中國銀聯：開放銀行數據保護與合規研究報告（2021）（39頁）.pdf

《中國銀聯：開放銀行數據保護與合規研究報告（2021）（39頁）.pdf》由會員分享，可在線閱讀，更多相關《中國銀聯：開放銀行數據保護與合規研究報告（2021）（39頁）.pdf（39頁珍藏版）》請在三個皮匠報告上搜索。

1、2021開放銀行數據保護與合規研究報告1中國銀聯技術管理委員會開放銀行工作組2021-10 發布開放銀行數據保護與合規開放銀行數據保護與合規研究報告研究報告中國銀聯技術管理委員會開放銀行工作組研究成果202120212021開放銀行數據保護與合規研究報告3目錄開放銀行數據保護與合規研究報告.5一、 背景與目標. 5二、 開放銀行中的數據范圍與分類. 62.1. 數據范圍. 62.2. 數據分類. 7三、 開放銀行中相關數據主體的權利與義務.103.1. 客戶.103.2. 銀行.113.3. 第三方.123.4. 技術信息轉接機構.12四、 開放銀行數據管理總體原則.144.1. 合法性原則.

2、144.2. 公開明示原則.144.3. 知情同意原則.144.4. 最小夠用原則.144.5. 數據安全和可問責性原則.154.6. 準確性原則.15五、 開放銀行中的數據收集.155.1. 數據收集的合規性要求.155.2. 數據收集階段的操作流程及相關技術支持方案.175.3. 實踐中需要關注的事項.19六、 開放銀行中的數據共享使用.206.1. 數據共享使用的合規性要求.206.2. 數據共享使用中的操作流程及相關技術支持方案.216.3. 實踐中需要關注的事項.23七、 開放銀行中的數據傳輸.237.1. 數據傳輸的基本合規性要求.237.2. 數據跨境傳輸的特殊合規性要求.247

3、.3. 數據傳輸相關操作流程及技術支持方案.257.4. 實踐中需要關注的事項.29八、 開放銀行中的數據存儲.298.1. 數據存儲的合規性要求.292021開放銀行數據保護與合規研究報告48.2. 數據存儲環節的實施措施及相關技術支持方案.328.3. 實踐中需要關注的事項.35九、 其他事項或建議.35十、 開放銀行落地案例.3610.1. 中銀跨境 e 商通跨境電商支付結算服務.3610.2. 工銀 e 錢包智能的線上零售業務綜合解決方案.3710.3. 合作方 H5 服務接入中國銀行場景生態建設.38十一、 附錄.392021開放銀行數據保護與合規研究報告5開放銀行數據開放銀行數據保

4、護與合規研究報告保護與合規研究報告一、 背景與目標開放銀行（Opening Bank）概念，尚無行業共識的定義。中國互聯網金融協會認為，開放銀行是商業銀行數字化轉型的重要組成部分，強調以用戶為中心，以 API、SDK等技術實現方式為特點，通過雙向開放的形式深化銀行與第三方合作機構的業務鏈接和合作，將金融服務能力與客戶生活、生產場景深度融合，從而優化資源配置，提升服務效率，實現雙方或多方合作共贏。1中國人民大學在其研究中也有類似定義，認為開放銀行是一種銀行向第三方開放數據和服務的模式。2本文所謂的開放銀行指銀行通過開放數據等形式與第三方機構合作，將銀行服務嵌入各類生活場景的金融服務。其主旨和核心

5、在于數據和服務的開放和共享。自英國首先提出開放銀行的概念后，各國家/地區開始推動本國/地區的開放銀行的實踐和監管。2015 年 11 月，歐洲議會和歐盟理事會發布了支付服務指令（Paymentservices，PSD 2），要求歐洲經濟區內各國銀行必須在 2018 年 1 月 13 日之前將客戶數據以 API 的形式開放給第三方機構。截至 2020 年 12 月，英國共有 294 個受監管的供應商包括金融科技公司加入開放銀行的生態系統， API 調用量從 2018 年的6680 萬增加到 2020 年的近 60 億。3新加坡于中國的開放銀行主要由市場驅動，各商業銀行充分結合自身特點，都在不斷推

6、進和嘗試開放銀行。2012 年中國銀行推出首個開放平臺，2015 年工行 API 開放平臺上線，2018 年 浦發銀行推出無邊界 API Bank，建設銀行、招商銀行、農業銀行、平安銀行等紛紛推出開放銀行平臺。目前各開放銀行發展趨勢可以概括為借助金融科技手段努力將自身產品嵌入各類場景以拓寬業務渠道。4隨著中國開放銀行實踐的不斷深入，中國也在加緊制定規范以求在保證數據和信息安全的同時促進開放銀行的發展。2019 年央行印發了金融科技（FinTech）發展規劃（2019-2021 年）。2020 年 2 月，央行進一步發布了商業銀行應用程序接口安全管理規范和個人金融信息保護技術規范。隨著數據安全法

7、以及個人信息保護法的出臺，我國對于數據安全的監管力度進一步加大。數據的可復制性和極低的邊際成本意味著一旦發生數據安全事故，個人隱私受到嚴重侵害，銀行的數據資產的價值也會極大縮水、數據掌控能力下降，國家金融安全和信息安全也將面臨威脅。因此，數據安全不僅是監管機構的監管重點，也是關系到銀行的客戶、銀行本身以及國家利益的關鍵問題。1中國互聯網金融協會：2019 開放銀行發展研究報告，第 6 頁。2中國人民大學金融科技研究所，中國人民大學國際貨幣研究所，中國人民大學銀行業研究中心：開放銀行全球發展報告，第 7 頁。3從“開放銀行”走向“開放金融”， https:/ ，2021 年 9 月訪問4中國開放

8、銀行白皮書 2021https:/ 開放銀行中的數據范圍與分類2.1. 數據范圍本研究報告所研究的數據是在開放銀行場景中由金融機構收集和使用的各類信息數據。開放銀行信息數據主要來自個人和企業5。根據數據來源主體性質的不同根據數據來源主體性質的不同，可以分為個人信息與企業信息。（1） 個人信息個人信息個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。6包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。其中，個人金融信息個人金融信息是金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息。包括賬

9、戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息7。（2） 企業信息企業信息企業信息是企業在從事生產經營活動過程中形成的信息，以及政府部門在履行職責過程中產生的能夠反映企業狀況的信息等。企業信息可分為企業公示信息企業公示信息與非公示信息非公示信息。企業信息公示暫行條例8中對企業需要公示的信息進行了詳細的列舉，包括：1）企業基本信息：企業注冊登記、備案信息；企業通信地址、郵政編碼、聯系電話、電子郵箱等信息。2）行政許可和行政處罰信息：行政許可取得、變更、延續信息；行政處罰信息。3）企業經營信息：動產抵押登記信息；股權出質登記信息；知識產權出質登記信

10、息；企業開業、歇業、清算等存續狀態信息；有限責任公司股東股權轉讓等股權變更信息；企業網站以及從事網絡經營的網店的名稱、網址等信息。4）其他依法應當公示的信息。除上述依法應當公示的信息外，企業對法律法規未做硬性要求的企業信息可以選擇不公示。對于企業的商業秘密，企業還應采取適當的保密措施進行保護。具體到金融領域，金融安全數據安全分級指南中將企業信息分為基本信息，身份鑒別信息，資訊信息，關系信息，行為信息，標簽信息五類。同時，金融安全數據安全分級指南還根據數據安全性遭到破壞后產生影響的大小，將上述信息的數據安全級別從高到低分成了 5 級、4 級、3 級、2 級、1 級。表 1 企業信息定級參考表信息

11、類別信息類別信息子類信息子類最低安全級別參考最低安全級別參考5此處的企業指的是銀行的企業客戶，是信息來源主體。6個人信息保護法第 4 條，全國人大常委會，2021 年 8 月 20 日頒布，將于 2021 年 11月 1 日生效）。7個人金融信息保護技術規范第 3.2 條，人民銀行，2020 年 2 月 13 日發布并實施。8企業信息公示暫行條例第 6、9、10 條，國務院，2014 年 10 月 1 日生效。2021開放銀行數據保護與合規研究報告7基本信息基本概況1股東信息2管理層信息3聯系信息2財務信息2身份鑒別信息傳統鑒別信息4資訊信息信貸信息3司法信息2稅務信息2工商信息1關系信息單位

12、間關系信息2公私間關系信息2行為信息行為信息2標簽信息基礎標簽信息2關系標簽信息2簽約標簽信息2交易類標簽信息2行為標簽信息2營銷標簽信息2風險標簽信息2價值標簽信息2我國現行法律法規較為重視對個人信息的保護，陸續出臺了個人金融信息保護技術規范、個人信息保護法等相關規定，而對企業信息的規定相對較少。因此本研究報告將重點探討開放銀行業務落地中個人信息數據的保護問題，同時也包括企業信息數據的保護問題。2.2.數據分類為更清晰地了解開放銀行業務過程中所涉及的數據，進一步明確數據保護對象，從而有的放矢的實施數據安全管理，可以結合相關數據規范及實踐對開放銀行場景中的數據進行分類分析。就個人信息來說，可以

13、分為敏感信息和非敏感信息。敏感信息敏感信息指的是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。9上述范圍以外的信息為非敏感信息。就個人金融信息來說，可以根據信息遭到未經授權的查看或未經授權的變更后所產生的影響和危害，按敏感程度敏感程度從低到高分為 C1、C2、C3 三個類別10。區別各類信息的標準及相應示例如下表所示：表 2 個人金融信息敏感程度分類表9個人信息保護法第 28 條，全國人大常委會，2021 年 8 月 20 日頒布，將于 202

14、1 年11 月 1 日施行。個人信息安全規范第 3.2 條，國家市場監督管理總局、國家標準化管理委員會，2020 年 3 月 6 日發布，2020 年 10 月 1 日實施。10個人金融信息保護技術規范第 4.2 條，人民銀行，2020 年 2 月 13 日發布并實施。2021開放銀行數據保護與合規研究報告8類別類別標準標準示例示例C1金融機構內部的信息資產（機構內部使用的個人金融信息）賬戶開立時間、開戶機構?；谫~戶信息產生的支付標記信息。C2 和 C3 類別信息中未包含的其他個人金融信息。C2可識別特定個人金融主體身份和金融狀況的信息，以及用于金融產品和服務的關鍵信息支付賬號及其等效信息，

15、如支付賬號、證件類識別標識與證件信息（身份證、護照等）、手機號碼。賬戶（包括但不限于支付賬號、證券賬戶、保險賬戶）登錄的用戶名。用戶鑒別輔助信息，如動態口令、短信驗證碼、密碼提示問題答案、動態聲紋密碼；若用戶鑒別輔助信息與賬號結合使用可直接完成用戶鑒別，則屬于 C3 類別信息。直接反映個人金融信息主體金融狀況的信息，如個人財產信息（包括網絡支付賬號余額）、借貸信息。用于金融產品與服務的關鍵信息，如交易信息（如交易指令、交易流水、證券委托、保險理賠）等。用于履行了解你的客戶（KYC）要求，以及按行業主管部門存證、保全等需要，在提供產品和服務過程中收集的個人金融信息主體照片、音視頻等影像信息。其他

16、能夠識別出特定主體的信息，如家庭地址等。C3用戶鑒別信息銀行卡磁道數據（或芯片等效信息）、卡片驗證碼（CVN 和 CVN2）、卡片有效期、銀行卡密碼、網絡支付交易密碼。賬戶（包括但不限于支付賬號、證券賬戶、保險賬戶）登錄密碼、交易密碼、查詢密碼。用于用戶鑒別的個人生物識別信息。從數據安全數據安全的角度，根據影響對象和影響程度，將數據分為 1-5 級11。表 3 數據安全定級規則參考表最低安全級別參考數據定級要素數據一般特征影響對象影響程度5國家安全嚴重損害/一般損害/輕微損害 重要數據，通常主要用于金融行業大型或特大型機構、金融交易過程中重要核心節點類機構中的關鍵業務使用，一般針對特定人員公開

17、，且僅為必須知悉的對象訪問或使用； 數據安全性遭到破壞后，對國家安全造成影響，或對公眾權益造成嚴重影響。5公眾權益嚴重損害4公眾權益一般損害數據通常主要用于金融業大型或特大型機構、金融交易過程中重要核心節點類機構的重要業務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用； 個人金融信息中的 C3 類信息；4個人隱私嚴重損害4企業合法權益嚴重損害11金融安全數據安全分級指南第 5.3.2 條，人民銀行，2020 年 9 月 23 日發布并實施。2021開放銀行數據保護與合規研究報告9 數據安全性遭到破壞后，對公眾權益造成一般影響，或對個人隱私或企業合法權益造成嚴重影響，但不影響國家安全

18、。3公眾權益輕微損害數據用于金融業機構關鍵或重要業務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用； 個人金融信息中的 C2 類信息； 數據的安全性遭到破壞后，對公眾權益造成輕微影響，或對個人隱私或企業合法權益造成一般影響，但不影響國家安全。3個人隱私一般損害3企業合法權益一般損害2個人隱私輕微損害 數據用于金融業機構一般業務使用，一般針對受限對象公開，通常為內部管理且不宜廣泛公開的數據； 個人金融信息中的 C1 類信息； 數據的安全性遭到破壞后，對個人隱私或對企業合法權益造成輕微影響，但不影響國家安全、公眾權益。2企業合法權益輕微損害1國家安全無損害數據一般可被公開或可被公眾獲知

19、、使用； 個人金融信息主體主動公開的信息； 數據的安全性遭到破壞后，可能對個人隱私或企業合法權益造成影響，或僅造成微弱影響但不影響國家安全、公眾權益。1公眾權益無損害1個人隱私無損害1企業合法權益無損害除了上述主要分類方式，實踐中，也有銀行根據采集方式采集方式不同，將數據分為直接數據和間接數據。直接數據直接數據指由金融信息主體主動提供、通過與金融信息主體交互或記錄金融信息主體行為等收集到的數據。間接數據間接數據則是指通過共享、轉讓、搜集公開信息等間接獲取金融信息的行為搜集到的數據，具體請見 5.1.3 收集方式。此外，目前開放銀行實踐中，主要的數據使用場景數據使用場景大致可分為如下四類：（1）

20、 “政務+銀行”，由政府主導開放電子政務數據資源，銀行利用政務數據提升金融服務水平，提供普惠金融服務，推動數字政府的建設。例如，某銀行與某地交警合作開發交通罰款繳費工具，提供認證、資金結算等服務。（2） “銀行組織、聯盟、協會或銀行+銀行”，在銀行聯盟、行業協會或銀行之間開展數據合作。例如，多家銀行將接口接入統一的開放銀行平臺，進行數據共享。（3） “企業+銀行”，企業和銀行之間進行數據合作，銀行利用企業的社交、消費、生活等行為數據為金融服務提質增效；企業利用銀行資金渠道拓展業務領域，雙方相互促進各自業務發展。例如，某銀行向停車場和地鐵提供商戶運營、賬戶管理、資金結算、網絡融資等服務。除此之外

21、，企業還可以將開放銀行的服務納入企業管理和商業運營。例如，某銀行為企業提供員工工資結算、投資理財、網絡融資等服務。（4） “社會服務+銀行”，銀行利用醫療、教育等社會服務行業進一步開放數據，將開放銀行嵌入社會的各個領域，幫助行業從業者獲得一站式的支付解決方案。例如，某銀行與醫院合作，為醫院提供對公綜合金融服務，提供包括身份認證、費用收繳、資金結算等多種服務。2021開放銀行數據保護與合規研究報告10三、 開放銀行中相關數據主體的權利與義務開放銀行生態圈中涉及作為數據主體的客戶、銀行、第三方、技術信息轉接機構等各方參與者，本部分將就開放銀行運行過程中涉及的不同主體的權利和義務進行分析。3.1.客

22、戶銀行的客戶包括個人客戶和企業客戶，作為數據主體，均為數據的產生者。（1） 權利個人客戶個人客戶即金融信息標識的自然人12，根據個人信息保護法，個人擁有的權利包括：1）知情權：個人有權了解信息處理的目的、范圍、過程等內容。2）決定權：個人有權決定如何處理自己的信息。3）限制和拒絕權：個人有權限制或拒絕信息處理者對其信息進行處理。4）查閱和復制權：個人有權查閱和復制保存在信息處理者一方的信息，信息處理者應當如實提供。5）可攜帶權：個人有權將個人信息轉移至其指定的其他個人信息處理者，信息處理者應當提供轉移途徑。6）更正權：個人發現其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充。信息

23、處理者核實信息后應及時更正。7）刪除權：在處理目的已實現、個人撤回同意等情況下，個人可以要求信息處理者刪除數據等。由于企業數據的構成中包含大量的個人數據，因此企業數據的權利問題相對復雜13，目前學界還存在一定分歧，尚未有定論。實踐中，企業數據的權利被侵犯時，企業常常傾向應用不正當競爭法的方法，訴諸于法律途徑解決問題。14在實踐中，開放銀行業務涉及的企業數據主要來自企業本身，如企業交易明細等。這種情況下，可以認為企業作為數據的產生者應享有和個人同樣的權利，即知情權、決定權、限制和拒絕權、可攜帶權、更正權、刪除權等相關的權利。當然，數據主體享有的權利并非絕對的，與國家安全、國防安全直接相關的、和與

24、公共安全、公共衛生、重大公共利益直接相關的個人金融信息的共享、轉讓、公開披露無需征得個人信息主體的授權同意。15（2） 義務根據民法典誠實信用原則，數據主體理應提供真實數據。關于個人作為數據主體的義務，反洗錢法及相關規章明確規定，“金融機構應當建立健全和執行客戶身份識別制度，遵循了解你的客戶原則，了解客戶及其交易目的和交易性質， 了解實際控制客戶的自然人和交易的實際受益人”，但相應的，我國法律未規定個人在辦理金融業務時，必須向銀行如實提供真實有效的身份信息以及開戶和交易的目的、資金的來源和用途等信息，也未規定個人必須如實向金融機構告知賬戶或交易的受益所有人。16盡管如此，個人不提供真實數據應承

25、擔不利后果，例如，12個人金融信息保護技術規范第 3.4 條，人民銀行，2020 年 2 月 13 日發布并生效。13時明濤 :大數據時代企業數據權利保護的困境與突破，http:/ 年 3 月 21 日。14企業數據權利研討會綜述，http:/ 年 9月訪問。15個人金融信息技術保護規范第 7.1.3 條，人民銀行，2020 年 2 月 13 日發布并生效。16劉宏華，葉慶國，吳衛鋒 ：我國個人反洗錢義務立法思考，中國金融，2020 年 第 16期。2021開放銀行數據保護與合規研究報告11網絡安全法第二十四條規定，網絡運營者為用戶辦理網絡接入、域名注冊服務，辦理固定電話、移動電話等入網手續，

26、或者為用戶提供信息發布、即時通訊等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。17再如，保險法第三十二條規定，投保人申報的被保險人年齡不真實，并且其真實年齡不符合合同約定的年齡限制的，保險人可以解除合同。18關于企業作為數據主體的義務，雖然我國法律尚未明確規定企業作為數據主體在辦理金融業務時如實提供信息的義務，但誠實信用是民事主體從事經濟活動的基本準則，同時，法律在其他部門法中也有明確規定，例如，電子商務法第二十七條規定，電子商務平臺應當要求平臺內經營者提交真實信息，進行核驗、登記，并定期更新。因此，盡管尚無

27、金融特別法明文規定個人或企業必須提交真實信息，但個人或企業在辦理金融業務時也應遵循誠實信用原則，保證信息的真實性，否則將承擔不利后果。3.2. 銀行銀行銀行是個人金融信息的控制者，是有權決定個人金融信息處理目的、方式等的機構19。（1） 權利銀行可以依法收集、處理、展示、披露、共享個人信息?？梢詫κ褂闷鋽祿牡谌胶献髡哌M行事前及事后監督，如設立準入門檻、評估安全能力、停止開放、降低合作等級等。（2） 義務根據網絡安全法、個人信息保護法以及相關行業標準的要求，銀行處理信息數據時應當履行以下義務：1）確保數據處理安全的義務：根據信息處理目的、處理方式、信息的種類以及對數據主體權益的影響、可能存在

28、的安全風險等，采取相應措施保障數據安全；2）合規審計義務：銀行應當定期對其處理個人信息的合規情況進行審計；3）評估和記錄義務：對于敏感信息、委托他人處理的信息、向第三方提供的信息、向境外提供的信息等，銀行應當事前進行信息處理影響的評估，并對處理情況進行記錄；4）補救和報告義務：在發生數據泄露時，要采取及時有效的補救措施并及時上報泄漏事件；5）關鍵信息基礎設施運營者義務：根據關鍵信息基礎設施確定指南（試行），若銀行的設施和系統被監管機構認定為關鍵信息基礎設施，應履行如建設網絡安全機制、設置專門的安全管理機構、進行風險評估等義務。值得特別注意的是，作為個人信息的收集者、處理者和控制者，處理個人信息

29、侵害個人信息權益造成損害，銀行不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。這意味著一旦發生個人信息泄露事件，銀行需承擔舉證責任，即使沒有過錯，但不能舉證證明的仍舊可能面臨承擔損害賠償等侵權責任的風險20。17網絡安全法第 24 條，全國人民代表大會常務委員會，2016 年 11 月 7 日發布，2017年 6 月 1 日生效。18保險法第 32 條，全國人民代表大會常務委員會，2015 年 4 月 24 日發布并生效。19個人金融信息保護技術規范，第 3.5 條，人民銀行，2020 年 2 月 13 日發布并生效。20個人信息保護法第 69 條，全國人大常委會，2021 年 8 月 2

30、0 日頒布，將于 2021 年11 月 1 日生效。2021開放銀行數據保護與合規研究報告123.3. 第三方第三方第三方指的是利用開放銀行共享數據嵌入自身行業應用場景中的各類機構和企業?，F有實踐表明，政務服務、校園管理、景區管理、物業服務、宗教管理、黨務管理和人力資源管理等領域的機構均可成為數據的使用者。（1） 權利第三方可以利用開放銀行分享的數據滿足具體的場景需求， 也可以在其本身服務范圍內合法收集、使用數據。（2） 義務第三方首先需要遵循一般性的數據安全規范的要求。第三方首先需要遵循一般性的數據安全規范的要求。一般性的數據安全規范指的是所有信息收集和使用者處理個人信息時都應遵循的要求。如

31、個人信息保護法規定的確保數據安全義務、合法處理數據義務、補救和報告義務等。個人信息安全規范規定的響應信息主體請求的義務、處理投訴的義務等。無論第三方企業/機構來自何種領域均應遵循上述法律規范。其次，第三方業務涉及特殊行業或領域的，還需要遵循特殊領域的數據安全的要求。其次，第三方業務涉及特殊行業或領域的，還需要遵循特殊領域的數據安全的要求。如交通出行類企業需遵守汽車數據安全管理若干規定（試行）21等行業特殊的法律規范，醫療機構遵循國家健康醫療大數據標準、安全和服務管理辦法（試行）等法律規范。最后，第三方需遵循相關開放銀行對于第三方的評估要求和簽署的使用協議規定最后，第三方需遵循相關開放銀行對于第

32、三方的評估要求和簽署的使用協議規定的義務。的義務?，F有實踐中，開放銀行多根據公安部網絡安全等級保護 2.0 標準22評估第三方的技術和管理的安全等級。第三方可結合此標準自我評估是否滿足開放銀行的安全要求。除此之外，作為第三方，應嚴格遵守其與開放銀行簽署的數據共享和使用協議，如不得轉售、不得自行留存、采取符合開放銀行要求的數據安全保護措施等。3.4. 技術信息轉接機構技術信息轉接機構技術信息轉接機構是指伴隨著開放銀行業務發展起來的管理類組織，其主要負責制定統一的接口和安全規范、建設和更新服務目錄，以及對開放銀行參與方（銀行、第三方）進行注冊及管理，和對服務參與方身份驗證、權限設定，及證書、密鑰的

33、管理。此外，技術信息轉接機構也提供相應的測試服務以幫助接口和服務的落地。國外實踐中已產生相應的主體，目前國內仍在探索中。因此，技術信息轉接機構能夠促使銀行基于用戶許可通過技術聚合平臺向第三方進行數據和服務開放，實現了開放銀行生態規?；l展。技術信息轉接機構本身不參與具體銀行業務或賬戶管理，僅負責數據和信息的傳輸。在國內現有監管制度安排下，商業銀行對于“數據開放”總體上持謹慎態度，通常是將開放銀行作為創新金融產品和服務供給模式，依托 API/SDK 等技術，通過線上場景化鏈接，有效觸達長尾客戶。23一方面，開放銀行應用方有多家銀行連接的需求，支持統一的標準接口是市場的強需求；另一方面，銀行希望規

34、范市場合作，尤其是長尾、21該試行規范由國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部發布，于 2021 年 10 月 1 日生效。22https:/ ， 2021 年 9 月訪問。23中國銀行業協會發布開放銀行實踐與發展研究課題成果，http:/ 年 9 月訪問2021開放銀行數據保護與合規研究報告13中小合作伙伴的合作準入，建立統一的業務安全門檻，避免出現因準入標準不統一產生的惡性競爭；再則，從產業可持續發展角度，需要有一個良好低成本的運營環境，避免多對多連接提高整體社會運營成本，在應用方面也需要加強穿透式監管的應用支持，技術信息轉接機構應運而生，在國外具體

35、實踐中，已有技術信息轉接機構的角色存在，如以美國為代表的市場驅動開放銀行市場，就主要由 Plaid 等技術信息轉接機構協助市場應用，在監管驅動模式的韓國，則由其金融清算所承擔技術信息轉接機構的角色。中國市場可借鑒其優點并根據自身發展特色，有效、平穩、安全地推動開放銀行健康、常態發展。（1） 權利技術信息轉接機構在生態中發揮了信息轉接的功能，進行數據傳輸和匯聚，為保障合作方的利益，其承擔相應的合作方管理職能，享有一定的管理權。技術信息轉接機構主要功能包括制定統一的接口和安全規范，對開放銀行參與方（銀行、第三方）進行注冊及管理，建設服務目錄實現對參與方的身份驗證、權限設定，管理證書和密鑰，并更新服

36、務目錄信息，此外，為幫助市場落地提供相應的測試服務。（2） 義務按照金融數據安全 數據安全分級指南，匯聚融合是導致數據發生升降級的主要技術手段之一。匯聚融合匯聚融合是指對數據進行集中、清洗、轉換、重組、關聯分析、多方計算等處理的過程，相對于匯聚融合前的數據的安全級別，經過不同的數據匯聚融合處理手段所產生的數據，其安全級別可能上升，也可能下降。24技術信息轉接機構需要履行的義務包括：一般性的數據安全規范的要求：一般性的數據安全規范的要求：技術信息轉接機構在其業務中涉及數據傳輸和管理，需遵循一般性數據安全規范的要求，如個人信息保護法、網絡安全法、數據安全法、互聯網個人信息安全保護指南等附錄。關鍵信

37、息基礎設施保護的義務：關鍵信息基礎設施保護的義務：技術信息轉接機構作為開放銀行和第三方之間的橋梁，其業務中涉及大量金融信息，一旦遭到破壞或造成泄露會嚴重危害國計民生和國家安全，按照關鍵信息基礎設施安全保護條例的規定，應屬于關鍵信息基礎設施。如果技術信息轉接機構被認定為關鍵信息基礎設施，應在網絡安全等級保護的基礎上，采取技術保護措施和其他必要措施，應對網絡安全事件。具體來說應當：1）建立健全網絡安全保護制度和責任制。由技術信息轉接機構的主要負責人負責信息基礎設施的安全；設置安全管理機構，負責安全培訓、管理、制定應急預案等；對關鍵崗位的責任人員進行背景審查；2）發生重大網絡安全事件或者發現重大網絡

38、安全威脅時向保護工作部門、公安機關報告；3）采購網絡產品和服務時按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議等。25基于合作協議的義務：基于合作協議的義務：技術信息轉接機構應遵循其與開放銀行和第三方簽訂的協議，履行協議中的義務，如不得留存數據、不得轉售數據等。作為數據交易中介服務商的義務：作為數據交易中介服務商的義務：技術信息轉接機構作為匯總、交換相關數據的渠道，屬于數據安全法第三十三條所規范的數據交易中介服務機構，在提供數據交易中24金融數據安全 數據安全分級指南附錄 B，中國人民銀行，2020 年 9 月 23 日發布并生效。25關鍵信息基礎設施安全保護條例第 12-21 條，國

39、務院，2021 年 9 月 1 日生效。2021開放銀行數據保護與合規研究報告14介服務過程中，必須要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。四、 開放銀行數據管理總體原則開放銀行的數據基本原則指的是數據處理者在數據生命周期的各階段進行各種數據處理時均應遵循的根本準則，是指導監管機構制定規范、進行管理以及開放銀行進行具體數據處理行為的綱領。根據民法典、個人信息保護法等法律規范，開放銀行數據處理者需遵循合法性、公開明示、知情同意、最小夠用、數據安全與可問責性、準確性六大原則。4.1. 合法性原則作為第一項基本原則，民法典、網絡安全法、數據安全法和個人信息保護法等均指出

40、處理個人信息應當遵循合法性原則，遵守國家各類法律規范，不得通過誤導、欺詐、脅迫、竊取等方式處理個人信息。264.2. 公開明示原則為保證信息主體對收集的知情權，本項原則要求個人信息收集者履行公開、明示義務，要求在收集前明示個人信息的收集規則，明示處理的目的、方式和范圍。27數據控制者應制定明確的信息處理規則并進行公開，規則的內容應包含信息處理的方式和目的。4.3. 知情同意原則在公開明示原則的基礎上，在收集、使用、披露、展示、共享個人金融信息時，履行告知義務，征得數據主體的同意。28此原則內容分為兩個部分：告知以及征得同意。數據處理者需要以容易理解的語言對數據處理的范圍、過程和目的等內容進行明

41、確的告知，告知后以合法的方式征得數據主體同意，不能采用捆綁性同意等方法。4.4. 最小夠用原則處理個人信息時，應當限于實現處理目的的最小范圍，不得過度收集或調用個人信息，即首先確定恰當的數據處理目的，然后根據目的確定滿足目的的最小范圍，在調用數據時以最小的頻次進行，并以最少時間存儲。29例如在從事某一特定活動時可以使用、也可以不使用個人信息時，要盡量不使用。再如，在收集個人信息時， 其所獲取的個人信息應當以滿足使用目的為限， 不得超出該范圍收集個人信息。為達到目的如 果只需要使用權利人的非敏感個人信息，則不應該擴大信息收集和使用的范圍。3026中華人民共和國個人信息保護法第 5 條，全國人民代

42、表大會常務委員會，2021 年 11 月1 日生效。數據安全法第 32 條，全國人民代表大會常務委員會，2021 年 6 月 10 日頒布，2021 年 9 月 1 日生效。27中華人民共和國個人信息保護法第 7 條，全國人民代表大會常務委員會，2021 年 11 月1 日生效。28中華人民共和國個人信息保護法第 13、14、15、16、17 條，全國人民代表大會常務委員會，2021 年 11 月 1 日生效。29民法典第 1038 條，全國人民代表大會，2020 年 5 月 8 日頒布，2021 年 1 月 1 日生效。中華人民共和國個人信息保護法第 6 條，全國人民代表大會常務委員會，20

43、21 年 11月 1 日生效。30王利明：數據共享與個人信息保護，載現代法學第 41 卷 第 1 期，2019 年 1 月。2021開放銀行數據保護與合規研究報告154.5. 數據安全和可問責性原則數據處理者應當采取必要措施保護信息安全。包括但不限于建立安全制度體系，采取技術保護措施，進行安全情況評估，確定信息保護負責人，定期進行安全教育和培訓，制定并組織實施個人信息安全事件應急預案等。314.6. 準確性原則數據處理者應保證信息的準確性，避免因信息不準確給數據主體的權益造成不利影響。相對的，數據主體可以要求處理者更改或刪除錯誤信息。32可以看出，我國法律規范中確定的以上幾條原則基本對標歐盟通

44、用數據保護條例，對信息和數據的保護采取了較為嚴格的態度。五、 開放銀行中的數據收集信息收集是個人金融信息生命周期的第一個環節。信息收集指獲得信息的控制權的行為。335.1. 數據收集的合規性要求本部分將從信息收集規則、收集同意、收集方式、停止收集幾部分對開放銀行數據收集的合規性進行詳述。在涉及特殊信息類型和特殊信息主體時，將分別展開討論。5.1.1. 收集規則制定收集規則是進行獲取數據的第一步，銀行等金融機構應當制定信息收集的規則，明示收集的目的及方式。首先，規則中應明確收集目的及范圍。收集需合理且限于實現目的的最小范圍。一般情況下最小范圍的內涵有三個方面：一是直接關聯，即收集的個人信息的類型

45、應與實現產品或服務的業務功能有直接關聯，如果沒有上述個人信息的參與，產品或服務的功能無法實現。二是最低頻率，即自動采集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率。三是最少數量，即間接獲取個人信息的數量應是實現產品或服務的業務功能所必需的最少數量34。規則制定后應以簡明易懂的方式完全公開，并提示數據主體閱讀收集規則。5.1.2. 知情和同意除制定收集規則外，正式收集信息前要經過信息主體的同意。如果法律規定需要書面做出同意表示的，還應征求書面同意35。31中華人民共和國個人信息保護法第 9、51、52 條，全國人民代表大會常務委員會，2021 年 11 月 1 日生效。32中華人民

46、共和國個人信息保護法第 8、46 條，全國人民代表大會常務委員會，2021 年11 月 1 日生效。網絡安全法第 43 條，全國人民代表大會常務委員會，2016 年 11 月 7日頒布，2017 年 6 月 1 日生效。33個人金融信息技術保護規范第 3.6 條，人民銀行，2020 年 2 月 13 日發布并生效。34信息安全技術 個人信息安全規范第 5.2 條，國家市場監管總局和國家標準管理委員會，2020 年 3 月 6 日發布，2020 年 10 月 1 日生效。35個人信息保護法第 14 條，全國人大常委會，2021 年 8 月 20 日發布，將于 2021 年11 月 1 日生效。2

47、021開放銀行數據保護與合規研究報告16為保證信息主體對收集的完全知情，應以信息主體能理解的語言告知其收集者的身份、聯系方式、收集目的、收集方式，收集的個人信息種類、保存期限、個人享有的權利和行使方式及程序、自身的數據安全能力、對外共享的轉讓的規則等36。對于敏感信息，除上述告知內容外，還應當向個人告知收集敏感信息的必要性37，并獲得個人的單獨同意38。收集不滿 14 周歲的自然人信息的，還應取得其監護人同意。39【不得強制同意或捆綁同意】開放銀行不得僅以改善服務質量、提升使用體驗、研發新產品、增強安全性等為由，強制要求個人信息主體同意收集個人信息。對于當事人未申請/使用的業務，不應通過捆綁產

48、品或服務各項業務功能的方式，要求個人同意其收集40。另外，如果利用 APP收集數據，還需提供撤回同意的功能。如未向用戶提供撤回同意收集個人信息的途徑、方式則視為沒有獲得用戶同意41?！就獾南拗啤吭谔囟ㄇ闆r下可以不經信息主體同意進行收集。根據個人信息保護法等相關法律規范，在 a）與開放銀行履行法律法規規定的義務相關的；b）與國家安全、國防安全直接相關的；c）與公共安全、公共衛生、重大公共利益直接相關的；d）與刑事偵查、起訴、審判和判決執行等直接相關的；e）出于維護信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人授權同意的；f）所涉及的信息是信息主體自行向社會公眾公開的；g）簽訂和履

49、行合同所必需的；h）從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開等渠道等情況下，可以無需信息主體同意。425.1.3. 收集方式現行法律規范中對不同信息的收集方式和不同的渠道收集方式做出差別化規定。無論以何種方式收集何種信息，都應遵守收集方式的一般原則?！臼占绞降囊话阍瓌t收集方式的一般原則】收集個人信息應采用對個人權益影響最小的方式，并保證收集個人信息過程的安全性。一般來說安全的收集方式應當：1）在收集信息之前，應對被收集人進行身份認證。2）收集個人信息時，信息在傳輸過程中應進行加密保護；3）收集個人信息的系統應落實網絡安全等級保護要求；4）收集個人信息時應對收集內容

50、進行安全檢測和過濾43?！緦τ谔厥庑畔⑹占奶貏e規定對于特殊信息收集的特別規定】36個人金融信息技術保護規范第 7.1.1 條，人民銀行，2020 年 2 月 13 日發布并生效。37網上銀行系統信息安全通用規范第 6.2.1 條，人民銀行，2020 年 2 月 5 日發布并生效。38個人信息保護法第 29 條，全國人大常委會，2021 年 8 月 20 日發布，將于 2021 年11 月 1 日生效。39個人信息保護法第 31 條，全國人大常委會，2021 年 8 月 20 日發布，將于 2021 年11 月 1 日生效。40網上銀行系統信息安全通用規范第 6.1.1 條，人民銀行，2020