中国个人金融信息保护

2020年12月8日, 中国银行保险监督管理委员会(CBIRC)主席列出了当局将密切关注的金融科技行业领域. 中国的金融科技发展迅速, 部分原因是移动支付领域的两大巨头——支付宝和b微信支付——大量使用支付. 然而, this growth in fintech means that there are likely challenges that need to be considered. What is the regulatory landscape in 中国 with regard to personal financial information? 这些法规如何影响全球金融机构? 欧盟《澳门赌场官方软件》(GDPR)与中国法律有何异同? 中国和全球金融机构的下一步行动是什么?

Fintech挑战

第一个挑战是大量的个人信息处理. 许多科技澳门赌场官方下载过度收款, 使用甚至出售信息, 可能没有得到客户的同意, 因此, 侵犯澳门赌场官方下载和个人隐私. 另一个挑战是第三方风险管理. 许多第三方支付平台在金融服务中发挥着作用, which makes it more difficult to regulate the investment functions on suppliers. 此外，还缺乏监管要求. Because there are no laws governing personal financial information protection in the financial industry, 更不用说金融科技了, 缺失的缺口给促进监管运作带来了挑战.

The violation of any regulations or privacy laws not only damages an enterprise's reputation, 而且还会施加大量的经济处罚. 2020年7月28日, The Shanghai Supervision Bureau of CBIRC imposed ¥1 million (US$150 thousand) in fines, 分别, to 2 Chinese banks that failed to properly protect consumers personal information.

中国的法律、法规、准则和标准

Although 中国 has not published any laws on personal financial information protection yet, 目前正在审查2项有关法律草案. 然而, there has been guidance published on personal information and mobile applications, and a series of financial industrial standards assisting financial institutions with compliance.

法律草案:个人信息保护和数据安全
2020年10月, 中国提交了备受期待的《澳门赌场官方下载》草案。¹ 向全国13个常务委员会提交法律^th 提请全国人大第一次审议. 《澳门赌场官方软件》共有8章70条²，这是中国法律框架的基础. 法典第6章, “隐私权与个人信息保护”表明个人信息的范围和个人信息处理者的义务在不断扩大. PIPL草案还将适用范围扩大到中国以外的处理商. 除了, 它规定了有关敏感个人信息的具体规则, 需要个人单独同意. 它还用多种法律依据取代了基于同意的处理, 包括合同, 义务与公共利益. 在进行自动化决策时，还增加了保护个人权利的考虑因素. 另一项关于数据安全的法律草案³ 于2020年7月2日提交. DSL is a multilevel classified protection regime depending on the importance of data, 哪些是由部委和地方政府定义的. 重要的数据处理机构需要定期进行风险评估，并指定数据安全人员和管理部门负责数据保护.

指南:个人信息保护和应用
尽管这两项法律草案仍在审查中, 国家市场监督管理总局和中国国家标准化管理委员会发布了一系列指导意见. The Information Security Technology-Personal Information Security Specification Revisions (GB/T 35273-2020)⁴ 于2020年10月1日生效, 提供加强个人资料保护的具体要求. The Guidance for Personal Information Security Impact Assessment (GB/T 39335-2020)⁵ 将于2021年6月1日生效，为艺术. PIPL中的54. 至于申请的规定, 全国信息安全标准化技术委员会TC260⁶ 和中国互联网信息办公室(CAC)发布了一系列关于移动应用运营商数据处理活动的指南和标准, 包括自我评估, use of software development kits and minimum scope of personal information necessary for function.

金融行业标准
Many financial industrial guidelines have also been published by the People's Bank of 中国 (PBOC), 包括以下内容:

• Personal Financial Information Protection Technical Specification (JR/T 0171-2020)-于2020年2月13日发出, it dictates that personal financial information should be classification into 3 levels and 7 categories.
  • 敏感度等级-用户识别信息(C3), information that can identify personal identity and financial status (C2) and internal information assets (C1)
  • 分类账户信息, 身份信息, 金融交易信息, 个人身份信息, 属性信息, 贷款信息和其他反映特定财务信息主体某些情况的信息⁷
• Financial Data Security—Guidelines for Data Security Classification (JR/T 0197-2020)- 2020年9月23日, 要求根据对国家安全的影响程度，将数据安全从高到低分为4个等级, 公共利益, 隐私与澳门赌场官方下载合法权益的损害程度以及对金融机构数据安全造成的影响程度.⁸
• Measures on the PBOC on the Protection of Financial Consumers' Rights and Interests (PBOC [2020] No. 5)⁹ ——新措施于2020年9月1日发布，并于2020年11月1日实施. 与2017年发布的规定相比，¹⁰ 有5个重大变化:

1. 随着部门法规的升级，法律效力增加. 违反新规定可能构成违反刑法. (新措施艺术.64)
2. A dynamic application scope in which institutions and enterprises each have their own standards, 它们决定了应用的动态范围(新措施Art.52)
3. 关注金融消费者的8项权利, 哪些规定了财产担保权的详细要求, 强化信息安全权、弱化个人信息控制权的被尊重权、知情权和公平交易权(《澳门赌场官方下载》第2条).14-21)
4. Standardization of direct marketing focused on the right to be informed (新措施艺术.30)
5. 加大对违法违规行为的处罚力度, 罚款最高可达50万日元(7.4万美元)(新措施第2条).第60条和《澳门赌场官方软件》¹¹)

对金融机构的全球影响

除了 to the economic penalties for violating the rights of Chinese citizens, 国家安全和公共利益, 网信办将把违规组织列入黑名单. 境外金融机构在中国境内收集个人金融信息的适用场景包括:

• 在中国境内对个人数据进行本地化处理
• 境外个人或者组织处理个人数据，损害境内人员利益的;
  • 向中国境内的数据主体提供产品或服务
  • The monitoring of their behavior as far as their behavior takes place within 中国
  • 中国法律、法规规定的其他情形

将中国法律映射到GDPR

中国's draft PIPL is one of 12 GDPR-related privacy laws throughout the world, 包括澳大利亚的隐私法, 巴西国防部长(LGPD), 加拿大个人信息保护和电子文件法案(PIPEDA), 智利的数据隐私法, 印度个人数据保护法案(PDPB), 日本个人信息保护法, 新西兰2020年隐私法, South Africa's Protection of Personal Information Act (POPIA) and the 隐私 Act, 韩国的个人信息保护法, Thailand Personal Data Protection Act (PDPA) and the US State of California Consumer 隐私 Act (CCPA).¹² 图1 举例说明了PIPL和GDPR之间的比较.

图1 -图1 GDPR与PIPL的异同

全球金融机构的合规

中国即将出台的法律法规可能会给全球金融机构在中国开展业务带来障碍. 全球金融机构可以采取以下措施，积极遵守中国的监管格局:

• Establish a specific department or designate personnel to supervise information processing in 中国
• 为中国机构的客户和员工发布隐私声明
• 管理中国人的个人理财信息
• Establish and maintain records of processing activities with regard to Chinese personal financial information
• 标记数据字典，绘制个人数据图和数据传输图
• 更新跨境数据传输合同、标准合同条款

中国金融机构的下一步行动

One of the pain points of personal financial information protection is data governance. 金融机构应平衡数据共享和数据保护. 例如, 明确消费者大数据在何种情况下可用于商业用途，确定数据保留期限和数据共享程度. These step-by-step guidelines on personal financial information protection may be useful:

1. 个人财务信息分类:
   • 建立一个完整的个人财务信息分类.
   • 确定整个数据生命周期的技术安全要求.
   • Update data mapping and the data dictionary by identifying personal information transfer scenarios, 识别个人财务信息转移或交换过程中涉及的第三方，并提出具体的技术要求.
2. 执行管理程序:
   • 更新官方网站和手机银行应用的隐私声明和通知，以及客户和员工签署的内部隐私政策和协议或合同.
   • Implement a data breach incident plan and procedures and data subject rights response procedures (i.e., 执行补充删除个人信息和注销用户账号流程及个人影响评估程序).
   • Establish a regular audit plan to evaluate the effectiveness of personal information protection policies, 相关程序和安全措施.
3. Appoint a person to oversee personal information protection and establish communication mechanisms:
   • 明确角色和责任，如建立个人信息保护的组织架构，明确相关部门的角色和责任.
   • 建立和改善内部和外部的沟通.
   • 进行隐私意识培训.
4. 改造涉及个人信息保护的IT系统;
   • Implement relevant IT systems and mobile apps transformation including collecting explicit consents, 指定敏感个人信息的收集和数据保留期限，并为客户提供反对直接营销的权利.
   • Categorize related IT systems and implement IT transformation for local maintenance systems, 并更新服务水平协议(sla)和工作声明(sow).

结论

在数字化转型的时代, 越来越多的金融机构在很大程度上采用自动化决策和人工智能(AI)等新技术，为客户提供更好的服务. 有了这些新技术, 大量的个人财务信息, 特别敏感的个人信息, 正在处理中. 因此, it is important to balance consumer rights and services as personal financial information has social, 经济和治理价值. Although 中国's draft laws addressing personal information protection and data security are still in review, Chinese regulators are keeping a close eye on the financial industry as it is highly regulated and high risk. 因此, 世界各地向中国市场提供金融服务的金融机构应积极采取适当的行政和技术措施，以适应中国隐私监管格局的变化.

尾注

¹ 全国人民代表大会常务委员会 中华人民共和国个人信息保护法(草案)2020年10月21日，中国
² 中华人民共和国全国人民代表大会， 中华人民共和国民法典2020年5月28日，中国
³ 中华人民共和国全国人民代表大会， 《澳门赌场官方软件》2020年7月2日，中国
⁴ The State Administration of Market Regulation and the Standardization Administration of 中国, Information Security Technology-Personal Information Security Specification Revisions (GB/T 35273-2020)2020年3月6日，中国
⁵ The State Administration of Market Regulation and the Standardization Administration of 中国, 信息安全技术个人信息安全影响评估指南(GB/T 39335-2020)2020年11月19日，中国
⁶ 全国信息安全标准化技术委员会TC260,中国
⁷ 中国人民银行， Technical Specification for Personal Financial Information Protection (JR/T 0171-2020)2020年2月13日，中国
⁸ 中国人民银行， Financial Data Security—Guidelines for Data Security Classification (JR/T 0197-2020)2020年9月23日
⁹ 中国人民银行， Measures on the PBOC on the Protection of Financial Consumers' Rights and Interests (PBOC [2020] No. 5)2020年9月1日，中国
¹⁰ 中国人民银行， 《澳门赌场官方下载》的通知》2017年7月4日，中国
¹¹ 全国人民代表大会常务委员会 中国消费者权益保护法2008年8月27日，中国
¹² 西蒙斯,维.; “12个制定类似gdpr的资料私隐法的国家”康弗特，2019年1月17日

唐安琪，CIPP/E, CIPM, ISO27001 LA

在Ernst工作 & 年轻人为金融机构提供隐私服务. 她是ISACA的领导人^© 中国bbb100集团. She is an invited speaker for the Hong Kong Baptist University School of Business, 金融科技和数据分析硕士课程. 唐先生在ISACA期刊上发表了以隐私为重点的文章，并为ISACA中国技术委员会发布的指南做出了贡献.