1.1.3　法規(guī)監(jiān)管的挑戰(zhàn)與實踐

首先從國家層面看，《網(wǎng)絡(luò)安全法》于2017年6月1日起正式實施。這是中國第一部聚焦網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律，從頂層設(shè)計角度明確了國家、組織、公民維護(hù)網(wǎng)絡(luò)安全的責(zé)任和義務(wù)，對保障國家網(wǎng)絡(luò)空間主權(quán)、促進(jìn)網(wǎng)絡(luò)應(yīng)用健康發(fā)展、打擊網(wǎng)絡(luò)違法犯罪、維護(hù)公民和組織合法權(quán)益具有重大意義。

自《網(wǎng)絡(luò)安全法》進(jìn)入立法程序以來，國家網(wǎng)信辦、工信部、公安部、中國人民銀行、原銀監(jiān)會等國家相關(guān)部委相繼出臺了一系列配套法規(guī)與舉措。《網(wǎng)絡(luò)安全法》將對包括銀行業(yè)金融機(jī)構(gòu)在內(nèi)的依托網(wǎng)絡(luò)提供服務(wù)的社會各類組織產(chǎn)生深遠(yuǎn)影響，有助于保障網(wǎng)絡(luò)及關(guān)鍵信息系統(tǒng)運(yùn)行安全、保護(hù)用戶信息安全、做好監(jiān)測預(yù)警與應(yīng)急處置等。

從銀行業(yè)監(jiān)管層面來看，原銀監(jiān)會針對銀行業(yè)金融機(jī)構(gòu)網(wǎng)絡(luò)安全頒布了一系列監(jiān)管指引文件。2014年發(fā)布的《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見》（銀監(jiān)發(fā)〔2014〕39號），提出要推動建立銀行業(yè)網(wǎng)絡(luò)安全可控信息技術(shù)的長效機(jī)制，要求境內(nèi)銀行機(jī)構(gòu)的安全可控信息技術(shù)使用率在2019年年末達(dá)到不低于75%的“紅線目標(biāo)”。2017年發(fā)布的《中國銀監(jiān)會辦公廳關(guān)于加強(qiáng)網(wǎng)絡(luò)信息安全與客戶信息保護(hù)有關(guān)事項的通知》（銀監(jiān)辦發(fā)〔2017〕2號），明確提出銀行業(yè)應(yīng)部署多層次網(wǎng)絡(luò)安全技術(shù)防護(hù)體系，首次針對客戶信息安全防護(hù)提出系統(tǒng)性監(jiān)管要求，并要求金融機(jī)構(gòu)按期完成自查。一系列監(jiān)管指引，有助于金融機(jī)構(gòu)建立網(wǎng)絡(luò)安全保障組織架構(gòu)、安全制度體系與重要數(shù)據(jù)保護(hù)機(jī)制等網(wǎng)絡(luò)安全防范體系，從而有效抵御網(wǎng)絡(luò)風(fēng)險。

1.《網(wǎng)絡(luò)安全法》的要求

《網(wǎng)絡(luò)安全法》是落實“沒有網(wǎng)絡(luò)安全就沒有國家安全”，建立嚴(yán)格的網(wǎng)絡(luò)治理指導(dǎo)方針的一個重要里程碑。《網(wǎng)絡(luò)安全法》的頒布標(biāo)志著我國在保護(hù)網(wǎng)絡(luò)空間安全、保護(hù)公民/法人和其他組織的合法權(quán)益、加強(qiáng)網(wǎng)絡(luò)空間管理、打擊網(wǎng)絡(luò)犯罪方面邁入新階段，將在未來幾十年里影響包括金融行業(yè)在內(nèi)的諸多領(lǐng)域。

《網(wǎng)絡(luò)安全法》由7章79項條款組成，覆蓋范圍廣泛。它包含一個全局性的框架，旨在加強(qiáng)網(wǎng)絡(luò)安全、明確保護(hù)個人隱私和敏感信息，以及維護(hù)國家網(wǎng)絡(luò)空間主權(quán)和安全。《網(wǎng)絡(luò)安全法》與一些常用的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（如美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）的網(wǎng)絡(luò)安全框架以及ISO 27000和ISO 27001）類似，主要強(qiáng)調(diào)在網(wǎng)絡(luò)產(chǎn)品、服務(wù)、運(yùn)營、信息安全，以及監(jiān)測、早期診斷、應(yīng)急響應(yīng)和報告等方面的要求。在保護(hù)個人數(shù)據(jù)隱私方面，《網(wǎng)絡(luò)安全法》所起到的作用與其他國家的數(shù)據(jù)隱私相關(guān)法律法規(guī)正在逐步接近。

《網(wǎng)絡(luò)安全法》在附則中進(jìn)一步明確了幾個基本定義：

·網(wǎng)絡(luò)安全是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定、可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性。

·網(wǎng)絡(luò)是指由計算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的，按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)。

·個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

這里的網(wǎng)絡(luò)安全，更接近英語的Cyber Security，可以認(rèn)為《網(wǎng)絡(luò)安全法》是我國在網(wǎng)絡(luò)空間實施的法律。金融科技機(jī)構(gòu)在法律主體上應(yīng)屬于《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)運(yùn)營商，而如果客戶規(guī)模和社會影響等指標(biāo)達(dá)到一定程度，則有可能被納入關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure）。所以金融機(jī)構(gòu)需要做好以下6項工作：

·根據(jù)網(wǎng)絡(luò)安全等級保護(hù)制度的要求，明確履行安全保護(hù)義務(wù)；

·網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要遵循同步規(guī)劃、同步建設(shè)、同步使用的“三同步原則”；

·建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度；

·采取措施，防止信息泄露、毀損、丟失；

·制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練；

·開展內(nèi)部審計，確保《網(wǎng)絡(luò)安全法》貫徹實施。

自2010年至今（本書截稿時），我國由工信部、公安部、中國人民銀行、原銀監(jiān)會等發(fā)布了多個與網(wǎng)絡(luò)安全相關(guān)的法規(guī)，比如《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》《銀行計算機(jī)安全事件報告管理制度》《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》《中國銀監(jiān)會辦公廳關(guān)于加強(qiáng)網(wǎng)絡(luò)信息安全與客戶信息保護(hù)有關(guān)事項的通知》等，讀者可以自行查閱。

2.我國對個人信息保護(hù)的法律要求

金融科技發(fā)展進(jìn)程中，數(shù)字化轉(zhuǎn)型日益深入，金融機(jī)構(gòu)在日常業(yè)務(wù)中高度依賴各類個人金融信息，包括身份、財產(chǎn)、信用、交易、衍生信息等。由此可見，個人金融信息是通過對“身份信息”“賬戶信息”“財產(chǎn)信息”等個人信息進(jìn)行擴(kuò)展與深化得到的，與個人的利益、權(quán)利息息相關(guān)。與此同時，非法利用個人金融信息的現(xiàn)象頻頻出現(xiàn)，這不但嚴(yán)重侵害了公民的隱私權(quán)和財產(chǎn)權(quán)，也破壞了金融管理秩序，甚至威脅到了國家安全。因此，在個人金融信息保護(hù)和利用之間需要達(dá)成新的平衡。國際上早已開始關(guān)注對個人信息的保護(hù)，并發(fā)布了多項個人信息保護(hù)相關(guān)的標(biāo)準(zhǔn)。

除了《網(wǎng)絡(luò)安全法》外，我國也相繼推出個人信息保護(hù)方面的法規(guī)和條例，比如《中華人民共和國刑法修正案（五）》《中華人民共和國刑法修正案（七）》《中華人民共和國刑法修正案（九）》，以及金融業(yè)務(wù)體系規(guī)定方面的《征信業(yè)管理條例》《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》《關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個人金融信息保護(hù)工作的通知》《中國人民銀行關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險管理的通知》《證券公司開立客戶賬戶規(guī)范》《個人信息保護(hù)指引》等。隨著信息技術(shù)的發(fā)展，與金融業(yè)務(wù)相關(guān)的個人金融信息日益突破金融機(jī)構(gòu)的壁壘，逐漸向互聯(lián)網(wǎng)、電子商務(wù)、通信、交通、醫(yī)療等行業(yè)滲透。對于個人金融信息的保護(hù)，已突破了金融行業(yè)的界限。中國人民銀行牽頭制定了《個人金融信息保護(hù)指南》，進(jìn)一步規(guī)范了個人金融信息保護(hù)的措施。

3.國外的法律實踐

隨著經(jīng)濟(jì)全球化進(jìn)一步發(fā)展，跨境貿(mào)易、跨境投資、跨境服務(wù)等成為常見金融活動，而跨境操作以及信息資源的跨境整合，也使個人金融信息的跨境流動成為一種常態(tài)。在這種大背景下，需要考慮以下幾個問題。

1）不同國家、地區(qū)或相關(guān)組織的司法管轄問題：金融科技企業(yè)要考慮不同國家或組織發(fā)布的相關(guān)規(guī)定。

·國際標(biāo)準(zhǔn)化組織（ISO）發(fā)布的《隱私保護(hù)框架》《隱私體系結(jié)構(gòu)框架》《隱私能力評估模型》《隱私影響評估指南》。

·美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布的《聯(lián)邦信息系統(tǒng)隱私與安全控制》《保護(hù)個人可標(biāo)識信息（PII）的保密指南》等。

·經(jīng)合組織（OECD）發(fā)布的《保護(hù)個人信息跨國傳送及隱私權(quán)指導(dǎo)綱領(lǐng)》等。

·歐盟于2018年5月25日出臺的《通用數(shù)據(jù)保護(hù)條例》（GDPR），為歐盟公民個人數(shù)據(jù)處理制定了一套統(tǒng)一的法律和更嚴(yán)格的規(guī)定，也規(guī)定了對違規(guī)行為的嚴(yán)厲處罰措施。這些處罰是以行政罰款的形式出現(xiàn)的，可以對任何類型的違反GDPR的行為進(jìn)行處罰，包括純粹程序性的違規(guī)行為。其罰款的范圍為1000萬到2000萬歐元，或上一年度企業(yè)全球年營業(yè)額的2%到4%。

這些不同國家與地區(qū)的法規(guī)，對金融科技在不同國家與地區(qū)的發(fā)展提出了更為復(fù)雜的要求。

2）跨境執(zhí)法的復(fù)雜性問題：隨著電子商務(wù)、移動支付等數(shù)字金融服務(wù)的不斷發(fā)展，個人信息也隨之成為金融交易的重要組成部分，用戶在享受網(wǎng)絡(luò)帶來的便捷的同時，個人信息等敏感信息也隨之進(jìn)入不同的司法管轄區(qū)。在個人金融信息跨境流動的過程中，如果被不法分子竊取、泄露或利用，將嚴(yán)重侵害個人的合法權(quán)益，導(dǎo)致遭受重大的經(jīng)濟(jì)損失，甚至人身安全受到威脅。因為攻擊行為的主體和傳統(tǒng)安全中的攻擊主體不同，攻擊者不一定在竊取現(xiàn)場，甚至不一定在同一個司法管轄區(qū)，所以發(fā)生資金盜取、信息泄露后的取證、溯源、維權(quán)工作難度較大。

3）跨境國際監(jiān)管問題：在海外發(fā)展業(yè)務(wù)時，還會面臨所在國受國際制裁或者所在國稅收等引發(fā)的問題，比如若在被聯(lián)合國制裁的國家違規(guī)開展支付業(yè)務(wù)，就可能引起國際問題，另外若未與交易發(fā)生國進(jìn)行稅務(wù)協(xié)商就直接使用該國貨幣進(jìn)行服務(wù)或者商品交易并進(jìn)行清結(jié)算，則可能導(dǎo)致該國阻斷相關(guān)服務(wù)或者追究相關(guān)組織（或個人）的刑事責(zé)任。

4.各國金融監(jiān)管當(dāng)局的實踐

2017年5月15日，中國人民銀行宣布成立金融科技委員會，旨在加強(qiáng)對金融科技工作的研究、規(guī)劃和統(tǒng)籌協(xié)調(diào)。在風(fēng)險和安全防控方面的主要工作有：

·研究金融科技發(fā)展對貨幣政策、金融市場、金融穩(wěn)定、支付清算等的影響，做好金融科技發(fā)展戰(zhàn)略規(guī)劃與政策指引；

·進(jìn)一步加強(qiáng)國內(nèi)外交流合作，建立健全適合我國國情的金融科技創(chuàng)新管理機(jī)制，處理好安全與發(fā)展的關(guān)系，引導(dǎo)新技術(shù)在金融領(lǐng)域的正確使用。

·強(qiáng)化監(jiān)管科技（RegTech）應(yīng)用實踐，積極利用大數(shù)據(jù)、人工智能、云計算等技術(shù)豐富金融監(jiān)管手段，提升對跨行業(yè)、跨市場交叉性金融風(fēng)險的甄別、防范和化解能力。

英國金融行為監(jiān)管局（FCA）提出“監(jiān)管沙箱”（Regulatory Sandbox）項目。英國政府支持新興業(yè)態(tài)發(fā)展，提出要營造有利的監(jiān)管環(huán)境，通過監(jiān)管沙箱可以在適當(dāng)范圍內(nèi)有效隔離、緩釋創(chuàng)新業(yè)務(wù)帶來的業(yè)務(wù)風(fēng)險和科技安全風(fēng)險。