银行互联网贷款 “借款人敏感数据”的界定与合规

  导读  

银保监会下发征询《商业银行互联网贷款管理暂行办法》意见的通知，对借款人敏感数据提出了明确要求。对银行互联网贷款业务而言，应从合规层面早做筹划与准备。

  正文  

数字经济时代，银行互联网贷款的业务基础是风险数据，故数据治理与个人信息保护被提到数字金融的核心位置。2020年初，银保监会下发征询《商业银行互联网贷款管理暂行办法》(以下简称《暂行办法》)意见的通知，该办法对借款人敏感数据提出明确要求。对银行互联网贷款业务而言，应从合规层面早做筹划与准备。敏感数据又称敏感信息，是指不当使用或未经授权被泄露或修改会损害社会利益或对个人信息主体造成不良影响的所有信息，诸如姓名、身份证号码、住址、电话、银行账号、邮箱、密码、医疗信息、教育背景等。

  个人敏感信息在上位法中的缺失  

在个人信息保护的研究中，有学者对欧美个人敏感信息清单作出考察后，归纳出确立个人敏感信息的四大因素，即伤害的可能性、引发伤害的概率、信任关系的存在、是否属多数人关心的风险，并提出了“多重因素检测”的观点。基于此，美国2015年提交的《消费者隐私保护法案》中规定了敏感个人可识别信息，并将保障其安全作为法案的主旨。

我国现行规范性文件关于个人敏感信息的规定的问题在于，高位阶的法律未充分体现敏感信息分类保护的重要性。尽管在2017年出台的《民法总则》强调个人信息受法律保护，但未就“个人信息”与“依法取得”做出界定，而最新的《民法典人格权编（草案）》尽管将隐私权和个人信息保护作为独立的章节出现，但依旧没有对其类别进行具体区分，而在此之前个人信息的分类又已早散见于如《征信业管理条例》《关于人民法院在互联网公布裁判文书的规定》《个人信息安全规范》等行政法规和其他较低层次的文件中。因此就法律层面,对个人信息的重要程度、可能对个人造成的危害程度未能充分认识并有效区分，且对个人信息的收集采取过于宽松的态度，而某些行政法规又采取过于僵硬的措施，导致法律与行政法规间适用的冲突。

  监管政策层面对借款人敏感数据的界定  

关于风险数据的使用，《暂行办法》第三十一条规定，银行不得违法违规向第三方提供借款人风险数据和泄露借款人敏感数据。此处借款人敏感数据应该特指个人敏感信息，是个人信息中风险因素较大的部分，其公开和传播不仅带来狭义的隐私权侵害，而且带来政治或社会上的歧视，妨害人的尊严和基本权利，因此，需采取比一般个人信息更严格的安全措施。

对借款人敏感数据中的“借款人”宜做扩大解释

互联网贷款系银行以自有资金对外放贷，不涉及其他出借人，因此《暂行办法》仅对借款人敏感数据做出规范。但在整个借款过程中，除借款自然人外，还有担保的自然人、借款机构或担保机构的法定代表人等，且一旦发生债务逾期，该等自然人亦可能受到牵连，甚至承担相应的法律责任，因此银行一般也会要求该类人员提供相应的个人信息。因此，从条款周延性角度，此处的借款人应做扩张解释，既包括贷款合同上的署名借款自然人，还应包括署名提供担保的自然人，以及机构借款人、机构担保人中的法定代表人或联系人。

对借款人敏感信息应从静态与动态两个维度进行界定

尽管《个人金融信息规范》与《个人信息规范2020版》是指导性或推荐性国家标准，但在个人信息保护上位法缺位之际，依旧为银行敏感数据的处理活动提供了一套相对完整的行为规范。从当前个人金融信息保护的政策实践看，一般趋向于将个人敏感信息通过静态与动态两个方面进行界定。

维度一，静态判定，即《个人金融信息规范》中C3类别信息与C2类别信息中用户鉴别辅助信息属于静态的敏感信息。静态判定对应的通常是列举式的法律或标准条文，其优点在于信息控制人或信息主体能迅速根据法律规定判断哪些信息被“禁止收集、处理和利用”或须遵循更为严格的信息保护原则，有利于信息得到切实保护，其缺点在于信息的内容与形式都会随科技发展、社会变迁而发生变化。《个人金融信息规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，并采用列举方式阐明。根据数据生命周期授权中各阶段的具体要求，可以确定其C3类别信息与C2类别信息中用户鉴别辅助信息属于个人敏感数据，且不会随各类金融应用场景的不同而发生变化。

显然，《个人金融信息规范》从用户身份识别角度对个人信息的具体内容进行静态判定，确定是否属于敏感信息。具体而言，C3类别信息主要为用户鉴别信息；该类信息一旦遭到未经授权的查看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成严重危害，具体包括银行卡磁道数据（或芯片等效信息）、卡片验证码（CVN和CVN2）、卡片有效期、银行，卡密码、网络支付交易密码，与账户（包括但不限于支付账号、证券账户、保险账户）登录密码、交易密码、查询密码，以及用于用户鉴别的个人生物识别信息。C2类别信息的用户鉴别辅助信息主要包括动态口令、短信验证码、密码提示问题答案、动态声纹密码；若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别，则属于C3类别信息。

维度二，动态判定，系根据信息组合或不同服务场景而产生个人敏感数据。囿于静态判定的局限性，往往须加入动态维度进行分析。动态判定主张综合数据处理的情境、目的等因素来判断信息是否敏感。《个人金融信息规范》指出两种动态个人敏感数据产生的情形：其一，两种或两种以上的低敏感程度类别信息经过组合、关联和分析，而产生高敏感程度的信息；其二，同一信息在不同服务场景中可能处于不同的类别，应依据服务场景及该信息在其中的作用对信息类别进行识别。而《个人信息规范2020版》更侧重于场景的动态判断是否属于个人敏感信息，即个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。在个人敏感信息示例中，该规范列举了个人财产信息、健康生理信息、生物识别信息、身份信息、其他信息等类型信息的举例，并指出可从以下角度判定是否属于个人敏感信息:

(1)泄露：个人信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控。某些个人信息在泄露后，被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

(2)非法提供：某些个人信息仅因在个人信息主体授权同意范围外扩散，即可给个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，借款人的存款信息、财产状况信息等。

(3) 滥用：某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等)，可能给个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，在未取得个人信息主体授权时，将相关个人信息用于个人画像，以作为精准营销的对象。

关于支付敏感信息问题

《个人金融信息规范》对支付敏感信息单独做出定义，即支付信息中涉及支付主体隐私和身份识别的重要信息，其范围包括银行卡磁道数据或芯片等效信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等用于支付鉴权的个人金融信息。从支付敏感信息的定义及注释看，应属于C3类别的敏感信息范畴，因此，《个人金融信息规范》有关C3类别的合规要求，以及《个人信息规范2020版》中关于敏感信息的相关要求均应适用于支付敏感信息。

在数据生命周期中，《个人金融信息规范》对支付敏感信息在收集、传输与储存阶段提出特殊的要求。在网络支付业务系统中，要求采取特定措施对支付敏感信息的输入进行安全保护，并采取有效措施防止合作机构获取、留存支付敏感信息。通过公共网络传输时，对C3类别中的支付敏感信息，要求其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。在储存环节，要求受理终端、个人终端及客户端应用软件均不应存储支付敏感信息的样本数据、模板，仅可保存完成当前交易所必需的基本信息要素，并在完成交易后及时予以清除。

  借款人敏感数据在数据生命周期中的合规问题  

借款人敏感数据一旦泄露、非法提供或滥用可能危害人身和财产安全，因此，监管政策及标准在制定时对敏感数据的保护与合规提出了更高的要求。综合相关标准，借款人敏感信息的规范要求可归纳如下：

第一，收集借款人敏感信息时须经明示同意，且不应委托或授权无金融业相关资质的机构收集C3、C2类别信息，尤其对于C3类别信息，应使用加密等技术措施保证数据的保密性，防止其被未授权的第三方获取。

第二，借款人敏感信息传输和存储时须注意的事项包括：其一，传输和存储敏感信息时，应采用加密等安全措施。其二，个人生物识别信息应与个人身份信息分开存储。其三，原则上不应存C3类别信息、储原始个人生物识别信息（如样本、图像等），可采取的措施包括：(a)仅存储个人生物识别信息的摘要信息；(b)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；(c)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像；(d)对C3类别信息，若确有必要留存的，应取得个人金融信息主体及账户管理机构的授权。

第三，在使用阶段，须注意的事项包括：其一，除银行卡有效期外，C3类别信息不应明文展示；其二，C3以及C2类别信息中的用户鉴别辅助信息，不应委托给第三方机构进行处理；其三，如果涉及对借款人敏感信息加工处理的，对C2、C3类别信息，应采取更加严格的保护措施。

第四，对个人敏感信息的访问、修改等行为，宜在对角色权限控制的基础上，根据业务流程的需求触发操作授权。例如，因收到客户投诉，投诉处理人员才可访问该用户的相关信息。

第五，共享、转让个人敏感信息前，应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意；而对于C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让和公开披露。

第六，个人生物识别信息原则上不应共享、转让。因业务需要，确需共享、转让的，应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意。

综上，在银行互联网贷款实务中，就借款人敏感数据的界定与合规问题的讨论已经超出《暂行办法》范畴，应将敏感数据置于个人金融信息保护的框架中进行分析。同时须特别指出，在个人信息保护统一立法尚未出台的背景下，银行在数字化转型的业务合规中，如涉及数据合规与治理方面的问题，除适用直接与业务相关的法规、规章或规范性文件外，其他与金融消费者保护、个人信息保护方面的政策、文件、标准亦存在适用之可能性。      

（金震华为上海市法学会金融法研究会互联网金融法律实务研究中心执行主任、上海汉盛律师事务所高级合伙人，宋华健为上海市法学会金融法研究会互联网金融法律实务中心学术秘书、上海汉盛律师事务所律师助理）

上一篇：新形势下金融反腐与廉洁风险管理
下一篇：金融科技下银行专业化营销改革