开放银行数据保护与合规实践案例

总体原则

     开放银行的数据处理基本原则指的是数据处理者在数据生命周期的各阶段进行各种数

据处理时均应遵循的根本准则，是指导监管机构制定规范、进行管理以及开放银行进

行具体数据处理行为的纲领。根据《民法典》《个人信息保护法》《数据安全法》

《网络安全法》等法律规范，开放银行数据处理者需遵循合法性，公开明示，知情同

意，最小够用，数据安全与可问责性，准确性六大原则 。

数据收集合规

信息收集指获得信息的控制权的行为。根据《个人信息保护法》《个人金融信息技术 保护规范》《网上银行系统信息安全通用规范》等法律法规，信息收集者应制定并公 开收集规则，保证个人信息主体对收集的知情和同意，对特殊信息的收集采取特殊收

    集方式、遵守特殊规定。具体来说，首先，在收集规则方面，在规则中明确收集目的，

方式及范围 ，收集需合理且限于实现目的的最小范围，一般情况下，最小范围指“直

接关联、最低频率和最小数量”。其次，在获得信息主体同意方面，应以信息主体能

理解的语言告知其收集者的身份、联系方式、收集目的、收集方式等内容。对于个人

敏感信息 ，除上述告知内容外，还应当向个人告知收集敏感信息的必要性，并获得个

人的单独同意。对于不满 14 周岁的自然人信息，除应取得其监护人同意，还应制定

专门的个人信息处理规则。再次，在收集方式方面，一般原则是收集个人信息应采用

对个人权益影响最小的方式，并保证收集个人信息过程的安全性。特殊信息的收集则

应遵守特别规定，例如对于 C3 类别信息，要使用加密等技术措施保证数据的保密性，

防止其被未授权的第三方获取。最后，在停止收集方面，在用户不再使用某服务，或

当个人信息控制者停止运营其产品或服务时应当停止收集。

落地案例

    开放银行通过 API（应用程序接口）与 TSP（第三方服务提供商）等技术将银行服务 与产品直接嵌入合作平台，实现了银行与第三方之间的数据信息共享与融合。开放银 行模式实现银行传统线下金融业务数字化，通过和业态合作拓展业务可以让银行获取 场景数据，实现穿透式管理，更好地帮助银行精准构建用户画