安杰视点｜解读《个人金融信息保护技术规范》之信息分级管理

作者：詹昊、宋迎、韦飞

《规范》较为引人瞩目的是对个人金融信息采取了分级管理的方式，本文主要就此进行研讨。

根据《规范》第4.1条，个人金融信息具体指以下信息：

《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，即采用了分级管理机制：

《规范》以个人金融信息收集、传输、存储、使用、删除、销毁等生命周期作为维度，对个人金融信息提出了具体合规性要求，其中各个周期对C3、C2类别的信息有不同于其他个人金融信息的特别规定。

数据分类分级管理是《中华人民共和国网络安全法》对网络运营者的基本要求之一。实践中企业也会采取一定方式按照数据重要性、敏感程度对数据采取分类分级的方式进行管理。目前已生效的法律法规和标准文件中除了将个人信息区分为“个人敏感信息”和“儿童个人信息”外，没有进一步分级的细化要求。2018年底金融标准化技术委员会公布的《支付信息保护技术规范》（送审稿）则采取了与本《规范》类似的信息分级机制。《支付信息保护技术规范》将支付信息按敏感程度从低到高分为C1、C2、C3、C4四个类别，具体指： 

• C4类别主要为于金融交易的用户鉴别与授权信息。该类信息一旦遭到未经授权的查看或未经授权的变更，会对支付等金融消费主体的个人信息安全与财产安全造成严重危害。例如，交易密码属于C4类信息

• C3类别主要为在金融业务中收集、存储的，可识别特定自然人身份与金融状况的个人金融信息，以及金融消费者用于支付等金融业务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更，会对支付等金融消费主体的个人信息安全与财产安全造成一定危害。例如，支付账号、身份证号属于此类信息。

• C2类别信息主要为机构内部的信息资产，主要指供内部使用但不能对外公开的个人金融信息，以及与个人金融安全保护相关的信息系统安全功能数据。该类信息一旦遭到未授权查看或变更，可能会对支付等金融消费主体的个人信息安全与财产安全造成危害。例如，开户银行及时间，交易流水等属于C2类信息。

• C1类别信息是指机构在特定条件下可以对外公开或披露的个人金融信息，以及支付等金融服务机构有关信息。这类信息泄露不会对机构或他人造成任何影响，如金融机构名称、金融机构营业网点地址；支付机构名称、办公地址；商户名称等公开信息。

以上两种或两种以上的低类别信息经过组合、关联和分析后可能产生高敏感程度的信息。

通过以上条款可以看出，《支付信息保护技术规范》的C4、C3、C2类别信息与《规范》的C3、C2、C1类别信息在敏感度、重要性和泄露后的危害程度上基本一致，具体的信息类型也存在一定的相同和类似。

不过，《支付信息保护技术规范》尚未正式发布，考虑《规范》的规制主体是持牌金融机构，《支付信息保护技术规范》根据其内容可以推断其规制主体也将涵盖大部分持牌金融机构，因此未来正式发布的《支付信息保护技术规范》应该会在信息分级管理上与在先生效的文件保持一致。

当然，由于具体的信息类型在不同行业存在差异，这也是一直难以制定可以适用全行业的信息分级机制的重要原因。我们理解，采取《规范》这种信息分级方式会仅限于金融行业。对于一个持有多个不同金融领域牌照的金融集团，本《规范》可以直接适用。具体到银行、保险、证券、基金等细分行业，《规范》第4.2条对C3、C2、C1采取的是“包括但不限于”的举例式列举，因此即便未在本条明确列明的信息类型，公司也可以在细分行业根据信息的敏感度和泄露后的危害程度参照这一标准进行分类和分级管理。并且，从合规、审慎的角度，我们建议在C3、C2、C1的基础上按照从严、从高的标准建立符合各金融机构实际的信息分级机制。

声 明

文章仅代表作者观点，不视为安杰律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题，欢迎与本所联系。