相关文章

反洗钱视角下的《个人金融信息保护技术规范》

据付出通Qpos了解到:

反洗钱视角下的《个人金融信息维护技能规范》解析

反洗钱作业中 了解您的客户 至关重要,因而金融安排会在日常作业中与许多的客户发作事务联系,并在事务联系中搜集许多客户的个人数据进行KYC。但在 最严数据隐私法令 的欧盟《一般数据维护法令》出台之后,各国开端自动或是被迫均开端加强对个人数据的维护。

就我国而言,《网络安全法》、《信息安全技能个人信息安全规范》、《数据安全办理办法》等法规已相继出台,近来《个人金融信息维护技能规范》,《技能规范》于2020年2月13日开端正式施行。鉴于我国互联网金融在近年来的微弱增加趋势,关于金融安排所搜集信息进行规制已势在必行。

笔者曾撰文对欧盟的反洗钱数据合规进行介绍剖析,咱们能够发现,在适用性上,本次的《技能规范》与欧盟之规则也有许多相似之处。

一、《技能规范》适用性十分广泛

该《技能规范》是由我国人民银行提出,但在起草单位中,咱们能够发现,银行、清算中心、付出公司、保险公司、证券公司、第三方安排均在规范起草单位之列,即能够了解该《技能规范》是比较充沛考虑到了实践事务中的实践状况并做以规则的,具有操作性与参阅价值。

从效能位阶上,《技能规范》为金融职业规范,并非国家强制性规范。但尽管该《技能规范》规范 适用于供给金融产品和服务的金融业安排,并为安全评价安排展开安全查看与评价作业供给参阅 ,在实践中,假如相关安排事务流程不契合该职业规范的,虽暂没有直接的罚则,但很或许会遭到监管部门的约谈和查看,因而金融职业安排应对该规范提起满意的注重。

从适用主体上,《技能规范》选用了归纳式的界说,以产品和服务类型作为界定规范,将供给金融产品和服务的 金融业安排 均归入适用规模。其间金融业安排不只包含了由国家金融办理部门监督办理的持牌金融安排,也包含了触及个人金融信息处理的相关安排。因为我国除了持牌金融安排外,还有许多的 类金融 安排,将该等安排及其他欠好进行分类的安排均归入适用领域也证明了该份《技能规范》的出台意图,即要求一切从事金融相关事务、处理个人金融信息的安排均需求恪守个人数据维护相关规范的规制。

二、《技能规范》针对的是个人金融信息的办理

《技能规范》所针对的是自然人的个人金融信息,系金融业安排经过供给金融产品和服务或许其他途径获取、加工和保存的个人信息,包含账户信息、辨别信息、金融交易信息、个人身份信息、产业信息、假贷信息及其他反响个人某些状况的信息,其间特别提出了付出灵敏信息 i 这一概念。该等信息规模与反洗钱所要求的搜集客户身份信息根本堆叠,即意味着金融业安排关于实行反洗钱责任所搜集到的悉数个人金融信息均应当依照《技能规范》的规则进行处理。

就办理客体而言,《技能规范》与欧盟GDPR的规则较为相似,均注重自然人的个人数据,GDPR作为个人数据维护的一般性规则,其项下的个人数据是指与一个已辨认或可辨认的自然人有关的任何信息,因而GDPR项下的个人数据能够包含个人金融信息。

三、《技能规范》首要的规范中心

《技能规范》规则金融业安排遵从安全根本准则,即 权责共同、意图清晰、挑选赞同、最少够用、揭露通明、保证安全、主体参加 的准则。比照欧盟反洗钱指令及GDPR的规则,二者在内核上根本共同,反洗钱责任主体为反洗钱责任处理搜集个人数据时,应当保证数据搜集及处理意图特定、清晰、合法,遵从最小化准则,且应当向客户实行奉告责任。

四、《技能规范》的首要要求

《技能规范》关于个人金融信息在搜集、传输、存储、运用、删去、毁掉等个人金融信息生命周期的安全防护提出了要求,能够说覆盖了个人金融信息的处置全流程。

1、数据搜集

《技能规范》规则应依据信息类别确认个人金融信息搜集计划,并提出7项详细的技能要求,C3为最为重要的用户辨别信息,包含用户的银行卡数据、账户暗码相关数据、生物辨认信息等。此处应当留意的是,金融业安排应当妥善对该等信息进行分类,且应当注重同一信息在不同场景中应置于不同类别之中,及不同信息之间组合、相关、剖析后发生的新的高灵敏程度信息。

在搜集要求方面要求较多,其间需求特别指出的是,《技能规范》指出搜集个人金融信息不得以默示、绑缚、隐秘等方法,且搜集的信息应与金融产品和服务直接相关,该等要求与欧盟反洗钱指令和GDPR的要求根本共同。而且,《技能规范》规则 不该当托付或授权无金融业相关资质的安排搜集C3、C2类别信息 ,这一表述指向性并不清晰, 金融业相关资质 是否仅指持牌金融安排、何主体来确定是否具有 金融业相关资质 均需在实践中边走边看,笔者以为结合该规范出台含义及实践操作,类金融安排也亦被归类为具有 金融业相关资质 的安排。

此外,《技能规范》规则了9种搜集运用个人信息无需征得主体的授权赞同的景象,包含但不限于与实行国家法律法规及职业主管部门有关规则责任相关的景象;与国安、国防安全相关的景象;与公共安全、公共卫生、严重公共利益直接相关的景象等难以界定的景象也参加破例之中,总体上破例状况大部分准则且无详细指引,安排在处理详细状况时务必要留意规范。

2、数据的托付处理

关于个人金融信息的运用方面,《技能规范》针对信息展现、同享与转让、揭露发表、加工处理等均提出了详细要求,首要意在维护个人金融信息安全,并防止有意或无意走漏个人金融信息。

需求注重的是,《技能规范》关于处理个人金融信息的第三方安排进行了规制,清晰C3、C2类别中的用户辨别辅佐信息不得托付第三方安排处理,关于其他数据也应依照规范要求尽或许保证数据安全。咱们了解,相似于反洗钱要求准则,金融业安排应当对其托付的第三方安排进行管控。

3、数据活动与同享

《技能规范》规则,除法律法规与职业主管部门还有规则或许展开金融事务所有必要的数据同享与转让,金融业安排准则上不该同享、转让个人金融信息,的确需求同享、转让的,应当充沛注重信息安全危险并进行安全影响评价后采纳有用办法维护个人金融信息主体权益,且《技能规范》清晰规则C3类别信息以及C2类别信息中的用户辨别辅佐信息不该同享、转让。

集团内部的信息同享

依据《我国人民银行关于加强反洗钱客户身份辨认有关作业的告诉》的规则,出于反洗钱和反恐怖融资需求,集团内部能够信息同享。不过《技能规范》并没有对集团内部信息的流通做出更为宽松的规则,即意味着即使是集团内部,在对个人金融信息进行同享传输时仍应当契合《技能规范》的遍及要求。

跨境信息同享

《技能规范》规则,在我国境内搜集和发生的个人金融信息,准则上应在境内存储、处理和剖析。因事务需求跨境传输的,应当契合国家法律法规及职业主管部门有关规则,取得主体明示赞同,展开个人信息出境安全评价,且经过与境外安排签署协议的方法,清晰并监督对方有用实行个人金融信息保密、数据删去、案子协查等责任。此处将总公司、母公司、子公司、分公司等集团内部安排与相关安排天公地道,未做区别需求予以注重。

反观欧盟规则,GDPR及欧盟反洗钱指令就个人数据的跨境传输供给了多种或许景象,包含但不限于搬运意图国或国际安排须经欧盟委员会确定到达充沛维护水平、跨境数据传输满意充沛保证办法要求、公共利益需求等等。不过,现在《技能规范》并未就个人金融信息的跨境传输设置破例状况。

4、数据保存与删去、毁掉

《技能规范》并未清晰规则数据保存的期限,仅规则贮存时刻应满意国家法律法规与职业主管部门有关规则,且契合该等规则所述的最短时刻要求。就信息删去而言,规则了两种删去景象:一是超越前述所言的期限后,应对搜集的个人金融信息进行删去或匿名化处理;二是,个人金融信息主体要求删去个人金融信息。需求留意的是,关于第二类景象,应当依据法律法规、职业主管部门规则及合同约好予以处理。例如,依据《反洗钱法》规则,反洗钱责任主体具有反洗钱责任项下的数据保存责任,应当至少在事务联系完毕后保存5年,咱们了解,保险起见,该等法定要求应在与客户间的合同文件中予以执行。

此外,本次《技能规范》中对毁掉办理提出了要求,毁掉程序要求有清晰的处理流程、并终究到达不行康复的成果。

5、安全策略与评价要求

对包含反洗钱合规在内的合规作业而言,相关责任主体应当树立完好的合规准则,并围绕着 以危险为本 的准则进行合规作业。

《技能规范》中相同关于金融业安排树立个人金融信息维护安全准则体系,规范作业流程提出了清晰要求,并也提出了 应在不影响实行反洗钱等法界说务的前提下,拟定本安排人员个人金融信息调取权限与运用规模,并拟定专门的授权批阅流程 、 树立个人金融信息维护安排架构 、 定时展开内外部个人金融信息维护训练与认识教育活动,并保存相关记载 。

咱们了解,金融业安排应当在内部流程中将反洗钱要求、个人金融信息维护技能规范、本身事务状况进行结合,以拟定契合内部事务及办理流程的安全策略与合规准则,并进行定时训练。而且,与反洗钱要求相似的,《技能规范》中还要求对 体系组件日志 进行定时审计, 每年至少展开一次对触及搜集、存储、传输、运用个人金融信息的信息体系进行安全查看或安全评价 、 每年至少展开一次付出信息安全合规评价,对评价过程中发现的问题及时采纳补救办法并构成陈述存档备检 ,因而,金融业安排应尽或许凭借内部、外部法律咨询等参谋的力气,以更好的满意《技能规范》要求。

综上剖析:

跟着公民对个人数据及隐私权的日益注重,各国均连续拟定更为详尽、严厉的个人数据维护规范,而反洗钱作业的展开不行防止地触及个人数据的搜集与处理。怎么处理反洗钱与个人数据维护的抵触,需求金融业安排更好地注重相关法规及规范的要求。纵观我国与欧盟的反洗钱及个人数据维护规则,能够清晰的是,企业不能以实行反洗钱责任为维护伞,任意搜集及处理个人数据。尤其是触及个人数据的跨境传输时,企业更应当选用审慎的情绪予以处理。

作者简介:

唐梦沅 资深律师 北京市中伦律师事务所北京办公室

盛于兰 律师 北京市中伦律师事务所北京办公室

穆耸 合伙人 北京市中伦律师事务所北京办公室

参阅文献:

i 付出灵敏信息即付出信息中触及付出主体隐私和身份辨认的重要信息。

[ii]拜见《技能规范》第4.2条个人金融信息类别

付出通Qpos是海科融通推出的一款智能手机POS机,历经4年用户和署理商的运用和查验,仍然屹立于职业领先地位不倒,可见付出通Qpos的稳定性和口碑不一般!付出通Qpos现面向全国接收署理加盟商,终端用户能够免费收取一台机器!

上一篇:你的隐私多少钱能卖?美安排查询:金融信息和指纹数据价值最高

下一篇:“场景为基,危险为尺”——《个人金融信息维护技能规范》亮点解读

    
     微信
关注微信