信息技术和互联网的飞速发展和广泛应用,为人们的工作生活提供了便利,同时也带来了数据非法收集、滥用、泄露的隐患。为规范网络环境、保护信息及数据安全,近年来我国颁布了一系列法律法规,2016年《中华人民共和国网络安全法》为我国网络安全治理指明了基本方向,提出了“建立和完善网络安全标准体系”等顶层设计要求,并为网络运营者提出网络安全等级保护制度;2021年《中华人民共和国数据安全法》是数据安全保护领域的基础性法律,强调数据开发利用与安全保障并重,全面构建了数据安全治理的各项基本制度框架,为此后各领域数据监管框架的构建提供了上位法依据与基础;2021年《中华人民共和国个人信息保护法》首次以单独法律的形式确定个人信息处理活动应遵循的基本原则、合法性基础要求以及各方权利义务等。
中国人民银行作为金融业主管部门,积极履行数据安全监管职责,规范金融行业标准,例如在2020年制定《个人金融信息保护技术规范》及《金融数据安全数据安全分级指南》;同时细化明确人民银行业务领域数据安全合规要求,例如在2023年7月发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》公开征求意见。
金融机构进行洗钱风险管理时,应建立覆盖所有客户及业务的反洗钱系统,反洗钱数据的存储和使用应当符合数据安全标准、满足保密管理要求。本文将重点讨论数据安全框架下的反洗钱系统的权限设计。
01 系统权限设计的原则
为保护系统的安全性和可靠性,在设计权限时需要参考以下原则。
最小权限原则:
根据用户的职责和需要,授予最小必要权限(含功能权限和数据权限),避免赋予过多权限给用户,以防止滥用或错误操作。
数据权限分层管理原则:
将数据权限划分为不同的层次,确保不同层级的用户能够访问到他们所需的信息,且只能访问和操作其职责范围内的信息。
用户角色权限分离原则:
按用户分配角色、对角色分配功能权限、用户角色结合来授予数据权限,以保证系统操作的灵活性和安全性。
权限审计和跟踪原则:
系统应记录用户行为,以便进行审计和跟踪,尤其是授权相关行为,在发生安全事件时方便调查。
02 反洗钱系统数据范围
根据《法人金融机构洗钱和恐怖融资风险管理指引(试行)》(银反洗发〔2018〕19号)对反洗钱系统的要求:“法人金融机构应当建立完善以客户为单位,覆盖所有业务(含产品、服务)和客户的反洗钱系统……对洗钱风险进行识别、评估、监测和报告”,也就是说反洗钱系统中的数据需要覆盖所有客户信息和所有业务信息,否则将面临如下风险:
风险1
未获取客户的全部数据,则无法准确评估客户洗钱风险,进而导致控制措施失效。例如,不同渠道获取同一客户信息,由于技术原因,某个渠道收集到的信息未纳入反洗钱系统。因未合并该客户不同渠道的信息,无法体现客户洗钱风险评级模型的有效性,对风险客户的管控力度不足。
风险2
未获取全部交易数据、账户信息,会导致难以对全部交易开展交易监测,进而导致大额交易报告漏报、可疑交易分析排查失真。例如,一日内在多家分支机构办理一次性交易的现金业务,反洗钱系统未将该类业务纳入监测分析,造成风险事件的发生。
根据《法人金融机构洗钱和恐怖融资风险管理指引(试行)》(银反洗发〔2018〕19号)对反洗钱系统主要功能的规定,反洗钱系统应获取客户尽职调查的有关内容、客户账户信息、客户交易流水等信息。
根据数据的敏感性和安全性要求,按照《个人金融信息保护技术规范》、《金融数据安全 数据安全分级指南》、《中国人民银行业务领域数据安全管理办法(征求意见稿)》的有关内容对金融数据进行管理,分类分级标准及关系如下:
综上表格,反洗钱系统的数据从敏感级别来讲,一般为C1级到C2级,敏感性相对较高;从安全级别来讲,个人客户信息的安全级别为2级到3级,单位客户的基本信息安全级别为1级到3级。
04 反洗钱系统数据类型及分级
确定了反洗钱系统中的数据范围和数据类型及分级后,金融机构需要在反洗钱系统中对数据进行管理。根据目前的技术水平,金融机构可以通过在反洗钱系统中合理设置系统权限、分配角色,对业务、客户数据进行管理,维护数据安全。
在反洗钱系统中设置权限时需要考虑以下方面:
01 遵循以客户为单位的原则分配系统权限
一些金融机构缺乏专门的客户管理部门,在进行反洗钱系统权限分配时,按业务、组织机构将客户按条线或部门进行分割管理,多个彼此独立的业务系统割裂了客户的整体性,使金融机构无法实现客户的统筹管理,导致出现一证多户、客户信息资料不统一、一个客户多个风险等级等问题。当反洗钱工作要求以客户为单位开展时,为保护数据信息安全,可以为反洗钱管理部门设置限定数量的最高权限角色,赋予其查看全部数据,并可统一授权管理的权限。同时,系统应该考虑为必要的角色分配各条线、部门的客户信息授权申请查看的权限。
02 在保密原则基础上合理分配数据权限
根据《中国人民银行业务领域数据安全管理办法(征求意见稿)》“谁管业务,谁管业务数据,谁管数据安全”的基本原则,可以由反洗钱管理部门与各业务条线、部门共同商议,分配权限。根据“业务需要”和“最小权限”原则,对数据进行安全管理。在反洗钱系统中按信息数据的类别、层级,根据各条线、各业务、各层级的使用需要,分配系统角色和权限,不同角色可设置最大查询次数限制等管控措施。另外需要注意业务部门之间的利益关系,进行信息隔离。
03 加强异常操作监测机制
金融机构应在反洗钱系统中设置必要的安全管理,如添加页面水印、完整的用户操作日志、查询次数大于履职必要的提示预警、禁止导出/打印、数据或授权的异常操作审计预警等。
04 不得违反规定设置信息壁垒
法人金融机构不得违反规定设置信息壁垒,阻止或影响其他法人金融机构正常获取开展反洗钱工作所必需的信息和数据。金融机构间存在必要的合作、联动、代理等关系,合作机构间应共享必要的反洗钱相关客户及业务信息。部分代理渠道为保护自身客户资源,在数据共享过程中存在顾虑,少传、不传、误传客户基本信息已成为行业内的现实情况,甚至利用流量优势要求下游机构构建信息隔离池以确保自身数据的安全,为下游机构合法履行反洗钱义务造成阻碍。
建议合作机构在合作协议中制定客户资源保护条款、完善数据监控机制,可以参考《信息安全技术个人信息安全规范》第三方接入管理的有关内容。
-
1.建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
-
2.应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
-
3.应向个人信息主体明确标识产品或服务由第三方提供;
-
4.应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
-
5.应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
-
6.应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
-
7.应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
-
8.产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:
a.开展技术检测确保其个人信息收集、使用行为符合约定要求;
b.对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
数据安全管理框架下的利用反洗钱系统,要求对反洗钱信息安全管理人员、数据操作人员、审计人员等进行岗位角色分离设置。强化流程控制和授权管理,完善反洗钱信息批量修改、拷贝、下载、对外传递等重要操作内部审批流程;设置严格的场景限制,除司法查询、反洗钱行政调查、执法检查以及其他必要的工作需要外,不得下载反洗钱信息;强化反洗钱信息的去标识化脱敏处理,将可用于恢复识别个人身份的反洗钱信息与去标识化后的脱敏信息分开存储并加强访问和使用的权限管理。加强通过界面(如显示屏幕、纸面)展示反洗钱个人身份信息的管理,降低个人反洗钱身份信息在展示环节的泄露风险。
在实际工作中,金融机构需要仔细考量反洗钱系统的数据获取范围,完善数据权限、操作权限的分配机制,以便高效合规的开展反洗钱工作。
