德恒探索

网络安全系列之金融机构个人信息保护

2018-12-17


网络安全和数据保护已经成为中国金融机构必须面临的问题,其中对于个人信息的保护应更加重视。2018年4月,上海警方披露了近期侦破的多起侵犯公民个人信息案件,其中一起案件中,某保险公司两位前员工和两位现员工构成犯罪核心,在不到半年时间里就非法盗取、交易公民个人信息1000余万条,涉案金额2000余万人民币。[1]2018年5月30日,原保监会江苏保监局也发布《关于防范保险消费者个人信息泄露风险的提示》,指出江苏省近期出现因侵犯公民个人信息引发的刑事案件,要求当地各人身保险公司省级分公司、保险专业中介机构务必高度重视保险消费者信息保护工作,采取切实有效措施防范个人信息泄露风险。金融机构个人信息保护应注意以下法律问题。


一、确定关键信息基础设施范围


《网络安全法》第31条和《关键信息基础设施安全保护条例(征求意见稿)》都明确将金融纳入了关键信息基础设施范围。中央网络安全和信息化领导小组办公室、网络安全协调局于2016年6月发布的《国家网络安全检查操作指南》中将银行运营、证券期货交易、清算支付、保险运营明确列举入金融领域的关键信息基础设施业务。


金融机构在确定关键业务后,可逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单,主要包括网站类、平台类和生产业务类,每个类别的认定标准不尽相同。对于可能造成超过100万人个人信息泄露或大量机构、企业敏感信息泄露或其他可能造成严重损害社会和经济秩序或危害国家安全的网站类、平台类或生产业务类信息系统或工业控制系统,应作为关键信息基础设施加以保护。


关键信息基础设施运营者将将面临更严格的网络安全保护要求,包括采购网络产品和服务、公民个人信息和重要业务数据的存储和传输等,都受限于更严格的国家安全审查和安全评估。


二、加强个人信息保护


《网络安全法》将“个人信息”定义以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》将银行和金融行业中生成的个人信息定义为“个人金融信息”,包括个人身份信息,个人财产信息,个人账户信息、个人信用信息、个人金融交易信息、衍生信息、在与个人建立业务关系过程中获取、保存的其他个人信息。国家质量监督检验检疫总局和国家标准化管理委员会发布并于2018年5月1日生效的《信息安全技术个人信息安全规范》(“《个人信息安全规范》”)将个人信息区分个人敏感信息和其他一般信息,个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。


金融机构在处理个人信息的保护时,应区分重要类个人敏感信息,予以严格的保护,尤其是对于个人行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等,对这些重要类个人敏感信息保护不利可能引发刑事责任。根据2017年6月1日开始施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,或者非法获取、出售或者提供其他类型的公民个人信息五千条以上的,或违法所得五千元以上的;都构成非法获取、出售、提供公民个人信息的“情节严重”的情形,触发刑法第二百五十三条的“侵犯公民个人信息罪”,构成金融机构犯罪的,将对金融单位判处罚金,并对其直接负责的主管人员和其他直接责任人员进行处罚。


加强个人信息保护应在收集和使用个人信息过程中,遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。对于个人敏感信息,根据《个人信息安全规范》要求,应取得个人信息主体的明示同意。银行业金融机构要完善信息安全技术防范措施,确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露,不得非法出售或者非法向他人提供个人信息。未经被收集者同意,不得向他人提供公民个人信息,但是经过处理无法识别特定个人且不能复原的除外。银行业金融机构通过外包开展业务的,应当充分审查、评估外包服务供应商保护个人金融信息的能力,并将其作为选择外包服务供应商的重要指标。


三、加强网络安全机构设置和从业人员管理


为避免金融机构内部人员泄露和买卖客户个人信息的情况,金融机构应加强对从业人员的管理。《网络安全法》要求,关键信息基础设施的运营者一方面要设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查,另一方面要定期对从业人员进行网络安全教育、技术培训和技能考核。《个人信息安全规范》要求个人信息控制者明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等,并要求满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。


金融机构还应以公司规章制度或者雇佣合同、代理合同条款的形式将客户个人信息保护纳入从业人员考核体系,综合运用佣金和薪酬发放、降级、解除合同等多种手段建立惩戒机制。对于违反限定范围接触、使用客户信息,以及泄露和买卖客户个人信息的从业人员,应严肃处理,涉嫌构成犯罪的,应当依法移送司法机关,并追究相关人员的管理责任。


文中注释

[1]“保险内鬼出售客户信息上千万条买保险会泄露个人信息吗?”, 2018-04-22,来源:希财网


本文作者:

微信图片_201812181804381.png



贾 辉

     

合伙人/律师



贾辉,德恒北京办公室合伙人、律师,一带一路服务机制主席助理,主要执业领域:并购和保险。他曾代表众多中国公司和外资公司参与跨境投资并购活动。贾辉律师同时拥有美国纽约州和中国的律师执业资格。 

邮箱:jiahui@dehenglaw.com


声明:

本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。

相关律师

  • 贾辉

    合伙人

    电话:+86 10 5268 2888

    邮箱:jiahui@dehenglaw.com

相关搜索

手机扫一扫

手机扫一扫
分享给我的朋友