1、2021开放银行数据保护与合规研究报告1中国银联技术管理委员会开放银行工作组2021-10 发布开放银行数据保护与合规开放银行数据保护与合规研究报告研究报告中国银联技术管理委员会开放银行工作组研究成果202120212021开放银行数据保护与合规研究报告3目录开放银行数据保护与合规研究报告.5一、 背景与目标. 5二、 开放银行中的数据范围与分类. 62.1. 数据范围. 62.2. 数据分类. 7三、 开放银行中相关数据主体的权利与义务.103.1. 客户.103.2. 银行.113.3. 第三方.123.4. 技术信息转接机构.12四、 开放银行数据管理总体原则.144.1. 合法性原则.

2、144.2. 公开明示原则.144.3. 知情同意原则.144.4. 最小够用原则.144.5. 数据安全和可问责性原则.154.6. 准确性原则.15五、 开放银行中的数据收集.155.1. 数据收集的合规性要求.155.2. 数据收集阶段的操作流程及相关技术支持方案.175.3. 实践中需要关注的事项.19六、 开放银行中的数据共享使用.206.1. 数据共享使用的合规性要求.206.2. 数据共享使用中的操作流程及相关技术支持方案.216.3. 实践中需要关注的事项.23七、 开放银行中的数据传输.237.1. 数据传输的基本合规性要求.237.2. 数据跨境传输的特殊合规性要求.247

3、.3. 数据传输相关操作流程及技术支持方案.257.4. 实践中需要关注的事项.29八、 开放银行中的数据存储.298.1. 数据存储的合规性要求.292021开放银行数据保护与合规研究报告48.2. 数据存储环节的实施措施及相关技术支持方案.328.3. 实践中需要关注的事项.35九、 其他事项或建议.35十、 开放银行落地案例.3610.1. 中银跨境 e 商通跨境电商支付结算服务.3610.2. 工银 e 钱包智能的线上零售业务综合解决方案.3710.3. 合作方 H5 服务接入中国银行场景生态建设.38十一、 附录.392021开放银行数据保护与合规研究报告5开放银行数据开放银行数据保

4、护与合规研究报告保护与合规研究报告一、 背景与目标开放银行（Opening Bank）概念，尚无行业共识的定义。中国互联网金融协会认为，开放银行是商业银行数字化转型的重要组成部分，强调以用户为中心，以 API、SDK等技术实现方式为特点，通过双向开放的形式深化银行与第三方合作机构的业务链接和合作，将金融服务能力与客户生活、生产场景深度融合，从而优化资源配置，提升服务效率，实现双方或多方合作共赢。1中国人民大学在其研究中也有类似定义，认为开放银行是一种银行向第三方开放数据和服务的模式。2本文所谓的开放银行指银行通过开放数据等形式与第三方机构合作，将银行服务嵌入各类生活场景的金融服务。其主旨和核心

5、在于数据和服务的开放和共享。自英国首先提出开放银行的概念后，各国家/地区开始推动本国/地区的开放银行的实践和监管。2015 年 11 月，欧洲议会和欧盟理事会发布了支付服务指令（Paymentservices，PSD 2），要求欧洲经济区内各国银行必须在 2018 年 1 月 13 日之前将客户数据以 API 的形式开放给第三方机构。截至 2020 年 12 月，英国共有 294 个受监管的供应商包括金融科技公司加入开放银行的生态系统， API 调用量从 2018 年的6680 万增加到 2020 年的近 60 亿。3新加坡于中国的开放银行主要由市场驱动，各商业银行充分结合自身特点，都在不断推

6、进和尝试开放银行。2012 年中国银行推出首个开放平台，2015 年工行 API 开放平台上线，2018 年 浦发银行推出无边界 API Bank，建设银行、招商银行、农业银行、平安银行等纷纷推出开放银行平台。目前各开放银行发展趋势可以概括为借助金融科技手段努力将自身产品嵌入各类场景以拓宽业务渠道。4随着中国开放银行实践的不断深入，中国也在加紧制定规范以求在保证数据和信息安全的同时促进开放银行的发展。2019 年央行印发了金融科技（FinTech）发展规划（2019-2021 年）。2020 年 2 月，央行进一步发布了商业银行应用程序接口安全管理规范和个人金融信息保护技术规范。随着数据安全法

7、以及个人信息保护法的出台，我国对于数据安全的监管力度进一步加大。数据的可复制性和极低的边际成本意味着一旦发生数据安全事故，个人隐私受到严重侵害，银行的数据资产的价值也会极大缩水、数据掌控能力下降，国家金融安全和信息安全也将面临威胁。因此，数据安全不仅是监管机构的监管重点，也是关系到银行的客户、银行本身以及国家利益的关键问题。1中国互联网金融协会：2019 开放银行发展研究报告，第 6 页。2中国人民大学金融科技研究所，中国人民大学国际货币研究所，中国人民大学银行业研究中心：开放银行全球发展报告，第 7 页。3从“开放银行”走向“开放金融”， https:/ ，2021 年 9 月访问4中国开放

8、银行白皮书 2021https:/ 开放银行中的数据范围与分类2.1. 数据范围本研究报告所研究的数据是在开放银行场景中由金融机构收集和使用的各类信息数据。开放银行信息数据主要来自个人和企业5。根据数据来源主体性质的不同根据数据来源主体性质的不同，可以分为个人信息与企业信息。（1） 个人信息个人信息个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。6包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。其中，个人金融信息个人金融信息是金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。包括账

9、户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息7。（2） 企业信息企业信息企业信息是企业在从事生产经营活动过程中形成的信息，以及政府部门在履行职责过程中产生的能够反映企业状况的信息等。企业信息可分为企业公示信息企业公示信息与非公示信息非公示信息。企业信息公示暂行条例8中对企业需要公示的信息进行了详细的列举，包括：1）企业基本信息：企业注册登记、备案信息；企业通信地址、邮政编码、联系电话、电子邮箱等信息。2）行政许可和行政处罚信息：行政许可取得、变更、延续信息；行政处罚信息。3）企业经营信息：动产抵押登记信息；股权出质登记信息；知识产权出质登记信

10、息；企业开业、歇业、清算等存续状态信息；有限责任公司股东股权转让等股权变更信息；企业网站以及从事网络经营的网店的名称、网址等信息。4）其他依法应当公示的信息。除上述依法应当公示的信息外，企业对法律法规未做硬性要求的企业信息可以选择不公示。对于企业的商业秘密，企业还应采取适当的保密措施进行保护。具体到金融领域，金融安全数据安全分级指南中将企业信息分为基本信息，身份鉴别信息，资讯信息，关系信息，行为信息，标签信息五类。同时，金融安全数据安全分级指南还根据数据安全性遭到破坏后产生影响的大小，将上述信息的数据安全级别从高到低分成了 5 级、4 级、3 级、2 级、1 级。表 1 企业信息定级参考表信息

11、类别信息类别信息子类信息子类最低安全级别参考最低安全级别参考5此处的企业指的是银行的企业客户，是信息来源主体。6个人信息保护法第 4 条，全国人大常委会，2021 年 8 月 20 日颁布，将于 2021 年 11月 1 日生效）。7个人金融信息保护技术规范第 3.2 条，人民银行，2020 年 2 月 13 日发布并实施。8企业信息公示暂行条例第 6、9、10 条，国务院，2014 年 10 月 1 日生效。2021开放银行数据保护与合规研究报告7基本信息基本概况1股东信息2管理层信息3联系信息2财务信息2身份鉴别信息传统鉴别信息4资讯信息信贷信息3司法信息2税务信息2工商信息1关系信息单位

12、间关系信息2公私间关系信息2行为信息行为信息2标签信息基础标签信息2关系标签信息2签约标签信息2交易类标签信息2行为标签信息2营销标签信息2风险标签信息2价值标签信息2我国现行法律法规较为重视对个人信息的保护，陆续出台了个人金融信息保护技术规范、个人信息保护法等相关规定，而对企业信息的规定相对较少。因此本研究报告将重点探讨开放银行业务落地中个人信息数据的保护问题，同时也包括企业信息数据的保护问题。2.2.数据分类为更清晰地了解开放银行业务过程中所涉及的数据，进一步明确数据保护对象，从而有的放矢的实施数据安全管理，可以结合相关数据规范及实践对开放银行场景中的数据进行分类分析。就个人信息来说，可以

13、分为敏感信息和非敏感信息。敏感信息敏感信息指的是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。9上述范围以外的信息为非敏感信息。就个人金融信息来说，可以根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，按敏感程度敏感程度从低到高分为 C1、C2、C3 三个类别10。区别各类信息的标准及相应示例如下表所示：表 2 个人金融信息敏感程度分类表9个人信息保护法第 28 条，全国人大常委会，2021 年 8 月 20 日颁布，将于 202

14、1 年11 月 1 日施行。个人信息安全规范第 3.2 条，国家市场监督管理总局、国家标准化管理委员会，2020 年 3 月 6 日发布，2020 年 10 月 1 日实施。10个人金融信息保护技术规范第 4.2 条，人民银行，2020 年 2 月 13 日发布并实施。2021开放银行数据保护与合规研究报告8类别类别标准标准示例示例C1金融机构内部的信息资产（机构内部使用的个人金融信息）账户开立时间、开户机构。基于账户信息产生的支付标记信息。C2 和 C3 类别信息中未包含的其他个人金融信息。C2可识别特定个人金融主体身份和金融状况的信息，以及用于金融产品和服务的关键信息支付账号及其等效信息，

15、如支付账号、证件类识别标识与证件信息（身份证、护照等）、手机号码。账户（包括但不限于支付账号、证券账户、保险账户）登录的用户名。用户鉴别辅助信息，如动态口令、短信验证码、密码提示问题答案、动态声纹密码；若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别，则属于 C3 类别信息。直接反映个人金融信息主体金融状况的信息，如个人财产信息（包括网络支付账号余额）、借贷信息。用于金融产品与服务的关键信息，如交易信息（如交易指令、交易流水、证券委托、保险理赔）等。用于履行了解你的客户（KYC）要求，以及按行业主管部门存证、保全等需要，在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。其他

16、能够识别出特定主体的信息，如家庭地址等。C3用户鉴别信息银行卡磁道数据（或芯片等效信息）、卡片验证码（CVN 和 CVN2）、卡片有效期、银行卡密码、网络支付交易密码。账户（包括但不限于支付账号、证券账户、保险账户）登录密码、交易密码、查询密码。用于用户鉴别的个人生物识别信息。从数据安全数据安全的角度，根据影响对象和影响程度，将数据分为 1-5 级11。表 3 数据安全定级规则参考表最低安全级别参考数据定级要素数据一般特征影响对象影响程度5国家安全严重损害/一般损害/轻微损害 重要数据，通常主要用于金融行业大型或特大型机构、金融交易过程中重要核心节点类机构中的关键业务使用，一般针对特定人员公开

17、，且仅为必须知悉的对象访问或使用； 数据安全性遭到破坏后，对国家安全造成影响，或对公众权益造成严重影响。5公众权益严重损害4公众权益一般损害数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用； 个人金融信息中的 C3 类信息；4个人隐私严重损害4企业合法权益严重损害11金融安全数据安全分级指南第 5.3.2 条，人民银行，2020 年 9 月 23 日发布并实施。2021开放银行数据保护与合规研究报告9 数据安全性遭到破坏后，对公众权益造成一般影响，或对个人隐私或企业合法权益造成严重影响，但不影响国家安全

18、。3公众权益轻微损害数据用于金融业机构关键或重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用； 个人金融信息中的 C2 类信息； 数据的安全性遭到破坏后，对公众权益造成轻微影响，或对个人隐私或企业合法权益造成一般影响，但不影响国家安全。3个人隐私一般损害3企业合法权益一般损害2个人隐私轻微损害 数据用于金融业机构一般业务使用，一般针对受限对象公开，通常为内部管理且不宜广泛公开的数据； 个人金融信息中的 C1 类信息； 数据的安全性遭到破坏后，对个人隐私或对企业合法权益造成轻微影响，但不影响国家安全、公众权益。2企业合法权益轻微损害1国家安全无损害数据一般可被公开或可被公众获知

19、、使用； 个人金融信息主体主动公开的信息； 数据的安全性遭到破坏后，可能对个人隐私或企业合法权益造成影响，或仅造成微弱影响但不影响国家安全、公众权益。1公众权益无损害1个人隐私无损害1企业合法权益无损害除了上述主要分类方式，实践中，也有银行根据采集方式采集方式不同，将数据分为直接数据和间接数据。直接数据直接数据指由金融信息主体主动提供、通过与金融信息主体交互或记录金融信息主体行为等收集到的数据。间接数据间接数据则是指通过共享、转让、搜集公开信息等间接获取金融信息的行为搜集到的数据，具体请见 5.1.3 收集方式。此外，目前开放银行实践中，主要的数据使用场景数据使用场景大致可分为如下四类：（1）

20、 “政务+银行”，由政府主导开放电子政务数据资源，银行利用政务数据提升金融服务水平，提供普惠金融服务，推动数字政府的建设。例如，某银行与某地交警合作开发交通罚款缴费工具，提供认证、资金结算等服务。（2） “银行组织、联盟、协会或银行+银行”，在银行联盟、行业协会或银行之间开展数据合作。例如，多家银行将接口接入统一的开放银行平台，进行数据共享。（3） “企业+银行”，企业和银行之间进行数据合作，银行利用企业的社交、消费、生活等行为数据为金融服务提质增效；企业利用银行资金渠道拓展业务领域，双方相互促进各自业务发展。例如，某银行向停车场和地铁提供商户运营、账户管理、资金结算、网络融资等服务。除此之外

21、，企业还可以将开放银行的服务纳入企业管理和商业运营。例如，某银行为企业提供员工工资结算、投资理财、网络融资等服务。（4） “社会服务+银行”，银行利用医疗、教育等社会服务行业进一步开放数据，将开放银行嵌入社会的各个领域，帮助行业从业者获得一站式的支付解决方案。例如，某银行与医院合作，为医院提供对公综合金融服务，提供包括身份认证、费用收缴、资金结算等多种服务。2021开放银行数据保护与合规研究报告10三、 开放银行中相关数据主体的权利与义务开放银行生态圈中涉及作为数据主体的客户、银行、第三方、技术信息转接机构等各方参与者，本部分将就开放银行运行过程中涉及的不同主体的权利和义务进行分析。3.1.客

22、户银行的客户包括个人客户和企业客户，作为数据主体，均为数据的产生者。（1） 权利个人客户个人客户即金融信息标识的自然人12，根据个人信息保护法，个人拥有的权利包括：1）知情权：个人有权了解信息处理的目的、范围、过程等内容。2）决定权：个人有权决定如何处理自己的信息。3）限制和拒绝权：个人有权限制或拒绝信息处理者对其信息进行处理。4）查阅和复制权：个人有权查阅和复制保存在信息处理者一方的信息，信息处理者应当如实提供。5）可携带权：个人有权将个人信息转移至其指定的其他个人信息处理者，信息处理者应当提供转移途径。6）更正权：个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。信息

23、处理者核实信息后应及时更正。7）删除权：在处理目的已实现、个人撤回同意等情况下，个人可以要求信息处理者删除数据等。由于企业数据的构成中包含大量的个人数据，因此企业数据的权利问题相对复杂13，目前学界还存在一定分歧，尚未有定论。实践中，企业数据的权利被侵犯时，企业常常倾向应用不正当竞争法的方法，诉诸于法律途径解决问题。14在实践中，开放银行业务涉及的企业数据主要来自企业本身，如企业交易明细等。这种情况下，可以认为企业作为数据的产生者应享有和个人同样的权利，即知情权、决定权、限制和拒绝权、可携带权、更正权、删除权等相关的权利。当然，数据主体享有的权利并非绝对的，与国家安全、国防安全直接相关的、和与

24、公共安全、公共卫生、重大公共利益直接相关的个人金融信息的共享、转让、公开披露无需征得个人信息主体的授权同意。15（2） 义务根据民法典诚实信用原则，数据主体理应提供真实数据。关于个人作为数据主体的义务，反洗钱法及相关规章明确规定，“金融机构应当建立健全和执行客户身份识别制度，遵循了解你的客户原则，了解客户及其交易目的和交易性质， 了解实际控制客户的自然人和交易的实际受益人”，但相应的，我国法律未规定个人在办理金融业务时，必须向银行如实提供真实有效的身份信息以及开户和交易的目的、资金的来源和用途等信息，也未规定个人必须如实向金融机构告知账户或交易的受益所有人。16尽管如此，个人不提供真实数据应承

25、担不利后果，例如，12个人金融信息保护技术规范第 3.4 条，人民银行，2020 年 2 月 13 日发布并生效。13时明涛 :大数据时代企业数据权利保护的困境与突破，http:/ 年 3 月 21 日。14企业数据权利研讨会综述，http:/ 年 9月访问。15个人金融信息技术保护规范第 7.1.3 条，人民银行，2020 年 2 月 13 日发布并生效。16刘宏华，叶庆国，吴卫锋 ：我国个人反洗钱义务立法思考，中国金融，2020 年 第 16期。2021开放银行数据保护与合规研究报告11网络安全法第二十四条规定，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，

26、或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。17再如，保险法第三十二条规定，投保人申报的被保险人年龄不真实，并且其真实年龄不符合合同约定的年龄限制的，保险人可以解除合同。18关于企业作为数据主体的义务，虽然我国法律尚未明确规定企业作为数据主体在办理金融业务时如实提供信息的义务，但诚实信用是民事主体从事经济活动的基本准则，同时，法律在其他部门法中也有明确规定，例如，电子商务法第二十七条规定，电子商务平台应当要求平台内经营者提交真实信息，进行核验、登记，并定期更新。因此，尽管尚无

27、金融特别法明文规定个人或企业必须提交真实信息，但个人或企业在办理金融业务时也应遵循诚实信用原则，保证信息的真实性，否则将承担不利后果。3.2. 银行银行银行是个人金融信息的控制者，是有权决定个人金融信息处理目的、方式等的机构19。（1） 权利银行可以依法收集、处理、展示、披露、共享个人信息。可以对使用其数据的第三方合作者进行事前及事后监督，如设立准入门槛、评估安全能力、停止开放、降低合作等级等。（2） 义务根据网络安全法、个人信息保护法以及相关行业标准的要求，银行处理信息数据时应当履行以下义务：1）确保数据处理安全的义务：根据信息处理目的、处理方式、信息的种类以及对数据主体权益的影响、可能存在

28、的安全风险等，采取相应措施保障数据安全；2）合规审计义务：银行应当定期对其处理个人信息的合规情况进行审计；3）评估和记录义务：对于敏感信息、委托他人处理的信息、向第三方提供的信息、向境外提供的信息等，银行应当事前进行信息处理影响的评估，并对处理情况进行记录；4）补救和报告义务：在发生数据泄露时，要采取及时有效的补救措施并及时上报泄漏事件；5）关键信息基础设施运营者义务：根据关键信息基础设施确定指南（试行），若银行的设施和系统被监管机构认定为关键信息基础设施，应履行如建设网络安全机制、设置专门的安全管理机构、进行风险评估等义务。值得特别注意的是，作为个人信息的收集者、处理者和控制者，处理个人信息

29、侵害个人信息权益造成损害，银行不能证明自己没有过错的，应当承担损害赔偿等侵权责任。这意味着一旦发生个人信息泄露事件，银行需承担举证责任，即使没有过错，但不能举证证明的仍旧可能面临承担损害赔偿等侵权责任的风险20。17网络安全法第 24 条，全国人民代表大会常务委员会，2016 年 11 月 7 日发布，2017年 6 月 1 日生效。18保险法第 32 条，全国人民代表大会常务委员会，2015 年 4 月 24 日发布并生效。19个人金融信息保护技术规范，第 3.5 条，人民银行，2020 年 2 月 13 日发布并生效。20个人信息保护法第 69 条，全国人大常委会，2021 年 8 月 2

30、0 日颁布，将于 2021 年11 月 1 日生效。2021开放银行数据保护与合规研究报告123.3. 第三方第三方第三方指的是利用开放银行共享数据嵌入自身行业应用场景中的各类机构和企业。现有实践表明，政务服务、校园管理、景区管理、物业服务、宗教管理、党务管理和人力资源管理等领域的机构均可成为数据的使用者。（1） 权利第三方可以利用开放银行分享的数据满足具体的场景需求， 也可以在其本身服务范围内合法收集、使用数据。（2） 义务第三方首先需要遵循一般性的数据安全规范的要求。第三方首先需要遵循一般性的数据安全规范的要求。一般性的数据安全规范指的是所有信息收集和使用者处理个人信息时都应遵循的要求。如

31、个人信息保护法规定的确保数据安全义务、合法处理数据义务、补救和报告义务等。个人信息安全规范规定的响应信息主体请求的义务、处理投诉的义务等。无论第三方企业/机构来自何种领域均应遵循上述法律规范。其次，第三方业务涉及特殊行业或领域的，还需要遵循特殊领域的数据安全的要求。其次，第三方业务涉及特殊行业或领域的，还需要遵循特殊领域的数据安全的要求。如交通出行类企业需遵守汽车数据安全管理若干规定（试行）21等行业特殊的法律规范，医疗机构遵循国家健康医疗大数据标准、安全和服务管理办法（试行）等法律规范。最后，第三方需遵循相关开放银行对于第三方的评估要求和签署的使用协议规定最后，第三方需遵循相关开放银行对于第

32、三方的评估要求和签署的使用协议规定的义务。的义务。现有实践中，开放银行多根据公安部网络安全等级保护 2.0 标准22评估第三方的技术和管理的安全等级。第三方可结合此标准自我评估是否满足开放银行的安全要求。除此之外，作为第三方，应严格遵守其与开放银行签署的数据共享和使用协议，如不得转售、不得自行留存、采取符合开放银行要求的数据安全保护措施等。3.4. 技术信息转接机构技术信息转接机构技术信息转接机构是指伴随着开放银行业务发展起来的管理类组织，其主要负责制定统一的接口和安全规范、建设和更新服务目录，以及对开放银行参与方（银行、第三方）进行注册及管理，和对服务参与方身份验证、权限设定，及证书、密钥的

33、管理。此外，技术信息转接机构也提供相应的测试服务以帮助接口和服务的落地。国外实践中已产生相应的主体，目前国内仍在探索中。因此，技术信息转接机构能够促使银行基于用户许可通过技术聚合平台向第三方进行数据和服务开放，实现了开放银行生态规模化发展。技术信息转接机构本身不参与具体银行业务或账户管理，仅负责数据和信息的传输。在国内现有监管制度安排下，商业银行对于“数据开放”总体上持谨慎态度，通常是将开放银行作为创新金融产品和服务供给模式，依托 API/SDK 等技术，通过线上场景化链接，有效触达长尾客户。23一方面，开放银行应用方有多家银行连接的需求，支持统一的标准接口是市场的强需求；另一方面，银行希望规

34、范市场合作，尤其是长尾、21该试行规范由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部发布，于 2021 年 10 月 1 日生效。22https:/ ， 2021 年 9 月访问。23中国银行业协会发布开放银行实践与发展研究课题成果，http:/ 年 9 月访问2021开放银行数据保护与合规研究报告13中小合作伙伴的合作准入，建立统一的业务安全门槛，避免出现因准入标准不统一产生的恶性竞争；再则，从产业可持续发展角度，需要有一个良好低成本的运营环境，避免多对多连接提高整体社会运营成本，在应用方面也需要加强穿透式监管的应用支持，技术信息转接机构应运而生，在国外具体

35、实践中，已有技术信息转接机构的角色存在，如以美国为代表的市场驱动开放银行市场，就主要由 Plaid 等技术信息转接机构协助市场应用，在监管驱动模式的韩国，则由其金融清算所承担技术信息转接机构的角色。中国市场可借鉴其优点并根据自身发展特色，有效、平稳、安全地推动开放银行健康、常态发展。（1） 权利技术信息转接机构在生态中发挥了信息转接的功能，进行数据传输和汇聚，为保障合作方的利益，其承担相应的合作方管理职能，享有一定的管理权。技术信息转接机构主要功能包括制定统一的接口和安全规范，对开放银行参与方（银行、第三方）进行注册及管理，建设服务目录实现对参与方的身份验证、权限设定，管理证书和密钥，并更新服

36、务目录信息，此外，为帮助市场落地提供相应的测试服务。（2） 义务按照金融数据安全 数据安全分级指南，汇聚融合是导致数据发生升降级的主要技术手段之一。汇聚融合汇聚融合是指对数据进行集中、清洗、转换、重组、关联分析、多方计算等处理的过程，相对于汇聚融合前的数据的安全级别，经过不同的数据汇聚融合处理手段所产生的数据，其安全级别可能上升，也可能下降。24技术信息转接机构需要履行的义务包括：一般性的数据安全规范的要求：一般性的数据安全规范的要求：技术信息转接机构在其业务中涉及数据传输和管理，需遵循一般性数据安全规范的要求，如个人信息保护法、网络安全法、数据安全法、互联网个人信息安全保护指南等附录。关键信

37、息基础设施保护的义务：关键信息基础设施保护的义务：技术信息转接机构作为开放银行和第三方之间的桥梁，其业务中涉及大量金融信息，一旦遭到破坏或造成泄露会严重危害国计民生和国家安全，按照关键信息基础设施安全保护条例的规定，应属于关键信息基础设施。如果技术信息转接机构被认定为关键信息基础设施，应在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件。具体来说应当：1）建立健全网络安全保护制度和责任制。由技术信息转接机构的主要负责人负责信息基础设施的安全；设置安全管理机构，负责安全培训、管理、制定应急预案等；对关键岗位的责任人员进行背景审查；2）发生重大网络安全事件或者发现重大网络

38、安全威胁时向保护工作部门、公安机关报告；3）采购网络产品和服务时按照国家有关规定与网络产品和服务提供者签订安全保密协议等。25基于合作协议的义务：基于合作协议的义务：技术信息转接机构应遵循其与开放银行和第三方签订的协议，履行协议中的义务，如不得留存数据、不得转售数据等。作为数据交易中介服务商的义务：作为数据交易中介服务商的义务：技术信息转接机构作为汇总、交换相关数据的渠道，属于数据安全法第三十三条所规范的数据交易中介服务机构，在提供数据交易中24金融数据安全 数据安全分级指南附录 B，中国人民银行，2020 年 9 月 23 日发布并生效。25关键信息基础设施安全保护条例第 12-21 条，国

39、务院，2021 年 9 月 1 日生效。2021开放银行数据保护与合规研究报告14介服务过程中，必须要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。四、 开放银行数据管理总体原则开放银行的数据基本原则指的是数据处理者在数据生命周期的各阶段进行各种数据处理时均应遵循的根本准则，是指导监管机构制定规范、进行管理以及开放银行进行具体数据处理行为的纲领。根据民法典、个人信息保护法等法律规范，开放银行数据处理者需遵循合法性、公开明示、知情同意、最小够用、数据安全与可问责性、准确性六大原则。4.1. 合法性原则作为第一项基本原则，民法典、网络安全法、数据安全法和个人信息保护法等均指出

40、处理个人信息应当遵循合法性原则，遵守国家各类法律规范，不得通过误导、欺诈、胁迫、窃取等方式处理个人信息。264.2. 公开明示原则为保证信息主体对收集的知情权，本项原则要求个人信息收集者履行公开、明示义务，要求在收集前明示个人信息的收集规则，明示处理的目的、方式和范围。27数据控制者应制定明确的信息处理规则并进行公开，规则的内容应包含信息处理的方式和目的。4.3. 知情同意原则在公开明示原则的基础上，在收集、使用、披露、展示、共享个人金融信息时，履行告知义务，征得数据主体的同意。28此原则内容分为两个部分：告知以及征得同意。数据处理者需要以容易理解的语言对数据处理的范围、过程和目的等内容进行明

41、确的告知，告知后以合法的方式征得数据主体同意，不能采用捆绑性同意等方法。4.4. 最小够用原则处理个人信息时，应当限于实现处理目的的最小范围，不得过度收集或调用个人信息，即首先确定恰当的数据处理目的，然后根据目的确定满足目的的最小范围，在调用数据时以最小的频次进行，并以最少时间存储。29例如在从事某一特定活动时可以使用、也可以不使用个人信息时，要尽量不使用。再如，在收集个人信息时， 其所获取的个人信息应当以满足使用目的为限， 不得超出该范围收集个人信息。为达到目的如 果只需要使用权利人的非敏感个人信息，则不应该扩大信息收集和使用的范围。3026中华人民共和国个人信息保护法第 5 条，全国人民代

42、表大会常务委员会，2021 年 11 月1 日生效。数据安全法第 32 条，全国人民代表大会常务委员会，2021 年 6 月 10 日颁布，2021 年 9 月 1 日生效。27中华人民共和国个人信息保护法第 7 条，全国人民代表大会常务委员会，2021 年 11 月1 日生效。28中华人民共和国个人信息保护法第 13、14、15、16、17 条，全国人民代表大会常务委员会，2021 年 11 月 1 日生效。29民法典第 1038 条，全国人民代表大会，2020 年 5 月 8 日颁布，2021 年 1 月 1 日生效。中华人民共和国个人信息保护法第 6 条，全国人民代表大会常务委员会，20

43、21 年 11月 1 日生效。30王利明：数据共享与个人信息保护，载现代法学第 41 卷 第 1 期，2019 年 1 月。2021开放银行数据保护与合规研究报告154.5. 数据安全和可问责性原则数据处理者应当采取必要措施保护信息安全。包括但不限于建立安全制度体系，采取技术保护措施，进行安全情况评估，确定信息保护负责人，定期进行安全教育和培训，制定并组织实施个人信息安全事件应急预案等。314.6. 准确性原则数据处理者应保证信息的准确性，避免因信息不准确给数据主体的权益造成不利影响。相对的，数据主体可以要求处理者更改或删除错误信息。32可以看出，我国法律规范中确定的以上几条原则基本对标欧盟通

44、用数据保护条例，对信息和数据的保护采取了较为严格的态度。五、 开放银行中的数据收集信息收集是个人金融信息生命周期的第一个环节。信息收集指获得信息的控制权的行为。335.1. 数据收集的合规性要求本部分将从信息收集规则、收集同意、收集方式、停止收集几部分对开放银行数据收集的合规性进行详述。在涉及特殊信息类型和特殊信息主体时，将分别展开讨论。5.1.1. 收集规则制定收集规则是进行获取数据的第一步，银行等金融机构应当制定信息收集的规则，明示收集的目的及方式。首先，规则中应明确收集目的及范围。收集需合理且限于实现目的的最小范围。一般情况下最小范围的内涵有三个方面：一是直接关联，即收集的个人信息的类型

45、应与实现产品或服务的业务功能有直接关联，如果没有上述个人信息的参与，产品或服务的功能无法实现。二是最低频率，即自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。三是最少数量，即间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量34。规则制定后应以简明易懂的方式完全公开，并提示数据主体阅读收集规则。5.1.2. 知情和同意除制定收集规则外，正式收集信息前要经过信息主体的同意。如果法律规定需要书面做出同意表示的，还应征求书面同意35。31中华人民共和国个人信息保护法第 9、51、52 条，全国人民代表大会常务委员会，2021 年 11 月 1 日生效。32中华人民

46、共和国个人信息保护法第 8、46 条，全国人民代表大会常务委员会，2021 年11 月 1 日生效。网络安全法第 43 条，全国人民代表大会常务委员会，2016 年 11 月 7日颁布，2017 年 6 月 1 日生效。33个人金融信息技术保护规范第 3.6 条，人民银行，2020 年 2 月 13 日发布并生效。34信息安全技术 个人信息安全规范第 5.2 条，国家市场监管总局和国家标准管理委员会，2020 年 3 月 6 日发布，2020 年 10 月 1 日生效。35个人信息保护法第 14 条，全国人大常委会，2021 年 8 月 20 日发布，将于 2021 年11 月 1 日生效。2

47、021开放银行数据保护与合规研究报告16为保证信息主体对收集的完全知情，应以信息主体能理解的语言告知其收集者的身份、联系方式、收集目的、收集方式，收集的个人信息种类、保存期限、个人享有的权利和行使方式及程序、自身的数据安全能力、对外共享的转让的规则等36。对于敏感信息，除上述告知内容外，还应当向个人告知收集敏感信息的必要性37，并获得个人的单独同意38。收集不满 14 周岁的自然人信息的，还应取得其监护人同意。39【不得强制同意或捆绑同意】开放银行不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求个人信息主体同意收集个人信息。对于当事人未申请/使用的业务，不应通过捆绑产

48、品或服务各项业务功能的方式，要求个人同意其收集40。另外，如果利用 APP收集数据，还需提供撤回同意的功能。如未向用户提供撤回同意收集个人信息的途径、方式则视为没有获得用户同意41。【同意的限制】在特定情况下可以不经信息主体同意进行收集。根据个人信息保护法等相关法律规范，在 a）与开放银行履行法律法规规定的义务相关的；b）与国家安全、国防安全直接相关的；c）与公共安全、公共卫生、重大公共利益直接相关的；d）与刑事侦查、起诉、审判和判决执行等直接相关的；e）出于维护信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的；f）所涉及的信息是信息主体自行向社会公众公开的；g）签订和履

49、行合同所必需的；h）从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道等情况下，可以无需信息主体同意。425.1.3. 收集方式现行法律规范中对不同信息的收集方式和不同的渠道收集方式做出差别化规定。无论以何种方式收集何种信息，都应遵守收集方式的一般原则。【收集方式的一般原则收集方式的一般原则】收集个人信息应采用对个人权益影响最小的方式，并保证收集个人信息过程的安全性。一般来说安全的收集方式应当：1）在收集信息之前，应对被收集人进行身份认证。2）收集个人信息时，信息在传输过程中应进行加密保护；3）收集个人信息的系统应落实网络安全等级保护要求；4）收集个人信息时应对收集内容

50、进行安全检测和过滤43。【对于特殊信息收集的特别规定对于特殊信息收集的特别规定】36个人金融信息技术保护规范第 7.1.1 条，人民银行，2020 年 2 月 13 日发布并生效。37网上银行系统信息安全通用规范第 6.2.1 条，人民银行，2020 年 2 月 5 日发布并生效。38个人信息保护法第 29 条，全国人大常委会，2021 年 8 月 20 日发布，将于 2021 年11 月 1 日生效。39个人信息保护法第 31 条，全国人大常委会，2021 年 8 月 20 日发布，将于 2021 年11 月 1 日生效。40网上银行系统信息安全通用规范第 6.1.1 条，人民银行，2020