隐私保护技术在金融应用研究 ——以个人金融信息保护和金融反欺诈为例 北京金融科技产业联盟 2023年8月 版权声明 本报告版权属于北京金融科技产业联盟,并受法律保护。转载、编摘或利用其他方式使用本报告文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。 编制委员会 编委会成员: 何军聂丽琴朱钢 编写组成员: 黄雅琼 李松涛 李敏 王自冲 隆峰 徐超 方竞 杨天雅 黄淼 王鹏达 郭璐 贾金龙 陈涛 黄翠婷 张晓蒙 高靓 彭晋 金银玉 单进勇 蔡超超 李晶晶 王湾湾 李博 郑华祥 时代 董婉婷 李克鹏 陈明 刘站奇 李力 唐仕豪 周蓓杰 张海燕 高强裔 马鸣 陈嘉俊 张敬之 曹旭涛 蒋美献 顾逸晖 李秉帅 邵云峰 高志民 平庆瑞 张佳辰 郑亚松 于博 高扬 包芬 陶建萍 刘敬谦 郭瑞峰 王超 陈小军 范廷钰张伟林挺 编审:黄本涛郭栋刘宝龙 参编单位: 中金金融认证中心有限公司上海富数科技有限公司 北京冲量在线科技有限公司同盾科技有限公司 蚂蚁科技集团股份有限公司北京数牍科技有限公司 深圳市洞见智慧科技有限公司 华控清交信息科技(北京)有限公司深圳市腾讯计算机系统有限公司 北京市竞天公诚律师事务所 北京国家金融科技认证中心有限公司浙商银行股份有限公司 华为技术有限公司 中钞区块链技术研究院上海光之树科技有限公司 上海浦东发展银行股份有限公司蓝象智联(杭州)科技有限公司中国科学院信息工程研究所 天津科技大学 目录 一、个人金融信息保护的合法合规需求1 (一)国际法律法规1 (二)国内法律法规4 (三)国内行业标准8 (四)涉及个人金融信息安全合规的重点14 二、金融隐私保护技术发展概述16 (一)金融隐私保护技术概念17 (二)金融隐私保护研究必要性18 (三)金融隐私保护技术要求及应用场景22 (四)金融隐私保护技术国内外应用发展26 三、隐私保护技术的基本体系31 (一)隐私保护脱敏技术32 (二)隐私保护计算技术35 (三)隐私保护辅助技术48 四、隐私保护技术在个人金融信息保护中的应用50 (一)隐私保护计算环境50 (二)隐私保护脱敏技术53 (三)隐私保护计算技术57 (四)隐私保护辅助技术71 五、使用隐私保护技术的金融反欺诈案例分析73 (一)风险控制73 (二)反欺诈84 (三)反洗钱104 六、隐私保护技术在金融领域应用的展望109 (一)金融隐私保护技术发展方向109 (二)金融隐私保护应用发展方向110 参考文献112 摘要:目前数据保护技术不断发展,但根据金融数据保护具体场景的技术选择等尚无指导方案,本课题以《中华人民共和国 个人信息保护法》(以下简称“《个人信息保护法》”)《中华人民共和国数据安全法》(以下简称“《数据安全法》”)等法律法规和监管要求为背景,参考《个人金融信息保护技术规范》等行业规范,从合规角度,分析现有隐私保护技术在个人金融信息保护中的应用情况,针对个人金融信息保护和金融反欺诈的不同应用场景,分析各隐私保护技术的优劣势,解决大数据量、高维度、高吞吐的多层级跨机构金融数据高效安全共享问题,为涉及个人金融信息保护的系统实施方提供技术选型的参考。 一、个人金融信息保护的合法合规需求 近年来,金融领域与人工智能、大数据、物联网等新兴科技不断深度结合,通过数据共享创造出了大量实用的金融科技应用,为客户带来个性化的金融服务体验,创造了可观的经济效益。与此同时,客户也面临着个人数据在未经同意的情况下被滥用与共享的风险,从而造成了公民信息泄露等数据安全问题。针对隐私问题,金融机构也逐步探索相关隐私保护技术,实现“数据可用不可见”,在保证数据安全的前提下实现数据共享,进而重构与客户之间的信任关系。同时,各国政府也相继出台相关的法律法规来限制个人信息滥用,从而保护公民的个人隐私,如欧盟出台的《通用保护条例》、美国加州政府出台的《加州消费者隐私法案》,以及我国出台的《个人信息保护法》等,通过法律来规范数据在整个生命周期中的安全使用及管理。 (一)国际法律法规 当今世界,以欧盟和美国为代表的个人信息保护模式较为突出。前者采取统一立法的模式,制定标准、严格地规范以保护公民个人信息,后者采取分散立法的模式,往往兼具突出行业自律力量的特征。个人金融信息是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息[1],具有高度的敏感性与私密性,往往会对公民个人的人身和财产安全 产生重大影响,因此,对于个人金融信息保护的立法也成了世界各国的立法重点。 1.分散立法 在数据治理领域,美国一向推崇行业自律,各州立法都以维护信息自由流动为宗旨。在个人金融信息保护方面,美国沿用隐私法的规制框架,通过联邦和各州层面立法进行法律保护,并且同时区分银行业、保险业、证券业等不同行业类别实现分业管理,重视行业自律组织的自律管理力量。在联邦法层面,美国对个人金融信息保护的相关规定主要可见于《公平信用报告法案》(FairCreditReportingAct)、 《金融服务现代化法案》(FinancialServicesModernizationActof1999),其中对金融机构应如何收集、使用、存储、披露、分享个人信息作出了较为明确的规定;在州立法层面,诸如加利福尼亚州发布了《加州消费者隐私法案》(CaliforniaConsumerPrivacyAct)、弗吉尼亚州制定了《消费者数据保护法》(ConsumerDataProtectionAct)、科罗拉多州颁布了《科罗拉多州隐私法案》(ColoradoPrivacyAct)等,其中均对个人信息安全管理提出了更为细化的要求。除立法规制外,美国对个人金融信息的保护还高度依赖于行业自律组织的约束,金融机构重视、遵守金融行业协会制定的相关行业规范。 与美国类似的还有日本。日本对于个人信息保护也采取了分散立法的模式,对于个人金融信息的保护,不仅包含《日 本个人信息保护法》,日本还制定了《金融领域个人信息保护方针》与《金融领域个人信息保护方针的安全管理措施实务指南》等专项性法律规范文件,这些文件共同构成了日本个人信息保护的法律体系。 2.统一立法 针对个人信息保护与数字经济,欧盟的立法始终走在世界的前列。对于个人信息保护,欧盟确立了制定统一法,构建流畅行权机制的保护模式,即采取了以国家立法为主导,秉持个人信息的合理使用与严格保护并行的观念,通过法律规范树立统一的个人信息保护标准,同时完善对个人信息权益侵权行为的救济途径,从而构建起强有力的个人信息保护体系。1995年,欧盟发布《个人数据保护指令》(DataProtectionDirective),构成了欧盟隐私和人权法的重要组成部分,为个人金融信息保护提供了统一的标准,也为欧盟各国对个人数据的监管建设提供了立法参考。2018年,欧盟《通用数据保护条例》(GeneralDataProtectionRegulation)正式生效,对涉及欧盟境内的所有数据处理行为都作出了更为严格的规制措施,是欧盟在数据治理与个人信息保护领域中最为重要、核心的法律。 除欧盟外,韩国也采取了为统一专门立法的模式,在个人信息及数据保护法律领域,形成了《个人信息保护法》《信息通信网利用促进及信息保护法》及《信用信息的利用及保护法》三法分立的局面。 (二)国内法律法规 1.国内法律 法律方面,2016年11月7日十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》(以下简称“《网络安全法》”),自2017年6月1日起施行,强调收集的用户信息应严格保密,维护网络数据的完整性、保密性和可用性,实行网络安全等级保护制度。2021年6 月10日十三届全国人大常委会第二十九次会议通过《中华 人民共和国数据安全法》,自2021年9月1日起施行,强调数据安全与开发利用并重,确立数据分类分级管理制度,多种手段保证数据交易合法合规。2021年8月20日十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行,强调个人信息在数据流通过程中的安全合规,明确了敏感个人信息处理规则、个人信息处理者的义务等内容,国内相关法律见表1所示。 表1国内相关法律 法律法规 主要内容 实施时间 《中华人民共和国网络安全法》 强调收集的用户信息应严格保密,维护网络数据的完整性、保密性和可用性,实行网络安全等级保护制度。 2017年6月1日 《中华人民共和国数据安全法》 鼓励数据依法合理有效利用,确立数据分类分级管理规则,促进以数据为关键要素的数字经济发展。 2021年9月1日 《中华人民共和国个人信息保护法》 强调个人信息在数据流通过程中的安全合规,明确了敏感个人信息处理规则、个人信息处理者的义务等内容。 2021年11月1日 个人信息保护法 《个人信息保护法》作为我国个人信息保护领域中的首部纲领性法律,对个人信息处理者开展个人信息处理活动提供了重要指引。尽管《个人信息保护法》并没有专门关注个人金融信息,但其对个人金融信息在内的各类个人信息提供了周密的保护。金融机构在日常业务中接触到的自然人的大部分个人信息可能都属于敏感个人信息(如:姓名、身份证号码、银行账户、通讯方式、生物识别信息等),《个人信息保护法》中第二章中明确了敏感个人信息的处理规则,为个人金融信息的保护提供了明确的法律依据。此外,金融机构作为个人信息处理者时,一般需要极为重点地关注处理权限及合规义务两方面内容。其中,处理权限绝大部分来源于 个人信息主体的明示同意,对于个人敏感信息,根据《个人信息保护法》的规定,处理个人敏感信息需要取得信息主体的单独同意,同时还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。 数据安全法 《数据安全法》作为数据安全领域的基本立法,为企业合法处理数据、保障数据安全等提供了较为明确的指引,也对金融机构加强数据安全合规、完善数据治理体系、夯实技术能力支持等提出了更高的要求。《数据安全法》第21条规定,国家建立数据分类分级保护制度。根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。数据分类分级有利于提升企业自身的信息化水平和运营能力,可以更好地将数据资产化,也是开展数据全生命周期管理的基础和前提。通常来讲,数据分类分级流程包括:数据资产梳理、数据分类、数据定级、审核标识管理、数据分类分级保护。 此外,大部分金融机构会被认定为重要数据处理者。《数据安全法》第27条、30条、31条对重要数据提出了三方面要求,一是重要数据的处理者应当明确数据安全负责人和管理机构,并落实数据安全保护责任;二是重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估;三是关 键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理。 2.国内法规 (1)反洗钱、反恐怖融资与客户身份识别 2021年6月1日,中国人民银行组织起草了《中华人民共和国反洗钱法(修订草案公开征求意见稿)》,其中明确规定金融机构应当设立反洗钱专门机构或者指定内设机构负责反洗钱工作,应当建立客户尽职调查制度和客户身份资料和交易记录保存制度。金融机构通过第三方识别客户身份的,应当对第三方的反洗钱义务能力承担责任。2021年8月1日,中国人民银行印发《金融机构反洗钱和反恐怖融资监督管理办法》,对金融机构的信息系统建设提出了新要求,应搭建反洗钱信息系统,并应当根据风险状况、反洗钱和反恐怖融资工作需求变化及时对系统进行优化升级。 (2)《银行保险机构信息科技外包风险监管办法》科技外包对金融机构而言是很常见的一种情形。2021年 12月31日原中国银行保险监督管理委员会印发了《银行保 险机构信息科技外包风险监管办法》(银保监办发〔2021〕141号)(以下简称“《办法》”)。《办法》首次明确了银行保险机构不得将信息科技管理责任、网络