金融科技網絡信息安全法規梳理與解讀(一)

2019-12-28 45382人圍觀 ,發現 6 個不明物體 企業安全安全管理

一、背景介紹

金融機構是國家層面的重要基礎設施,承擔著融通資金、服務實體經濟、防范金融風險和服務大眾的重要作用,是關乎國計民生的重要行業領域。金融科技的快速發展改變了原有金融行業的業務模式,從原有的電子銀行模式向移動化、便利化和智能化方向創新發展,創造了移動支付、網絡借貸、互聯網保險等新模式。我國金融科技的發展處于全球領先水平,尤其是移動支付的交易規模、網絡借貸的用戶規模,都在全球前列。金融科技也是一種集約化的業務模式,通過打通金融機構內部系統流程,簡化業務流程,提升運營效率,降低了金融服務成本,結合大數據和運營推廣,進一步擴大了用戶范圍,創造了更多的商業價值。

第二篇

第三篇

傳統金融機構朝著數字化轉型的同時,越來越多的主體參與到我國金融科技行業當中。互聯網企業憑借技術積累在金融科技領域頻頻發力,同時大量傳統企業如聯通、國美、蘇寧等,通過大量的用戶數據積累和零售環節,積極開拓消費金融市場。

另外,博鰲亞洲論壇后,我國加速了對于外資金融機構開放的步伐,加快了外資金融機構入華的進程。外資機構在開辦電子銀行業務、開拓中國市場、采用新型技術時,都給我國金融科技領域增加了更多的不確定性。

快速的技術發展和大量的參與者,放大了我國金融行業的網絡信息安全風險,從銀行員工的監守自盜,到銀行機房失火事件,從互聯網金融的粗放式成長,再到P2P行業的相繼暴雷,不斷暴露的風險不僅危害金融數據和隱私安全,也影響著整個金融行業乃至整個社會的穩定。

金融科技與網絡信息安全風險相伴相生的,隨著技術的發展與演進也會不斷引入新的風險。而應對風險最有效的途徑就是風險的管理。自1994年我國發布《中華人民共和國計算機信息系統安全保護條例》以來,我國就已經步入了網絡信息安全立法的階段,現已形成憲法、法律、法規、行政部門規章、司法解釋和行業自律守則等多層面的信息安全法律體系。作為強監管的金融行業,一方面要接受來自主管單位如中央人民銀行、銀行保險監督管理委員會、證券監督管理委員會的監管,另一方面還要接受公安部和工信部等其他行政部門的約束。

為更有效地滿足金融科技網絡信息安全的監管要求,筆者通過梳理和分析我國金融科技網絡信息安全的法律法規和監管規定,提出金融機構在網絡信息安全領域所面臨的合規風險,結合國家信息安全標準,設計一套完整監管合規的措施方案,供金融機構日常管理與運維工作參考之用。

本文檔為金融科技網絡信息安全法規解讀報告,以我國現行法律法規為基礎,結合人民銀行、銀保監會和證監會的金融監管規章制度,以《信息安全技術 網絡安全等級保護基本要求》為建議框架,解讀國家法律法規、部門規章、規范性文件等文件對金融科技發展的監管要求,設計出適用于金融機構的安全管理戰略、人員組織架構、文化與意識、流程與機制、架構與技術五位一體的網絡信息安全監管合規路徑。

二、金融科技網絡信息安全監管環境分析

我國網絡信息安全的立法是伴隨著信息技術發展而逐步開展的,在信息技術發展初期,由于信息技術應用范圍的限制,僅就特定的信息技術應用場景和行為進行原則性的約束,主要表現為在《中華人民共和國憲法》《中華人民共和國保守國家秘密法》《中華人民共和國標準法》《中華人民共和國商標法》《中華人民共和國專利法》《中華人民共和國著作權法》《中華人民共和國民法》《中華人民共和國刑法》《中華人民共和國治安管理處罰法》等法律中的部分條款和原則。針對網絡信息安全和網絡行為而制定的法律,主要是1994年發布的《中華人民共和國計算機信息系統安全保護條例》和2000年發布的《關于維護互聯網安全的決定》。這一時期,國家層面已經注意到信息技術對國民生活的重要性,以及信息技術在應用過程中所存在的網絡信息安全問題,由于缺乏廣泛的應用,網絡信息安全問題存在一定的技術門檻,法律條款不能逐一規范具體行為,僅在個人權利、違法行為和指導原則方面進行表述。另外,為了鼓勵我國電子商務行業的發展,2004年國家發布的《中華人民共和國電子簽名法》,主要目的在于認可電子商務過程中的民事行為,但也在很大程度上促進了網絡信息安全的發展。

隨著信息技術的發展與廣泛應用,網絡信息安全的問題逐漸顯露,國務院及各部委局發布一些條例和規章,應時處理和規范時下熱點網絡信息安全問題,填補立法空隙,例如《計算機病毒防治管理辦法》《互聯網新聞信息服務管理規定》《電子出版物管理規定》《中國互聯網絡域名管理辦法》等等。這一階段,國務院及各部位局均對網絡和信息安全均提出了管理要求,導致存在多頭管理、管理不嚴、依據標準不一等問題。與此同時,國際網絡空間安全環境險象環生,存在諸多不確定因素,我國網絡空間安全戰略提上了日程。

為進一步加強對網絡空間**的保障,規范網絡信息安全的管理,2016年我國先后發布了《中華人民共和國網絡安全法》《國家網絡空間安全戰略》,闡明了我國關于網絡空間發展和安全的立場,指導網絡安全工作,維護國家在網絡空間的**、安全和發展利益。

經過多年的發展,我國金融行業信息安全監管框架已經基本形成,并且具有明顯的特征,一是監管主體向網信辦協同各部位的“1+N”多維化轉變,二是監管制度趨于嚴格化,三是監管內容越來越精細化,四是監管科技手段增加,監管方式也從原有事后審計調查向事中事前轉變,五是由于各地區地域所處經濟發展現狀有所差異,地域化的監管特征也已經初步顯現。

2.1 監管主體多維化

目前我國金融行業網絡信息安全主要受網信辦、公安部、銀行保險監督管理委員會等部門多個維度的監督管理。

金融機構作為國家重要基礎設施,國家法律對金融機構信息安全具有監管要求。《網絡安全法》規定,國家網信部門負責統籌協調網絡安全工作和相關監督管理工作,國務院電信主管部門、公安部門和其他有關機關依法在各自職責范圍內負責網絡安全保護和監督管理工作。這種“1+N”的監管體制,符合當前互聯網與現實社會全面融合的特點和我國監管需要,也滿足了國家對網絡安全重點保護、預防為主、責任明確、嚴格管理的原則。

我國公安機關行使計算機網絡信息安全保護監督管理工作,其對金融機構的信息安全具有管理要求。1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》賦予公安機關行使對計算機信息系統安全保護工作偶的監督管理職權,同時規定由公安機關牽頭落實信息系統安全等級保護制度。1995年全國人大發布的《中華人民共和國人民警察法》,明確了公安機關具有監督管理計算機信息系統的安全的職責。1997年執行的《計算機信息網絡國際聯網安全保護管理辦法》將公安機關的監督職權擴大到信息網絡國際聯網領域。2017年實施的《網絡安全法》強調在網絡安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有更多的安全保護義務,并配以國家安全審查、重要數據強制本地存儲等法律措施,確保關鍵信息基礎設施的運行安全。這不但強化了公安機關在網絡信息安全監督管理方面的主導地位,同時將網絡安全等級保護制度作為國家監管、保護國家重要基礎設施網絡安全的有力抓手。

中國人民銀行是我國金融領域的行政主管單位,其對金融機構的信息安全管理也有直接管轄要求。第一,在全國金融風險管理方面,央行需要對金融機構、金融資金流向的信息安全全面掌握,例如《關于進一步加強銀行業金融機構信息安全保障工作的指導意見》《國庫資金風險管理辦法》《互聯網金融從業機構反洗錢和反恐怖融資管理辦法(試行)》《金融機構大額交易和可疑交易報告管理辦法》等制度文件,要求各金融機構需要保障金融系統和數據的可用性和完整性。第二,央行在管理金融交易、結算清算等方面的管理要求,需要保障經濟信息、全國交易信息的信息安全風向,例如《關于加強條碼支付安全管理的通知》《關于強化***磁條交易安全管理的通知》《關于開展支付安全風險專項排查工作的通知》等。第三,央行在統籌規劃、建設和使用國家基礎數據過程中要保障數據的安全性,例如《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》《個人信用信息基礎數據庫管理暫行辦法》《企業信用信息基礎數據庫管理暫行辦法(征求意見稿)》《關于進一步加強征信信息安全管理的通知》等管理辦法。

銀行保險監督管理委員會(下稱“銀保監會”)是我國銀行、保險機構網絡信息安全工作的直接監管部門。早在2006年,銀監會為有效控制電子銀行業務風險,完善電子銀行業務的監管規章體系,發布的《電子銀行業務管理辦法》《電子銀行安全評估指引》對開展電子銀行業務的金融機構提出信息安全相關的制度要求。同時,銀監會發布的《商業銀行信息科技風險管理指引》,對銀行明確提出了風險管理的要求,該指引涵蓋了信息科技風險管理的各個領域,進一步加強了商業銀行信息科技風險管理。此外,針對銀行業金融機構在業務連續性和信息科技外包等重點信息安全風險領域,銀監會也分別出臺了《商業銀行業務連續性監管指引》和《銀行業金融機構信息科技外包風險監管指引》等管理指引,強化上述重點領域的風險管理。

銀行業金融機構在業務快速發展過程中,積累了****、交易數據、外部數據等海量數據,數據已經成為銀行的重要資產和核心競爭力,加之社會大眾對個人信息保護意識的提升,銀監會在《銀行業金融機構數據治理指引》中,要求金融機構加強數據治理保障數據安全的同時,按照《信息安全技術個人信息安全規范》的國家標準加強對個人信息安全的保護。

證券監督管理委員會(下稱“證監會”)同樣是我國金融行業主要的監管單位,主要針對證券、期貨、基金及相關服務機構等進行監管。2012年證監會發布《證券期貨業信息安全保障管理辦法》,該辦法系統地規范了證券期貨業信息安全管理等監管制度,確立了行業信息安全監管的體制,明確了行業監管部門、自律組織和市場主體的信息安全責任,提出了信息安全工作的要求。將于2019年6月1日起實施的《證券基金經營機構信息技術管理辦法》,全面覆蓋了各類主體,強化信息技術的主體責任,按照“誰運行,誰負責”的原則,明確信息安全監管安排,同時了明確治理、安全、合規三條主線,要求經營機構設立信息技術治理委員會,進一步加強了證監會對行業機構信息安全領域的監管力度。

金融機構的網絡信息安全工作同時接受工業與信息化部(下稱“工信部”)的監管。金融機構在使用信息網絡資源時,需要遵循工業與信息化部在基礎信息網絡方面的相關規定。例如《互聯網域名管理辦法》(工信部﹝2017﹞43號)規定金融機構在注冊互聯網域名需要提供真實準確的信息,在運營和使用互聯網域名時禁止提供的服務內容等要求;《規范互聯網信息服務市場秩序若干規定》(工信部﹝2017﹞20號)規定金融機構在提供信息時不得實施侵犯其他互聯網信息服務提供者合法權益的行為,收集用戶信息時應征得用戶的同意,同時應當加強系統安全防護等要求。

工信部下設網絡安全管理局,承擔電信網絡和互聯網基礎環境的安全及信息安全工作。網絡安全管理局擬訂并組織實施電信網、互聯網網絡信息安全防護政策,同時承擔電信和互聯網行業網絡安全審查相關工作。另外,網絡安全管理局會承擔電信網、互聯網網絡數據和用戶信息安全保護管理工作。2019年1月25日,網信辦、工信部、公安部、市場監管總局等四部門聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》,決定在全國范圍組織開展App違法違規收集使用個人信息專項治理。

金融機構互聯網應用系統中發布的內容信息應接受國家互聯網信息辦公室的監管。金融機構在其發布互聯網應用系統上往往增加一些額外的信息服務,如公眾賬號、財經新聞、微博、即時通訊等功能,而這些功能和其中流轉的內容信息均應滿足國家互聯網信息辦公室出臺的相關規定。《互聯網新聞信息服務管理規定》(國家互聯網信息辦公室令﹝2017﹞1號)規定金融機構在申請、運行信息服務時因遵循的相關規定,其中包括信息安全管理和技術措施,以及相關知識產權的保障要求;而金融機構在發布相關內容服務時如果采用了新技術新應用,則應按照《互聯網新聞信息服務新技術新應用安全評估管理規定》相關要求,開展自評估并接受評估機構評估,審查信息安全管理制度和技術保障措施是否配套健全;金融機構在發布移動互聯網應用程序(APP)時,應遵照《移動互聯網應用程序信息服務管理規定》執行,包括要求App提供者對注冊用戶的實名制、建立健全用戶信息安全保護機制、建立健全信息內容審核管理機制、尊重用戶合法權益,以及記錄并保存用戶日志六十日等要求。

2.2 監管制度嚴格化

隨著我國信息科技的發展,我國在監管層面的制度不斷發展和強化,逐步形成了嚴格的網絡信息安全保障制度,例如,金融機構在建設、使用和運維信息系統時,應按照網絡安全等級保護制度要求,對信息系統進行定級、備案、測評和整改;在使用安全設備或產品時,應選用通過信息安全檢測和評估認證的安全產品;金融機構在使用密碼算法時應遵循商用密碼管理制度;在使用互聯網開展業務前,應按互聯網信息服務安全管理制度要求進行備案。此外還有,安全專用產品銷售許可證制度、計算機案件強行報案制度、計算機信息系統使用單位安全負責制度、計算機病毒專管制度、計算機信息系統國際聯網備案制度、電信安全管理制度、計算機信息媒體進出境申報制度等制度要求。

金融機構在采用信息科技開展特定業務時,不但要遵循上述制度要求,同時還要遵循監管單位的特殊要求,例如銀行業如需要開展電子銀行業務,則應按照《電子銀行安全評估指引》的規范要求,定期開展覆蓋機構各個部門和層面的風險評估,以保障網絡信息安全。在2019年1月25日中央網信辦、工業和信息化部、公安部、市場監管總局決定,自2019年1月至12月,在全國范圍組織開展App違法違規收集使用個人信息專項治理。為了更好地滿足監管要求,金融機構建設使用的移動App,可以按照市場監管總局和中央網信辦發布的《移動互聯網應用程序(App)安全認證實施規則》的要求對應用程序進行安全認證。

2.3 監管內容精細化

我國網絡信息安全的監管,從原有的原則性監管正逐步向精細化監管邁進。20世紀90年代更多的關注破壞計算機系統的犯罪,進入21世紀逐步關注金融行業系統可用性和安全風險的識別。時至今日,除了已經頒布的《網絡安全法》和和國家標準《個人信息安全規范》,全國人大和學術界正在緊鑼密鼓地加緊擬定我國數據安全保護和個人隱私保護的相關法律。網絡信息安全的監管正從基礎設施和系統的安全性向數據和隱私方向演進。

我國個人信息保護,是從個人郵件信息安全逐步向個人信息保護轉變的。在1979年的刑法中對隱匿、毀棄或者非法開拆他人信件,侵犯公民通信自由權利進行保護;在1997年的刑法中,除對上述信息保密性保護以外,對郵政人員職務犯罪進行規定。2009年在刑法修正案七中,規定了特定人員出售、非法提供公民個人信息,一般人員非法獲取公民個人信息都是犯罪,增加規定了單位犯罪。2015年的刑法修正案九,又在刑法修正案七的基礎上,增加規定從重情節,使得內容更詳細、完備,有層次感。

個人信息定義的范圍也是逐步擴大和明確的。2003年發布的《中華人民共和國***法》和2006年發布的《中華人民共和國**法》規定個人信息主要是指公民的姓名、年齡、住址、***號碼、血型、婚姻狀況、職業等身份識別信息。而在2005年中國人民銀行發布的《個人信用信息基礎數據庫管理暫行辦法》中,將個人信息分為基本信息、信貸信息和信用信息。擴大了個人信息的定義。2016年頒布的《中華人民共和國網絡安全法》,其中第76條規定:“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、***件號碼、個人生物識別信息、住址、電話號碼等。” 2017年《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條明確規定了公民個人信息的范圍:“指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、***件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”結合以上法律條文的概括和列舉,個人信息的范圍逐步擴大,定義也逐步明確。

近年隨著歐盟《通用數據保護條例》(GDPR,General Data Protection Regulation)的發布,歐盟實施了長臂管轄的政策,在網絡空間中占領先機,我國也出臺了相應的技術標準《個人信息安全規范》,在個人信息定義、個人信息的收集、保存、使用、披露和安全保護措施等方面提供技術性標準建議,進一步加強了個人信息的保護。

在數字化時代里,所有社會生活和個人信息都可以通過數字進行定義和標識,數據本身就是源源不斷的資源,而國家監管正在逐步精細到每一個數據處理過程,以保障數據資源規范地流動并創造價值。銀保監會在2018年發布的《銀行業金融機構數據治理指引》要求各銀行業金融機構加強數據治理,提高數據質量,充分發揮數據價值,提升經營管理水平,由高速增長向高質量發展轉變。

2.4 監管手段科技化

金融科技的核心是運用新技術提高效率,以更好地解決信息不對稱難題。科技的快速發展催生了個體網絡借貸(P2P網貸)、互聯網眾籌、互聯網保險等業務的同時,也帶來了洗錢、金融詐騙和網絡信息安全問題。為了應對由于科技發展所帶來的新問題,監管部門正在充分運用人工智能、大數據和云計算等新技術,著力解決好監管過程中的信息不對稱難題,以切實提高合規管理的能力和水平。

監管部門通過人工智能和大數據等科技化監管手段的應用,一方面可以在業務層面對金融詐騙、洗錢、個人信息泄露等行為特征進行識別和追溯,提高了分析和處理效率,強化了對金融機構業務操作層面的監管水平。另一方面,通過搭建統一的數據集中化存儲和分析平臺,可以對金融機構信息系統運行狀況、網絡信息安全風險情況進行精準化的規則匹配,發現潛在風險,并以事件和問責的形式,推動金融機構快速響應和處置整改,形成完整而高效的工作機制。如果金融機構沒能在網絡信息安全風險管理方面采用科技化的手段和機制,必然會在應對監管問責時處于被動地位。

2.5 監管政策地域化

另外一個不可忽視的現狀是,我國各地區信息技術發展不均衡,信息產業結構也并不相同,因此各地區政府對網絡信息安全監管的要求也存在側重。北京、上海、重慶、杭州、貴陽、大連等城市近幾年分別發布網絡信息安全規范和要求,有的促進大數據發展,有的促進數據共享,有的關注個人信息保護等等。在2019年2月18日發布的《粵港澳大灣區發展規劃綱要》中要求大灣區內城市建立健全網絡與信息安全信息通報預警機制,加強實時監測、通報預警、應急處置工作,構建網絡安全綜合防御體系。相信在未來,這種網絡安全監管政策地域化的趨勢也將更為明顯。

*本文原創作者:當春日漸暖,本文屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

相關推薦
發表評論

已有 6 條評論

取消
Loading...

特別推薦

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗