金融机构是国家层面的重要基础设施,承担着融通资金、服务实体经济、防范金融风险和服务大众的重要作用,是关乎国计民生的重要行业领域。金融科技的快速发展改变了原有金融行业的业务模式,从原有的电子银行模式向移动化、便利化和智能化方向创新发展,创造了移动支付、网络借贷、互联网保险等新模式。我国金融科技的发展处于全球领先水平,尤其是移动支付的交易规模、网络借贷的用户规模,都在全球前列。金融科技也是一种集约化的业务模式,通过打通金融机构内部系统流程,简化业务流程,提升运营效率,降低了金融服务成本,结合大数据和运营推广,进一步扩大了用户范围,创造了更多的商业价值。
传统金融机构朝着数字化转型的同时,越来越多的主体参与到我国金融科技行业当中。互联网企业凭借技术积累在金融科技领域频频发力,同时大量传统企业如联通、国美、苏宁等,通过大量的用户数据积累和零售环节,积极开拓消费金融市场。
另外,博鳌亚洲论坛后,我国加速了对于外资金融机构开放的步伐,加快了外资金融机构入华的进程。外资机构在开办电子银行业务、开拓中国市场、采用新型技术时,都给我国金融科技领域增加了更多的不确定性。
快速的技术发展和大量的参与者,放大了我国金融行业的网络信息安全风险,从银行员工的监守自盗,到银行机房失火事件,从互联网金融的粗放式成长,再到P2P行业的相继暴雷,不断暴露的风险不仅危害金融数据和隐私安全,也影响着整个金融行业乃至整个社会的稳定。
金融科技与网络信息安全风险相伴相生的,随着技术的发展与演进也会不断引入新的风险。而应对风险最有效的途径就是风险的管理。自1994年我国发布《中华人民共和国计算机信息系统安全保护条例》以来,我国就已经步入了网络信息安全立法的阶段,现已形成宪法、法律、法规、行政部门规章、司法解释和行业自律守则等多层面的信息安全法律体系。作为强监管的金融行业,一方面要接受来自主管单位如中央人民银行、银行保险监督管理委员会、证券监督管理委员会的监管,另一方面还要接受公安部和工信部等其他行政部门的约束。
为更有效地满足金融科技网络信息安全的监管要求,笔者通过梳理和分析我国金融科技网络信息安全的法律法规和监管规定,提出金融机构在网络信息安全领域所面临的合规风险,结合国家信息安全标准,设计一套完整监管合规的措施方案,供金融机构日常管理与运维工作参考之用。
本文档为金融科技网络信息安全法规解读报告,以我国现行法律法规为基础,结合人民银行、银保监会和证监会的金融监管规章制度,以《信息安全技术 网络安全等级保护基本要求》为建议框架,解读国家法律法规、部门规章、规范性文件等文件对金融科技发展的监管要求,设计出适用于金融机构的安全管理战略、人员组织架构、文化与意识、流程与机制、架构与技术五位一体的网络信息安全监管合规路径。
我国网络信息安全的立法是伴随着信息技术发展而逐步开展的,在信息技术发展初期,由于信息技术应用范围的限制,仅就特定的信息技术应用场景和行为进行原则性的约束,主要表现为在《中华人民共和国宪法》《中华人民共和国保守国家秘密法》《中华人民共和国标准法》《中华人民共和国商标法》《中华人民共和国专利法》《中华人民共和国著作权法》《中华人民共和国民法》《中华人民共和国刑法》《中华人民共和国治安管理处罚法》等法律中的部分条款和原则。针对网络信息安全和网络行为而制定的法律,主要是1994年发布的《中华人民共和国计算机信息系统安全保护条例》和2000年发布的《关于维护互联网安全的决定》。这一时期,国家层面已经注意到信息技术对国民生活的重要性,以及信息技术在应用过程中所存在的网络信息安全问题,由于缺乏广泛的应用,网络信息安全问题存在一定的技术门槛,法律条款不能逐一规范具体行为,仅在个人权利、违法行为和指导原则方面进行表述。另外,为了鼓励我国电子商务行业的发展,2004年国家发布的《中华人民共和国电子签名法》,主要目的在于认可电子商务过程中的民事行为,但也在很大程度上促进了网络信息安全的发展。
随着信息技术的发展与广泛应用,网络信息安全的问题逐渐显露,国务院及各部委局发布一些条例和规章,应时处理和规范时下热点网络信息安全问题,填补立法空隙,例如《计算机病毒防治管理办法》《互联网新闻信息服务管理规定》《电子出版物管理规定》《中国互联网络域名管理办法》等等。这一阶段,国务院及各部位局均对网络和信息安全均提出了管理要求,导致存在多头管理、管理不严、依据标准不一等问题。与此同时,国际网络空间安全环境险象环生,存在诸多不确定因素,我国网络空间安全战略提上了日程。
为进一步加强对网络空间**的保障,规范网络信息安全的管理,2016年我国先后发布了《中华人民共和国网络安全法》《国家网络空间安全战略》,阐明了我国关于网络空间发展和安全的立场,指导网络安全工作,维护国家在网络空间的**、安全和发展利益。
经过多年的发展,我国金融行业信息安全监管框架已经基本形成,并且具有明显的特征,一是监管主体向网信办协同各部位的“1+N”多维化转变,二是监管制度趋于严格化,三是监管内容越来越精细化,四是监管科技手段增加,监管方式也从原有事后审计调查向事中事前转变,五是由于各地区地域所处经济发展现状有所差异,地域化的监管特征也已经初步显现。
目前我国金融行业网络信息安全主要受网信办、公安部、银行保险监督管理委员会等部门多个维度的监督管理。
金融机构作为国家重要基础设施,国家法律对金融机构信息安全具有监管要求。《网络安全法》规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。这种“1+N”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要,也满足了国家对网络安全重点保护、预防为主、责任明确、严格管理的原则。
我国公安机关行使计算机网络信息安全保护监督管理工作,其对金融机构的信息安全具有管理要求。1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》赋予公安机关行使对计算机信息系统安全保护工作偶的监督管理职权,同时规定由公安机关牵头落实信息系统安全等级保护制度。1995年全国人大发布的《中华人民共和国人民警察法》,明确了公安机关具有监督管理计算机信息系统的安全的职责。1997年执行的《计算机信息网络国际联网安全保护管理办法》将公安机关的监督职权扩大到信息网络国际联网领域。2017年实施的《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。这不但强化了公安机关在网络信息安全监督管理方面的主导地位,同时将网络安全等级保护制度作为国家监管、保护国家重要基础设施网络安全的有力抓手。
中国人民银行是我国金融领域的行政主管单位,其对金融机构的信息安全管理也有直接管辖要求。第一,在全国金融风险管理方面,央行需要对金融机构、金融资金流向的信息安全全面掌握,例如《关于进一步加强银行业金融机构信息安全保障工作的指导意见》《国库资金风险管理办法》《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》《金融机构大额交易和可疑交易报告管理办法》等制度文件,要求各金融机构需要保障金融系统和数据的可用性和完整性。第二,央行在管理金融交易、结算清算等方面的管理要求,需要保障经济信息、全国交易信息的信息安全风向,例如《关于加强条码支付安全管理的通知》《关于强化***磁条交易安全管理的通知》《关于开展支付安全风险专项排查工作的通知》等。第三,央行在统筹规划、建设和使用国家基础数据过程中要保障数据的安全性,例如《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《个人信用信息基础数据库管理暂行办法》《企业信用信息基础数据库管理暂行办法(征求意见稿)》《关于进一步加强征信信息安全管理的通知》等管理办法。
银行保险监督管理委员会(下称“银保监会”)是我国银行、保险机构网络信息安全工作的直接监管部门。早在2006年,银监会为有效控制电子银行业务风险,完善电子银行业务的监管规章体系,发布的《电子银行业务管理办法》《电子银行安全评估指引》对开展电子银行业务的金融机构提出信息安全相关的制度要求。同时,银监会发布的《商业银行信息科技风险管理指引》,对银行明确提出了风险管理的要求,该指引涵盖了信息科技风险管理的各个领域,进一步加强了商业银行信息科技风险管理。此外,针对银行业金融机构在业务连续性和信息科技外包等重点信息安全风险领域,银监会也分别出台了《商业银行业务连续性监管指引》和《银行业金融机构信息科技外包风险监管指引》等管理指引,强化上述重点领域的风险管理。
银行业金融机构在业务快速发展过程中,积累了****、交易数据、外部数据等海量数据,数据已经成为银行的重要资产和核心竞争力,加之社会大众对个人信息保护意识的提升,银监会在《银行业金融机构数据治理指引》中,要求金融机构加强数据治理保障数据安全的同时,按照《信息安全技术个人信息安全规范》的国家标准加强对个人信息安全的保护。
证券监督管理委员会(下称“证监会”)同样是我国金融行业主要的监管单位,主要针对证券、期货、基金及相关服务机构等进行监管。2012年证监会发布《证券期货业信息安全保障管理办法》,该办法系统地规范了证券期货业信息安全管理等监管制度,确立了行业信息安全监管的体制,明确了行业监管部门、自律组织和市场主体的信息安全责任,提出了信息安全工作的要求。将于2019年6月1日起实施的《证券基金经营机构信息技术管理办法》,全面覆盖了各类主体,强化信息技术的主体责任,按照“谁运行,谁负责”的原则,明确信息安全监管安排,同时了明确治理、安全、合规三条主线,要求经营机构设立信息技术治理委员会,进一步加强了证监会对行业机构信息安全领域的监管力度。
金融机构的网络信息安全工作同时接受工业与信息化部(下称“工信部”)的监管。金融机构在使用信息网络资源时,需要遵循工业与信息化部在基础信息网络方面的相关规定。例如《互联网域名管理办法》(工信部﹝2017﹞43号)规定金融机构在注册互联网域名需要提供真实准确的信息,在运营和使用互联网域名时禁止提供的服务内容等要求;《规范互联网信息服务市场秩序若干规定》(工信部﹝2017﹞20号)规定金融机构在提供信息时不得实施侵犯其他互联网信息服务提供者合法权益的行为,收集用户信息时应征得用户的同意,同时应当加强系统安全防护等要求。
工信部下设网络安全管理局,承担电信网络和互联网基础环境的安全及信息安全工作。网络安全管理局拟订并组织实施电信网、互联网网络信息安全防护政策,同时承担电信和互联网行业网络安全审查相关工作。另外,网络安全管理局会承担电信网、互联网网络数据和用户信息安全保护管理工作。2019年1月25日,网信办、工信部、公安部、市场监管总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定在全国范围组织开展App违法违规收集使用个人信息专项治理。
金融机构互联网应用系统中发布的内容信息应接受国家互联网信息办公室的监管。金融机构在其发布互联网应用系统上往往增加一些额外的信息服务,如公众账号、财经新闻、微博、即时通讯等功能,而这些功能和其中流转的内容信息均应满足国家互联网信息办公室出台的相关规定。《互联网新闻信息服务管理规定》(国家互联网信息办公室令﹝2017﹞1号)规定金融机构在申请、运行信息服务时因遵循的相关规定,其中包括信息安全管理和技术措施,以及相关知识产权的保障要求;而金融机构在发布相关内容服务时如果采用了新技术新应用,则应按照《互联网新闻信息服务新技术新应用安全评估管理规定》相关要求,开展自评估并接受评估机构评估,审查信息安全管理制度和技术保障措施是否配套健全;金融机构在发布移动互联网应用程序(APP)时,应遵照《移动互联网应用程序信息服务管理规定》执行,包括要求App提供者对注册用户的实名制、建立健全用户信息安全保护机制、建立健全信息内容审核管理机制、尊重用户合法权益,以及记录并保存用户日志六十日等要求。
随着我国信息科技的发展,我国在监管层面的制度不断发展和强化,逐步形成了严格的网络信息安全保障制度,例如,金融机构在建设、使用和运维信息系统时,应按照网络安全等级保护制度要求,对信息系统进行定级、备案、测评和整改;在使用安全设备或产品时,应选用通过信息安全检测和评估认证的安全产品;金融机构在使用密码算法时应遵循商用密码管理制度;在使用互联网开展业务前,应按互联网信息服务安全管理制度要求进行备案。此外还有,安全专用产品销售许可证制度、计算机案件强行报案制度、计算机信息系统使用单位安全负责制度、计算机病毒专管制度、计算机信息系统国际联网备案制度、电信安全管理制度、计算机信息媒体进出境申报制度等制度要求。
金融机构在采用信息科技开展特定业务时,不但要遵循上述制度要求,同时还要遵循监管单位的特殊要求,例如银行业如需要开展电子银行业务,则应按照《电子银行安全评估指引》的规范要求,定期开展覆盖机构各个部门和层面的风险评估,以保障网络信息安全。在2019年1月25日中央网信办、工业和信息化部、公安部、市场监管总局决定,自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。为了更好地满足监管要求,金融机构建设使用的移动App,可以按照市场监管总局和中央网信办发布的《移动互联网应用程序(App)安全认证实施规则》的要求对应用程序进行安全认证。
我国网络信息安全的监管,从原有的原则性监管正逐步向精细化监管迈进。20世纪90年代更多的关注破坏计算机系统的犯罪,进入21世纪逐步关注金融行业系统可用性和安全风险的识别。时至今日,除了已经颁布的《网络安全法》和和国家标准《个人信息安全规范》,全国人大和学术界正在紧锣密鼓地加紧拟定我国数据安全保护和个人隐私保护的相关法律。网络信息安全的监管正从基础设施和系统的安全性向数据和隐私方向演进。
我国个人信息保护,是从个人邮件信息安全逐步向个人信息保护转变的。在1979年的刑法中对隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利进行保护;在1997年的刑法中,除对上述信息保密性保护以外,对邮政人员职务犯罪进行规定。2009年在刑法修正案七中,规定了特定人员出售、非法提供公民个人信息,一般人员非法获取公民个人信息都是犯罪,增加规定了单位犯罪。2015年的刑法修正案九,又在刑法修正案七的基础上,增加规定从重情节,使得内容更详细、完备,有层次感。
个人信息定义的范围也是逐步扩大和明确的。2003年发布的《中华人民共和国***法》和2006年发布的《中华人民共和国**法》规定个人信息主要是指公民的姓名、年龄、住址、***号码、血型、婚姻状况、职业等身份识别信息。而在2005年中国人民银行发布的《个人信用信息基础数据库管理暂行办法》中,将个人信息分为基本信息、信贷信息和信用信息。扩大了个人信息的定义。2016年颁布的《中华人民共和国网络安全法》,其中第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、***件号码、个人生物识别信息、住址、电话号码等。” 2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条明确规定了公民个人信息的范围:“指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、***件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”结合以上法律条文的概括和列举,个人信息的范围逐步扩大,定义也逐步明确。
近年随着欧盟《通用数据保护条例》(GDPR,General Data Protection Regulation)的发布,欧盟实施了长臂管辖的政策,在网络空间中占领先机,我国也出台了相应的技术标准《个人信息安全规范》,在个人信息定义、个人信息的收集、保存、使用、披露和安全保护措施等方面提供技术性标准建议,进一步加强了个人信息的保护。
在数字化时代里,所有社会生活和个人信息都可以通过数字进行定义和标识,数据本身就是源源不断的资源,而国家监管正在逐步精细到每一个数据处理过程,以保障数据资源规范地流动并创造价值。银保监会在2018年发布的《银行业金融机构数据治理指引》要求各银行业金融机构加强数据治理,提高数据质量,充分发挥数据价值,提升经营管理水平,由高速增长向高质量发展转变。
金融科技的核心是运用新技术提高效率,以更好地解决信息不对称难题。科技的快速发展催生了个体网络借贷(P2P网贷)、互联网众筹、互联网保险等业务的同时,也带来了洗钱、金融诈骗和网络信息安全问题。为了应对由于科技发展所带来的新问题,监管部门正在充分运用人工智能、大数据和云计算等新技术,着力解决好监管过程中的信息不对称难题,以切实提高合规管理的能力和水平。
监管部门通过人工智能和大数据等科技化监管手段的应用,一方面可以在业务层面对金融诈骗、洗钱、个人信息泄露等行为特征进行识别和追溯,提高了分析和处理效率,强化了对金融机构业务操作层面的监管水平。另一方面,通过搭建统一的数据集中化存储和分析平台,可以对金融机构信息系统运行状况、网络信息安全风险情况进行精准化的规则匹配,发现潜在风险,并以事件和问责的形式,推动金融机构快速响应和处置整改,形成完整而高效的工作机制。如果金融机构没能在网络信息安全风险管理方面采用科技化的手段和机制,必然会在应对监管问责时处于被动地位。
另外一个不可忽视的现状是,我国各地区信息技术发展不均衡,信息产业结构也并不相同,因此各地区政府对网络信息安全监管的要求也存在侧重。北京、上海、重庆、杭州、贵阳、大连等城市近几年分别发布网络信息安全规范和要求,有的促进大数据发展,有的促进数据共享,有的关注个人信息保护等等。在2019年2月18日发布的《粤港澳大湾区发展规划纲要》中要求大湾区内城市建立健全网络与信息安全信息通报预警机制,加强实时监测、通报预警、应急处置工作,构建网络安全综合防御体系。相信在未来,这种网络安全监管政策地域化的趋势也将更为明显。
*本文原创作者:當春日漸暖,本文属于FreeBuf原创奖励计划,未经许可禁止转载