- 一本书读透金融科技安全
- 吴湘泰 范军 黄明卓
- 3620字
- 2021-04-15 12:17:13
1.1.3 法规监管的挑战与实践
首先从国家层面看,《网络安全法》于2017年6月1日起正式实施。这是中国第一部聚焦网络安全领域的基础性法律,从顶层设计角度明确了国家、组织、公民维护网络安全的责任和义务,对保障国家网络空间主权、促进网络应用健康发展、打击网络违法犯罪、维护公民和组织合法权益具有重大意义。
自《网络安全法》进入立法程序以来,国家网信办、工信部、公安部、中国人民银行、原银监会等国家相关部委相继出台了一系列配套法规与举措。《网络安全法》将对包括银行业金融机构在内的依托网络提供服务的社会各类组织产生深远影响,有助于保障网络及关键信息系统运行安全、保护用户信息安全、做好监测预警与应急处置等。
从银行业监管层面来看,原银监会针对银行业金融机构网络安全颁布了一系列监管指引文件。2014年发布的《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(银监发〔2014〕39号),提出要推动建立银行业网络安全可控信息技术的长效机制,要求境内银行机构的安全可控信息技术使用率在2019年年末达到不低于75%的“红线目标”。2017年发布的《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》(银监办发〔2017〕2号),明确提出银行业应部署多层次网络安全技术防护体系,首次针对客户信息安全防护提出系统性监管要求,并要求金融机构按期完成自查。一系列监管指引,有助于金融机构建立网络安全保障组织架构、安全制度体系与重要数据保护机制等网络安全防范体系,从而有效抵御网络风险。
1.《网络安全法》的要求
《网络安全法》是落实“没有网络安全就没有国家安全”,建立严格的网络治理指导方针的一个重要里程碑。《网络安全法》的颁布标志着我国在保护网络空间安全、保护公民/法人和其他组织的合法权益、加强网络空间管理、打击网络犯罪方面迈入新阶段,将在未来几十年里影响包括金融行业在内的诸多领域。
《网络安全法》由7章79项条款组成,覆盖范围广泛。它包含一个全局性的框架,旨在加强网络安全、明确保护个人隐私和敏感信息,以及维护国家网络空间主权和安全。《网络安全法》与一些常用的网络安全标准(如美国国家标准与技术研究所(NIST)的网络安全框架以及ISO 27000和ISO 27001)类似,主要强调在网络产品、服务、运营、信息安全,以及监测、早期诊断、应急响应和报告等方面的要求。在保护个人数据隐私方面,《网络安全法》所起到的作用与其他国家的数据隐私相关法律法规正在逐步接近。
《网络安全法》在附则中进一步明确了几个基本定义:
·网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定、可靠运行的状态,以及保障网络数据的完整性、保密性、可用性。
·网络是指由计算机或者其他信息终端及相关设备组成的,按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
·个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
这里的网络安全,更接近英语的Cyber Security,可以认为《网络安全法》是我国在网络空间实施的法律。金融科技机构在法律主体上应属于《网络安全法》规定的网络运营商,而如果客户规模和社会影响等指标达到一定程度,则有可能被纳入关键信息基础设施(Critical Information Infrastructure)。所以金融机构需要做好以下6项工作:
·根据网络安全等级保护制度的要求,明确履行安全保护义务;
·网络和重要信息系统建设要遵循同步规划、同步建设、同步使用的“三同步原则”;
·建立健全网络安全监测预警和信息通报制度;
·采取措施,防止信息泄露、毁损、丢失;
·制定网络安全事件应急预案,并定期组织演练;
·开展内部审计,确保《网络安全法》贯彻实施。
自2010年至今(本书截稿时),我国由工信部、公安部、中国人民银行、原银监会等发布了多个与网络安全相关的法规,比如《网络关键设备和网络安全专用产品目录(第一批)》《国家网络安全事件应急预案》《关键信息基础设施安全保护条例(征求意见稿)》《个人信息和重要数据出境安全评估办法(征求意见稿)》《工业控制系统信息安全事件应急管理工作指南》《银行计算机安全事件报告管理制度》《网上银行系统信息安全通用规范》《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》等,读者可以自行查阅。
2.我国对个人信息保护的法律要求
金融科技发展进程中,数字化转型日益深入,金融机构在日常业务中高度依赖各类个人金融信息,包括身份、财产、信用、交易、衍生信息等。由此可见,个人金融信息是通过对“身份信息”“账户信息”“财产信息”等个人信息进行扩展与深化得到的,与个人的利益、权利息息相关。与此同时,非法利用个人金融信息的现象频频出现,这不但严重侵害了公民的隐私权和财产权,也破坏了金融管理秩序,甚至威胁到了国家安全。因此,在个人金融信息保护和利用之间需要达成新的平衡。国际上早已开始关注对个人信息的保护,并发布了多项个人信息保护相关的标准。
除了《网络安全法》外,我国也相继推出个人信息保护方面的法规和条例,比如《中华人民共和国刑法修正案(五)》《中华人民共和国刑法修正案(七)》《中华人民共和国刑法修正案(九)》,以及金融业务体系规定方面的《征信业管理条例》《关于银行业金融机构做好个人金融信息保护工作的通知》《关于金融机构进一步做好客户个人金融信息保护工作的通知》《中国人民银行关于进一步加强银行卡风险管理的通知》《证券公司开立客户账户规范》《个人信息保护指引》等。随着信息技术的发展,与金融业务相关的个人金融信息日益突破金融机构的壁垒,逐渐向互联网、电子商务、通信、交通、医疗等行业渗透。对于个人金融信息的保护,已突破了金融行业的界限。中国人民银行牵头制定了《个人金融信息保护指南》,进一步规范了个人金融信息保护的措施。
3.国外的法律实践
随着经济全球化进一步发展,跨境贸易、跨境投资、跨境服务等成为常见金融活动,而跨境操作以及信息资源的跨境整合,也使个人金融信息的跨境流动成为一种常态。在这种大背景下,需要考虑以下几个问题。
1)不同国家、地区或相关组织的司法管辖问题:金融科技企业要考虑不同国家或组织发布的相关规定。
·国际标准化组织(ISO)发布的《隐私保护框架》《隐私体系结构框架》《隐私能力评估模型》《隐私影响评估指南》。
·美国国家标准与技术研究所(NIST)发布的《联邦信息系统隐私与安全控制》《保护个人可标识信息(PII)的保密指南》等。
·经合组织(OECD)发布的《保护个人信息跨国传送及隐私权指导纲领》等。
·欧盟于2018年5月25日出台的《通用数据保护条例》(GDPR),为欧盟公民个人数据处理制定了一套统一的法律和更严格的规定,也规定了对违规行为的严厉处罚措施。这些处罚是以行政罚款的形式出现的,可以对任何类型的违反GDPR的行为进行处罚,包括纯粹程序性的违规行为。其罚款的范围为1000万到2000万欧元,或上一年度企业全球年营业额的2%到4%。
这些不同国家与地区的法规,对金融科技在不同国家与地区的发展提出了更为复杂的要求。
2)跨境执法的复杂性问题:随着电子商务、移动支付等数字金融服务的不断发展,个人信息也随之成为金融交易的重要组成部分,用户在享受网络带来的便捷的同时,个人信息等敏感信息也随之进入不同的司法管辖区。在个人金融信息跨境流动的过程中,如果被不法分子窃取、泄露或利用,将严重侵害个人的合法权益,导致遭受重大的经济损失,甚至人身安全受到威胁。因为攻击行为的主体和传统安全中的攻击主体不同,攻击者不一定在窃取现场,甚至不一定在同一个司法管辖区,所以发生资金盗取、信息泄露后的取证、溯源、维权工作难度较大。
3)跨境国际监管问题:在海外发展业务时,还会面临所在国受国际制裁或者所在国税收等引发的问题,比如若在被联合国制裁的国家违规开展支付业务,就可能引起国际问题,另外若未与交易发生国进行税务协商就直接使用该国货币进行服务或者商品交易并进行清结算,则可能导致该国阻断相关服务或者追究相关组织(或个人)的刑事责任。
4.各国金融监管当局的实践
2017年5月15日,中国人民银行宣布成立金融科技委员会,旨在加强对金融科技工作的研究、规划和统筹协调。在风险和安全防控方面的主要工作有:
·研究金融科技发展对货币政策、金融市场、金融稳定、支付清算等的影响,做好金融科技发展战略规划与政策指引;
·进一步加强国内外交流合作,建立健全适合我国国情的金融科技创新管理机制,处理好安全与发展的关系,引导新技术在金融领域的正确使用。
·强化监管科技(RegTech)应用实践,积极利用大数据、人工智能、云计算等技术丰富金融监管手段,提升对跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。
英国金融行为监管局(FCA)提出“监管沙箱”(Regulatory Sandbox)项目。英国政府支持新兴业态发展,提出要营造有利的监管环境,通过监管沙箱可以在适当范围内有效隔离、缓释创新业务带来的业务风险和科技安全风险。