9月15日，由北京金融科技产业联盟秘书处与中国银联付出学院联合推出的线上直播栏目“”为主题，首要共享相继公布的《数据安全法》与《个人信息维护法》对金融科技范畴的“数据”和“个人信息”提出的要求，以及怎么充沛了解两法的立法主旨、准则和详细准则对金融科技立异作业的重要辅导意义。

　　《个人信息维护法》的立法主旨是维护个人信息权益、标准个人信息处理活动、促进个人信息合理运用，以维护个人信息权力、约束处理者揭露、制止不合法侵权或损害公共利益、维护国家安全为价值取向，适用于境内的数据处理活动和以向境内自然人供给产品或许服务为意图、剖析和评价境内自然人的行为、法定其他景象的境外附条件的数据处理活动。

　　欧盟的《通用数据维护法令》(简称GDPR)以“数据”界说个人信息。数据和信息在内在和外延上有所区别，我国的立法采纳了愈加表现概念内在的形式。《个人信息维护法》的重要概念包含以下规制客体、规制目标、规制行为。

　　在《个人信息维护法》中，规制行为大致分为信息处理行为、衍生行为、相关行为、信息出境行为、行政办理行为等，其相关和延伸架构如下：

　　个人信息处理包含诚实信用、奉告赞同、揭露通明、最小必要、精确完好等准则。个人信息处理的合法性根底是以奉告赞同为准则(《个人信息维护法》第十三条第一款第(一)项)，其他法定景象(《个人信息维护法》第十三条第一款第(二)至第(七)项)为破例，其间包含：

　　在处理个人信息前，个人信息处理者应以明显方法，以明晰易懂的言语实在、精确、完好地奉告被处理方，奉告的内容包含个人信息处理者的称号/名字和联系方法、处理意图和方法以及个人信息的品种和保存期限、个人行使权力的方法和程序、其他法定奉告事项。个人信息处理者能够经过拟定个人信息处理规矩的方法奉告，该规矩须揭露，且便于查阅、保存。假如遇到法定应当保密或不需求奉告的景象，个人信息处理者能够不奉告;假如遇到紧急状况，为维护自然人的生命健康和产业安全，个人信息处理者能够在过后及时奉告。

　　“赞同”分为明示赞同、默示赞同、独自赞同、书面赞同、从头获得赞同、撤回赞同等几品种型，其景象和要求见下表：

　　《个人信息维护法》第六条规矩，处理个人信息应当具有清晰、合理的意图，并应当与处理意图直接相关，采纳对个人权益影响最小的方法。搜集个人信息，应当限于完结处理意图的最小规模，不得过度搜集个人信息。与之相关的规矩如《常见类型移动互联网应用程序必要个人信息规模规矩》，确认了39类APP的必要个人信息。

　　第十九条规矩，除法令、行政法规还有规矩外，个人信息的保存期限应当为完结处理意图所必要的最短时刻。法定破例的景象如《反洗钱法》第19条第3款之规矩，客户身份材料在事务联系完毕后、客户买卖信息在买卖完毕后，应当至少保存五年。又如《电子商务法》第31条之规矩，产品和服务信息、买卖信息保存时刻自买卖完结之日起不少于三年。再如《证券法》第147条之规矩，证券公司应当妥善保存客户开户材料、托付记载、买卖记载和与内部办理、事务运营有关的各项材料……上述材料的保存期限不得少于二十年。

　　灵敏个人信息处理的对应处理准则是最小必要和知情赞同。前者要求个人信息处理者有特定的意图和充沛的必要性，采纳严厉维护方法;后者要求个人信息处理者向个人奉告处理灵敏个人信息的必要性以及对个人权益的影响，并须获得独自赞同。处理不满14周岁的未成年人个人信息时，须获得爸爸妈妈或其他监护人赞同，拟定专门的个人信息处理规矩。

　　在托付处理时，托付人应约好托付处理的意图、期限、处理方法、个人信息的品种、维护方法以及两边的权力和职责等；监督受托人的个人信息处理活动。受托人应依照约好处理个人信息；托付合同不收效、无效、被吊销或停止时，应当返还或删去个人信息；未经托付人赞同不得转托付。在一起处理时，两边一起决议处理意图和处理方法，约好权力和职责;个人可向其间任一信息处理者行使本法权力;损害个人信息权益形成损害的，应当依法承当连带职责。

　　其他特别景象包含自动化决议计划、公共搜集等。关于自动化决议计划，须确保决议计划的通明度和成果公平公平，不得对个人在买卖条件上施行不合理的差别待遇;经过自动化决议计划向个人进行信息推送、商业营销，应供给不针对个人特征的选项或快捷的回绝方法；对个人权益具有严重影响的决议，个人有要求阐明权和回绝权。关于公共搜集(即在公共场所装置图画搜集、个人身份辨认设备)，应当为维护公共安全所必需;恪守国家有关规矩，并设置明显的提示标识;搜集的个人图画、身份辨认信息只能用于维护公共安全的意图，获得个人独自赞同的在外。

　　个人在个人信息处理活动中具有知情权、决议权、删去权、恳求更正/弥补权、可带着权、代行使权、查阅/仿制权、获得救助权等权力。

　　《个人金融信息维护技术标准》(JR/T0171-2020)根据信息遭到未经授权的检查或未经授权的改变后所发生的影响和损害，将个人金融信息按灵敏程度从高到低分为C3、C2、C1三个类别。C3首要为用户辨别信息，比方银行卡磁道数据、银行卡暗码、账户的登录/买卖/查询暗码、个人生物辨认信息等;C2首要为可辨认特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的要害信息，比方付出账号、账户登录用户名、用户辨别辅佐信息(短信验证码、暗码提示问题答案)、个人产业信息、买卖信息、相片、家庭住址等;C1首要为安排内部的信息财物，首要指供金融业安排内部运用的个人金融信息，比方账户开立时刻、开户安排、根据账户信息发生的付出符号信息等。

　　特别主体应施行相关职责。比方处理个人信息到达国家网信部分规矩数量的个人信息处理者，应指定个人信息维护担任人，揭露其联系方法，并报送施行个人信息维护职责的部分。再如大型互联网渠道(供给重要互联网渠道服务、用户数量巨大、事务类型杂乱的渠道)，应树立健全合规准则，树立独立监督安排，标准渠道内用户的个人信息处理活动，施行社会职责职责。

　　处理灵敏信息、自动化决议计划、托付/供给/揭露、境外供给、其他对个人权益有严重影响的景象，需进行事前个人信息维护影响评价。评价内容包含：处理意图、方法是否合法、合理、必要;对个人权益的影响及安全危险;维护方法是否合法、有用及与危险程度相适应。评价陈述和处理状况记载至少保存三年。

　　紧急状况过后告诉，即发生个人信息走漏、篡改、丢掉时，应立即采纳补救方法，并告诉施行个人信息维护职责的部分和个人，采纳方法能够有用防止信息走漏、篡改、丢掉形成损害，能够不告诉个人，而施行个人信息维护职责的部分以为或许形成损害的，有官僚求其告诉个人。告诉内容包含信息品种走漏/篡改/丢掉的原因、或许形成的损害、个人信息处理者的补救方法、个人能够采纳的减轻损害的方法、个人信息处理者的联系方法等。

　　个人信息跨境供给需至少满意下列前提条件之一：(1)经过国家网信部分安排的安全评价。(要害信息根底设施运营者和处理个人信息到达国家网信部分规矩数量的个人信息处理者专属)(2)经专业安排进行个人信息维护认证。(3)依照标准合同与境外接收方订立合同。(4)法令、行政法规或许国家网信部分规矩的其他条件。

　　在进行个人信息跨境供给时，需向个人奉告境外接收方的称号或许名字、联系方法、处理意图、处理方法、个人信息的品种以及个人向境外接收方行使本法规矩权力的方法和程序等事项，并需获得个人的独自赞同。特别主体即要害信息根底设施运营者和处理个人信息到达国家网信部分规矩数量的个人信息处理者，需求将在境内搜集和发生的个人信息存储在境内;确需向境外供给的，应当经过国家网信部分安排的安全评价，法定不需评价的景象在外。

　　国家网信部分担任统筹和谐个人信息维护作业和相关监督办理作业，国务院有关部分依照《个人信息维护法》和有关法令、行政法规的规矩，在各自职责规模内担任个人信息维护和监督办理作业，县级以上当地人民政府有关部分担任个人信息维护和监督办理职责。所施行的个人信息维护职责包含(1)展开宣传教育，辅导、监督个人信息处理者。(2)承受、处理投诉告发。(3)测评应用程序等。(4)查询处理违法活动。(5)法定其他职责。

　　《个人信息维护法》规矩了行政职责、民事职责、刑事职责三类法令职责，职责行为和罚则如下：

　　数据安全范畴立法主旨和准则是确保国家安全，《数据安全法》环绕职责和职责立法，是国家安全立法的一部分，与《网络安全法》《生物安全法》等并排。《数据安全法》维护客体是数据，有用维护数据的完好性、保密性、可用性，处理数据恪守法令法规、职业标准，具有保证继续安全状况的才能。完好性、保密性、可用性的描绘和要求如下：

　　《数据安全法》立法意图首要有四个方面，一是保证国家安全，即数据是国家根底性战略资源，数据安全事关国家安全，应依照整体国家安全观的要求，经过立法加强数据安全维护，提高国家数据安全保证才能。二是维护公民、安排的合法权益，即数据处理者繁复、处理活动杂乱，须立法加强数据安全维护以维护公民、安排的合法权益。三是促进数据开发和运用，立法标准数据活动，完善数据安全办理体系，有利于发挥数据的根底资源效果和立异引擎效果，有利于推动数字经济开展。四是推动电子政务开展。

　　《数据安全法》首要规矩了各类数据安全准则，包含数据分类分级维护准则、出口控制和出境安全办理准则、数据安全检查准则及数据买卖办理准则。

　　数据的分类分级的标准取决于数据在经济社会开展中的重要程度，以及一旦遭到篡改、损坏、走漏或许不合法获取、不合法运用，对国家安全、公共利益或许个人、安排合法权益形成的损害程度。特别类型的数据包含重要数据和国家中心数据，别离需求采纳“重点维护”和“施行愈加严厉的办理准则”等方法加以维护。重要数据由特定主体确认目录，国家数据安全作业和谐机制统筹和谐各地区、各(主管)部分，后者确认本地区、本部分以及相关职业、范畴的重要数据详细目录。国家中心数据是联系国家安全、国民经济命脉、重要民生、严重公共利益等数据。

　　《数据安全法》对重要数据的处理者规矩了特别的职责，因而辨认处理的数据是否归于重要数据至关重要。到现在，包含重要数据详细目录的标准性文件只要《轿车数据安全办理若干规矩(试行)》，而金融职业的重要数据目录可参阅《金融数据安全数据安全分级攻略》(JR/T0197—2020)附录C及《重要数据辨认攻略(征求意见稿)》来判别辨认。

　　《数据安全法》第二十四条规矩，国家树立数据安全检查准则，对影响或许或许影响国家安全的数据处理活动进行国家安全检查，依法作出的安全检查决议为终究决议。数据安全检查、网络安全检查、外商投资安全检查均属国家安全检查;施行主体、施行机制、检查内容未有清晰规矩;《网络安全检查方法(修订草案征求意见稿)》将部分数据安全检查的本质内容归入网络安全检查中。

　　数据安全检查根据《国家安全法》和《数据安全法》进行，被检查行为是影响或许或许影响国家安全的数据处理活动。网络安全检查根据《国家安全法》《网络安全法》和《网络安全检查方法》进行，被检查行为是要害信息根底设施的运营者施行的或许影响国家安全的收购网络产品和服务的活动。

　　《数据安全法》清晰规矩了出口控制和出境安全办理准则，其间第25条规矩了出口控制，即归于控制物项的数据，依照《出口控制法》的规矩制止出口或许出口受约束；第31条规矩了重要数据出境安全办理，即要害信息根底设施的运营者适用《网络安全法》，其他数据处理者适用“由国家网信部分会同国务院有关部分拟定的方法”(暂未出台)；第36条规矩了境外司法、执法机关数据调取批阅，即我国主管机关根据我国订立或参加的世界公约、协议或许依照平等互惠准则处理；第26条规矩了反制方法；第24条规矩了数据安全检查准则。

　　数据安全维护职责详见下表，其间，重要数据的处理者需求施行最下方三条的特别职责：

　　《金融数据安全数据安全分级攻略》中以数据的安全性(含保密性、完好性、可用性)、影响目标和影响程度为定级要素，将数据定为1-5级。其间对5级(重要数据)的描绘为：“一般首要用于金融业大型或特大型安排、金融买卖过程中重要中心节点类安排的要害事务运用，一般针对特定人员揭露，且仅为有必要知悉的目标拜访或运用。数据安全性遭到损坏后，对国家安全形成影响，或对大众权益形成严重影响。”《金融数据安全数据安全分级攻略》的附录C也为判别数据是否归于重要数据供给了参阅。

　　在企业的日常运营过程中，遵从《金融数据安全数据安全分级攻略》《个人金融信息维护技术标准》等职业标准，对企业处理的数据进行分类分级维护，有利于企业标准数据处理活动及应对未来法令法规更新带来的新应战。

　　搜集数据的方法应合法、合理，搜集、运用数据的意图、规模契合法令、行政法规的规矩。比方搜集个人信息时，首要须遵从《个人信息维护法》《民法典》等；搜集企业信息时，须遵从《反不合理竞争法》等；搜集国家秘密时，须恪守《保存国家秘密法》等。

　　树立健全全流程数据安全办理准则，可参阅《金融数据安全数据生命周期安全标准》(JR/T0223-2021)，详见下表：

　　数据处理包含数据的搜集、存储、运用、加工、传输、供给、揭露等，各类别对应的界说见下表：

　　安排保证的建议性结构和金融安排的信息办理体系近似，包含决议计划层，即安排高档办理层；包含办理层，即科技、事务、法令合规、危险办理等部分责人；包含实行层，即科技、事务、法令合规、危险办理等部分具数据安全岗位相关作业人员；包含监督层，即审计、稽核等部分相关作业人员。

　　信息体系运维保证，既归于全流程数据安全办理准则的一部分，也是施行“采纳技术方法等保证数据安全”职责的一部分。其内容与信息科技危险办理相同步，实际上是采纳技术手段维护数据的保密性、可用性、完好性。