2020年2月20日，全國金融標準化技術委員會(以下簡稱“金標委”)公示了推薦性行業標準《個人金融信息保護技術規范》(以下簡稱“《金融信息規范》”)，該標準由中國人民銀行于2020年2月13日發布并于當日實施。

個人金融信息分級制度

個人金融信息分級制度是《金融信息規范》中的重要規定，也將是金融業機構推行合規工作所繞不開的重點環節。《金融信息規范》中個人金融信息分級制度的分級內容及各級別額外要求如下表： 

一、為什么要信息分級?—— 信息分級是合規的基礎

從體系上來看，《金融信息規范》中個人金融信息分級的要求，與基于個人金融信息生命周期的安全技術要求與管理要求(以下稱為“合規要求”)是融合統一的。

• 一方面，《個人信息規范》作為一項通用標準，對于個人信息的分類方式(個人信息、個人敏感信息)及辨識度，不能滿足金融服務的實際需求。金融業機構需要更細化的信息分級，指導日常的金融信息保護。
• 另一方面，信息分級也是一切數據保護與合規工作的基礎，有助于金融業機構辨識不同數據的風險等級與合規難點，做到因人(數據)而異、因地(場景)制宜，把握合規重點環節，節約合規成本

二、如何分級?—— 信息分級依據的幾種標準

1. 一般標準

《金融信息規范》主要是根據數據泄露事件發生后的嚴重性(后果)進行分級。具體到條文中，從C1到C3級別，其分級依據分別表述為：該類信息一旦遭到未經授權的査看或變更，可能會對個人金融信息主體的信息安全與財產安全造成“一定影響”、“一定危害”、“嚴重危害”。

作為每個級別包含的個人金融信息類型，《金融信息規范》采取了“概述+不完全列舉”的方式，羅列了若干具體的信息類型。那么，這是不是意味著企業應當按部就班地按照各級別列舉的信息類型執行呢?我們理解，不應僵化地執行，還需要綜合考慮各項條件，以多種標準靈活地判斷某類數據的分級狀況。

2. 場景化的標準

《金融信息規范》中明確，同一信息在不同服務場景中可能處于不同的級別，則應依據服務場景以及該信息在其中的作用對信息的級別進行識別，實施針對性的保護。

例如，低敏感程度級別的個人金融信息因參與身份鑒別等關鍵活動導致敏感程度上升的，如經組合后構成交易授權完整要素的情況，則應提升相應的安全保障手段。

3. 動態化的標準

《金融信息規范》對個人金融信息的分級并不是固定的，而是會在特定條件下產生一定差異和轉化，具體如下：

(1) 同一級別內不同信息類型的差別處理

即使是同一級別中的不同信息類型，《金融信息規范》對其的合規要求也有所不同。以“用戶鑒別輔助信息”為例，其包括動態口令、短信驗證碼、密碼提示問題答案、動態聲紋密碼等。分類上雖然屬于C2類別，但與其他C2類相比，存在以下特殊合規要求：

• 不應委托給第三方機構進行處理(同于C3)
• 不應共享、轉讓(同于C3)
• 不應公開披露(同于C3)

同樣，較為特殊的信息類型還包括C2中的“支付賬號及其等效信息”(共享、轉讓時應使用支付標記化技術進行脫敏處理)、C3中的“個人生物識別信息”(不應公開披露)等。

(2) 同一信息類型在特定場景下的級別變化

《金融信息規范》規定，兩種或兩種以上的低敏感程度級別信息經過組合、關聯和分析后可能產生髙敏感程度的信息，應采取針對性的保護措施。

比如：某手機廠商推出了具有動態聲紋加密功能的手機，而動態聲紋密碼屬于C2類別中的用戶鑒別輔助信息。如果這類信息與賬戶結合使用可直接完成用戶鑒別，則屬于C3類別信息。

上述靈活的信息級別分類模式，一方面的確更加科學、嚴謹，另一方面也給企業的風控合規部門提出了新的挑戰。一味的“抄作業”已經不可取了，如何將合規性要求，結合自身業務實際，轉化為有效的內控措施;如何將個人金融信息的分級標準與企業自身在數據管理中沿用的數據分級、分類標準有機地統一起來，將成為金融業機構合規工作的重點和難點。

三、分級帶來的重大影響?—— 與第三方機構合作風險

個人金融信息分級制度的一大影響，在于以數據為中心，對金融業機構與第三方機構的合作方式劃出了紅線。

《金融信息規范》中涉及第三方機構個人金融信息處理的主要條文如下：

• 數據收集：不應委托或授權無金融業相關資質的機構收集C3、C2類別信息——6.1.1 a)
• 數據共享、轉讓：C3類別信息以及C2類別信息中的用戶鑒別輔助信息不應共享、轉讓——7.1.3 a)
• 數據處理：C3以及C2類別信息中的用戶鑒別輔助信息，不應委托給第三方機構進行處理——6.1.1.4 b)
• 數據存儲：外包服務機構與外部合作機構原則上不應留存C2、C3類別信息.不應將存儲個人金融信息的數據庫交由外部合作機構運維。——7.2.1 g)

這些規定進一步明確了持牌金融機構與第三方機構在金融服務中開展(業務/技術)合作的標準、內容、范圍和邊界，特別是細化了個人金融信息在各個階段的處理方式和責任主體，對金融科技活動的各方參與主體具有重要的指導意義。

對于一些金融科技企業或助貸機構，其或將面臨業務規范和轉型的問題，以往大量收集、存儲敏感的個人金融信息，與金融機構聯合開展貸款風控、貸后催收的業務模式將難以存續。

而站在持牌金融機構的角度，通過與金融科技公司合作、風控外包，不過問數據來源，只做“錢柜子”的粗放模式也不再適用。盡快適應新監管要求，完善自身風控能力，并確立新型、合規的第三方合作模式，將成為下一階段合規工作的重點。