2023开放银行数据保护与合规实践案例报告 1 2023 开放银行数据保护与合规 实践案例报告 中国银联技术管理委员会开放银行工作组2023-5发布 中国银联技术管理委员会开放银行工作组研究成果 2023开放银行数据保护与合规实践案例报告 版权声明 本报告版权属于中国银联技术管理委员会,并受法律保护。转载、编摘或利用其它方式使用本报告文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。 2023开放银行数据保护与合规实践案例报告 编写委员会 委员会组长单位:中国工商银行 委员会成员单位:中国银联、中国农业银行、中国银行、中国建 设银行、交通银行、中国邮政储蓄银行、华夏银行、民生银行、招商银行、上海浦东发展银行、山东城商联盟、罗思(上海)咨询有限公司、北京市路盛律师事务所 编委会成员:刘承岩 傅宜生 李树尉 朱军 郭汉利 郭志军 万化 胡军锋郑述庆 卢科兵 虞刚 尤堂成 课题组成员:(排名不分先后) 组长单位: 夏知渊 徐琳玲 魏博言 成员单位:欧阳琛 周锦佳 林宁 许冬燕 张高磊 李楠 叶涛 廖旺胜 庄恩瀚 王秋卉 苏晨 方鹤鸣 邵雪峰 宋宁 陆绍益 肖昊 焦伟哲 竺铁生 李东 战扬 傅杰 葛明嵩 曹祥 周磊 慈春秀 田艳阳 特别鸣谢(排名不分先后) 张弛周雍恺侯陈达谢世杰张少敏钱江李盛群张婧李晓敦冯吉禹 陈鹏廖静雅严青伟秦旭果刘书洪王广驰单传强袁捷 感谢以上专家参与以编写本报告为目的的调研访谈及评审。 2023开放银行数据保护与合规实践案例报告 目录 一、背景与目标4 二、开放银行数据保护合规要求概述5 (一)总体原则5 (二)数据收集合规5 (三)数据使用合规6 (四)数据传输合规6 (五)数据存储合规8 (六)其他最新法律法规8 三、开放银行数据保护及合规落地案例9 (一)开放平台的多平台SDK方案9 (二)数据访问控制安全平台14 (三)敏感信息标记化输出18 (四)基于责任链的开放银行数据保护及合规实践21 (五)服务开放平台数据安全管控23 (六)开放银行整合银企直连的代发工资服务输出28 (七)信贷模型预测服务31 (八)多方安全数据分析平台与金融反诈应用34 (九)行司联动提升风控能力35 (十)高价值户识别模型预测服务39 四、总结与展望40 五、附录42 2023开放银行数据保护与合规实践案例报告 开放银行数据保护与合规实践案例报告 一、背景与目标 2021年11月,中国银联技术管理委员会开放银行工作组发布了《开放银行数据保护 与合规研究报告(2021)》(以下称2021年报告)。自2021年报告发布以来,多家银行的开放银行服务都进行了业务场景的拓展与技术方案的更迭。基于此,我们推出了本报告作为2021年报告的续篇,通过大量详实的案例分析讨论开放银行落地所需的技术和实现方式。 开放银行(OpenBanking)指银行通过共享数据、业务服务等形式开展与业态的业务连接和场景合作,实现金融服务能力与客户生产生活、政务商务等服务贯通融合的金融服务方式。其主旨和核心在于数据和服务的开放共享1,是商业银行数字化转型的重要组成部分。开放银行业态涉及作为数据主体的客户、银行、第三方、技术信息转接机构等参与方2。自2012年以来,国有大行、股份制银行等相继推出开放银行平台以拓宽业务渠道。随着中国《数据安全法》以及《个人信息保护法》等法律的出台,我国对于数据安全的监管力度逐步加大。2022年12月,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)对外发布,从数据产权、流通交易、收益分配、安全治理等方面提出了20条政策举措,进一步奠定了未来数据要素合规高效流通使用的整体基调。因此,以数据和服务开放共享为基础,深入应用于各类生活场景的开放银行,其所涉及的数据保护及合规实现问题受到了日益增多的关注。 此外,自2021年报告发布以来,也有其他机构陆续发布了开放银行相关的报告。比如,2021年11月,中国光大银行联合普华永道发布《商业银行数据战略白皮书》3,指出商业银行制定数据战略有四大驱动力,分别是“国家战略的重要使命”,“监管合规的明确要求”,“商业银行发展的关键机遇”和“业务发展的必然诉求”。该白皮书还总结出“一个愿景”、“两点聚焦”、“四大赋能”、“六大支柱”的商业银行数据战略地图,并分享了光大银行数据战略重点案例。 2022年6月,浦发银行、IBM和中国信通院联合发布《商业银行数据资产管理体系建设实践报告》4,该报告指出我们正在进入一个新时代,数字经济将有望成为国民经济新引擎,作为数字经济的核心生产要素——数据要素,更是数字经济发展的“助推器”。数据资产化是商业银行数据价值持续释放的必经之路,该报告还展望未来数据变现将催生银行业务新模式。 1中国银联技术管理委员会开放银行工作组:《开放银行数据保护与合规研究报告》,第5 页 2中国银联技术管理委员会开放银行工作组:《开放银行数据保护与合规研究报告》,第 11页 3https://www.pwccn.com/zh/banking/commercial-bank-data-strategy-nov2021.pdf 4https://www.ibm.com/downloads/cas/VZYOA3BB 2023开放银行数据保护与合规实践案例报告 2022年7月,平安银行与IDC联合编写并发布了《中国开放银行白皮书2022》5,该白皮书指出开放银行已成为推动我国数字经济与实体经济融合发展的新力量,开放银行在赋能实体经济发展过程中遇到了一系列的问题和挑战:诸如对实体经济行业用户的业务模式、金融需求理解程度不够,缺乏基于开放银行的成功实践与运营经验等。而破局之道在于探索出一套政策引领、模式创新、根植场景、共建生态的成功实践,未来对实体经济的赋能方式必将从“单点化”走向“体系化”。该白皮书还分享了平安星云开放联盟实践的典型案例。 2022年12月,民生银行、中国金融认证中心和中国电子银行网联合发布《2022开放银行生态金融白皮书》6,从开放银行赋能普惠金融的路径、政策引导、创新模式着手,选择包含代理记账在内的10个行业解决方案进行深度剖祈,系统地阐述开放银行在不同行业场景下助推中小微企业数字化发展的服务模式。 本报告主要是对各银行当前开放银行落地实践案例进行收集和汇编,并基于2021年报告中所梳理的数据保护策略与数据合规要求,对案例中的数据保护要点进行分析,目的是在当前数据安全管理趋严的形式下,为开放银行的数据保护方案、流程提供易于参考和实践的指引。 二、开放银行数据保护合规要求概述 为了更好的发挥开放银行落地案例的指引作用,本章将基于2021年报告以及报告发布之后的重点法规更新,对数据报告策略和合规要求进行总体性回顾和系统梳理。 (一)总体原则 开放银行的数据处理基本原则指的是数据处理者在数据生命周期的各阶段进行各种数据处理时均应遵循的根本准则,是指导监管机构制定规范、进行管理以及开放银行进行具体数据处理行为的纲领。根据《民法典》《个人信息保护法》《数据安全法》 《网络安全法》等法律规范,开放银行数据处理者需遵循合法性,公开明示,知情同意,最小够用,数据安全与可问责性,准确性六大原则7。 2022年12月,中国银行保险监督管理委员会发布《银行保险机构消费者权益保护管理办法》,明确银行保险机构处理消费者个人信息,应当坚持合法、正当、必要、诚信原则,切实保护消费者信息安全权,整体上符合上述六大原则。 (二)数据收集合规 信息收集指获得信息的控制权的行为。根据《个人信息保护法》《个人金融信息技术保护规范》《网上银行系统信息安全通用规范》等法律法规,信息收集者应制定并公开收集规则,保证个人信息主体对收集的知情和同意,对特殊信息的收集采取特殊收 5https://openbank.pingan.com/corporate/extended/whitePaper 6https://www.cebnet.com.cn/upload/resources/file/2022/12/07/199023.pdf 7中国银联技术管理委员会开放银行工作组:《开放银行数据保护与合规研究报告》,第 14页 2023开放银行数据保护与合规实践案例报告 集方式、遵守特殊规定。具体来说,首先,在收集规则方面,在规则中明确收集目的,方式及范围8,收集需合理且限于实现目的的最小范围,一般情况下,最小范围指“直接关联、最低频率和最小数量”。其次,在获得信息主体同意方面,应以信息主体能理解的语言告知其收集者的身份、联系方式、收集目的、收集方式等内容。对于个人敏感信息9,除上述告知内容外,还应当向个人告知收集敏感信息的必要性,并获得个人的单独同意。对于不满14周岁的自然人信息,除应取得其监护人同意,还应制定专门的个人信息处理规则。再次,在收集方式方面,一般原则是收集个人信息应采用对个人权益影响最小的方式,并保证收集个人信息过程的安全性。特殊信息的收集则应遵守特别规定,例如对于C3类别信息,要使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取。最后,在停止收集方面,在用户不再使用某服务,或当个人信息控制者停止运营其产品或服务时应当停止收集。 (三)数据使用合规 根据《个人金融信息技术保护规范》,数据使用是指对个人金融信息进行展示、共享和转让、公开披露、委托处理、加工处理等操作的过程。根据《个人金融信息技术保护规范》等要求,数据使用前要对数据进行甄别,征得个人信息主体同意,对数据进行脱敏处理,以共享形式使用数据的数据控制者还应建立相应安全制度体系。具体来说,在数据使用前,应先对数据是否能够进行使用进行甄别,剔除如动态口令等敏感级别较高的信息。在使用个人金融信息时,要征得个人金融信息主体明示同意,履行告知义务,并且采用去标识化等手段对数据进行脱敏处理,不使用未经处理的原始数据。此外,进行数据使用的个人金融信息控制者应建立安全制度体系,如个人金融信息控制者向第三方共享个人金融信息的,应对第三方对数据的使用情况、数据保护能力等进行审查与评估。对于委托处理,即金融业机构因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(包含外包服务机构与外部合作机构)处理时,需注意委托行为不应超出已征得个人金融信息主体授权同意的范围,并准确记录和保存委托处理个人金融信息的情况。对于C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。对第三方机构进行监督的方式包括但不限于签署合同规定第三方的责任和义务,对第三方展开安全检查、评估和审计,对第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检测等。10 (四)数据传输合规 数据传输指按照一定的规程,通过一条或者多条数据链路,将数据从数据源传输到数据终端。根据《个人信息保护法》,《个人金融信息技术保护规范》,《信息安全技术数据安全能力成熟度模型》等要求,对于境内数据传输,金融机构使用公共网络传输C2、C3类信息时应使用加密通道或数据加密的方式进行传输,作为网络运营者的 8《信息安全技术个人信息安全规范》第5.4条 9《个人金融信息保护技术规范》第4.2条将个人金融信息按敏感程度分为C1、C2、C3 三个类别,C3类别敏感程度最高 10《个人金融信息保护技术规范》第6.1.4.4条 2023开放银行数据保护与合规实践案例报告 金融机构应对网络进行可用性管理,保证网络稳定运行。向境外传输数据则需要满足更高的合规要求,例如需要向个人信息主体披露境外接收方的情况并获得单独同意,向网信部门申报数据出境安全评估和网络安全审查,或者按照网信部门的规定进行个人信息保护认证,或者根据《个人信息出境标准合同办法》与境外接收方订立合同等。 对于数据跨境传输,个人金融信息如果确需向境外提供的应当获得个人金融信息主体明示同意,开展个人金融信息出境安全评估等。 2021年12月,国家互联网信息办公室等发