首頁 > 關(guān)于我們 > 安恒動態(tài) > 2020 > 正文

一文看懂《個人金融信息保護技術(shù)規(guī)范》（文末附完整版）

閱讀量：次

2月13日，中國人民銀行正式發(fā)布《個人金融信息保護技術(shù)規(guī)范》（JR/T 0171—2020）（以下簡稱“《規(guī)范》”）。該規(guī)范由中國人民銀行提出，全國金融標準化技術(shù)委員會歸口管理，由中國人民銀行科技司提出并負責(zé)起草，多家單位參與起草。

一、規(guī)范概述

《規(guī)范》將個人金融信息按敏感程度、泄露后造成的危害程度，從高到低分為C3、C2、C1三個類別；同時，規(guī)定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護要求，從安全技術(shù)和安全管理兩個方面，對個人金融信息保護提出了規(guī)范性要求。

01? 規(guī)范作用

有助于規(guī)范金融業(yè)機構(gòu)個人金融信息保護工作，提升金融數(shù)據(jù)風(fēng)險防控能力，促進我國金融市場的健康發(fā)展；

有助于提高金融機構(gòu)個人賬戶信息、銀行卡信息安全管理水平，加大互聯(lián)網(wǎng)交易風(fēng)險防控力度，防范各類金融交易風(fēng)險，切實維護金融穩(wěn)定，保護金融消費者合法權(quán)益。

02? 適用機構(gòu)

《規(guī)范》適用的主體包括兩大類：金融機構(gòu)和獲取個人金融信息的非金融機構(gòu)。

03? 基本原則

《規(guī)范》要求金融業(yè)機構(gòu)應(yīng)遵循“權(quán)責(zé)一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與”的原則。

04? 內(nèi)容概況

《個人金融信息保護技術(shù)規(guī)范》全文共分為范圍、規(guī)范性引用文件、術(shù)語和定義、個人金融信息概述、安全基本原則、安全技術(shù)要求、安全管理要求等七個章節(jié)。整體內(nèi)容架構(gòu)圖如下：

二、個人金融信息分類分級

《規(guī)范》指出，個人金融信息是指金融業(yè)機構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個人信息，包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息等7大類。

《規(guī)范》將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別。

類型	主要信息內(nèi)容	危害程度	合規(guī)要求示例
C3（用戶鑒別信息）	銀行卡磁道銀行卡密碼網(wǎng)絡(luò)支付密碼; ? 賬戶登錄密碼交易密碼 ? 生物識別信息 ?	一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，會對個人金融信息主體的信息安全與財產(chǎn)安全造成嚴重危害	不應(yīng)共享、轉(zhuǎn)讓，不得委托處理
C2（可識別信息主體身份與金融狀況的個人金融信息）	支付賬號證件信息手機號碼 ? 賬戶登錄名 ? 用戶鑒別輔助信息 ? 個人財產(chǎn)信息信貸信息 ? 交易信息主體照片音視頻信息 ?	一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，會對個人金融信息主體的信息安全與財產(chǎn)安全造成一定危害	除用戶鑒別輔助信息外，經(jīng)告知統(tǒng)一可以轉(zhuǎn)讓共享，可以委托處理
C1（機構(gòu)內(nèi)部的信息資產(chǎn)）	賬戶開立時間開戶機構(gòu) ? 支付標記信息 ?	一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，可能會對個人金融信息主體的信息安全與財產(chǎn)安全造成一定影響	經(jīng)告知統(tǒng)一可以共享、轉(zhuǎn)讓，可以委托處理

三、生命周期技術(shù)要求重點內(nèi)容

01? 信息收集

1）不應(yīng)委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機構(gòu)收集C3、C2類別信息。

2）C3類別信息，通過受理終端、客戶端應(yīng)用軟件、瀏覽器等方式收集時，應(yīng)使用加密等技術(shù)措施保證數(shù)據(jù)的保密性，防止其被未授權(quán)的第三方獲取。

3）《規(guī)范》中要求金融機構(gòu)應(yīng)當采取技術(shù)措施（如彈窗、明顯位置URL鏈接等），引導(dǎo)用戶查閱隱身政策，并獲得其明示同意后再開展收集個人金融信息。

02? 信息傳輸

1）通過公共網(wǎng)絡(luò)傳輸時，C2、C3類別信息應(yīng)使用加密通道或數(shù)據(jù)加密的方式進行傳輸，保障個人金融信息傳輸過程的安全。

2）C3類別中的支付敏感信息，其安全傳輸技術(shù)控制措施應(yīng)符合有關(guān)行業(yè)技術(shù)標準與行業(yè)主管部門有關(guān)規(guī)定要求。

03? 信息存儲

1）C3類別信息應(yīng)采用加密措施確保數(shù)據(jù)存儲的保密性。

2）未取得信息主體與賬戶管理機構(gòu)的授權(quán)，金融業(yè)從業(yè)機構(gòu)不得留存非本機構(gòu)的用戶鑒別信息（C3類）。

04? 信息使用

信息展示：處于未登錄狀態(tài)時，不應(yīng)展示與個人金融信息主體相關(guān)的C3類別信息；處于已登陸狀態(tài)時，除銀行卡有效期外的C3類別信息不應(yīng)明文展示。

共享和轉(zhuǎn)讓：C2類別中的支付賬號及其等效信息在共享、轉(zhuǎn)讓時應(yīng)當進行脫敏處理；C3類別信息及C2類別中的用戶鑒別輔助信息不應(yīng)共享、轉(zhuǎn)讓。

公開披露：C3類別信息及C2類別中的用戶鑒別輔助信息不應(yīng)公開披露；人生物識別信息，包括C3類別信息中的用于用戶鑒別的個人生物識別信息，一律不得公開披露。

委托處理：C3類別及C2類別中的用戶鑒別輔助信息，不應(yīng)委托給第三方機構(gòu)進行處理；對委托行為，需要確保受委托者具備足夠的數(shù)據(jù)安全能力，且提供了足夠的安全保護措施。

加工處理：可參照等保及相關(guān)標準，對個人金融信息的特殊保護應(yīng)建立相關(guān)規(guī)范和機制，并能夠?qū)€人金融信息加工處理操作記錄，對個人金融信息濫用行為進行有效的識別、監(jiān)控和預(yù)警。

匯聚融合：匯聚融合的數(shù)據(jù)不能超出在信息收集時對主體所聲明的使用范圍；開展個人金融信息安全影響評估，并采取有效的技術(shù)保護措施。

開發(fā)測試：開發(fā)環(huán)境、測試環(huán)境不應(yīng)使用真實的個人金融信息，如果測試需要應(yīng)進行脫敏，可使用數(shù)據(jù)脫敏軟件或編寫脫敏規(guī)則進行脫敏。

05? 刪除與銷毀

1）個人金融信息刪除與銷毀的區(qū)別，區(qū)分刪除與銷毀的關(guān)鍵即在于個人金融信息能否被恢復(fù)。

2）金融機構(gòu)在委托第三方處理個人金融信息時，在委托關(guān)系解除后，金融機構(gòu)應(yīng)當要求受托方銷毀所處理的個人金融信息。

四、安全運行技術(shù)要求重點內(nèi)容

網(wǎng)絡(luò)安全要求：承載與處理個人金融信息的信息系統(tǒng)應(yīng)滿足國家等級保護及金融行業(yè)等級保護的基本要求，并且存儲個人金融信息的數(shù)據(jù)庫應(yīng)處于金融業(yè)機構(gòu)可控網(wǎng)絡(luò)內(nèi)，設(shè)置有效的訪問控制措施。

WEB應(yīng)用和客戶端軟件安全要求：涉及C2、C3類別信息的Web應(yīng)用應(yīng)具有防篡改和防web攻擊的措施，并具備對處理個人金融信息的系統(tǒng)組件進行實時監(jiān)測的能力；要求處理個人金融信息相關(guān)的 Web 應(yīng)用系統(tǒng)與組件上線前應(yīng)進行安全評估。

五、安全管理要求重點內(nèi)容

《規(guī)范》的安全管理要求共5大類10個子類，從安全準則、安全策略、訪問控制、安全監(jiān)控和風(fēng)險評估、安全事件處置五方面進行了安全管理要求。重點包括對個人金融信息收集、存儲、使用的安全管理要求，對個人金融信息安全管理的制度、組織、人員、訪問控制、安全事件的安全管理要求。除相對傳統(tǒng)的安全管理外，比較特殊的管理準則包括：

01? 收集

1)? 收集渠道：柜面、信息系統(tǒng)、金融自助設(shè)備、受理終端、客戶端應(yīng) 用軟件等渠道。

2)? 向個人金融信息主體明示收集與使用個人金融信息的目的、方式、范圍和規(guī)則等，獲得個人金融信息主體的授權(quán)同意。

02? 存儲

1)? 滿足國家法律法規(guī)與行業(yè)主管部門有關(guān)規(guī)定要求。

2)? 并符合個人金融信息主體授權(quán)使用的目的所必需的最短時間要求。

3)? 超過期限后，應(yīng)對收集的個人金融信息進行刪除或匿名化處理。

03? 使用

1)? 原則上不應(yīng)共享、轉(zhuǎn)讓、公開披露其收集的個人金融信息。

2)? C3類別信息以及 C2類別信息中的用戶鑒別輔助信息不應(yīng)共享、轉(zhuǎn)讓、公開披露。

3）境內(nèi)收集的個人金融信息應(yīng)在境內(nèi)存儲、處理和分析。

六、安恒信息解決方案