云游戏行业网
个人信息与个人金融信息
日期:2020-04-03 浏览次数:19

对比几年前,我们大家对隐私的保护意识应该加强了许多。每逢需要登记个人资料时,都会留个神,这究竟该不该填啊? 填了身份证号、手机号、地址会交给谁呢?万一拿了我的身份证去干别的怎么办啊?

“个人信息”保护意识的觉醒,让我们对私人数据都敏感起来。但其实并非所有与个人关联的信息都需要敏感对待

有些信息虽然与个人相关,但却难以从信息本身的特殊性识别出特定自然人;一般情况是已知特定自然人,由该特定自然人在活动中产生的信息,属于“个人信息”。前者是从信息到人,在信息有助于识别出特定个人的时候,才符合法律上“个人信息”的认定标准。

可识别性”是个人信息认定的核心依据。《网络安全法》中“个人信息”的定义是:以电子或者其他方式记录的能够单独或者与其他信息结合识别自然个人身份的各种信息,包括但不限于自然人个人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。

个人信息种类繁多,“敏感”程度不同,则关注程度也应该不同。

在敏感性比较高的金融行业,最近有了详细的技术规范来保护与金融有关的个人信息。我们在“《个人金融信息(数据)保护试行办法(初稿)》,不从第三方获个人金融信息”一文中曾讨论过:“个人金融信息”是如何被定义的?在“个人信息”保护的一般基础上,又是如何细化和强化“个人金融信息”的保护?“ 近日,中国人民银行发布了《个人金融信息保护技术规范》,对“个人金融信息”的范围和类别进行了梳理。

《规范》将个人金融信息三个类别:C1、C2、C3。“个人金融信息”是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息:

- C1主要为开户时间、支付标记信息等;

- C2主要为账户、身份证信息、短信口令、KYC信息、住址等;

- C3主要为各类账户密码。

金融机构需要识别日常经营活动中所涉及的个人金融信息,按C1、C2、C3的级别进行数据等级划分,在收集、传输、存储、使用、删除、销毁等各个环节构建严格的保护体系。

C3、C2、C1三类,正是从高到低,按“敏感程度”将个人金融信息分为三个级别:C3账户密码(用户鉴别信息)最为敏感,一但泄露、丢失或未经授权查看,会严重危害账户持有人的财产安全;C2账户、身份证信息、短信口令、、KYC信息、住址等,为可识别特定用户身份与金融状况的个人金融信息,泄露会造成未经授权的查看、未经授权的变更;C1开户时间、支付标记信息等,主要指供金融业机构内部使用的个人金融信息,对账户安全的风险略低。

需要强调的是,只有具备资质的金融机构才有权收集“个人金融信息”,金融机构负有管理和保护的责任,否则就会有数据合规风险,甚至是法律风险;而一般“个人信息”的收集者会受到《网络安全法》等法律法规的约束。

我们目前还有一系列关于个人隐私的管理规范在研究制定中,所以即使最敏感的个人信息,例如金融、医疗信息等,慢慢都会得到更有效的保护。