個人資訊保護法十二大因應措施-首席安全官

針對個保法帶來的新的管理和合規要求，我們總結了「十二大應對措施」供各行業和企業參考。我們也將針對不同產業如何根據具體的產業環境和需求落實這些因應措施提出建議。「十二大因應措施」如下：

建立個人資訊分類分級管理制度
建立個人資訊保護組織，在符合要求的情況下指定個人資訊保護負責人
建立個人資訊全生命週期管理體系
建立個人資訊主體授權管理平台並與企業存取權限管理系統對接
建立個人資訊安全影響評估體系
建立個人資訊安全事件緊急應變制度及配合監理機關調查取證的流程
建立個人資訊受託方管理制度
建立個人資訊主體行使權利的申請受理與處理機制
建立個人資訊保護合規審計制度
建立個人資訊安全教育訓練制度
建立個人資訊跨境傳輸安全評估體系
建立隱私設計體系，針對應用程式（APP）對使用者畫像、大數據分析、人工智慧等高新技術所使用的審核機制，充分利用加密、去識別化等隱私計算技術。
下圖將這「十二大因應措施「與個保法框架中的需求進行了映射

以下是我們針對「十二大因應措施」在金融業的具體應用進行闡述。

建立個人資訊分類分級管理制度
個保法51條規定個人資訊處理者需要“對個人資訊實行分類管理”，不少金融機構在前幾年的資料治理項目中已經對金屬資料進行了分類，不過普遍缺乏從安全視角的輸入。

於2020年10月1日生效的GB/T 35273-2020《個人資訊安全規範》3.1及3.2定義了個人資訊及個人敏感資訊並在附錄A及B中給出了判定方法和類型。

而央行頒布的於2020年2月13日生效的JR/T 0171-2020 《個人金融資訊保護技術規範》3.2和3.3給出了個人金融資訊及支付敏感資訊的定義，並在4.1和4.2中給出了詳細解釋和分類：

C3: 用戶鑑別訊息

C2: 使用者識別資訊、金融狀況資訊及產品服務關鍵訊息

C1: 金融機構內部使用個人金融訊息

央行於2020年9月23日頒布生效的JR/T 0197-2020 《金融資料安全分級指南》進一步規範了廣義的金融資料的分級安全保護，是金融資料安全分類分級管理最詳細的指南。其中3.10定義了金融數據，3.11對個人金融資訊的定義與《個人金融資訊保護技術規範》3.2定義完全一致；.2和4.3進一步闡明了定級的原則和範圍；第5大節則詳細描述了金融資料安全定級的要素、規則與流程，動態層級變更管理及重要資料的識別：

附錄A中非常詳細地列舉了金融典型資料定級規則的參考表，其中關於個人金融資料的列示更完整詳細，並且完全可以對應到《個人金融資訊保護技術規範》中的C3，C2，C1以及《個人資訊安全規範》中的個人資訊和個人敏感資訊，如下表。建議金融機構可以根據參考表的顆粒度並結合本單位的實際情況進行分類分級工作：

JR/T 0197	JR/T 0171	GB/T 35273
4級：非常嚴重影響個人隱私的訊息傳統鑑別訊息（銀行卡磁軌資料（或晶片等效資訊）、卡片驗證碼（CVN 和CVN2）、卡片有效期限、銀行卡密碼、網路付款交易密碼、帳戶登陸密碼、交易密碼、查詢密碼等）弱隱私生物特徵訊息（人臉、聲紋、步態、耳紋、眼紋、筆跡等）強隱私生物特徵資訊（指紋、虹膜等）	C3	個人敏感資訊
3級：嚴重影響個人隱私的訊息個人基本概況資訊（姓名、性別、國籍、民族、婚姻、證件、住址等）個人財產資訊（收入、不動產、車輛、納稅額、公積金、社保、健保等）個人聯絡資訊（手機、固話、電子郵件、微訊號等）個人健康生理資訊（病症、住院志、醫囑、檢驗報告、手術麻醉紀錄、照護紀錄、用藥紀錄、過敏資訊、生育資訊、病史、診治情形、家族病史、現病史、傳染病史等）個人地理位置資訊（國家、城市、區域、街道、經緯度等）個人鑑別輔助訊息（動態口令、簡訊驗證碼、密碼提示問題答案、動態聲紋密碼等）個人信貸資訊（借款資料、還款資料、欠款資料）個人間關係訊息（父母、子女、兄弟姊妹、配偶、社交關係）基礎標籤資訊（基於基本屬性如教育、職業等建構的個人標籤）關係標籤訊息（基於關聯屬性如家庭關係、職業關係、商業關係建構的個人標籤）	C2	個人敏感資訊
2級：中等或輕微程度影響個人隱私的訊息個人就學資訊（學校、系所、學歷、學位、學科、入學日期、畢業日期等）個人職業資訊（單位、職位、工作地點、收入、起始時間、結束時間等）個人資質證書資訊（證書編號、頒發機構、生效日期、到期日等）個人黨政訊息（黨派、加入時間）公私間關係訊息（職務資訊）個人行為訊息（線上線下諮詢、購買、使用記錄；瀏覽記錄、駕駛習慣等）其他標籤（簽約標籤、交易標籤、行為標籤、行銷服務標籤、風險標籤、價值標籤）	C1	個人資訊

表1：三大標準中個人金融資訊的對應

建立個人資訊保護組織，在符合要求的情況下指定個人資訊保護負責人
個保法52條規定個人資訊處理者需要「處理個人資訊達到國家網信部門規定數量的個人資訊處理者應指定個人資訊保護負責人，負責對個人資訊處理活動以及採取的保護措施等進行監督。」在66條法律責任中規定「違反本法規定處理個人訊息，或處理個人資訊未履行本法規定的個人資訊保護義務的…對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。情節嚴重的…對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人資訊保護負責人”

個人資訊保護負責人類似GDPR規定的DPO，其工作職責可以參考JR/T 0171-2020 《個人金融資訊保護技術規格》中7.2.2.B的建議：

負責制定及管理本機構個人金融資訊安全管理制度；
制定、實施、定期更新隱私權政策及相關規程；
監督本機構內部，以及本機構與外部合作方個人金融資訊安全管理；
進行資訊安全管理內部稽核、分析處理資訊安全相關事件；
組織進行個人金融資訊安全影響評估，提出個人金融資訊保護的對策建議；
組織在金融產品或服務上線發布前進行技術檢測，避免未知（與金融產品或服務功能及隱私權政策不符）的個人金融資訊收集、使用、分享等處理行為；
公佈投訴與申訴方式等資訊並及時受理個人金融資訊有關的投訴、申訴。
更全面的個人金融資訊保護組織架構，可參考央行於2021年4月8日頒布生效的JR/T0223-2021《金融資料生命週期安全規範》第8節「資料安全組織保障」：

金融業機構應設立資料安全管理委員會，建立由上而下的覆蓋決策、管理、執行、監督四個層面的資料安全管理系統（見上圖），明確組織架構與職位設置，保障資料生命週期安全防護要求的有效落實。

建立個人金融資訊全生命週期管理體系
個保法第4條清晰地定義了個人資訊處理包括“個人資訊的收集、儲存、使用、加工、傳輸、提供、公開、刪除等”，涵蓋了個人資訊的整個生命週期，而第5-32條規定了各種相應的詳細要求。金融機構必須建立涵蓋個人金融資訊全生命週期的管理體系才能動態地在各個環節中滿足個保法的要求。

JR/T 0171-2020 《個人金融資訊保護技術規格》的6，7兩大節分別對個人金融資訊生命週期提出了技術要求和管理要求。而JR/T0223-2021《金融資料生命週期安全規範》則對整體金融資料從生命週期的視角提出了更完整的體系化的安全要求。

根據網路安全等級保護2.0更新並於2020年11月11日生效的JR/T0071.2-2020《金融業網路安全等級保護實施指引》也對個人資訊保護提出了針對金融業的增強要求（7.1.4.11，8.1 .4.11和9.1.4.11），將通用等保2.0對於個人資訊的保護要求從2條擴展到了6條，尤其增加了對整體生命週期進行管理、控制、檢查和評估的要求，以及對於展示、開發測試、共享轉讓環節的要求。

幾個規範是可以比較好的映射起來的，結合在一起也基本上能滿足個保法裡面的對應要求（如下圖）

建立個人資訊主體授權管理平台並與企業存取權限管理系統對接
個保法第13條規定了個人資訊主體的授權同意是首要的個人資訊收集處理的合法性基礎，第23，25，26，29，39條也分別規定了在向第三方提供、公開處理，公共場所收集的個人資訊用於其他目的，收集處理敏感個人資訊，向境外提供等5種情形下都需獲得個人資訊主體的單獨同意。第15條賦予了個人資訊主體撤回同意的權利。所以金融機構必須建立一個可以動態地將個人資訊主體的授權與企業存取控制系統連結起來的平台以涵蓋整個個人金融資訊生命週期來滿足個保法的各項要求。

如下圖所示，統一授權管理平台將個人資訊主體（客戶）的明確授權透過標籤等方式將收集的資料賦予“授權屬性”，為這些資料建立基於授權屬性的存取控制（Attribute Base Access Control – ABAC ），然後與企業級的身份認證及存取控制系統通常所用的基於角色的存取控制（Role Base Access Control – RBAC）相結合，運用到涉及個人資訊生命週期的各個應用系統和業務流程環節中，並實現動態的調整。

建立個人資訊安全影響評估體系
個保法第55條要求在下列情形時候要進行個人資訊安全影響評估：

（一）處理敏感個人資訊；

（二）利用個人資訊進行自動化決策；

（三）委託處理個人資料、提供個人資料處理者個人資料、公開個人資料；

（四）向境外提供個人資料；

（五）其他對個人權益有重大影響的個人資訊處理活動。

第56條，規定了個人資訊保護影響評估應包括的內容：

（一）個人資訊的處理目的、處理方式等是否合法、正當、必要；

（二）對個人權益的影響及安全風險；

（三）所採取的保護措施是否合法、有效且與風險程度相適應。

個人資訊保護影響評估報告和處理情況記錄應保存至少三年。

GB/T 39335-2020 《個人資訊安全影響評估指南》給出了個人資訊安全影響評估的基本原理和實施流程，並在附錄中列舉了評估的要點，高風險個人資訊處理活動範例，常用工具表及參考方法，是一個非常實用的國標，金融機構可據此根據自身的實際情況來建立適合自己的個人金融資訊安全評估體系。下圖是此國標建議的具體評估步驟：

根據其附錄B“高風險的個人資訊處理活動範例”，金融機構需要關注的有：

資料處理涉及對個人資訊主體的評價或評分，特別是對個人資訊主體的工作表現、經濟狀況、健康狀況、偏好或興趣的評估或預測（如貸款前的信用分析，根據生活方式、健康狀況作出的保費設定決策等）
使用個人資訊進行自動分析給予司法裁定或其他對個人有重大影響的決定（如透過使用者畫像設定針對使用者特定偏好的行銷計劃）
收集的個人敏感資訊數量、比重較多，收集的頻率要求高，與個人經驗、思想觀點、健康、財務狀況等密切相關
對不同處理活動的資料集進行配對和合併，並應用於業務（防詐騙、風控等）
數據處理涉及弱勢群體的，如未成年人、病人、老人、低收入者等。
創新技術或解決方案的應用，如生物特徵識別、物聯網、人工智慧等（如人工智慧客服）
處理個人資訊可能導致個人資訊主體無法行使權利、使用服務或得到合約保障等（如對潛在客戶制定信貸決策）
附錄D「個人資訊安全影響評估參考方法」中也給出了「影響等級」與「可能性等級」兩個構面進行綜合評估的風險等級判定表：

建立個人資訊安全事件緊急應變制度及配合監理機關調查取證的流程
個保法第51條規定個人資訊處理者必須「制定並組織實施個人資訊安全事件緊急應變計畫」,第57條規定了「發生或可能發生個人資訊外洩、竄改、遺失的，個人資訊處理者應立即採取補救措施，並通知履行個人資訊保護職責的部門和個人，以及具體需要通知的內容」；第63條賦予了個人資訊保護部門調查取證的權利。金融機構應依本法要求，並參考《銀行保險機構應對突發事件金融服務管理辦法》，GB/T 38645 《網路安全事件緊急演練指南》，《上海市網路安全事件應急預案（2019年版）》等製定個人資訊外洩、竄改、遺失事件應變計畫。

建立個人資訊受託方管理制度
個保法第22條規定「受託方應依約定處理個人訊息，不得超出約定的處理目的、處理方式等處理個人資訊；委託契約不生效、無效、被撤銷或終止的,受託方應將個人資訊返還個人資訊處理者或刪除，不得保留。未經個人資訊處理者同意，受託方不得轉委託他人處理個人資訊。」第55條規定「受託人應依本法及有關法律、行政法規的規定，採取必要措施保障所處理的個人資訊的安全，並協助個人資訊處理者履行本法規定的義務。」金融機構可以結合原來銀監會針對資訊科技外包風險的一系列規定以及JR/T0223-2021《金融資料生命週期安全規範》中8.4的要求進行管理。

建立個人資訊主體行使權利的申請受理與處理機制
個保法第4章第44條至49條賦予了個人資訊主體一系列權利，並在50條要求“個人資訊處理者應建立便捷的個人行使權利的申請受理和處理機制。”，並賦予了個人資訊主體在其申請被拒絕的情況下起訴的權利，第70條進一步規定了相關部門、組織提起公訴的機制。

從「便捷」這個要求來看，金融機構應盡量建立全通路的受理平台，尤其是考慮各種線上管道如APP，公眾號等。

建立個人資訊保護合規審計制度
個保法第54條要求“個人資訊處理者應定期對其處理個人資訊遵守法律、行政法規的情況進行合規審計”，第64條賦予相關部門可以要求“個人資訊處理者委託專業機構對其個人資訊處理活動進行合規審計」。第58條對於“重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者”，要求“成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督”並“定期發布個人信息保護社會責任報告，接受社會監督”

金融機構可依據JR/T0223-2021《金融資料生命週期安全規範》8.1.d明確安全審計

合規審計、風險管理等相關崗位，作為資料安全管理的監督層，應該履行工作職責：

1) 依本機構資料相關業務實際情況，確定相應審計策略及規範，包括但不限於審計週期、審計方式、審計形式等內容。

2) 監督資料安全政策、方針的執行。

3) 公佈投訴、舉報方式等信息，並及時受理資料安全和隱私保護相關投訴和舉報。

4) 進行資料安全內部稽核與分析，發現並回饋問題與風險，並對機構後續相關整改工作進行監督。

5) 配合進行外部審計相關的組織和協調工作。

建立個人資訊安全教育訓練制度
個保法第51條要求「定期對從業人員進行安全教育和訓練」。可參考《金融資料生命週期安全規範》8.3.b的要求制定培訓計畫：

1) 依照培訓計畫定期進行資料安全意識教育與培訓，培訓內容包括但不限於國家有關法律法規、產業規章制度、技術標準，以及金融業機構內部資料安全有關制度與管理規程等內容，並對培訓結果進行評估、記錄和歸檔。

2) 對密切接觸高安全等級資料的人員定期進行資料安全意識教育和培訓，培養辦公室資料定期刪除意識，並定期進行資料刪除自查工作。

3) 每年至少對資料安全管理專職與關鍵職務人員進行1 次資料安全專案訓練。

4) 至少每年1 次或在隱私權政策發生重大變化時，對資料安全關鍵崗位上的人員進行專業化培訓和考核，確保人員熟練掌握隱私權政策和相關規程。

全員個人資訊安全意識的建設，通常包括訓練內容、評估與追蹤、溝通計畫、意識文化四個部分。

建立個人資訊跨境傳輸安全評估體系
個保法第38至43條規範了個人資訊的跨國傳輸。以下總結適用於金融機構的關於個人金融資訊在地化和跨境傳輸的法律法規和國家及行業標準條款：

a. 《網路安全法》第37條：

關鍵資訊基礎設施的運作者在中華人民共和國境內運作中收集和產生的個人資訊和重要資料應在境內儲存。因業務需要，確需提供給境外的，應依照國家網信署會同國務院有關部門所製定的辦法進行安全評估。

b. 《資料安全法》第26條：

任何國家或地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國採取歧視性的禁止、限製或其他類似措施的，中華人民共和國可以根據實際情況對該國家或地區對等採取措施。

c. 《資料安全法》第31條：

關鍵資訊基礎設施的運營商在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信署會同國務院相關部門制定。

d. 《資料安全法》第36條：

中華人民共和國主管機關依據相關法律和中華人民共和國締結或參加的國際條約、協定，或依照平等互惠原則，處理外國司法或執法機關關於提供資料的請求。非經中華人民共和國主管機關批准，境內的組織、個人不得向外國司法或執法機關提供儲存於中華人民共和國境內的資料。

e. 《個人資訊保護法》第40條：

關鍵資訊基礎設施運營商和處理個人資訊達到國家網信部門規定數量的個人資訊處理者，應將在中華人民共和國境內收集和產生的個人資訊儲存在境內。的確需提供給境外的，應通過國家網信部門組織的安全評估。

f. 《個人資訊保護法》第41條：

中華人民共和國主管機關依據相關法律和中華人民共和國締結或參加的國際條約、協定，或依照平等互惠原則，處理外國司法或執法機關關於提供儲存於境內個人資訊的請求。非經中華人民共和國主管機關批准，個人資訊處理者不得向外國司法或執法機構提供儲存於中華人民共和國境內的個人資訊

g. 《個人資訊保護法》第42條：

境外的組織、個人從事侵害中華人民共和國公民的個人資訊權益，或危害中華人民共和國國家安全、公共利益的個人資訊處理活動的，國家網信部門可以將其列入限製或禁止個人資訊提供清單，予以公告，並採取限製或禁止向其提供個人資訊等措施

h. 《個人資訊保護法》第43條：

任何國家或地區在個人資訊保護方面對中華人民共和國採取歧視性的禁止、限製或其他類似措施的，中華人民共和國可以根據實際情況對該國家或地區對等採取措施

i. 《證券法》第177條：

境外證券監督管理機構不得在中華人民共和國境內直接進行調查取證等活動。未經國務院證券監督管理機構和國務院相關主管機關同意，任何單位和個人不得擅自向境外提供與證券業務活動有關的文件和資料。

j. 《反洗錢法》第5條：

對依法履行反洗錢職責或義務獲得的客戶身份資料和交易信息，應予以保密；非依法律規定，不得向任何單位和個人提供。

k. 《網路安全審查辦法-修訂草案徵求意見稿》第6條：

掌握超過100萬用戶個人資料的業者赴國外上市，必須向網路安全審查辦公室申報網路安全審查

l. 《網路安全審查辦法-修訂草案徵求意見稿》第10條：

產品和服務使用後帶來的關鍵資訊基礎設施被非法控制、遭受干擾或破壞的風險
產品和服務供應中斷對關鍵資訊基礎設施業務連續性的危害
產品和服務的安全性、開放性、透明性、來源的多樣性，供應管道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險。
產品和服務提供者遵守中國法律、行政法規、部門規章情況。
核心資料、重要資料或大量個人資訊被竊取、外洩、毀損以及非法利用或出境的風險。
國外上市後關鍵資訊基礎設施，核心資料、重要資料或大量個人資訊被國外政府影響、控制、惡意利用的風險。
m. 《個人金融資訊（資料）保護試行辦法》第20條及《個人金融資訊保護科技規範》7.1.3.d都規定了：

在中華人民共和國境內提供金融產品或服務過程中收集和產生的個人金融訊息，應在境內儲存、處理和分析。。因業務需要，確需向境外機構（含總公司、母公司或分公司、子公司及其他為完成該業務所必需的關聯機構）提供個人金融資訊的，具體要求如下：

應符合國家法律法規及產業主管機關有關規定；
應取得個人金融資訊主體明示同意；
應依據國家、產業相關部門所製定的辦法與標準進行個人金融資訊出境安全評估，確保境外機構資料安全保護能力達到國家、產業相關部門與金融業機構的安全要求；
應與境外機構透過簽訂協議、現場核查等方式，明確監督境外機構有效履行個人金融資訊保密、資料刪除、案件協查等職責義務。
n. 《個人資訊出境安全評估辦法– 徵求意見稿》第2條：

網路業者向境外提供在中華人民共和國境內運作中收集的個人資訊（以下稱個人資訊出境），應依照本辦法進行安全評估。經安全評估認定個人資訊出境可能影響國家安全、損害公共利益，或難以有效保障個人資訊安全的，不得出境。

幾乎所有的法律法規都提到了出境需要進行安全評估的要求，而央行針對個人金融信息更是明確了本地“存儲、處理和分析”，出境需要安全評估和審批。而個保法第38條也明確：

個人資訊處理者因業務等需要，確需提供中華人民共和國境外個人資訊的，應具備下列條件之一：

（一）依本法第四十條的規定通過國家網信部門組織的安全評估；

（二）依國家網信部門的規定經專業機構進行個人資訊保護認證；

（三）依國家網信部門制定的標準合約與境外接收方訂立合同，約定雙方的權利義務；

（四）法律、行政法規或其他國家網信部門規定的條件。

另外也要求個人資訊處理者應採取必要措施，保障境外接收者處理個人資訊的活動達到本法規定的個人資訊保護標準。

目前《個人資訊出境安全評估辦法-徵求意見稿》以及《資料出境安全評估指南-徵求意見稿》都還沒有生效。但在金融機構本身沒有更全面完善的個人資訊出境安全評估體系的情況下，如果確實因為業務需要必須向境外傳輸個人訊息，建議還是按照這2個未生效的法規和標準進行安全評估並向監管提交報告並獲得批准。

依照《資料出境安全評估指南-徵求意見稿》，首先要進行目的評估，確保個人資訊出境的合法性、正當性和必要性，然後再對資訊本身的影響程度以及資料傳送者、接收者的安全管理和技術能力進行安全評估：

表3：個人權益及國家安全、經濟發展及社會公共利益受影響等級判定表

表4：發送方及接收方安全保障能力賦

表5：安全事件可能性等級判定表

表6：安全風險等級判定參考表

根據指南4.2.5「經評估，資料出境計畫不符合出境目的評估中合法性、正當性和必要性要求的或資料出境安全風險評估中的出境安全風險為高或極高的，個人資訊和重要數據不得出境”

建立隱私設計體系，針對應用程式（APP）對使用者畫像、大數據分析、人工智慧等高新技術所使用的審核機制，充分利用加密、去識別化等隱私計算技術。
個保法第73條對自動化決策進行了定義：「是指透過電腦程式自動分析、評估個人的行為習慣、興趣愛好或經濟、健康、信用狀況等，並進行決策的活動」。在第24條中作出了具體要求對大數據和演算法劃出了紅線，尤其增加了「不得對個人在交易價格等交易條件上實行不合理的差別待遇」來杜絕「大數據殺熟」的現象，以及要求提供“便捷的拒絕方式”，另外，《個人資訊安全規範》7.4也對用戶畫像的使用作出了限制，要求進行商業推送時應使用間接用戶畫像。金融機構應該建立隱私設計體系，將缺省隱私的概念落實到產品開發，服務等各個環節。

個保法第73條對匿名化和去標識化進行了定義，並在51條要求個人信息處理者“採取相應的加密、去標識化等安全技術措施”，金融機構可以根據JR/T 0171- 2020 《個人金融資訊保護技術規格》中加密與去識別化的具體要求，並參考GB/T 37964-2019《個人資訊去識別化指南》在需要的場景中運用適當的加密、去識別化技術。