2020年2月20日，全國金融標準化技術委員會(以下簡稱“金標委”)公示了推薦性行業(yè)標準《個人金融信息保護技術規(guī)范》(以下簡稱“《金融信息規(guī)范》”)，該標準由中國人民銀行于2020年2月13日發(fā)布并于當日實施。

個人金融信息分級制度

個人金融信息分級制度是《金融信息規(guī)范》中的重要規(guī)定，也將是金融業(yè)機構推行合規(guī)工作所繞不開的重點環(huán)節(jié)?！督鹑谛畔⒁?guī)范》中個人金融信息分級制度的分級內(nèi)容及各級別額外要求如下表： 

一、為什么要信息分級?—— 信息分級是合規(guī)的基礎

從體系上來看，《金融信息規(guī)范》中個人金融信息分級的要求，與基于個人金融信息生命周期的安全技術要求與管理要求(以下稱為“合規(guī)要求”)是融合統(tǒng)一的。

• 一方面，《個人信息規(guī)范》作為一項通用標準，對于個人信息的分類方式(個人信息、個人敏感信息)及辨識度，不能滿足金融服務的實際需求。金融業(yè)機構需要更細化的信息分級，指導日常的金融信息保護。
• 另一方面，信息分級也是一切數(shù)據(jù)保護與合規(guī)工作的基礎，有助于金融業(yè)機構辨識不同數(shù)據(jù)的風險等級與合規(guī)難點，做到因人(數(shù)據(jù))而異、因地(場景)制宜，把握合規(guī)重點環(huán)節(jié)，節(jié)約合規(guī)成本

二、如何分級?—— 信息分級依據(jù)的幾種標準

1. 一般標準

《金融信息規(guī)范》主要是根據(jù)數(shù)據(jù)泄露事件發(fā)生后的嚴重性(后果)進行分級。具體到條文中，從C1到C3級別，其分級依據(jù)分別表述為：該類信息一旦遭到未經(jīng)授權的査看或變更，可能會對個人金融信息主體的信息安全與財產(chǎn)安全造成“一定影響”、“一定危害”、“嚴重危害”。

作為每個級別包含的個人金融信息類型，《金融信息規(guī)范》采取了“概述+不完全列舉”的方式，羅列了若干具體的信息類型。那么，這是不是意味著企業(yè)應當按部就班地按照各級別列舉的信息類型執(zhí)行呢?我們理解，不應僵化地執(zhí)行，還需要綜合考慮各項條件，以多種標準靈活地判斷某類數(shù)據(jù)的分級狀況。

2. 場景化的標準

《金融信息規(guī)范》中明確，同一信息在不同服務場景中可能處于不同的級別，則應依據(jù)服務場景以及該信息在其中的作用對信息的級別進行識別，實施針對性的保護。

例如，低敏感程度級別的個人金融信息因參與身份鑒別等關鍵活動導致敏感程度上升的，如經(jīng)組合后構成交易授權完整要素的情況，則應提升相應的安全保障手段。

3. 動態(tài)化的標準

《金融信息規(guī)范》對個人金融信息的分級并不是固定的，而是會在特定條件下產(chǎn)生一定差異和轉(zhuǎn)化，具體如下：

(1) 同一級別內(nèi)不同信息類型的差別處理

即使是同一級別中的不同信息類型，《金融信息規(guī)范》對其的合規(guī)要求也有所不同。以“用戶鑒別輔助信息”為例，其包括動態(tài)口令、短信驗證碼、密碼提示問題答案、動態(tài)聲紋密碼等。分類上雖然屬于C2類別，但與其他C2類相比，存在以下特殊合規(guī)要求：

• 不應委托給第三方機構進行處理(同于C3)
• 不應共享、轉(zhuǎn)讓(同于C3)
• 不應公開披露(同于C3)

同樣，較為特殊的信息類型還包括C2中的“支付賬號及其等效信息”(共享、轉(zhuǎn)讓時應使用支付標記化技術進行脫敏處理)、C3中的“個人生物識別信息”(不應公開披露)等。

(2) 同一信息類型在特定場景下的級別變化

《金融信息規(guī)范》規(guī)定，兩種或兩種以上的低敏感程度級別信息經(jīng)過組合、關聯(lián)和分析后可能產(chǎn)生髙敏感程度的信息，應采取針對性的保護措施。

比如：某手機廠商推出了具有動態(tài)聲紋加密功能的手機，而動態(tài)聲紋密碼屬于C2類別中的用戶鑒別輔助信息。如果這類信息與賬戶結合使用可直接完成用戶鑒別，則屬于C3類別信息。

上述靈活的信息級別分類模式，一方面的確更加科學、嚴謹，另一方面也給企業(yè)的風控合規(guī)部門提出了新的挑戰(zhàn)。一味的“抄作業(yè)”已經(jīng)不可取了，如何將合規(guī)性要求，結合自身業(yè)務實際，轉(zhuǎn)化為有效的內(nèi)控措施;如何將個人金融信息的分級標準與企業(yè)自身在數(shù)據(jù)管理中沿用的數(shù)據(jù)分級、分類標準有機地統(tǒng)一起來，將成為金融業(yè)機構合規(guī)工作的重點和難點。

三、分級帶來的重大影響?—— 與第三方機構合作風險

個人金融信息分級制度的一大影響，在于以數(shù)據(jù)為中心，對金融業(yè)機構與第三方機構的合作方式劃出了紅線。

《金融信息規(guī)范》中涉及第三方機構個人金融信息處理的主要條文如下：

• 數(shù)據(jù)收集：不應委托或授權無金融業(yè)相關資質(zhì)的機構收集C3、C2類別信息——6.1.1 a)
• 數(shù)據(jù)共享、轉(zhuǎn)讓：C3類別信息以及C2類別信息中的用戶鑒別輔助信息不應共享、轉(zhuǎn)讓——7.1.3 a)
• 數(shù)據(jù)處理：C3以及C2類別信息中的用戶鑒別輔助信息，不應委托給第三方機構進行處理——6.1.1.4 b)
• 數(shù)據(jù)存儲：外包服務機構與外部合作機構原則上不應留存C2、C3類別信息.不應將存儲個人金融信息的數(shù)據(jù)庫交由外部合作機構運維。——7.2.1 g)

這些規(guī)定進一步明確了持牌金融機構與第三方機構在金融服務中開展(業(yè)務/技術)合作的標準、內(nèi)容、范圍和邊界，特別是細化了個人金融信息在各個階段的處理方式和責任主體，對金融科技活動的各方參與主體具有重要的指導意義。

對于一些金融科技企業(yè)或助貸機構，其或?qū)⒚媾R業(yè)務規(guī)范和轉(zhuǎn)型的問題，以往大量收集、存儲敏感的個人金融信息，與金融機構聯(lián)合開展貸款風控、貸后催收的業(yè)務模式將難以存續(xù)。

而站在持牌金融機構的角度，通過與金融科技公司合作、風控外包，不過問數(shù)據(jù)來源，只做“錢柜子”的粗放模式也不再適用。盡快適應新監(jiān)管要求，完善自身風控能力，并確立新型、合規(guī)的第三方合作模式，將成為下一階段合規(guī)工作的重點。