2020年4月2日，中国人民银行办公厅印发《关于开展金融科技应用风险专项摸排工作的通知》（银办发﹝2020﹞45号），摸排范围包括移动金融客户端应用、应用程序编程接口、信息系统等，摸排内容涉及人工智能、大数据、区块链、物联网等金融科技风险，内容涵盖个人金融信息保护、交易安全、仿冒漏洞、技术使用安全、内控管理5大方面123个摸排点。

       本文是摸排工作主要摸排内容的系列解读文章第一篇。  

       个人金融信息保护作为金融科技应用风险摸排内容之一，无论是其优先地位还是其摸排点的数量，都足以证明其重要性。从《金融科技（FinTech）发展规划（2019-2021年）》来看，第十七项重点任务“加大金融信息保护力度”即与此要求明确相关。
       

“（十七）加大金融信息保护力度。建立金融信息安全风险防控长效机制，研究制定金融信息全生命周期管理制度和标准规范，定期组织对易发生金融信息泄露的环节进行排查，保障身份、财产、账户、信用、交易等数据资产安全。加强金融信息安全防护，遵循合法、合理原则，选择符合国家及金融行业标准的安全控件、终端设备、APP等产品进行金融信息采集和处理，利用通道加密、双向认证等技术保障金融信息传输的安全性，运用加密存储、信息摘要等手段保证重要金融信息机密性与完整性，通过身份认证、日志完整性保护等措施确保金融信息使用过程有授权、有记录，防范金融信息集中泄露风险。强化金融信息保护内部控制管理，健全金融信息安全管理制度，明确相关岗位和人员的管理责任，定期开展金融信息安全内部审计与外部安全评估，防止金融信息泄露和滥用。”

      金融作为数字化转型最快速的行业之一，以数据要素为核心驱动的金融科技产业，必然面临更为严峻的信息保护问题。几乎所有的金融科技应用都是以数据为核心要素进行驱动的，无论是涉及到信贷风险评估、保险定价识别的计算平台，抑或基于生物识别等人工智能技术的智能支付系统，都会涉及到个人信息的保护问题。

       在官方的《规划解读白皮书》中，对个人金融信息的保护指出了三个方面的工作方式和方法，也是本次金融科技应用风险摸排工作的基本参考依据。

       （一）坚持法律先行，加快构建多元协同共治格局。

       近年来，个人信息泄露引发的侵害公民个人权益的事情层出不穷。无论是持牌金融机构、科技公司等，都出现了因个人金融信息泄露而产生社会不良影响的情况。以2016年前后的电信诈骗作为一次高峰期，引起了社会和行业监管部门的广泛关注。当前，我国在刑法、民法、网络安全法等多个部门法中均提及了针对个人信息保护的要求。个人信息保护法的立法工作已经加快进程，有望在近期发布。个人信息保护的问题有望成为新的部门法，从属于网络安全的保护体系当中。守法合规本就是金融行业有效运行的基石。落实国家法律法规要求成为金融科技应用首先需要关注的方面。

       （二）坚持规范引领，持续健全信息保护标准化体系。

       JR/T 0171-2020《个人金融信息保护技术规范》是中国人民银行发布的第一本有关于个人金融信息保护的标准文件。规范建立了C3、C2、C1三个级别的个人金融信息分级体系，将用户在使用金融服务过程中涉及的账户信息、身份信息、鉴别信息等纳入其中，C3类信息与传统意义上的支付敏感信息有较大重合度，保持了金融标准的长期一致性。规范规定了收集、传输、存储、使用、删除、销毁全生命周期的技术要求和管理要求。其中，技术要求体现了更多的科技属性，充分结合了金融场景、终端设备、业务渠道等方面；而管理要求和基本原则与《网络安全法》、国家标准GB/T 35273等保持衔接。

       （三）坚持科技赋能，不断强化信息安全技防能力。

       个人金融信息保护问题的出现通常被认为是信息化、网络化、数字化时代产生的问题，是科技挑战了传统人类价值的结果。因而，解决个人金融信息的问题仍然需要使用科技的手段来解决。个人信息需要通过不同的终端（如ATM、POS）、软件（App等）进入信息系统中，强化终端、软件的安全管理，提高其防范非法入侵、存在信息泄露的风险，能够有效控制信息源头的安全问题。而在存储和使用中，有效采用密码技术，使用安全加密、去标识化、匿名化等技术手段，可以有效畅通数据流通能力，从而在发挥数据价值的过程中降低信息安全的风险。因而，金融信息的问题需要科技领域的不断努力。



       本次金融科技在个人金融信息保护方面的摸排，是要了解金融机构在个人金融信息方面的能力情况，为金融机构建立长效的信息保护机制提供要求和方法。

     （一）个人金融信息保护摸排应坚持全面性原则，保障摸排的业务系统和处理流程的全面性。

      金融机构应从个人金融信息处理（广义的处理包括收集、传输、存储、使用、删除、销毁全过程）的角度梳理金融科技应用的范围。从金融信息的收集端入手，从App、网上银行、公众号、自助设备等渠道进行摸排梳理工作。从具体范围上，需要注意到，金融机构对外提供的SDK、API、嵌入在第三方平台中的小程序也将成为收集渠道。进而，根据个人金融信息的流动建立数据流图，从而确定摸排范围。以银行为例，这些业务系统通常会包含银行卡系统、电子银行系统、其他支付交易系统、反洗钱或风险控制系统、客户服务系统等。

     

     （二）个人金融信息保护应定期进行安全评估，外部评估材料可提供合规性佐证。

       在App的个人金融信息保护方面：根据央行2019年发布的《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知（银发〔2019〕237号）》要求，移动金融客户端（App）应按规定开展备案工作。该工作由中国互联网金融协会组织开展，其中备案工作的要件就是通过金融科技产品认证，使金融客户端在个人金融信息保护中符合JR/T 0092及JR/T 0171（涉及金融客户端部分）的相关要求。

       在业务系统的个人金融信息保护方面：央行在《银行卡收单业务管理办法》、《非银行支付机构网络支付业务管理办法》等中均对C3类个人金融信息（涉及支付能力部分，包括银行卡支付敏感数据和网络支付密码等数据）的合规使用提出要求，并在《中国人民银行关于进一步加强银行卡风险管理的通知》《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》等专项工作中提出具体落实要求和安全评估要求。国际支付卡安全组织PCI的数据安全标准（PCI DSS）及中国银联的支付数据安全标准（UP DSS）中也对此类信息提出了合规指南。具有支付信息的安全审计证明材料（PCI DSS AOC或UP DSS合规报告）也将帮助金融机构提供有效的信息保护能力证明。

     （三）个人金融信息保护应建立协调的工作组织，形成长期有效的工作机制。
       从摸排内容来看，个人金融信息的合规问题相对复杂。个人金融信息不仅是技术话题，同时也是法律问题。表现在金融科技应用上，需要考虑业务部门提出的需求、产品部门做出的设计、开发部门的编码实施、运营部门的运行管理、法规部门的内控审计等多个方面，在任何环节、任何方面存在脱节，都可能导致个人金融信息的违规情况发生。在摸排工作中，不仅要检查金融科技应用的技术实现，也要关注其关联的用户协议、商务合同、信息保护政策等内容。因而，在个人金融信息保护的摸排工作中，建立跨部门的协同工作机制是必不可少的。
       如果金融科技应用存在个人金融信息保护落实不到位的情况，仍需要分析其产生的具体原因。我们关注到的App收集个人信息的问题，如位置信息的收集，可能来自于默认的权限开启，也可能出于风险控制部门的需要，也可能仅仅作为周边商户的推荐需求。跨部门的工作组织形成，能够推进个人金融信息保护的长效机制建立。


       以上是关于《关于开展金融科技应用风险专项摸排工作的通知》（银办发﹝2020﹞45号）个人金融信息保护相关内容的介绍，下期将对交易安全的内容进行解读。

       国家金融IC卡安全检测中心（银行卡检测中心）为金融机构提供金融科技应用风险专项摸排技术解读及相关摸排工具，帮助金融机构快速建立金融科技应用台账，形成金融科技应用风险统计分析功能，建立健全金融科技应用风险监控体系。