張夕夜

(中國信息通信研究院知識產(chǎn)權(quán)與創(chuàng)新發(fā)展中心，北京 100191)

0 引言

依托信息技術(shù)的發(fā)展，眾多金融基礎(chǔ)業(yè)務(wù)、核心流程、行業(yè)間往來等均運行在信息網(wǎng)絡(luò)與系統(tǒng)之上，金融業(yè)機(jī)構(gòu)生產(chǎn)運行過程中產(chǎn)生海量金融數(shù)據(jù)，并逐步資產(chǎn)化。隨著數(shù)據(jù)生產(chǎn)要素地位的確立及大數(shù)據(jù)、人工智能等技術(shù)的應(yīng)用，金融數(shù)據(jù)的重要性更加凸顯。深挖數(shù)據(jù)價值、釋放數(shù)據(jù)潛能的同時，金融數(shù)據(jù)泄露、濫用、竊取、篡改等安全風(fēng)險及事件與日俱增，影響范圍也逐步從單個機(jī)構(gòu)擴(kuò)大至行業(yè)間、行業(yè)外，甚至影響國家安全與金融秩序[1]。近年來，立法方面，《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)、《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)示》)等數(shù)據(jù)安全基礎(chǔ)性法律不斷出臺，數(shù)據(jù)安全與個人信息保護(hù)制度趨于完善；監(jiān)管方面，相關(guān)主管部門從個人金融信息保護(hù)、金融數(shù)據(jù)出境安全、APP違法違規(guī)治理等方面，對金融科技產(chǎn)業(yè)數(shù)據(jù)合規(guī)問題進(jìn)行穿透監(jiān)管；消費者方面，全社會對個人信息保護(hù)的關(guān)注度與日俱增，消費者在享有金融產(chǎn)品和服務(wù)的過程中，越來越關(guān)注自身的金融信息安全，力求保障個人合法權(quán)益[2]。金融數(shù)據(jù)重要性凸顯，數(shù)據(jù)法網(wǎng)愈發(fā)嚴(yán)密，責(zé)任體系日臻完善，金融數(shù)據(jù)合規(guī)管理體系亟需建立健全。

合規(guī)管理體系的構(gòu)建首先應(yīng)當(dāng)明晰金融數(shù)據(jù)合規(guī)的基本概念，熟識其主要特點，在此基礎(chǔ)上，梳理出金融數(shù)據(jù)合規(guī)的主要依據(jù)，即由數(shù)據(jù)安全領(lǐng)域一般規(guī)范及金融行業(yè)數(shù)據(jù)安全管理規(guī)定構(gòu)成的規(guī)則體系。合規(guī)要點建構(gòu)在規(guī)則體系之上，是金融數(shù)據(jù)合規(guī)的具象化，為金融數(shù)據(jù)合規(guī)實踐提供指引。

1 概述

1.1 基本概念

金融業(yè)本質(zhì)上是一種信息技術(shù)產(chǎn)業(yè)，與數(shù)據(jù)緊密相連[3]。根據(jù)中國人民銀行發(fā)布的行業(yè)標(biāo)準(zhǔn)，金融數(shù)據(jù)是金融機(jī)構(gòu)開展金融業(yè)務(wù)、提供金融服務(wù)以及日常經(jīng)營管理所需或產(chǎn)生的各類數(shù)據(jù)，具體包括個人及單位等客戶數(shù)據(jù)、賬戶信息等業(yè)務(wù)數(shù)據(jù)、技術(shù)管理等經(jīng)營管理數(shù)據(jù)、數(shù)據(jù)報送等監(jiān)管數(shù)據(jù)4類，每個類別可再進(jìn)行二類、三類、四類的劃分，4類金融數(shù)據(jù)共302個[4]。金融數(shù)據(jù)重要性高、數(shù)量大、類型復(fù)雜，其安全合規(guī)管理尤其重要。金融數(shù)據(jù)合規(guī)管理是指金融機(jī)構(gòu)及其員工的經(jīng)營管理行為符合相關(guān)法律、行政法規(guī)、部門規(guī)章、規(guī)范性文件等要求，避免引發(fā)刑事責(zé)任、監(jiān)管處罰、經(jīng)濟(jì)或聲譽損失以及其他負(fù)面影響的合規(guī)風(fēng)險。

1.2 主要特點

從效力上看，金融數(shù)據(jù)合規(guī)具有強(qiáng)制性。金融機(jī)構(gòu)數(shù)據(jù)合規(guī)的法律依據(jù)是明顯具有公法性質(zhì)的《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》，極具國家強(qiáng)制力。金融業(yè)機(jī)構(gòu)合規(guī)管理以相關(guān)法律的強(qiáng)制性規(guī)定為準(zhǔn)繩，是要求金融業(yè)機(jī)構(gòu)必須為某些行為的義務(wù)性規(guī)范及不得為某些行為的禁止性規(guī)范，不具有可選擇性。

從內(nèi)容上看，金融數(shù)據(jù)合規(guī)具有全面性。金融數(shù)據(jù)合規(guī)涉及重要數(shù)據(jù)、個人金融信息、數(shù)據(jù)分類分級、數(shù)據(jù)出境等多個方面，涉及采集、傳輸、存儲、使用、銷毀等多個環(huán)節(jié)，各個方面與環(huán)節(jié)共同形成金融數(shù)據(jù)合規(guī)體系。

從效果上看，金融數(shù)據(jù)合規(guī)同時具有預(yù)防與救濟(jì)的雙重作用。事前預(yù)防體現(xiàn)在建立健全完善的合規(guī)體系，提前識別合規(guī)風(fēng)險并有效化解，從而將風(fēng)險控制在金融業(yè)機(jī)構(gòu)內(nèi)部；事后救濟(jì)體現(xiàn)在一旦面臨國家權(quán)力機(jī)關(guān)的調(diào)查，合規(guī)管理是獲得監(jiān)管激勵或刑法激勵的重要方式，金融業(yè)機(jī)構(gòu)可以此爭取寬大處理，從而最大限度地避免或減少合規(guī)風(fēng)險。

2 規(guī)則體系

規(guī)則體系是金融數(shù)據(jù)治理的起點與基準(zhǔn)。金融數(shù)據(jù)合規(guī)的規(guī)則體系主要由數(shù)據(jù)安全領(lǐng)域的一般法，和金融行業(yè)數(shù)據(jù)安全管理規(guī)定構(gòu)成。

就一般法而言，其基礎(chǔ)架構(gòu)由網(wǎng)絡(luò)空間治理和數(shù)據(jù)保護(hù)三駕馬車《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》。其中，《網(wǎng)絡(luò)安全法》是落實國家總體安全觀的重要舉措，立法宗旨是保障網(wǎng)絡(luò)安全、保護(hù)人民群眾合法權(quán)益；《數(shù)據(jù)安全法》是數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律，主要目的是規(guī)范數(shù)據(jù)處理活動、保障數(shù)據(jù)安全并促進(jìn)數(shù)據(jù)開發(fā)利用；《個人信息保護(hù)法》是保護(hù)公民個人信息的專門性法律，立法目的是保護(hù)個人信息權(quán)益、規(guī)范個人信息處理活動促進(jìn)個人信息合理利用。法律之下，網(wǎng)信等部門獲得法律授權(quán)，得以通過部門規(guī)章、規(guī)范性文件等方式，不斷細(xì)化具體內(nèi)容，逐步覆蓋數(shù)據(jù)活動的方方面面。日前，國家互聯(lián)網(wǎng)信息辦公室已公布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》等文件，并正在起草《個人信息出境標(biāo)準(zhǔn)合同規(guī)定》《人臉識別技術(shù)應(yīng)用安全管理暫行規(guī)定》等配套規(guī)定。

行業(yè)規(guī)定可分為4種。一是鑒于金融行業(yè)的特性，部分規(guī)定在一般法之外提出行業(yè)數(shù)據(jù)合規(guī)管理的要求，如《中華人民共和國中國人民銀行法》《中華人民共和國商業(yè)銀行法》(以下簡稱《商業(yè)銀行法》)》、《中華人民共和國反洗錢法》(以下簡稱《反洗錢法》)、《個人存款賬戶實名制規(guī)定》的保密規(guī)定、反洗錢義務(wù)等。二是部分規(guī)定早在一般法出臺之前就已明確，如2011年中國人民銀行印發(fā)的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》，這些規(guī)定與現(xiàn)有要求不存在沖突與抵觸，可繼續(xù)適用。三是順應(yīng)一般法實施的潮流，相關(guān)主管部門制定規(guī)范性文件以提升數(shù)據(jù)安全管理能力，如《中國銀保監(jiān)會監(jiān)管數(shù)據(jù)安全管理辦法(試行)》《個人金融信息(數(shù)據(jù))保護(hù)試行辦法》(未公開)。四是為配合上述文件的實施，中國人民銀行為加強(qiáng)所監(jiān)管單位的數(shù)據(jù)安全合規(guī)管理，規(guī)范機(jī)構(gòu)數(shù)據(jù)處理活動，自2020年2月起先后發(fā)布了《個人金融信息保護(hù)技術(shù)規(guī)范》《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》《金融業(yè)數(shù)據(jù)能力建設(shè)指引》《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》等行業(yè)標(biāo)準(zhǔn)。從效力上看，這些行業(yè)標(biāo)準(zhǔn)以推薦為主，不具有強(qiáng)制力，但從功能上看，可為金融機(jī)構(gòu)數(shù)據(jù)合規(guī)管理提供具體的指引和參考，金融機(jī)構(gòu)可選擇適用[5]。

綜上，金融數(shù)據(jù)合規(guī)的規(guī)則體系，以《數(shù)據(jù)安全法》等一般法為主，以《商業(yè)銀行法》等金融行業(yè)規(guī)定為補(bǔ)充，形成金融數(shù)據(jù)雙線合規(guī)體系。

3 合規(guī)要點

各合規(guī)要點在金融數(shù)據(jù)合規(guī)體系中所發(fā)揮作用的環(huán)節(jié)、方式、主次存在差異，從差異性出發(fā)，可將合規(guī)要點分為基礎(chǔ)性、主要性、輔助性3個面向?；A(chǔ)性面向源自其作用范圍的普遍性，如保密、資質(zhì)及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，影響金融數(shù)據(jù)合規(guī)的各個環(huán)節(jié)和方面；主要性面向直接決定金融業(yè)機(jī)構(gòu)數(shù)據(jù)管理是否合規(guī)及合規(guī)風(fēng)險大小，由個人金融信息保護(hù)及重要數(shù)據(jù)安全兩個重要方面構(gòu)成；輔助性面向是金融數(shù)據(jù)合規(guī)有效性的保障，是金融數(shù)據(jù)合規(guī)管理體系不可分割的一部分，具體包括技術(shù)措施、全流程管理、教育培訓(xùn)、風(fēng)險監(jiān)測與應(yīng)對等方面。

3.1 基礎(chǔ)性面向

如上所述，保密要求、資質(zhì)要求、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)并非直接指向數(shù)據(jù)，但相關(guān)要求構(gòu)成了合規(guī)基礎(chǔ)，貫穿整個金融數(shù)據(jù)合規(guī)體系，如若缺失，即便在技術(shù)、制度、運營方面達(dá)到了其他數(shù)據(jù)管理要求，也仍是非合規(guī)的。

3.1.1 保密要求

因金融數(shù)據(jù)與個人切身利益、國家經(jīng)濟(jì)運行息息相關(guān)，具有高隱私性和高敏感性，相較于其他行業(yè)，金融數(shù)據(jù)具有天然的保密要求和傳統(tǒng)。在大數(shù)據(jù)時代到來之前，我國就已形成了對金融數(shù)據(jù)的一系列保護(hù)規(guī)則和制度。例如，1995年實施的《商業(yè)銀行法》規(guī)定商業(yè)銀行應(yīng)當(dāng)遵循為存款人保密的原則，2006年頒布的《反洗錢法》規(guī)定金融機(jī)構(gòu)對客戶身份資料和交易信息負(fù)有保密義務(wù)，2002年通過的《金融統(tǒng)計管理規(guī)定》規(guī)定公布金融統(tǒng)計資料須履行備案及批準(zhǔn)等相關(guān)手續(xù)[6]。

3.1.2 資質(zhì)要求

與保密要求類似，許可或備案等經(jīng)營資質(zhì)也是金融行業(yè)的天然要求。作為金融數(shù)據(jù)合規(guī)的壓艙石，金融機(jī)構(gòu)向消費者提供支付、征信、信貸等金融性質(zhì)服務(wù)時，持有相應(yīng)經(jīng)營資質(zhì)則是數(shù)據(jù)合規(guī)的應(yīng)有之義。以征信為例，2020年12月26日，中國人民銀行等金融管理部門聯(lián)合約談螞蟻集團(tuán)，對其征信業(yè)務(wù)提了整改要求，即“依法持牌、合法合規(guī)經(jīng)營個人征信業(yè)務(wù)，保護(hù)個人數(shù)據(jù)隱私”。為此，從事征信業(yè)務(wù)的金融機(jī)構(gòu)應(yīng)嚴(yán)格遵守《征信業(yè)管理條例》《征信業(yè)務(wù)管理辦法》，從事個人征信業(yè)務(wù)的，應(yīng)取得中國人民銀行個人征信機(jī)構(gòu)許可；從事企業(yè)征信業(yè)務(wù)的，應(yīng)辦理企業(yè)征信機(jī)構(gòu)備案；從事信用評級業(yè)務(wù)的，應(yīng)辦理信用評級機(jī)構(gòu)備案[7]。

3.1.3 關(guān)鍵信息基礎(chǔ)設(shè)施運行安全

作為數(shù)據(jù)的載體，關(guān)鍵信息基礎(chǔ)設(shè)施(以下簡稱“關(guān)基”)運行安全直接決定關(guān)基運營者所收集和存儲數(shù)據(jù)的安全和利用。根據(jù)《網(wǎng)絡(luò)安全法》第三十一條，金融屬于“重要行業(yè)”，是一旦運行中斷或者數(shù)據(jù)泄露，可能會對國家安全、國計民生、公共利益產(chǎn)生嚴(yán)重危害的關(guān)基。金融行業(yè)等關(guān)基保護(hù)的基本原則是基礎(chǔ)性保護(hù)與重點保護(hù)相結(jié)合，其中，基礎(chǔ)性保護(hù)即網(wǎng)絡(luò)安全等級保護(hù)制度(以下簡稱“等?！?，重點保護(hù)則在等保基礎(chǔ)上進(jìn)行增強(qiáng)式保護(hù)。

一是踐行等保義務(wù)?！毒W(wǎng)絡(luò)安全法》第二十一條明確了網(wǎng)絡(luò)運營者的等保義務(wù)，根據(jù)此條，金融業(yè)機(jī)構(gòu)應(yīng)當(dāng)在制度、技術(shù)等方面落實安全保護(hù)責(zé)任。首先，制定內(nèi)部安全管理制度和操作規(guī)程，形成覆蓋全面、流程規(guī)范的管理體系；其次，采取防范攻擊、侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，及時監(jiān)測發(fā)現(xiàn)網(wǎng)絡(luò)運行風(fēng)險，準(zhǔn)確規(guī)范記錄網(wǎng)絡(luò)安全事件；再次，分類管理數(shù)據(jù)，嚴(yán)控個人金融信息使用范圍，對重要金融數(shù)據(jù)進(jìn)行備份和加密管理。二是履行等保之外關(guān)基的重點保護(hù)義務(wù)?！毒W(wǎng)絡(luò)安全法》第三十四條明確了關(guān)基的重點保護(hù)義務(wù)，根據(jù)此條，金融業(yè)機(jī)構(gòu)還應(yīng)當(dāng)在組織機(jī)構(gòu)、教育培訓(xùn)、技術(shù)措施方面強(qiáng)化網(wǎng)絡(luò)安全。組織機(jī)構(gòu)方面，設(shè)置專門的安全管理機(jī)構(gòu)，審查安全負(fù)責(zé)人和關(guān)鍵崗位人員；教育培訓(xùn)方面，對從業(yè)人員定期開展網(wǎng)絡(luò)安全教育、培訓(xùn)、考核；技術(shù)措施方面，容災(zāi)備份重要系統(tǒng)和數(shù)據(jù)庫，制定并定期演練網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。

3.2 主要性面向

個人信息金融信息與個人資產(chǎn)狀況高度相關(guān)，一旦泄露可能會對個人財產(chǎn)安全構(gòu)成威脅，金融行業(yè)的重要數(shù)據(jù)被稱為市場晴雨表，反映了市場運行狀況。個人金融信息保護(hù)與重要金融數(shù)據(jù)安全是金融數(shù)據(jù)合規(guī)管理的重中之重，二者共同構(gòu)成了金融數(shù)據(jù)合規(guī)主要性面向。

3.2.1 個人金融信息保護(hù)

(1)個人信息與個人金融信息

2011年，《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》(以下簡稱《通知》)首次使用了“個人金融信息”這一概念。根據(jù)《通知》，個人金融信息是指銀行業(yè)金融機(jī)構(gòu)在開展業(yè)務(wù)時，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的個人信息，包括個人身份信息、個人財產(chǎn)信息、個人賬戶信息、個人信用信息、個人金融交易信息及其他個人信息。后續(xù)，《中國人民銀行金融消費者權(quán)益保護(hù)實施辦法》對消費者金融信息的界定、《個人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171—2020)、《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南數(shù)據(jù)》(JR/T 0197—2020)等標(biāo)準(zhǔn)對個人金融信息的描述，與《通知》大同小異，且與2021年11月1日生效的《個人信息保護(hù)法》一致。

(2)個人金融信息保護(hù)

個人金融信息保護(hù)的邏輯與規(guī)則展開以《個人信息保護(hù)法》為主，以金融行業(yè)相關(guān)文件為輔[9]。一是遵守個人金融信息處理的規(guī)則，按照合法、必要、正當(dāng)原則，收集個人金融信息應(yīng)取得個人同意，使用個人金融信息應(yīng)與收集目的直接相關(guān)。需要指出的是，金融機(jī)構(gòu)負(fù)有賬戶實名制、反洗錢等法定職責(zé)，為履行法定職責(zé)或法定義務(wù)所必需時，可在未取得個人同意的情況下處理個人金融信息。二是響應(yīng)信息主體的請求權(quán)。個人金融信息主體依法享有查閱、復(fù)制、可攜、更正、刪除、解釋說明的權(quán)利，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)及時、便捷響應(yīng)信息主體的上述請求權(quán)。三是確保個人金融信息安全的義務(wù)，綜合采取管理和技術(shù)措施，包括但不限于制定內(nèi)部管理制度和操作規(guī)程，采取去標(biāo)識化等安全技術(shù)措施，合理確定個人信息處理的操作權(quán)限，進(jìn)行合規(guī)審計、個人信息保護(hù)影響評估等。四是個人金融信息本地化存儲及出境安全評估。個人金融信息應(yīng)當(dāng)在本地存儲，因業(yè)務(wù)需要確需向境外提供的應(yīng)當(dāng)經(jīng)過安全評估。安全評估的目的在于評估個人金融信息出境對國家安全及個人權(quán)益造成的風(fēng)險是否可控，其基本流程為自評估、申報安全評估及收到評估結(jié)果。安全評估之外，金融業(yè)機(jī)構(gòu)還應(yīng)取得個人金融信息主體的單獨同意，并履行告知義務(wù)，同時保障境外接收方處理個人金融信息的活動達(dá)到《個人信息保護(hù)法》規(guī)定的個人信息保護(hù)標(biāo)準(zhǔn)。

此外，中國人民銀行于2020年2月13日發(fā)布了推薦性行業(yè)標(biāo)準(zhǔn)《個人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171—2020)。該標(biāo)準(zhǔn)在《個人信息保護(hù)法》基礎(chǔ)上，從技術(shù)及管理兩方面細(xì)化了個人信息安全保護(hù)要求。相比于《個人信息保護(hù)法》，該標(biāo)準(zhǔn)根據(jù)金融行業(yè)的特性，做出了更為細(xì)致更為完善的規(guī)定，如在個人信息收集方面，規(guī)定了資質(zhì)與密碼方面的要求，即不應(yīng)委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集相關(guān)信息，用戶輸入銀行卡密碼、網(wǎng)絡(luò)支付密碼時，應(yīng)采取展示屏蔽等措施防止密碼明文顯示等。對于金融機(jī)構(gòu)而言，一方面應(yīng)完全遵守《個人信息保護(hù)》所規(guī)定的義務(wù)，在此基礎(chǔ)上可結(jié)合自身情況，選擇適用行標(biāo)對個人金融信息的安全保護(hù)要求。

3.2.2 重要數(shù)據(jù)安全

(1)重要數(shù)據(jù)目錄管理

《數(shù)據(jù)安全法》確定了重要數(shù)據(jù)目錄管理的原則。具體而言，國家有關(guān)部門肩負(fù)重要數(shù)據(jù)目錄制定及保護(hù)兩項職責(zé)；數(shù)據(jù)處理者根據(jù)已制定的目錄確定其處理的數(shù)據(jù)中是否存在重要數(shù)據(jù)，并采取相應(yīng)的保護(hù)措施。特別需要指出的是，為便于金融業(yè)機(jī)構(gòu)等數(shù)據(jù)處理者準(zhǔn)確識別重要數(shù)據(jù)，重要數(shù)據(jù)目錄應(yīng)當(dāng)明確、具體。

(2)重要數(shù)據(jù)識別

《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》(JR/T 0197—2020)明確了金融數(shù)據(jù)中的重要數(shù)據(jù)概念及目錄。根據(jù)這一標(biāo)準(zhǔn)，重要數(shù)據(jù)的概念包含兩個要素。其一，從范圍上看，重要數(shù)據(jù)不涉及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)；其二，從后果看，重要數(shù)據(jù)的危害后果指向國家安全、社會公共利益、個人合法權(quán)益。該標(biāo)準(zhǔn)中對重要數(shù)據(jù)的界定與《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》基本一致。重要數(shù)據(jù)的目錄方面，上述《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》并未明確，而標(biāo)準(zhǔn)中列舉了4類重要數(shù)據(jù)，分別是反映經(jīng)濟(jì)或社會特征的宏觀特征數(shù)據(jù)、覆蓋多省市金融消費者真實交易信息的衍生特征數(shù)據(jù)、行業(yè)監(jiān)管機(jī)構(gòu)在履職過程中未公開的受控數(shù)據(jù)、關(guān)基網(wǎng)絡(luò)安全缺陷信息等。金融業(yè)機(jī)構(gòu)可參考這一目錄判斷、識別本機(jī)構(gòu)重要數(shù)據(jù)。

但是，該標(biāo)準(zhǔn)同時指出，重要數(shù)據(jù)不包括企業(yè)生產(chǎn)經(jīng)營管理信息及個人信息。這一規(guī)定簡單地將個人信息排除在重要數(shù)據(jù)范圍之外，存在問題。首先，重要數(shù)據(jù)與個人信息存在交叉，但不具有直接的排斥關(guān)系。國家網(wǎng)信辦等五部門出臺的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》也明確指出，“包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)”以及“涉及個人信息主體超過10萬人的個人信息”屬于重要數(shù)據(jù)。其次，正如《個人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171—2020)所描述，個人金融信息一旦泄漏，將直接侵害金融消費者的合法權(quán)益，影響金融業(yè)機(jī)構(gòu)的正常運營，甚至?xí)硐到y(tǒng)性的金融風(fēng)險。這一定義從個人金融信息泄漏造成的危害后果角度，說明部分個人金融信息可被認(rèn)定為重要數(shù)據(jù)。

(3)重要數(shù)據(jù)保護(hù)

重要數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能會危害國家安全、公共利益，故而，需要對重要數(shù)據(jù)予以特別保護(hù)。金融業(yè)機(jī)構(gòu)在識別其處理的數(shù)據(jù)中存在重要數(shù)據(jù)后，需踐行以下合規(guī)要點。

一是識別其重要數(shù)據(jù)后的15個工作日內(nèi)向設(shè)區(qū)的市級網(wǎng)信部門備案，備案內(nèi)容包括金融業(yè)機(jī)構(gòu)的基本信息，處理重要數(shù)據(jù)的目的、規(guī)模、方式等。二是明確數(shù)據(jù)安全管理機(jī)構(gòu)和負(fù)責(zé)人。需要說明的是，《網(wǎng)絡(luò)安全法》同樣賦予了關(guān)基運營者管理機(jī)構(gòu)和負(fù)責(zé)人的設(shè)置義務(wù)，據(jù)此，金融業(yè)機(jī)構(gòu)若已根據(jù)關(guān)基要求設(shè)置了專門的安全管理機(jī)構(gòu)和負(fù)責(zé)人，則不必再履行本條規(guī)定，從而避免重復(fù)設(shè)置。三是定期開展數(shù)據(jù)處理活動的風(fēng)險評估，并將風(fēng)險評估報告報送有關(guān)主管部門。風(fēng)險評估報告由三部分構(gòu)成，分別是重要數(shù)據(jù)基本情況、數(shù)據(jù)處理活動、數(shù)據(jù)安全風(fēng)險及應(yīng)急措施。四是數(shù)據(jù)出境安全評估。關(guān)基運營者在境內(nèi)收集和產(chǎn)生重要數(shù)據(jù)向境外提供的原則和規(guī)則同個人信息， 金融業(yè)機(jī)構(gòu)可參照個人金融信息開展重要數(shù)據(jù)的安全評估。

此外，有關(guān)金融數(shù)據(jù)出境，金融行業(yè)根據(jù)行業(yè)特點細(xì)化了金融數(shù)據(jù)跨境流動規(guī)則。一方面，行業(yè)規(guī)則較一般規(guī)則更嚴(yán)密。如《個人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171—2020)規(guī)定，應(yīng)對境外機(jī)構(gòu)進(jìn)行現(xiàn)場核查，監(jiān)督境外機(jī)構(gòu)履行個人金融信息保密、刪除、案件協(xié)查等職責(zé)義務(wù)。這些規(guī)則比一般法確立的規(guī)則更為嚴(yán)苛，金融機(jī)構(gòu)若完全遵守，必將受到更多的限制或付出更大的成本。另一方面，過于嚴(yán)格的行業(yè)規(guī)則可導(dǎo)致無效。《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》(JR/T 0223—2021)規(guī)定，5級數(shù)據(jù)應(yīng)僅在我國境內(nèi)存儲，未規(guī)定例外情況及配套措施。如上所述，重要數(shù)據(jù)定級應(yīng)在5級以上，那么根據(jù)此條規(guī)定，金融數(shù)據(jù)中的重要數(shù)據(jù)在任何情況下均不允許出境，這一結(jié)論與《數(shù)據(jù)安全法》及《數(shù)據(jù)出境安全評估辦法(征求意見稿)》不符，可實施性存疑。

3.3 輔助性面向

基礎(chǔ)性面向、主要性面向是金融數(shù)據(jù)合規(guī)較為基礎(chǔ)、重要的合規(guī)義務(wù)，但并未涵蓋全面合規(guī)。上述合規(guī)義務(wù)之外，采取技術(shù)措施、形成全流程管理制度、開展教育培訓(xùn)、加強(qiáng)風(fēng)險監(jiān)測等要求也在《數(shù)據(jù)安全法》等中得以明確，并在《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》(JR/T 0223—2021)等中進(jìn)一步細(xì)化，這些要求是金融數(shù)據(jù)全面合規(guī)的重要組成部分。

3.3.1 采取技術(shù)措施和其他必要措施

金融業(yè)機(jī)構(gòu)在開展業(yè)務(wù)和進(jìn)行經(jīng)營管理的過程中，應(yīng)采取必要技術(shù)措施，防止數(shù)據(jù)泄漏、損毀、丟失。數(shù)據(jù)傳輸時，使用加密通道或數(shù)據(jù)加密的方式傳輸，采用密碼技術(shù)、入侵檢測等防止數(shù)據(jù)傳輸中斷、篡改、偽造、竊??；數(shù)據(jù)存儲時，采取加密措施確保數(shù)據(jù)存儲的保密性，采用磁盤、磁帶、云存儲服務(wù)、網(wǎng)絡(luò)存儲設(shè)備等載體存儲數(shù)據(jù)，采取邏輯隔離的方式存儲匿名化數(shù)據(jù)與個人金融信息；數(shù)據(jù)使用時，結(jié)合訪問、導(dǎo)出、加工、展示、開發(fā)測試、匯聚融合、公開披露、轉(zhuǎn)讓、委托處理、共享等不同應(yīng)用場景，配備與之相適應(yīng)的加密、隔離、脫敏、評估等措施；數(shù)據(jù)刪除時，徹底去除金融產(chǎn)品和服務(wù)所涉及系統(tǒng)及設(shè)備中的數(shù)據(jù)，使其不可被檢索、不可被訪問；數(shù)據(jù)銷毀時，對數(shù)據(jù)庫、服務(wù)器和終端中的剩余數(shù)據(jù)以及硬件存儲介質(zhì)等采取數(shù)據(jù)擦除或者物理銷毀的方式，確保數(shù)據(jù)無法復(fù)原。

3.3.2 建立健全全流程數(shù)據(jù)安全管理制度

技術(shù)措施之外，金融業(yè)機(jī)構(gòu)還應(yīng)當(dāng)建立制度體系，明確工作職責(zé)，規(guī)范工作流程，對金融數(shù)據(jù)進(jìn)行采集、傳輸、存儲、使用、刪除、銷毀等整個過程的管理[10]，以使金融數(shù)據(jù)處理行為全面合規(guī)。相關(guān)制度至少包括：一是制定金融數(shù)據(jù)保護(hù)管理規(guī)定，明確本機(jī)構(gòu)數(shù)據(jù)安全策略、方針、目標(biāo)和原則；二是建立日常管理及操作流程，對采集、傳輸、存儲、使用、刪除、銷毀等環(huán)節(jié)提出具體要求；三是明確數(shù)據(jù)調(diào)取權(quán)限與使用范圍，根據(jù)“業(yè)務(wù)需要”和“最小權(quán)限”原則配置訪問、使用權(quán)限，并實行專門的審批流程；四是嚴(yán)格外包服務(wù)機(jī)構(gòu)及外部合作機(jī)構(gòu)管理，審查和評估其能力是否達(dá)到相關(guān)要求，并通過協(xié)議約定其留存數(shù)據(jù)的范圍，明確其義務(wù)與責(zé)任并進(jìn)行監(jiān)督。

3.3.3 組織開展數(shù)據(jù)安全教育培訓(xùn)

制定數(shù)據(jù)安全相關(guān)崗位的專項培訓(xùn)計劃，按照培訓(xùn)計劃定期開展數(shù)據(jù)安全意識、能力的教育與培訓(xùn)，確保相關(guān)人員全面、準(zhǔn)確掌握最新政策和相關(guān)規(guī)程。培訓(xùn)周期為每年至少一次。培訓(xùn)內(nèi)容包括但不限于上述國家法律法規(guī)、行業(yè)規(guī)章制度、技術(shù)標(biāo)準(zhǔn)，以及金融業(yè)機(jī)構(gòu)內(nèi)部制度與管理規(guī)程等。對培訓(xùn)結(jié)果進(jìn)行評價、記錄與歸檔。

3.3.4 加強(qiáng)風(fēng)險監(jiān)測，采取應(yīng)急措施，及時告知并報告

開展數(shù)據(jù)處理活動首先應(yīng)當(dāng)加強(qiáng)風(fēng)險監(jiān)測，安全監(jiān)測的手段包括但不限于操作分析、流量分析、異常行為監(jiān)測、態(tài)勢感知等。操作分析可追蹤數(shù)據(jù)生命周期過程中的相關(guān)處理行為；流量分析可對數(shù)據(jù)處理關(guān)鍵節(jié)點進(jìn)行監(jiān)測，告警異常流量及異常行為；異常行為監(jiān)測可發(fā)現(xiàn)日常數(shù)據(jù)泄漏、數(shù)據(jù)篡改、數(shù)據(jù)竊取、數(shù)據(jù)非法使用；態(tài)勢感知可有效感知內(nèi)部數(shù)據(jù)安全風(fēng)險，并準(zhǔn)確定位響應(yīng)。其次，監(jiān)測到數(shù)據(jù)安全風(fēng)險時，要及時啟動風(fēng)險處理預(yù)案，消除安全隱患；發(fā)生數(shù)據(jù)安全事件時，要立即采取補(bǔ)救措施，防止危害擴(kuò)大；再次，應(yīng)及時告知用戶并向有關(guān)主管部門報告。發(fā)生銀保監(jiān)會監(jiān)管數(shù)據(jù)泄漏或非法使用、損毀或丟失等重大安全風(fēng)險事項的，應(yīng)于48 h內(nèi)向歸口管理部門報告。發(fā)生或者可能發(fā)生個人金融信息泄露、篡改、丟失的，要及時通知履行個人金融信息保護(hù)職責(zé)的部門和個人。

4 結(jié)束語

本文在研究相關(guān)法律法規(guī)、標(biāo)準(zhǔn)文件的基礎(chǔ)上，系統(tǒng)梳理了金融數(shù)據(jù)合規(guī)要求，對金融業(yè)機(jī)構(gòu)開展數(shù)據(jù)合規(guī)建設(shè)具有指導(dǎo)意義。但同時應(yīng)當(dāng)看到，金融數(shù)據(jù)復(fù)雜多樣，金融機(jī)構(gòu)千差萬別，金融數(shù)據(jù)合規(guī)工作還需結(jié)合自身業(yè)務(wù)及產(chǎn)品特點，方行之有效。