类信息进行加密传输,采用有效措施保证数据传输可靠性,并应关注该类数据的保密与委托处理限制。对于 C3 类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。

  即,开展网络支付业务时,不得委托或授权无支付业务资质的合作机构采集支付敏感信息,应采用具有信息输入、采集安全防护、即时数据加密功能的安全控件或安全芯片,采取有效措施防止合作机构获取、留存支付敏感信息。

  《商用密码应用安全性评估量化评估规则》从密码使用安全、密码管理安全和密码算法/技术安全三方面进行量化评估,其中重要数据传输机密性和完整性被纳入测评指标。

  金融机构作为网络运营者应当保证网络稳定运行。根据《信息安全技术 数据安全能力成熟度模型》,网络可用性管理是通过网络基础设施及网络层数据防泄漏设备的备份建设,实现网络的高可用性,从而保证数据传输过程的稳定性。

  网络可用性并不单纯指网络设备、服务器、节点或传输链路的通断,而是一种衡量支持业务的网络对业务所要求的连接性和性能需求的响应程度的综合信息。网络系统的可用性包括:传输链路的可用性、交换节点(如交换机和路由器)的可用性、网络拓扑结构的可用性等。

  我国并不禁止将个人信息传输至中国境外,但如果确实需要向境外提供的,需要在通过国家网信部门组织的安全评估后再进行传输。具体而言,个人金融信息如果确需向境外提供的,有如下合规要求:

  应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意;

  通过国家网信部门组织的安全评估,按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的个人信息保护安全要求;

  应与境外机构签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保护保密、数据删除、案件协查等职责义务。

  此等同意必须是个人信息主体明确授权同意。个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

  银行业通常采取与个人信息主体签署格式文本的方式,但必须对个人信息的收集、保管、处理、利用,及其相关授权的目的、可能产生的风险等向个人信息主体进行解释。

  根据数据跨境传输的相关规定,一方面,银行应自行组织对数据出境涉及到的信息交换的合法性、必要性以及安全影响进行评估,并对评估结果负责。评估报告及处理情况至少保存三年。

  另一方面,国家网信部门将根据数据出境类型、数量、范围、重要程度等,酌情组织开展主管部门评估。

  银行在开展数据出境业务时,要保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准,包括需采取各项措施、需满足各项要求及所要达成的效果。

  此外,在跨境传输中还要符合数据接收方所在国的合规要求。不过由于各国往往希望保持在网络空间和数据资源上的优势,对数据流入和流出呈现不同的管理思路,即在数据流出方面加强管控,而流入方面主张“数据自由流动”,因此对于数据跨境流通的流入基本无明确规定,持开放的态度。

  传输需要严格符合加密规则,通常采用传输通道加密和数据内容加密。常见的传输通道加密方式是 HTTPS,这属于传输层的加密;数据内容加密是对应用层的数据信息进行加密,一般通过调用加密算法实现,这属于应用层的加密。对传输层和应用层的加密主要是为了防止数据在传输过程中的“中间人”攻击。对 C3 类别中的支付敏感信息的安全防护,各商业银行、支付机构在客户端软件与服务器、服务器与服务器之间应进行通道加密和双向认证,相当于为此类数据的安全上了多层保险。

  哈希算法(HASH)的过程是将输入的任意长度的明文信息通过哈希算法转换成固定长度的散列值的输出。由于哈希过程是从任意长度转换到固定长度,所以对于数据来说这种转换是一种压缩映射,也就是说,输出的散列值的空间通常小于输入数据的空间。由于哈希算法的关键特性是不同的数据在经过散列算法后可能会得出相同的散列值,但无法通过散列值来确定唯一的原数据输入,因此哈希算法是单向算法,这也是其不可逆的原因。目前常用的哈希算法有国密 SM3 和 SHA256 等算法。哈希算法主要用在不可还原的密码存储、信息完整性校验、数据签名等方面。

  对称加密和非对称加密的工作原理相同,两者的区别在于,对称加密的加密密钥和解密密钥使用同一个密钥,而非对称加密的加密密钥和解密密钥使用不同的两个密钥。

  对称加密算法是应用较早、技术更成熟的加密算法。在对称加密算法中,明文数据在由发送方发送之前和加密密钥一起经过特定加密算法进行加密,形成复杂的加密密文数据后被发送出去。接收方接收到密文数据之后,如果想解读明文数据,就必须使用相同的加密密钥经过相同加密算法的拟算法进行解密,才能恢复成加密前的明文数据。 由于对称加密的加密和解密使用的是同一个密钥,这就要求接收方需要事先持有发送方进行加密的密钥。对称加密算法的优点是加密解密的高速度、高效率和使用长密钥时的难破解性;其缺点是由于加密解密均使用同样的密钥,一旦密钥泄露,安全性得不到保证;另外由于加密解密使用同一个密钥,为了保证安全性每次传输都要生成一个唯一的密钥,这还导致密钥数量将呈几何级增长,密钥难以管理。对称加密算法主要有 SM4、3DES、AES 等算法。

  非对称加密算法需要两个密钥,即公开密钥和私有密钥,公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。非对称加密算法的优点是由于公私钥是不同的,所以在分发和管理上相对简单,密钥数量也远远小于对称加密的密钥数量;其安全性远远高于对称加密的安全性,即使公钥任何被泄露,也无法解密信息。其缺点是在加密解密的速度上要比对称加密慢不少,计算量和资源消耗大。常见的非对称加密算法有 RSA、DSA、ECDSA 以及国密 SM2 等。

  对称加密常与非对称加密联合使用打造安全高效的一次一密的通讯链接方式。除上述数据加密技术外,在数据加密传输的过程中还涉及一些技术手段,例如数字证书技术,密钥管理技术,安全传输通道等。

  另外,一些隐私计算技术(如差分隐私、同态加密、私密共享等)也可以为开放银行打造基于数据价值流通的安全通道,并且避免原始数据的传输。在某些只需要原始数据参与计算、向制定参与方返回计算结果的开放银行业务场景中,利用隐私计算技术能够从根本上解决数据共享带来的潜在数据泄露风险。

  避错就是通过改进硬件的设计和制造工艺,和/或选择成熟可靠的软硬件等来防止网络系统的错误产生,从而提高网络的可靠性。避错方法可涉及硬件、软件和管理措施,体现以预防为主的思想。

  容错就是当出现某些硬件故障或软件错误时,系统仍然不失效而能够执行规定的一组程序,或者程序不会因系统中的故障而中止或被修改,并且执行结果也不包含系统中故障所引起的差错。冗余技术是容错的主要手段。

  检错包括故障检测和故障诊断两方面,故障检测的作用是确定故障是否存在,故障诊断的作用是确定故障的位置。通常的检错是从故障现象出发,以网络诊断工具为手段获取故障诊断信息,确定网络故障点,查找问题的根源。

  恢复是在网络出现故障时,通过排除故障来恢复系统的可用性。排错方法通常可以分为分层故障排除方法、分块故障排除方法、分段故障排除方法和替换排除方法。

  经与多家银行访谈,大多数银行较少涉及数据出境业务,尚未形成跨境传输的相关实践。但开放银行在进行评估时可参考《信息安全技术个人信息安全影响评估指南》、《信息安全技术 数据出境安全评估指南(征求意见稿)》、《个人信息和重要数据出境安全评估办法(征求意见稿)》等文件中的方法论及流程。

  具体而言,包括评估总体流程、安全自评估流程、主管部门评估流程。安全自评估流程包括:启动条件、工作组、制定数据出境计划、评估要点及方法、评估报告等。主管部门评估流程包括:启动条件、评估方案、工作组、评估要点及方法、评估报告、专家委员会审议等。

  (一)数据出境的必要性;(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;(三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;(四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;(六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;(七)其他需要评估的重要事项。通过对个人信息的类型、重要数据的影响程度等级以及安全事件可能性等级进行综合判定,得出数据出境安全风险级别为:低、中、高、极高。

  此外,开放银行作为网络运营者,还需出具“个人信息出境安全风险及安全保障措施分析报告”,该等报告材料的内容至少包括如下内容:(一)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等;(二)个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等;(三)个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。

  合作方实际行为难以监控。在客户信息传输方面,银行一方会对客户敏感信息进行加密传输,并且合作方承诺不能对信息做其他处理,然而合作方的相关承诺与其实际行为的一致性难以完全监控。

  数据传输涉及到的审核流程、技术方案尚不完善。传统的审核方式的优势是精细、准确,但对大字段内容的审核效果较差,往往需要人工介入,导致整体效率偏低;新兴的审核技术的优势是自动化程度高、对不同类型的数据适配性好,但是学习成本较高,对 IT 基础有一定的要求,这导致新兴技术手段的实施成本较高。

  因此,银行在设计数据传输相关的操作流程时要格外重视上述问题,同时关注相关技术进展,不断改进现有实践。

  在开放银行领域,数据存储是指银行在提供金融产品和服务、开展经营管理等活动中,将数据进行持久化保存的过程,包括但不限于云存储服务、网络存储设备等载体存储数据。

  数据安全存储指在存储环节,应保护数据免受未经许可而故意或偶然的传送、泄露、破坏、修改,是标志程序和数据等信息的安全程度的重要指标。

  保密性一般是指对数据进行加密,只有授权者方可使用。在数据存储环节主要依赖于先进的加密技术措施和科学的管理体系,保证数据不被窃取。

  完整性指数据未经授权不得进行修改,确保数据在存储过程中不被篡改、破坏、盗用、丢失。

  可用性指经授权的合法用户能够得到系统和网络提供的正常服务,而不因采取避免数据泄露的措施而拒绝合法使用者。数据的完整性和可用性主要依靠技术措施来保障。

  开放银行应通过数据的加密、解密技术,可以让客户随时安全地取用数据。存储个人敏感信息时,应采用加密等安全措施。数据存储加密一般需要对结构化数据的某几个敏感字段加密,比如含有个人隐私信息的字段。

  关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。个人信息和重要数据保护是国家网络安全整体工作的一部分,因此该项要求既普遍适用于各行业,同时也强调结合行业特点,发挥行业监管部门的作用。

  银行业一贯负有客户资料保密义务,要求对客户的身份资料、账户信息、交易信息等予以保密。进入信息时代以后,客户资料普遍实现了信息化和数字化,对客户资料的保密自然也就延伸到对客户信息和数据的保密。

  金融监管部门主导的个人金融信息的存储要求,发端于 2011 年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称“17 号文”)。17 号文确立了中国个人金融信息存储的基本框架,即“本地存储+处理+分析”。

  数据分类分级是法律明确规定的银行等金融机构合规责任。通过对数据的分类分级,识别数据的具体价值,金融机构能够确定以何种适当的策略进行数据存储。我国企业应当按照网络安全等级保护制度的要求,采取数据分类等措施,并应当对其中的重要数据采取备份、加密等措施。

  数据分类与分级的含义不同,可以进行拆分理解。数据分级指按照一定的原则对数据进行定级,从而为数据的开放和共享安全策略制定提供支撑的过程。数据分类主要是根据数据的某种共同属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用数据的过程。数据分级通常考虑数据的敏感程度和数据遭破坏后导致的影响程度,数据分类通常更多是从业务角度或数据管理的角度出发的。

  存储期限最小化,要求信息的保存时间应是使用目的所需的最短时间,法律、行政法规另有规定的除外。在超过保存期限后,即应对信息作出删除或匿名化处理。

  采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。依据此条款,包含个人信息的相关网络日志至少需要保存六个月。

  “去标识化”是指通过对个人金融信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。

  个人信息控制者对存储和传输的个人敏感信息采取响应的安全措施(加密、审计、脱敏等),对于生物识别类信息,应采用技术措施处理后再行存储。该处理方式与去标识化处理方式存在差异,去标识化处理主要是针对信息的个体特征处理,使该信息失去独立识别信息主体的能力,而此处涉及的技术措施是对生物识别信息通过加密技术手段存储或只存储该信息的摘要部分。金融机构应对委托处理的信息采用去标识化(不应仅使用加密技术)进行脱敏处理。

  一些新兴的隐私计算技术也可以用来保护敏感数据。例如,针对只需要群体分布信息的场景下,差分隐私技术可以用来给数据加入一些人为可控的扰动项,从而保证群体数据的分布不变,个体的信息完全被隐藏。同态加密技术也可以用来将原始数据完全加密,数据的计算参与方仍旧可以在密文上完成计算任务,输出密文结果。只有拥有密钥的一方才能将计算结果解密还原。同态加密技术能够将数据的计算方和结果方完全分离,为数据的共享权限管理提供了更精细化的解决方案。

  另外,通过隐私计算技术与人工智能建模相结合,即可打造原始数据不出域的联合模型训练技术——联邦学习技术。此项技术可完成基于多方样本数据的联合模型训练,并且各方的样本数据是在去标识化后参与模型训练的,从而有效的保护了个体信息。训练好的联合模型可以存储下来,供后续模型推理服务所用,因此这也是一种数据去标识化存储的有效手段。在模型的推理阶段,也需要利用有效的技术手段如同态加密、或多方安全计算协议对模型参数予以保护,从而有效保证一方无法通过解密反推出个体信息或模型参数。

  2019年 10 月 16 日国家认证认可监督管理委员会发布并实施《金融科技产品认证规则》,将“云计算平台”作为金融科技产品中的其中一类,包括各金融机构自建、自用、自运行、自维护的私有云和供各金融机构使用和共享的团体云。实践中,金融云的部署方式以私有云、团体云及上述两者的混合云为主。

  2020年 10 月 16 日,中国人民银行发布了《云计算技术金融应用规范--技术架构》(JR/T 0166—2020)、《云计算技术金融应用规范--安全技术要求》(JR/T 0167— 2020)、《云计算技术金融应用规范--容灾》(JR/T 0168—2020)。

  上述三项标准,结合《信息安全技术--云计算服务安全指南》(GB/T 31167-2014)和《信息安全技术--云计算服务安全能力要求》(GB/T 31168-2014),共同构成了金融云的标准体系。

  该金融云的标准体系结合了金融云的运行机制与风险特征,从基本能力、网络安全、数据保护、运行环境安全、业务连续性保障等方面提出了有针对性的技术要求,确保金融云在安全性、稳定性、适配性等方面满足监管要求和行业需求,防范因云服务缺陷引发的风险向金融领域传导。

  物理隔离,是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。在适用于金融行业时,是指将云计算数据中心在基础设施层面与其他行业进行隔离,对物理服务器、网络接入设施等均实现隔离。

  物理隔离实现网络在逻辑上和物理上都与其他网络隔离开,是网络安全防护的最高等级防护措施。由于金融业务虚拟性、在线化的特点,以及金融内在的脆弱性、强外部性属性和风险的强大破坏力,对金融云提出高等级安全防护措施要求 上一篇:耐景方管切断机多少钱一台 下一篇:充电式钢筋切断机募投项目可行性研

热门分类

友情链接:竞技宝JJB | 竞技宝APP | 竞技宝官网
回到顶部