行業標準《個人金融信息保護技術規範》由全國金融標準化技術委員會歸口上報,主管部門為中國人民銀行。於2020年2月13日發布,標準號:JR/T 0171—2020。自2020年2月13日實施。
2021年,2020年中國網路安全大事評選揭曉。
基本介紹
- 中文名:個人金融信息保護技術規範
- 外文名:Personal financial information protection technical specification
- 頒布時間:2020年2月13日
- 實施時間:2020年2月13日
- 發布單位:中國人民銀行
- 主管單位:中國人民銀行
- 標準狀態:現行
- 標準號:JR/T 0171—2020
主要內容,標準信息,標準全文,社會影響,
主要內容
2020年2月13日,中國人民銀行正式發布新修訂的金融行業標準《個人金融信息保護技術規範》(JR/T 0171—2020)。新版《個人金融信息保護技術規範》規定了個人金融信息在收集、傳輸、存儲、使用、刪付嚷臭拳除、銷毀等生命周期各環節的安全防護要求,從安全技術和安全管理兩個方面,對個人金融信息保護提出了規範性要求。
標準信息
標準號:JR/T 0171—2020
標準性質:推薦性行業標準
金融分類:信息安全
中文標準名稱:個人金融信息保護技術規範
英文標準名稱:Personal financial information protection technical specification
標準狀態:現行
本標準按照GB/T1.1-2009給出的規則起草。
本標準由中國人民銀行提出。
本標準由全國金融標準化技術委員會(SC/TC180)歸口。
標準全文
中華人民共和國金融行業標準
JR/T 0171—2020
個人金融信息保護技術規範
Personal financial information protection technical specification
2020 - 02 - 13 發布 2020 - 02 - 13 實施
中國人民銀行 發布
目錄
- 前言
- 引言
- 範圍
- 規範性引用檔案
- 術語和定義
- 個人金融信息概述
- 安全基本原則
- 安全技術要求
- 安全管理要求.
- 附錄 A(資料性附錄) 信息禁止
- 參考文獻
前言
本標準按照GB/T 1.1—2009給出的規則起草。
本標準由中國人民銀行提出。
本標準由全國金融標準化技術委員會(SAC/TC 180)歸口。
本標準起草單位:中凳船跨國人民銀行科技司、中國人民銀行鄭州中心支行、北京銀聯金卡科技有限公司、中國銀行股份有限公司、中國銀聯股份有限公司、網聯清算有限公司、浙江螞蟻小微金融服務集團股份有限公司、拉卡拉支付股份有限公司、中國金融電子化公司、中國人民銀行武漢分行、中國工商銀行股份有限公司、中國農業銀行股份有限公司、中國建設銀行股份有限公司、中國平安保險(集團)股份有限公司、北京中金國盛認證有限公司、北京軟體產霸棕霸定品質量檢測檢驗中心、中金金融認證中心有限公司、信息產業信息安全測評中心、華泰證券股份有限公司、中國人民保險集團股份有限公司、財付通支付科技有限公司、中國支付清算協會、中國網際網路金融協會、建信金融科技有限責任公司。
本標準主要起草人:李偉、李興鋒、張宏基、關曉輝、劉雨露、湯沁、郭琳諍、趙戰勇、熊繼承、渠韶光、孟飛宇、高強裔、陳聰、居崑、陳雪秀、公麗麗、徐艷姣、牛小偉、王歡、展昭、強群力、郭林、楊萌、陳俊、李意、馮堅堅、唐凌、黃本濤、魏猛、劉瓊瑤、請嬸頁趙旭、孫垚、周利華、母延燕、王家煒、張揚、蔡嘉勇、劉洋、孫鵬亮、聶麗琴、劉力慷、牛躍華、陳偉、王秀君、任鳳麗、謝宗曉、董亞南、張旭剛、劉健、董晶晶、張嵩、於曉雪、吳永強、陸家有、石竹君、於沛、侯曉晨、田然、王澤航、何偉明、梁偉韜。
引言
個人金融信息是個人信息在金融領域圍繞賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息等方面的擴展與細化,是金融業機構在提供金融產品和服務的過程中積累的重要基礎數據,也是個人隱私的重要內容。個人金融信息一旦泄露,不但會直接侵害個人金融信息主體的合法權益、影響金融業機構的正常運營,甚至可能會帶來系統性金融風險。為加強個人金融信息安全管理,指導各相關機構規範處理個人金融信息,最大程度保障個人金融信息主體合法權益,維護金融市場穩定,編制本標準。
1 範圍
本標準規定了個人金融信息在收集、傳輸、存儲、使用、嘗棕拳刪除、銷毀等生命周期各環節的安全防護要求,從安全技術和安全管理兩個方面,對個人金融信息保護提出了規範性要求。
本標準適旋船用於提供金融產品和服務的金融業機構,並為安全評估機構開展安全檢查與評估工作提供參考。
2 規範性引用檔案
下列檔案對於本檔案的套用是必不可少的。凡是注日期的引用檔案,僅注日期的版本適用於本檔案。凡是不注日期的引用檔案,其最新版本(包括所有的修改單)適用於本檔案。
GB/T 22239—2019 信息安全技術 網路安全等級保護基本要求
GB/T 25069—2010 信息安全技術 術語
GB/T 31186.2—2014 銀行客戶基本信息描述規範 第2部分:愉連才名稱
GB/T 31186.3—2014 銀行客戶基本信息描述規範 第3部分:識別標識
GB/T 35273—2017 信息安全技術 個人信息安全規範
JR/T 0068—2020 網上銀行系統信息安全通用規範
JR/T 0071 金融行業信息系統信息安全等級保護實施指引
JR/T 0092—2019 移動金融客戶端套用軟體安全管理規範
JR/T 0149—2016 中國金融移動支付 支付標記化技術規範
JR/T 0167—2018 雲計算技術金融套用規範 安全技術要求
3 術語和定義
GB/T 25069—2010、GB/T 35273—2017界定的以及下列術語和定義適用於本檔案。
3.1 金融業機構 financial industry institutions
本標準中的金融業機構是指由國家金融管理部門監督管理的持牌金融機構,以及涉及個人金融信息處理的相關機構。
3.2 個人金融信息 personal financial information
金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息。
注 1:本標準中的個人金融信息包括賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息。
注 2:改寫 GB/T 35273—2017,定義 3.1。
3.3 支付敏感信息 payment sensitive information
支付信息中涉及支付主體隱私和身份識別的重要信息。
註:支付敏感信息包括但不限於銀行卡磁軌數據或晶片等效信息、卡片驗證碼、卡片有效期、銀行卡密碼、網路支付交易密碼等用於支付鑒權的個人金融信息。
3.4 個人金融信息主體 personal financial information subject
個人金融信息所標識的自然人。
註:改寫GB/T 35273—2017,定義3.3。
3.5 個人金融信息控制者 personal financial information controller
有權決定個人金融信息處理目的、方式等的機構。
註:改寫GB/T 35273—2017,定義3.4。
3.6 收集 collect
獲得個人金融信息的控制權的行為。
注 1:收集行為包括由個人金融信息主體主動提供、通過與個人金融信息主體互動或記錄個人金融信息主體行為等自動採集行為,以及通過共享、轉讓、蒐集公開信息等間接獲取個人金融信息等行為。
注 2:如金融產品或服務提供者提供工具供個人金融信息主體使用,提供者不對個人金融信息進行訪問的,則不屬於本標準所稱的收集。例如手機銀行客戶端套用軟體在終端獲取用戶指紋特徵信息用於本地鑒權後,指紋特徵信息不回傳至提供者,則不屬於用戶指紋特徵信息的收集行為。
注 3:改寫 GB/T 35273—2017,定義 3.5。
3.7 公開披露 public disclosure
向社會或不特定群體發布信息的行為。[GB/T 35273—2017,定義3.10]
3.8 轉讓 transfer of control
將個人金融信息控制權由一個控制者向另一個控制者轉移的過程。
註:改寫GB/T 35273—2017,定義3.11。
3.9 共享 sharing
個人金融信息控制者向其他控制者提供個人金融信息,且雙方分別對個人金融信息擁有獨立控制權的過程。
註:改寫GB/T 35273—2017,定義3.12。
3.10 個人金融信息安全影響評估 personal financial information security impact assessment
針對個人金融信息處理活動,檢驗其合法合規程度,判斷其對個人金融信息主體合法權益造成損害的各種風險,以及評估用於保護個人金融信息主體的各項措施有效性的過程。
註:改寫GB/T 35273—2017,定義3.8。
3.11 支付賬號 payment account
具有金融交易功能的銀行賬戶、非銀行支付機構支付賬戶及銀行卡卡號。
註:改寫JR/T 0149—2016,定義3.1。
3.12 支付標記 payment token(Token)
作為支付賬號等原始交易要素的替代值,用於完成特定場景支付交易。[JR/T 0149—2016,定義3.2]
3.13 磁軌數據 track data
一磁、二磁和三磁定義的必備或可選的數據元。
註:磁軌數據可以在物理卡的磁條上,也可以被包含在積體電路或者其他媒介上。[JR/T 0061—2011,定義3.20]
3.14 卡片驗證碼 card verification number;CVN
對磁條信息合法性進行驗證的代碼。[JR/T 0061—2011,定義8.7]
3.15 卡片驗證碼 2 card verification number 2;CVN2
在郵購或電話訂購等非面對面交易中對銀行卡卡片合法性進行驗證的代碼。[JR/T 0061—2011,定義8.8]
3.16 動態口令 one-time-password (OTP), dynamic password
基於時間、事件等方式動態生成的一次性口令。[GM/Z 0001—2013,定義2.15]
3.17 簡訊動態密碼 SMS dynamic code
簡訊驗證碼 SMS code後台系統以手機簡訊形式傳送到用戶綁定手機上的隨機數,用戶通過回復該隨機數進行身份認證。[JR/T 0088.1—2012,定義2.44]JR/T 0171—20204
3.18 客戶法定名稱 customer’s legal name
在法律上認可的客戶名稱。
注 1:客戶法定名稱一般記錄在國家授權部門頒發給客戶的證件上,本標準客戶主要指自然人客戶。
注 2:改寫 GB/T 31186.2—2014,定義 3.2。
3.19 證件類識別標識 legal discriminating ID
由國家法定有權部門頒發,能夠唯一確定客戶的且具有法律效力的標識。
注 1:證件類識別標識是外源性數據。外源性數據意味著數據的使用者不是數據的所有者,數據在產生、變更、廢止後可能不為數據的使用者所知悉。
注 2:本標準的使用者因本身業務需求而產生的內部證件類標識,不應在使用者外部使用,也不具有法律效力。
注 3:改寫 GB/T 31186.3—2014,定義 3.2。
3.20 未經授權的查看 unauthorized reading
未得到信息的所有者或有權授權人授權對信息的查看。
注 1:未經授權的查看可能是善意的,也可能是惡意的;信息處理者無意泄露的未經授權的查看為信息泄露事件;攻擊者通過使相關安全措施無效的措施有意獲取的未經授權的查看為信息竊取事件。
注 2:非法查看是對未經授權的查看的一種不嚴謹但在特定的語境下並無二義性的提法。
3.21 未經授權的變更 unauthorized altering
未得到信息的所有者或有權授權人授權對信息的變更。
注 1:未經授權的變更典型地分為未經授權的增加(即增加全新的內容)、未經授權的更改(即修改現有的內容)或未經授權的刪除(即刪除原有的內容)三種情況,也可能是三種情況的組合。
注 2:未經授權的變更可能是善意的,也可能是惡意的;往往表現為信息篡改事件、信息假冒事件、信息丟失事件等。
注 3:非法變更是對未經授權的變更的一種不嚴謹但在特定的語境下並無二義性的提法。
3.22 明示同意 explicit consent
個人金融信息主體通過書面聲明或主動作出肯定性動作,對其個人金融信息進行特定處理作出明確授權的行為。
注 1:肯定性動作包括個人金融信息主體主動作出聲明(電子或紙質形式)、主動勾選、主動點擊“同意”“註冊”“傳送”“撥打”、主動填寫或提供等。
注 2:改寫 GB/T 35273—2017,定義 3.6。
3.23 匿名化 anonymization
通過對個人金融信息的技術處理,使得個人金融信息主體無法被識別,且處理後的信息不能被復原的過程。
注 1:個人金融信息經匿名化處理後所得的信息不屬於個人金融信息。
注 2:改寫 GB/T 35273—2017,定義 3.13。
3.24 去標識化 de-identification
通過對個人金融信息的技術處理,使其在不藉助額外信息的情況下,無法識別個人金融信息主體的過程。
注 1:去標識化仍建立在個體基礎之上,保留了個體顆粒度,採用假名、加密、加鹽的哈希函式等技術手段替代對個人金融信息的標識。
注 2:改寫 GB/T 35273—2017,定義 3.14。
3.25 刪除 delete
在金融產品和服務所涉及的系統中去除個人金融信息的行為,使其保持不可被檢索、訪問的狀態。註:改寫GB/T 35273—2017,定義3.9。
4 個人金融信息概述
4.1 個人金融信息內容
個人金融信息包括賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息,具體如下:
(a) 賬戶信息指賬戶及賬戶相關信息,包括但不限於支付賬號、銀行卡磁軌數據(或晶片等效信息)、銀行卡有效期、證券賬戶、保險賬戶、賬戶開立時間、開戶機構、賬戶餘額以及基於上述信息產生的支付標記信息等。
(b) 鑑別信息指用於驗證主體是否具有訪問或使用許可權的信息,包括但不限於銀行卡密碼、預付卡支付密碼;個人金融信息主體登錄密碼、賬戶查詢密碼、交易密碼;卡片驗證碼(CVN 和 CVN2)、動態口令、簡訊驗證碼、密碼提示問題答案等。
(c) 金融交易信息指個人金融信息主體在交易過程中產生的各類信息,包括但不限於交易金額、支付記錄、透支記錄、交易日誌、交易憑證;證券委託、成交、持倉信息;保單信息、理賠信息等。
(d) 個人身份信息指個人基本信息、個人生物識別信息等:
個人基本信息包括但不限於客戶法定名稱、性別、國籍、民族、職業、婚姻狀況、家庭狀況、收入情況、身份證和護照等證件類信息、手機號碼、固定電話號碼、電子信箱、工作及家庭地址,以及在提供產品和服務過程中收集的照片、音視頻等信息;
個人生物識別信息包括但不限於指紋、人臉、虹膜、耳紋、掌紋、靜脈、聲紋、眼紋、步態、筆跡等生物特徵樣本數據、特徵值與模板。
(e) 財產信息指金融業機構在提供金融產品和服務過程中,收集或生成的個人金融信息主體財產信息,包括但不限於個人收入狀況、擁有的不動產狀況、擁有的車輛狀況、納稅額、公積金存繳金額等。
(f) 借貸信息指個人金融信息主體在金融業機構發生借貸業務產生的信息,包括但不限於授信、信用卡和貸款的發放及還款、擔保情況等。
(g) 其他信息:
對原始數據進行處理、分析形成的,能夠反映特定個人某些情況的信息,包括但不限於特定個人金融信息主體的消費意願、支付習慣和其他衍生信息;
在提供金融產品與服務過程中獲取、保存的其他個人信息。
4.2 個人金融信息類別
根據信息遭到未經授權的查看或未經授權的變更後所產生的影響和危害,將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別。具體如下:
(a) C3 類別信息主要為用戶鑑別信息。該類信息一旦遭到未經授權的查看或未經授權的變更,會對個人金融信息主體的信息安全與財產安全造成嚴重危害,包括但不限於:
銀行卡磁軌數據(或晶片等效信息)、卡片驗證碼(CVN 和 CVN2)、卡片有效期、銀行卡密碼、網路支付交易密碼;
賬戶(包括但不限於支付賬號、證券賬戶、保險賬戶)登錄密碼、交易密碼、查詢密碼;
用於用戶鑑別的個人生物識別信息。
(b) C2 類別信息主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息,以及用於金融產品與服務的關鍵信息。該類信息一旦遭到未經授權的查看或未經授權的變更,會對個人金融信息主體的信息安全與財產安全造成一定危害,包括但不限於:
支付賬號及其等效信息,如支付賬號、證件類識別標識與證件信息(身份證、護照等)、手機號碼。
賬戶(包括但不限於支付賬號、證券賬戶、保險賬戶)登錄的用戶名。
用戶鑑別輔助信息,如動態口令、簡訊驗證碼、密碼提示問題答案、動態聲紋密碼;若用戶鑑別輔助信息與賬號結合使用可直接完成用戶鑑別,則屬於 C3 類別信息。
直接反映個人金融信息主體金融狀況的信息,如個人財產信息(包括網路支付賬號餘額)、借貸信息。
用於金融產品與服務的關鍵信息,如交易信息(如交易指令、交易流水、證券委託、保險理賠)等。
用於履行了解你的客戶(KYC)要求,以及按行業主管部門存證、保全等需要,在提供產品和服務過程中收集的個人金融信息主體照片、音視頻等影像信息。
其他能夠識別出特定主體的信息,如家庭地址等。
(c) C1 類別信息主要為機構內部的信息資產,主要指供金融業機構內部使用的個人金融信息。該類信息一旦遭到未經授權的查看或未經授權的變更,可能會對個人金融信息主體的信息安全與財產安全造成一定影響,包括但不限於:
賬戶開立時間、開戶機構;
基於賬戶信息產生的支付標記信息;
C2 和 C3 類別信息中未包含的其他個人金融信息。
個人金融信息主體因業務需要(如貸款)主動提供的有關家庭成員信息(如身份證號碼、手機號碼、財產信息等),應依據C3、C2、C1敏感程度類別進行分類,並實施針對性的保護措施。
兩種或兩種以上的低敏感程度類別信息經過組合、關聯和分析後可能產生高敏感程度的信息。同一信息在不同的服務場景中可能處於不同的類別,應依據服務場景以及該信息在其中的作用對信息的類別進行識別,並實施針對性的保護措施。
4.3 個人金融信息生命周期
個人金融信息生命周期指對個人金融信息進行收集、傳輸、存儲、使用、刪除、銷毀等處理的整個過程,各環節描述如下:JR/T 0171—20207
(a) 收集:對個人金融信息主體各類信息進行獲取和記錄的過程。
(b) 傳輸:個人金融信息在終端設備、信息系統內或信息系統間傳遞的過程。
(c) 存儲:個人金融信息在終端設備、信息系統內保存的過程。
(d) 使用:對個人金融信息進行展示、共享和轉讓、公開披露、委託處理、加工處理等操作的過程。
(e) 刪除:使個人金融信息不可被檢索、訪問的過程。
(f) 銷毀:對個人金融信息進行清除,使其不可恢復的過程。
5 安全基本原則
金融業機構應遵循 GB/T 35273—2017 的要求,以“權責一致、目的明確、選擇同意、最少夠用、公開透明、確保全全、主體參與”的原則,設計並實施覆蓋個人金融信息全生命周期的安全保護策略。
6 安全技術要求
6.1 生命周期技術要求
6.1.1 收集
應根據信息類別確定個人金融信息收集方案。具體技術要求如下:
(a) 不應委託或授權無金融業相關資質的機構收集 C3、C2 類別信息。
(b) 應確保收集信息來源的可追溯性。
(c) 應採取技術措施(如彈窗、明顯位置 URL 連結等),引導個人金融信息主體查閱隱私政策,並獲得其明示同意後,開展有關個人金融信息的收集活動。
(d) 對於 C3 類別信息,通過受理終端、客戶端套用軟體、瀏覽器等方式收集時,應使用加密等技術措施保證數據的保密性,防止其被未授權的第三方獲取。
(e) 通過受理終端、客戶端套用軟體與瀏覽器等方式引導用戶輸入(或設定)銀行卡密碼、網路支付密碼時,應採取展示禁止等措施防止密碼明文顯示,其他密碼類信息宜採取展示禁止措施。
(f) 在網路支付業務系統中,應採取具有信息輸入安全防護、即時數據加密功能的安全控制項對支付敏感信息的輸入進行安全保護,並採取有效措施防止合作機構獲取、留存支付敏感信息。
(g) 在停止提供金融產品或服務時,應及時停止繼續收集個人金融信息的活動。
6.1.2 傳輸
個人金融信息傳輸過程的參與方應保證信息在傳輸過程中的保密性、完整性和可用性,具體技術要求如下:
(a) 應建立相應的個人金融信息傳輸安全策略和規程,採用滿足個人金融信息傳輸安全策略的安全控制措施,如安全通道、數據加密等技術措施。
(b) 傳輸個人金融信息前,通信雙方應通過有效技術手段進行身份鑑別和認證。
(c) 通過公共網路傳輸時,C2、C3 類別信息應使用加密通道或數據加密的方式進行傳輸,保障個人金融信息傳輸過程的安全;對於 C3 類別中的支付敏感信息,其安全傳輸技術控制措施應符合有關行業技術標準與行業主管部門有關規定要求。
(d) 應根據個人金融信息的不同類別,採用技術手段保證個人金融信息的安全傳輸;低敏感程度類別的個人金融信息因參與身份鑑別等關鍵活動導致敏感程度上升的(如,經組合後構成交易授權完整要素的情況),應提升相應的安全傳輸保障手段。
(e) 個人金融信息傳輸的接收方應對接收的信息進行完整性校驗。
(f) 應建立有效機制對個人金融信息傳輸安全策略進行審核、監控和最佳化,包括對通道安全配置、密碼算法配置、密鑰管理等保護措施的管理和監控。
(g) 應採取有效措施(如個人金融信息傳輸鏈路冗餘)保證數據傳輸可靠性和網路傳輸服務可用性。
6.1.3 存儲
個人金融信息存儲的具體技術要求如下:
(a) 不應留存非本機構的銀行卡磁軌數據(或晶片等效信息)、銀行卡有效期、卡片驗證碼(CVN和 CVN2)、銀行卡密碼、網路支付密碼等 C3 類別信息。若確有必要留存的,應取得個人金融信息主體及賬戶管理機構的授權。
(b) 應根據個人金融信息的不同類別,採用技術手段保證個人金融信息的存儲安全;低敏感程度類別的個人金融信息因參與身份鑑別等關鍵活動導致敏感程度上升的(如,經組合後構成交易授權完整要素的情況),應提升相應的安全存儲保障手段。
(c) C3 類別個人金融信息應採用加密措施確保數據存儲的保密性。
(d) 受理終端、個人終端及客戶端套用軟體均不應存儲銀行卡磁軌數據(或晶片等效信息)、銀行卡有效期、卡片驗證碼(CVN 和 CVN2)、銀行卡密碼、網路支付密碼等支付敏感信息及個人生物識別信息的樣本數據、模板,僅可保存完成當前交易所必需的基本信息要素,並在完成交易後及時予以清除。
(e) 採取必要的技術和管控措施保證個人金融信息存儲轉移過程中的安全性。
(f) 應將去標識化、匿名化後的數據與可用於恢復識別個人的信息採取邏輯隔離的方式進行存儲,確保去標識化、匿名化後的信息與個人金融信息不被混用。
(g) 在停止運營時,應依據國家法律法規與行業主管部門有關規定要求,對所存儲的個人金融信息進行妥善處置,或移交國家與行業主管部門指定的機構繼續保存。
6.1.4 使用
6.1.4.1 信息展示
提供業務辦理與查詢等功能的套用軟體,對個人金融信息展示具體技術要求如下:
(a) 依據國家法律法規與行業主管部門有關規定要求,對通過計算機螢幕、客戶端套用軟體、銀行卡受理設備、自助終端設備、紙面(如受理終端列印出的交易憑條等交易憑證)等界面展示的個人金融信息應採取信息禁止(或截詞)等處理措施,降低個人金融信息在展示環節的泄露風險。
注 1:關於信息禁止(或截詞)的使用方式,參見附錄 A。
注 2:金融業機構櫃面列印的憑證依據有關規範執行。
(b) 處於未登錄狀態時,不應展示與個人金融信息主體相關的 C3 類別信息。
(c) 處於已登錄狀態時,個人金融信息展示的技術要求如下:
除銀行卡有效期外,C3 類別信息不應明文展示。
對於銀行卡號、手機號碼、證件類識別標識或其他識別標識信息等可以直接或組合後確定個人金融信息主體的信息應進行禁止展示,或由用戶選擇是否禁止展示,如需完整展示,應進行用戶身份驗證,並做好此類信息管理,防範此類信息泄露風險。
涉及其他個人金融信息主體的信息時,除以下情況外,宜進行禁止展示:
——其他方主動發起的活動包含的信息,此種情況需展示必要的信息以供活動接收方對活動內容進行確認,例如:其他方發起的交易、其他方發起的收付款、保險保費代收。
——與其他方已建立信任關係(間接授權),此時需活動發起方確認發起活動的必要信息JR/T 0171—20209的正確性(或活動發起方需接收活動結果信息,並確認活動已正確完成),例如:向其他方收款,其他方已付款;向其他方申請代付,其他方同意付款或者其他方在自己業務套用範圍內的聯繫人。
——其他法律法規要求的情況。
套用軟體的後台管理與業務支撐系統,對個人金融信息展示具體技術要求如下:
(a) 除銀行卡有效期外,C3 類別信息不應明文展示。
(b) 應採取技術措施防範個人金融信息在展示過程中泄露或被未經授權的拷貝。
(c) 後台系統對支付賬號、客戶法定名稱、支付預留手機號碼、證件類或其他類識別標識信息等展示宜進行禁止處理,如需完整展示,應做好此類信息管理,採取有效措施防範未經授權的拷貝。
(d) 後台系統不應具備開放式查詢能力,應嚴格限制批量查詢。
(e) 對於確有明文查看需要的業務場景可以保留明文查看許可權,後台系統應對所有查詢操作進行細粒度的授權與行為審計。
應防止通過散列碰撞等方法推導出完整的數據,若使用“截詞”的方式進行部分欄位的禁止處理,不套用散列代替欄位被截詞的部分。
6.1.4.2 共享和轉讓
個人金融信息在共享和轉讓的過程中,應充分重視信息轉移或交換過程中的安全風險,具體技術要求如下:
(a) 在共享和轉讓前,應開展個人金融信息安全影響評估,並依據評估結果採取有效措施保護個人金融信息主體權益。
(b) 在共享和轉讓前,應開展個人金融信息接收方信息安全保障能力評估,並與其簽署數據保護責任承諾。
(c) 支付賬號及其等效信息在共享和轉讓時,除法律法規和行業主管部門另有規定外,應使用支付標記化(按照 JR/T 0149—2016)技術進行脫敏處理(因業務需要無法使用支付標記化技術時,應進行加密),防範信息泄露風險。
(d) 應部署信息防泄露監控工具,監控及報告個人金融信息的違規外發行為。
(e) 應部署流量監控技術措施,對共享、轉讓的信息進行監控和審計。
(f) 應根據“業務需要”和“最小許可權”原則,對個人金融信息的導出操作進行細粒度的訪問控制與全過程審計,應採取兩種或兩種以上鑑別技術對導出信息操作人員進行身份鑑別。
(g) 應定期檢查或評估信息導出通道的安全性和可靠性。
(h) 使用外部嵌入或接入的自動化工具(如代碼、腳本、接口、算法模型、軟體開發工具包等)進行信息共享與轉讓時,應定期檢查或評估信息共享工具、服務組件和共享通道的安全性和可靠性,並留存檢查或評估結果記錄。
(i) 應執行嚴格的審核程式,並準確記錄和保存個人金融信息共享和轉讓情況。記錄內容應包括但不限於日期、規模、目的、範圍,以及數據接收方基本情況與使用意圖等,並應確保對共享和轉讓的信息及其過程可被追溯。
(j) 應採取有效技術防護措施,防範信息轉移過程中被除信息傳送方與接收方之外的其他個人、組織和機構截獲和利用。
6.1.4.3 公開披露
個人金融信息原則上不得公開披露。金融業機構經法律授權或具備合理事由確需公開披露時,具體技術要求如下:
(a) 應事先開展個人金融信息安全影響評估,並依據評估結果採取有效的保護個人金融信息主體權益的措施。
(b) 不應公開披露個人生物識別信息。
(c) 應準確記錄和保存個人金融信息的公開披露情況,包括公開披露的日期、規模、目的、內容、公開範圍等。
6.1.4.4 委託處理
金融業機構因金融產品或服務的需要,將收集的個人金融信息委託給第三方機構(包含外包服務機構與外部合作機構)處理時,具體技術要求如下:
(a) 委託行為不應超出已徵得個人金融信息主體授權同意的範圍或遵循 7.1 中對於徵得授權同意的例外所規定的情形,並準確記錄和保存委託處理個人金融信息的情況。
(b) C3 以及 C2 類別信息中的用戶鑑別輔助信息,不應委託給第三方機構進行處理。轉接清算、登記結算等情況,應依據國家有關法律法規及行業主管部門有關規定與技術標準執行。
(c) 對委託處理的信息應採用去標識化(不應僅使用加密技術)等方式進行脫敏處理,降低個人金融信息被泄露、誤用、濫用的風險。
(d) 應對委託行為進行個人金融信息安全影響評估,並確保受委託者具備足夠的數據安全能力,且提供了足夠的安全保護措施。
(e) 應對第三方機構等受委託者進行監督,方式包括但不限於:
依據 7.2.1 的要求,通過契約等方式規定受委託者的責任和義務;
依據 7.4.2 的要求,對受委託者進行安全檢查和評估。
(f) 應對外部嵌入或接入的自動化工具(如代碼、腳本、接口、算法模型、軟體開發工具包等)開展技術檢測,確保其個人金融信息收集、使用行為符契約定要求;並對其收集個人金融信息的行為進行審計,發現超出約定行為及時切斷接入。
6.1.4.5 加工處理個人金融信息在加工處理的過程中,具體技術要求如下:
(a) 應採取必要的技術手段和管理措施,確保在個人金融信息清洗和轉換過程中對信息進行保護,對 C2、C3 類別信息,應採取更加嚴格的保護措施。
(b) 應對匿名化或去標識化處理的數據集或其他數據集匯聚後重新識別出個人金融信息主體的風險進行識別和評價,並對數據集採取相應的保護措施。
(c) 應建立個人金融信息防泄露控制規範和機制,防止個人金融信息處理過程中的調試信息、日誌記錄等因不受控制的輸出而泄露受保護的信息。
(d) 應具備信息化技術手段或機制,對個人金融信息濫用行為進行有效的識別、監控和預警。
(e) 應具備完整的個人金融信息加工處理操作記錄和管理能力,記錄內容包括但不限於日期、時間、主體、事件描述、事件結果等。
6.1.4.6 匯聚融合
個人金融信息匯聚融合的技術要求如下:
(a) 匯聚融合的數據不應超出收集時所聲明的使用範圍。因業務需要確需超範圍使用的,應再次徵得個人金融信息主體明示同意。
(b) 應根據匯聚融合後的個人金融信息類別及使用目的,開展個人金融信息安全影響評估,並採取有效的技術保護措施。
6.1.4.7 開發測試
個人金融信息在開發測試過程中的具體技術要求如下:
(a) 應對開發測試環境與生產環境進行有效隔離。
(b) 開發環境、測試環境不應使用真實的個人金融信息,應使用虛構的或經過去標識化(不應僅使用加密技術)脫敏處理的個人金融信息,賬號、卡號、協定號、支付指令等測試確需信息除外。
6.1.5 刪除
個人金融信息在刪除過程中的具體技術要求如下:
(a) 應採取技術手段,在金融產品和服務所涉及的系統中去除個人金融信息,使其保持不可被檢索和訪問。
(b) 個人金融信息主體要求刪除個人金融信息時,金融業機構應依據國家法律法規、行業主管部門有關規定以及與個人金融信息主體的約定予以回響。
6.1.6 銷毀
個人金融信息在銷毀過程中的具體技術要求如下:
(a) 應建立個人金融信息銷毀策略和管理制度,明確銷毀對象、流程、方式和要求。
(b) 應對個人金融信息存儲介質銷毀過程進行監督與控制,對待銷毀介質的登記、審批、介質交接、銷毀執行等過程進行監督。
(c) 銷毀過程應保留有關記錄,記錄至少應包括銷毀內容、銷毀方式與時間、銷毀人簽字、監督人簽字等內容。
(d) 存儲個人金融信息的介質如不再使用,應採用不可恢復的方式(如消磁、焚燒、粉碎等)對介質進行銷毀處理;存儲個人金融信息的介質如還需繼續使用,不應只採用刪除索引、刪除檔案系統的方式進行信息銷毀,應通過多次覆寫等方式安全地擦除個人金融信息,確保介質中的個人金融信息不可再被恢復或者以其他形式加以利用。
(e) 雲環境下有關數據清除應依據 JR/T 0167—2018 的 9.6 執行。
6.2 安全運行技術要求
6.2.1 網路安全要求
承載與處理個人金融信息的信息系統應符合國家網路安全相關規定與 GB/T 22239—2019、JR/T0071 的要求。存儲個人金融信息的資料庫應處於金融業機構可控網路內,並進行有效的訪問控制。
6.2.2 Web 套用安全要求
涉及C2、C3類別信息的Web套用的安全技術要求如下:
(a) 應具備對網站頁面篡改、網站頁面原始碼暴露、窮舉登錄嘗試、重放攻擊、SQL 注入、跨站腳本攻擊、釣魚、木馬以及任意檔案上傳、下載等已知漏洞的防範能力。
(b) 處理個人金融信息相關的 Web 套用系統與組件上線前應進行安全評估。
(c) 應具備對處理個人金融信息的系統組件進行實時監測的能力,有效識別和阻止來自內外部的非法訪問。
6.2.3 客戶端套用軟體安全要求
與個人金融信息相關的客戶端套用軟體及套用軟體開發工具包(SDK)應符合 JR/T 0092—2019、JR/T 0068—2020 客戶端套用軟體有關安全技術要求,並在上線前進行安全評估。
6.2.4 密碼技術與密碼產品要求
使用的密碼技術及產品應符合國家密碼管理部門與行業主管部門要求。
7 安全管理要求
7.1 安全準則
7.1.1 收集
個人金融信息收集的方式包括但不限於通過櫃面、信息系統、金融自助設備、受理終端、客戶端套用軟體等渠道獲取。金融業機構應遵循合法、正當、必要的原則,向個人金融信息主體明示收集與使用個人金融信息的目的、方式、範圍和規則等,獲得個人金融信息主體的授權同意,並滿足以下要求:
(a) 收集個人金融信息的基本規則如下:
不應欺詐、誘騙,或以默認授權、功能捆綁等方式誤導強迫個人金融信息主體提供個人金融信息;
不應隱瞞金融產品或服務所具有的收集個人金融信息的功能;
不應通過非法渠道間接獲取個人金融信息;
不應收集法律法規與行業主管部門有關規定明令禁止收集的個人金融信息。
(b) 收集個人金融信息應遵循最小化要求,收集個人金融信息的目的應與實現和最佳化金融產品或服務、防範金融產品或服務的風險有直接關聯。直接關聯是指無該個人金融信息參與無法實現前述目的。
(c) 收集個人金融信息時授權同意的具體要求如下:
收集個人金融信息前,應向個人金融信息主體明確告知金融產品或服務需收集的個人金融信息類別,以及收集、使用個人金融信息的規則(如:收集和使用個人金融信息的目的、收集方式、自身的數據安全能力、對外共享、轉讓、公開披露的規則、投訴與申訴的渠道及回響時限等),並獲得個人金融信息主體的明示同意。
間接獲取個人金融信息時,應要求個人金融信息提供方說明個人金融信息來源,並對其個人金融信息來源的合法性進行確認;應了解個人金融信息提供方已獲得的授權內容,包括使用目的,個人金融信息主體是否授權同意轉讓、共享、公開披露等情況;因業務需要金融業機構確需超出原授權範圍處理個人金融的,應在使用個人金融信息前,徵得個人金融信息主體的明示同意。
(d) 以下情形收集使用個人金融信息無需徵得個人金融信息主體的授權同意:
與履行國家法律法規及行業主管部門有關規定的義務相關的;
與國家安全、國防安全直接相關的;
與公共安全、公共衛生、重大公共利益直接相關的;
與犯罪偵查、起訴、審判和判決執行等直接相關的;
出於維護個人金融信息主體或其他主體的生命、財產等重大合法權益但又很難得到本人同意的;
個人金融信息主體自行向社會公眾公開的;
根據個人金融信息主體要求籤訂和履行契約所必需的;
從合法公開披露的信息中收集個人金融信息的,如合法的新聞報導、政府信息公開等渠道;
用於維護所提供的金融產品或服務的安全穩定運行所必需的,例如識別、處置金融產品或服務中的欺詐或被盜用等。
7.1.2 存儲
個人金融信息的存儲時限應滿足國家法律法規與行業主管部門有關規定要求,並符合個人金融信息主體授權使用的目的所必需的最短時間要求。超過該期限後,應對收集的個人金融信息進行刪除或匿名化處理。
7.1.3 使用
個人金融信息在信息展示、共享與轉讓、公開披露、委託處理、加工處理、匯聚融合等方面,應遵循6.1.4.1—6.1.4.6的要求,並滿足以下要求:
(a) 除法律法規與行業主管部門另有規定或開展金融業務所必需的數據共享與轉讓(如轉接清算等)外,金融業機構原則上不應共享、轉讓其收集的個人金融信息,確需共享、轉讓的,應充分重視信息安全風險,具體要求如下:
應向個人金融信息主體告知共享、轉讓個人金融信息的目的、數據接收方的類型,並事先徵得個人金融信息主體明示同意,共享、轉讓經去標識化處理(不應僅使用加密技術)的個人金融信息,且確保數據接收方無法重新識別個人金融信息主體的除外。
應幫助個人金融信息主體了解數據接收方對個人金融信息的存儲、使用等情況,包括個人金融信息主體的權利,例如訪問、更正、刪除、註銷賬戶等;在法律法規規定、行業主管部門有關規定及個人金融信息主體約定的範圍內,個人金融信息主體行使其個人金融信息控制權利,金融業機構應配合回響其請求。
C3 類別信息以及 C2 類別信息中的用戶鑑別輔助信息不應共享、轉讓。
轉接清算、登記結算等情況,應依據國家有關法律法規與行業主管部門有關規定與技術標準執行。
當因收購、兼併、重組、破產等情況,對個人金融信息主體提供金融產品或服務的金融業機構主體變更而發生個人金融信息共享、轉讓時,具體要求如下:
——金融業機構將其提供的金融產品或服務移交至其他金融業機構的情況,應使用逐一傳達(或公告)的方式通知個人金融信息主體。
——承接其金融產品或服務的金融業機構,應對其承接運營的金融產品或服務繼續履行個人金融信息保護責任;如變更其在收購、兼併重組過程中獲取的個人金融信息使用目的,應重新獲得個人金融信息主體明示同意(或授權)。
(b) 金融業機構原則上不應公開披露其收集的個人金融信息,經法律授權或具備合理理由確需公開披露個人金融信息的,具體要求如下:
應向個人金融信息主體告知公開披露個人金融信息的目的、類別,並事先徵得個人金融信息主體的同意,並向其告知涉及的信息內容;
承擔因公開披露個人金融信息對個人金融信息主體合法權益造成損害的相應責任;
C3 類別信息,以及 C2 類別信息中的用戶鑑別輔助信息不應公開披露。
(c) 因金融產品或服務的需要,將收集的個人金融信息委託給第三方機構(包含外包服務機構與外部合作機構)處理的,具體要求如下:
依據 6.1.4.4 開展委託處理工作。
應對第三方機構等受委託者提出如下要求:
——應嚴格按照金融業機構的要求處理個人金融信息,如因特殊原因受委託者未能按照要求處理個人金融信息,應及時告知金融業機構,並配合金融業機構進行信息安全評估,並採取補救措施以保護個人金融信息的安全,必要時應終止其對個人金融信息的處理;
——未經書面授權,受委託者不應將其處理的個人金融信息再次委託給其他機構進行處理;
——應協助回響個人金融信息主體的請求;
——如受委託者在處理個人金融信息過程中無法提供足夠的信息安全保護水平或發生安全事件,應及時告知金融業機構,配合進行信息安全評估與安全事件調查,並採取補救措施以保護個人金融信息的安全,必要時應終止其對個人金融信息的處理;
——在委託關係解除時(或外包服務終止後),受委託者應按照金融業機構的要求銷毀其處理的個人金融信息,並依據雙方協商的期限承擔後續的個人金融信息保密責任;
——應準確記錄和保存委託處理個人金融信息的情況。
(d) 在中華人民共和國境內提供金融產品或服務過程中收集和產生的個人金融信息,應在境記憶體儲、處理和分析。因業務需要,確需向境外機構(含總公司、母公司或分公司、子公司及其他為完成該業務所必需的關在線上構)提供個人金融信息的,具體要求如下:
應符合國家法律法規及行業主管部門有關規定;
應獲得個人金融信息主體明示同意;
應依據國家、行業有關部門制定的辦法與標準開展個人金融信息出境安全評估,確保境外機構數據安全保護能力達到國家、行業有關部門與金融業機構的安全要求;
應與境外機構通過簽訂協定、現場核查等方式,明確並監督境外機構有效履行個人金融信息保密、數據刪除、案件協查等職責義務。
(e) 以下情形中,金融業機構共享、轉讓、公開披露個人金融信息無需徵得個人金融信息主體的授權同意:
與履行法律法規及行業主管部門規定的義務相關的;
與國家安全、國防安全直接相關的;
與公共安全、公共衛生、重大公共利益直接相關的;
與犯罪偵查、起訴、審判和判決執行等直接相關的;
出於維護個人金融信息主體或其他主體的生命、財產等重大合法權益但又很難得到本人同意的;
個人金融信息主體自行向社會公眾公開的;
從合法公開披露的信息中收集個人金融信息的,如合法的新聞報導、政府信息公開等渠道。
7.2 安全策略
7.2.1 安全制度體系建立與發布
金融業機構應建立個人金融信息保護制度體系,明確工作職責,規範工作流程。制度體系的管理範疇應涵蓋本機構、外包服務機構與外部合作機構,並確保相關制度發布並傳達給本機構員工及外部合作方。相關制度應至少包括個人金融信息保護管理規定、日常管理及操作流程、外包服務機構與外部合作機構管理、內外部檢查及監督機制、應急處理流程和預案。具體要求如下:
(a) 制定個人金融信息保護管理規定,提出本機構個人金融信息保護工作方針、目標和原則。
(b) 開展個人金融信息分類分級管理。應針對不同類別和敏感程度的個人金融信息,實施相應的安全策略和保障措施。
(c) 建立日常管理及操作流程。應對個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等環節提出具體保護要求,制定個人金融信息時效性管理規程,確保符合法律法規和行業主管部門有關規定。
(d) 建立信息系統分級授權管理機制。應在不影響履行反洗錢等法定義務的前提下,制定本機構人員個人金融信息調取許可權與使用範圍,並制定專門的授權審批流程。
(e) 建立個人金融信息脫敏(如禁止、去標識、匿名化等)管理規範和制度,應明確不同敏感級別個人金融信息脫敏規則、脫敏方法和脫敏數據的使用限制。
(f) 依據國家與行業有關標準,建立個人金融信息安全影響評估制度,應定期(至少每年一次)開展個人金融信息安全影響評估。
(g) 建立外包服務機構與外部合作機構管理制度,包括但不限於:
應對個人金融信息生命周期過程中相關的外包服務機構與外部合作機構進行審查與評估,評估其個人金融信息的保護能力是否達到國家、行業主管部門與金融業機構的要求;應通過協定或契約的方式,約束外包服務機構與外部合作機構不應留存 C2、C3 類別信息;對於 C2 類別信息中的支付賬號等信息,若因清分清算、差錯處理等業務需要確需留存,金融業機構應明確其保密義務與保密責任,並應根據安全要求落實安全控制措施,並將有關資料留檔備查;對可能訪問個人金融信息的外包服務機構、外部合作機構及其人員,金融業機構應要求外包服務機構與外部合作機構向有關人員傳達個人金融信息保護安全要求,與其簽署保密協定,並對協定履行情況進行監督。
不應將存儲個人金融信息的資料庫交由外部合作機構運維。
應定期對外包服務機構與外部合作機構的個人金融信息保護措施落實情況進行確認,確認的方式包括但不限於外部信息安全評估、現場檢查等。
國家法律法規與行業主管部門另有規定的,按照相關要求執行。
(h) 建立個人金融信息安全檢查及監督機制。應建立個人金融信息安全日常檢查機制和工作流程、定期評估個人金融信息管理方面存在的不足,及時調整檢查機制和工作流程。
(i) 應將個人金融信息泄露等相關事件處理納入機構信息安全事件應急處置工作機制,制定專門的流程和預案。定期評估應急處理流程和預案,及時保障、有效應對個人金融信息安全事件,降低安全事件造成的損失及不利影響。
(j) 建立個人金融信息投訴與申訴處理程式,明確投訴與申訴受理部門、處理程式,對個人金融信息主體要求更正或刪除金融業機構收集其個人金融信息的情況,應受理、核實,並依據國家與行業主管部門要求予以處理。
(k) 明確個人金融信息共享、存儲、使用和銷毀的期限,具備個人金融信息存儲時效性的控制能力。
7.2.2 組織架構崗位設定
組織架構及崗位設定具體要求如下:
(a) 應建立個人金融信息保護組織架構,明確機構各層級內設部門與相關崗位個人金融信息保護職責與總體要求。
(b) 應明確個人金融信息保護責任人和個人金融信息保護責任機構,並履行以下工作職責:
負責制定和管理本機構個人金融信息安全管理制度;
制定、實施、定期更新隱私政策和相關規程;
監督本機構內部,以及本機構與外部合作方個人金融信息安全管理;
開展信息安全管理內部審計、分析處理信息安全相關事件; 組織開展個人金融信息安全影響評估,提出個人金融信息保護的對策建議;
組織在金融產品或服務上線發布前進行技術檢測,避免未知(與金融產品或服務功能及隱私政策不符)的個人金融信息收集、使用、共享等處理行為;
公布投訴與申訴方式等信息並及時受理個人金融信息有關的投訴、申訴。
(c) 應明確在提供金融產品和服務的過程中知悉個人金融信息的崗位,並針對相關崗位明確其個人金融信息安全管理責任與保密責任,如不得未經授權的複製、存儲、使用個人金融信息,不得向他人出售或者以其他形式未經授權的共享、轉讓、披露個人金融信息等。
7.2.3 人員管理
對涉及個人金融信息相關人員的安全管理,具體要求如下:
(a) 錄用員工前,應進行必要的背景調查,並與所有可訪問個人金融信息的員工簽署保密協定,或在勞動契約中設定保密條款。
(b) 應定期開展內外部個人金融信息保護培訓與意識教育活動,並保留相關記錄。
(c) 在發生人員調離崗位時,應立即調整和完成相關人員的個人金融信息訪問、使用等許可權的配置,並明確有關人員後續的個人金融信息保護管理許可權和保密責任;若有關人員調整後的崗位不涉及個人金融信息的訪問與處理的,應明確其繼續履行有關信息的保密義務要求。
(d) 與員工終止勞動契約時,應立即終止並收回其對個人金融信息的訪問許可權,並明確其繼續履行有關信息的保密義務要求。
(e) 系統開發人員、系統測試人員與運維人員之間不應相互兼崗。
(f) 應定期(至少每年一次)或在隱私政策發生重大變化時,對個人金融信息處理崗位上的相關人員開展個人金融信息安全專業化培訓和考核,確保相關人員熟練掌握隱私政策和相關規程。
7.3 訪問控制
加強個人金融信息訪問控制管理,具體要求如下:
(a) 應根據“業務需要”和“最小許可權”原則,進行個人金融信息相關的許可權管理,嚴格控制和分配訪問、使用個人金融信息的許可權。
(b) 對於可訪問和處理個人金融信息的系統應設定基於角色的訪問控制策略,禁止賬戶共用。
(c) 傳輸、處理、存儲個人金融信息的系統默認用戶許可權應為“拒絕所有訪問”。
(d) 對個人金融信息使用的許可權管理應設定許可權指派、回收、過期處理等安全功能。
(e) 對存儲或處理個人金融信息的系統或設備進行遠程訪問時,應通過專線、VPN 等方式訪問,個人金融信息不應在遠程訪問設備上留存。
(f) 應對生產網路、開發測試網路、辦公網路以及相關非生產網路進行訪問控制。
(g) 應對個人金融信息訪問與個人金融信息的增刪改查等操作進行記錄,並保證操作日誌的完整性、可用性及可追溯性,操作日誌包括但不限於業務操作日誌、系統日誌等;系統運維管理類日誌不應記錄個人金融信息。
(h) 應對存儲個人金融信息的資料庫及操作日誌實施嚴格的用戶授權與訪問控制。
(i) 存儲或處理個人金融信息的相關物理設備或介質應在獲得審批授權後方可移入或移出機房受控區域,留存有 C2、C3 類別信息的物理設備或介質移入或移出區域應具有同等的安全保障措施。
7.4 安全監測與風險評估
7.4.1 監控與審計
監控與審計具體要求如下:
(a) 應識別並記錄包括但不限於管理員用戶、業務用戶對個人金融信息的訪問。
(b) 應對個人金融信息數據交換網路流量進行安全監控和分析,並存儲匹配安全規則的數據,以備事件溯源。
(c) 日誌檔案和匹配規則的數據應至少保存 6 個月,應定期對所有系統組件日誌進行審計,包括但不限於存儲、處理或傳輸個人金融信息的系統組件日誌、執行安全功能的系統組件日誌(如防火牆、入侵檢測系統、驗證伺服器等)、安全事件日誌等。
(d) 應採取技術手段對個人金融信息全生命周期進行安全風險識別和管控,如惡意代碼檢測、異常流量監測、用戶行為分析等。
7.4.2 安全檢查和評估
金融業機構應對個人金融信息生命周期全過程進行安全檢查和評估,範圍包括金融業機構以及與其合作的第三方機構(包含外包服務機構與外部合作機構)。個人金融信息的安全檢查和評估具體要求如下:
(a) 應依據制定的個人金融信息安全影響評估制度,在個人金融信息委託處理、共享與轉讓、公開披露等過程中,執行個人金融信息安全影響評估活動,並將評估報告歸檔保存。個人金融信息安全影響評估可由金融業機構自行組織開展,也可委託外部安全評估機構執行。
(b) 應每年至少開展一次對涉及收集、存儲、傳輸、使用個人金融信息的信息系統進行安全檢查或安全評估,包括但不限於以下方式及其組合:
對信息系統進行信息安全評估、漏洞掃描和滲透測試,並及時採取補救措施;
在信息系統組件或運行環境發生重大變更(或發現新的高安全等級威脅和漏洞)時,重新進行信息安全風險評估;
將個人金融信息保護納入金融業機構內部安全審計工作,定期開展安全審計,形成審計報告,並根據審計結果完善制度、流程。
(c) 對於個人金融信息中的支付信息部分,應採取自行評估或委託外部機構進行檢查評估,金融業機構以及與其合作的第三方機構應每年至少開展一次支付信息安全合規評估,對評估過程中發現的問題及時採取補救措施並形成報告存檔備查。
(d) 出現個人金融信息泄露事件,造成一定經濟損失(或社會影響)時,應及時委託外部安全評估機構重新進行相關安全評估與檢查活動,並將結果報送行業主管部門。
7.5 安全事件處置
安全事件處置具體要求如下:
(a) 應制定個人金融信息安全事件應急預案,明確安全事件處置流程和崗位職責。
(b) 應定期組織內部相關人員進行個人金融信息保護應急預案相關培訓和應急演練。
(c) 發生個人金融信息遺失、損毀、泄露或被篡改等安全事件後,應及時採取必要措施進行處置,控制事態發展,消除安全隱患,並及時告知受影響的個人金融信息主體,告知的內容應符合GB/T 35273—2017 關於安全事件告知內容的規定,告知的方式包括但不限於:
以郵件、信函、電話、推送訊息等方式及時告知受影響的個人金融信息主體;
難以逐一告知個人金融信息主體時,應採取合理、有效的方式發布與公眾有關的警示信息。
(d) 發現因系統漏洞或人為原因造成個人金融信息泄露時,應立即採取有效措施防止風險擴大,並向行業主管部門報告。
(e) 應記錄事件內容,分析和鑑定事件產生的原因,評估事件可能造成的影響,制定補救措施,並按國家與行業主管部門規定及時進行報告。
(f) 應建立投訴與申訴管理機制,包括跟蹤流程,並在規定的時間內,對投訴、申訴進行回響。
(g) 根據相關法律法規與行業主管部門有關規定的變化情況以及事件處置情況,及時評估並更新應急預案。
附錄A(資料性附錄)信息禁止
信息禁止指對某些敏感信息通過既定規則禁止(或截詞)全部(或部分)敏感信息,實現對敏感信息展示的可靠保護。通過信息禁止可使信息本身的安全等級降級,從而可以在開發、測試和其他非生產環境以及外包或雲計算環境中安全地使用脫敏後的信息集。藉助信息禁止(或截詞)技術,禁止敏感信息,並使禁止的信息保留其原始個人金融信息格式和屬性,以確保應用程式可在使用脫敏個人金融信息的開發與測試過程中正常運行。
註:截詞的目的在於永久刪除某條信息的某個數據段,僅存儲部分數據(如僅保留銀行卡卡號不超過前六位和後四位數)。
對外輸出的任何個人金融信息原則上應事先做禁止(或截詞)等脫敏處理(已經獲得用戶明示同意以及根據法律法規要求需要對外輸出的信息除外),脫敏處理包括但不限於:
——模糊化:指通過隱藏(或截詞)局部信息令該個人金融信息無法完整顯示,包括但不限於:
具體名稱 ID 化(如:以 12345 代替客戶法定名稱或 ID),具體 ID 哈希化,金額、筆數去絕對值化(如:區間分段、個位數及小數點取整等)、星號模糊化;
信息隱藏規則(預設):顯示前 1/3 和後 1/3(向下取整),其他用*號代替,這樣保留了部分信息,並且保證了信息的長度不變性,對信息持有者更易辨別,如手機、身份證號碼等。
——不可逆:指無法通過樣本信息倒推真實信息的方法,包括但不限於:
使用匿名、差分隱私等技術對真實信息進行處理,使其無法被識別,且處理後的信息不能被復原;
不應通過信息拼接、關聯得到完整的敏感信息記錄;
不應通過局部占比的信息得到全量信息。
針對特定類型信息的隱藏規則示例詳見表A.1。
表 A.1 個人金融信息隱藏規則及示例
參考文獻
[1] GB/T 13016—2018 標準體系構建原則和要求
[2] GB/T 13017—2018 企業標準體系表編制指南
[3] GB/T 18336.1—2015 信息技術 安全技術 信息技術安全評估準則 第1部分:簡介和一般模型
[4] GB/T 25000.10—2016 系統與軟體工程 系統與軟體質量要求和評價(SQuaRE) 第10部分:系統與軟體質量模型
[5] GB/T 26237.1—2010 信息技術 生物特徵識別數據交換格式 第1部分:框架
[6] GB/Z 28828—2012 信息安全技術 公共及商用服務信息系統 個人信息保護指南
[7] GM/Z 0001—2013 密碼術語
[8] JR/T 0061—2011 銀行卡名詞術語
[9] JR/T 0088.1—2012 中國金融移動支付 套用基礎 第1部分:術語
[10] JR/T 0156—2017 移動終端支付可信環境技術規範
[11] ISO/IEC 19785-2:2006 Information technology—Common biometric exchange formats framework—Part 2:Procedures for the operation of the biometric registration authority
[12] ISO/IEC 27018:2014 Information technology—security techniques—Code of practicefor protection of personally identifiable information (PII) in public clouds acting as PII processors
[13] ISO/IEC 29100:2011 Information technology—Security techniques—Privacy framework
[14] 中國人民銀行.中國人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知(銀髮〔2011〕17號),2011-01-21
[15] 中國人民銀行.中國人民銀行關於銀行業金融機構進一步做好客戶個人金融信息保護工作的通知(銀髮〔2012〕80號),2012-03-27
[16] 徵信業管理條例(國務院令 第631號),2013-01-21
[17] 中國人民銀行.中國人民銀行關於進一步加強銀行卡風險管理的通知(銀髮〔2016〕170號),2016-06-13
[18] 中國人民銀行.中國人民銀行關於印發《中國人民銀行金融消費者權益保護實施辦法》的通知(銀髮〔2016〕314號),2016-12-14
[19] 中國人民銀行.中國人民銀行關於印發《金融科技(FinTech)發展規劃(2019—2021年)》的通知(銀髮〔2019〕209號),2019-08-19
[20] 金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法(中國人民銀行 中國銀行業監督管理委員會 中國證券監督管理委員會 中國保險監督管理委員會令〔2007〕第2號),2007-06-21
社會影響
2021年2月25日,新華網訊息。近日,由中國計算機學會主辦、中國計算機學會計算機安全專業委員會承辦的2020年中國網路安全大事在京發布。此次活動通過對2020年重大網路安全事件的梳理,採用徵求業界部分專家意見和網路公開投票的方式,評選出10件2020年中國網路安全大事件。中國人民銀行正式發布新修訂的金融行業標準《個人金融信息保護技術規範》列入2020年中國網路安全十大事件。
本標準主要起草人:李偉、李興鋒、張宏基、關曉輝、劉雨露、湯沁、郭琳諍、趙戰勇、熊繼承、渠韶光、孟飛宇、高強裔、陳聰、居崑、陳雪秀、公麗麗、徐艷姣、牛小偉、王歡、展昭、強群力、郭林、楊萌、陳俊、李意、馮堅堅、唐凌、黃本濤、魏猛、劉瓊瑤、趙旭、孫垚、周利華、母延燕、王家煒、張揚、蔡嘉勇、劉洋、孫鵬亮、聶麗琴、劉力慷、牛躍華、陳偉、王秀君、任鳳麗、謝宗曉、董亞南、張旭剛、劉健、董晶晶、張嵩、於曉雪、吳永強、陸家有、石竹君、於沛、侯曉晨、田然、王澤航、何偉明、梁偉韜。
引言
個人金融信息是個人信息在金融領域圍繞賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息等方面的擴展與細化,是金融業機構在提供金融產品和服務的過程中積累的重要基礎數據,也是個人隱私的重要內容。個人金融信息一旦泄露,不但會直接侵害個人金融信息主體的合法權益、影響金融業機構的正常運營,甚至可能會帶來系統性金融風險。為加強個人金融信息安全管理,指導各相關機構規範處理個人金融信息,最大程度保障個人金融信息主體合法權益,維護金融市場穩定,編制本標準。
1 範圍
本標準規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求,從安全技術和安全管理兩個方面,對個人金融信息保護提出了規範性要求。
本標準適用於提供金融產品和服務的金融業機構,並為安全評估機構開展安全檢查與評估工作提供參考。
2 規範性引用檔案
下列檔案對於本檔案的套用是必不可少的。凡是注日期的引用檔案,僅注日期的版本適用於本檔案。凡是不注日期的引用檔案,其最新版本(包括所有的修改單)適用於本檔案。
GB/T 22239—2019 信息安全技術 網路安全等級保護基本要求
GB/T 25069—2010 信息安全技術 術語
GB/T 31186.2—2014 銀行客戶基本信息描述規範 第2部分:名稱
GB/T 31186.3—2014 銀行客戶基本信息描述規範 第3部分:識別標識
GB/T 35273—2017 信息安全技術 個人信息安全規範
JR/T 0068—2020 網上銀行系統信息安全通用規範
JR/T 0071 金融行業信息系統信息安全等級保護實施指引
JR/T 0092—2019 移動金融客戶端套用軟體安全管理規範
JR/T 0149—2016 中國金融移動支付 支付標記化技術規範
JR/T 0167—2018 雲計算技術金融套用規範 安全技術要求
3 術語和定義
GB/T 25069—2010、GB/T 35273—2017界定的以及下列術語和定義適用於本檔案。
3.1 金融業機構 financial industry institutions
本標準中的金融業機構是指由國家金融管理部門監督管理的持牌金融機構,以及涉及個人金融信息處理的相關機構。
3.2 個人金融信息 personal financial information
金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息。
注 1:本標準中的個人金融信息包括賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息。
注 2:改寫 GB/T 35273—2017,定義 3.1。
3.3 支付敏感信息 payment sensitive information
支付信息中涉及支付主體隱私和身份識別的重要信息。
註:支付敏感信息包括但不限於銀行卡磁軌數據或晶片等效信息、卡片驗證碼、卡片有效期、銀行卡密碼、網路支付交易密碼等用於支付鑒權的個人金融信息。
3.4 個人金融信息主體 personal financial information subject
個人金融信息所標識的自然人。
註:改寫GB/T 35273—2017,定義3.3。
3.5 個人金融信息控制者 personal financial information controller
有權決定個人金融信息處理目的、方式等的機構。
註:改寫GB/T 35273—2017,定義3.4。
3.6 收集 collect
獲得個人金融信息的控制權的行為。
注 1:收集行為包括由個人金融信息主體主動提供、通過與個人金融信息主體互動或記錄個人金融信息主體行為等自動採集行為,以及通過共享、轉讓、蒐集公開信息等間接獲取個人金融信息等行為。
注 2:如金融產品或服務提供者提供工具供個人金融信息主體使用,提供者不對個人金融信息進行訪問的,則不屬於本標準所稱的收集。例如手機銀行客戶端套用軟體在終端獲取用戶指紋特徵信息用於本地鑒權後,指紋特徵信息不回傳至提供者,則不屬於用戶指紋特徵信息的收集行為。
注 3:改寫 GB/T 35273—2017,定義 3.5。
3.7 公開披露 public disclosure
向社會或不特定群體發布信息的行為。[GB/T 35273—2017,定義3.10]
3.8 轉讓 transfer of control
將個人金融信息控制權由一個控制者向另一個控制者轉移的過程。
註:改寫GB/T 35273—2017,定義3.11。
3.9 共享 sharing
個人金融信息控制者向其他控制者提供個人金融信息,且雙方分別對個人金融信息擁有獨立控制權的過程。
註:改寫GB/T 35273—2017,定義3.12。
3.10 個人金融信息安全影響評估 personal financial information security impact assessment
針對個人金融信息處理活動,檢驗其合法合規程度,判斷其對個人金融信息主體合法權益造成損害的各種風險,以及評估用於保護個人金融信息主體的各項措施有效性的過程。
註:改寫GB/T 35273—2017,定義3.8。
3.11 支付賬號 payment account
具有金融交易功能的銀行賬戶、非銀行支付機構支付賬戶及銀行卡卡號。
註:改寫JR/T 0149—2016,定義3.1。
3.12 支付標記 payment token(Token)
作為支付賬號等原始交易要素的替代值,用於完成特定場景支付交易。[JR/T 0149—2016,定義3.2]
3.13 磁軌數據 track data
一磁、二磁和三磁定義的必備或可選的數據元。
註:磁軌數據可以在物理卡的磁條上,也可以被包含在積體電路或者其他媒介上。[JR/T 0061—2011,定義3.20]
3.14 卡片驗證碼 card verification number;CVN
對磁條信息合法性進行驗證的代碼。[JR/T 0061—2011,定義8.7]
3.15 卡片驗證碼 2 card verification number 2;CVN2
在郵購或電話訂購等非面對面交易中對銀行卡卡片合法性進行驗證的代碼。[JR/T 0061—2011,定義8.8]
3.16 動態口令 one-time-password (OTP), dynamic password
基於時間、事件等方式動態生成的一次性口令。[GM/Z 0001—2013,定義2.15]
3.17 簡訊動態密碼 SMS dynamic code
簡訊驗證碼 SMS code後台系統以手機簡訊形式傳送到用戶綁定手機上的隨機數,用戶通過回復該隨機數進行身份認證。[JR/T 0088.1—2012,定義2.44]JR/T 0171—20204
3.18 客戶法定名稱 customer’s legal name
在法律上認可的客戶名稱。
注 1:客戶法定名稱一般記錄在國家授權部門頒發給客戶的證件上,本標準客戶主要指自然人客戶。
注 2:改寫 GB/T 31186.2—2014,定義 3.2。
3.19 證件類識別標識 legal discriminating ID
由國家法定有權部門頒發,能夠唯一確定客戶的且具有法律效力的標識。
注 1:證件類識別標識是外源性數據。外源性數據意味著數據的使用者不是數據的所有者,數據在產生、變更、廢止後可能不為數據的使用者所知悉。
注 2:本標準的使用者因本身業務需求而產生的內部證件類標識,不應在使用者外部使用,也不具有法律效力。
注 3:改寫 GB/T 31186.3—2014,定義 3.2。
3.20 未經授權的查看 unauthorized reading
未得到信息的所有者或有權授權人授權對信息的查看。
注 1:未經授權的查看可能是善意的,也可能是惡意的;信息處理者無意泄露的未經授權的查看為信息泄露事件;攻擊者通過使相關安全措施無效的措施有意獲取的未經授權的查看為信息竊取事件。
注 2:非法查看是對未經授權的查看的一種不嚴謹但在特定的語境下並無二義性的提法。
3.21 未經授權的變更 unauthorized altering
未得到信息的所有者或有權授權人授權對信息的變更。
注 1:未經授權的變更典型地分為未經授權的增加(即增加全新的內容)、未經授權的更改(即修改現有的內容)或未經授權的刪除(即刪除原有的內容)三種情況,也可能是三種情況的組合。
注 2:未經授權的變更可能是善意的,也可能是惡意的;往往表現為信息篡改事件、信息假冒事件、信息丟失事件等。
注 3:非法變更是對未經授權的變更的一種不嚴謹但在特定的語境下並無二義性的提法。
3.22 明示同意 explicit consent
個人金融信息主體通過書面聲明或主動作出肯定性動作,對其個人金融信息進行特定處理作出明確授權的行為。
注 1:肯定性動作包括個人金融信息主體主動作出聲明(電子或紙質形式)、主動勾選、主動點擊“同意”“註冊”“傳送”“撥打”、主動填寫或提供等。
注 2:改寫 GB/T 35273—2017,定義 3.6。
3.23 匿名化 anonymization
通過對個人金融信息的技術處理,使得個人金融信息主體無法被識別,且處理後的信息不能被復原的過程。
注 1:個人金融信息經匿名化處理後所得的信息不屬於個人金融信息。
注 2:改寫 GB/T 35273—2017,定義 3.13。
3.24 去標識化 de-identification
通過對個人金融信息的技術處理,使其在不藉助額外信息的情況下,無法識別個人金融信息主體的過程。
注 1:去標識化仍建立在個體基礎之上,保留了個體顆粒度,採用假名、加密、加鹽的哈希函式等技術手段替代對個人金融信息的標識。
注 2:改寫 GB/T 35273—2017,定義 3.14。
3.25 刪除 delete
在金融產品和服務所涉及的系統中去除個人金融信息的行為,使其保持不可被檢索、訪問的狀態。註:改寫GB/T 35273—2017,定義3.9。
4 個人金融信息概述
4.1 個人金融信息內容
個人金融信息包括賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息,具體如下:
(a) 賬戶信息指賬戶及賬戶相關信息,包括但不限於支付賬號、銀行卡磁軌數據(或晶片等效信息)、銀行卡有效期、證券賬戶、保險賬戶、賬戶開立時間、開戶機構、賬戶餘額以及基於上述信息產生的支付標記信息等。
(b) 鑑別信息指用於驗證主體是否具有訪問或使用許可權的信息,包括但不限於銀行卡密碼、預付卡支付密碼;個人金融信息主體登錄密碼、賬戶查詢密碼、交易密碼;卡片驗證碼(CVN 和 CVN2)、動態口令、簡訊驗證碼、密碼提示問題答案等。
(c) 金融交易信息指個人金融信息主體在交易過程中產生的各類信息,包括但不限於交易金額、支付記錄、透支記錄、交易日誌、交易憑證;證券委託、成交、持倉信息;保單信息、理賠信息等。
(d) 個人身份信息指個人基本信息、個人生物識別信息等:
個人基本信息包括但不限於客戶法定名稱、性別、國籍、民族、職業、婚姻狀況、家庭狀況、收入情況、身份證和護照等證件類信息、手機號碼、固定電話號碼、電子信箱、工作及家庭地址,以及在提供產品和服務過程中收集的照片、音視頻等信息;
個人生物識別信息包括但不限於指紋、人臉、虹膜、耳紋、掌紋、靜脈、聲紋、眼紋、步態、筆跡等生物特徵樣本數據、特徵值與模板。
(e) 財產信息指金融業機構在提供金融產品和服務過程中,收集或生成的個人金融信息主體財產信息,包括但不限於個人收入狀況、擁有的不動產狀況、擁有的車輛狀況、納稅額、公積金存繳金額等。
(f) 借貸信息指個人金融信息主體在金融業機構發生借貸業務產生的信息,包括但不限於授信、信用卡和貸款的發放及還款、擔保情況等。
(g) 其他信息:
對原始數據進行處理、分析形成的,能夠反映特定個人某些情況的信息,包括但不限於特定個人金融信息主體的消費意願、支付習慣和其他衍生信息;
在提供金融產品與服務過程中獲取、保存的其他個人信息。
4.2 個人金融信息類別
根據信息遭到未經授權的查看或未經授權的變更後所產生的影響和危害,將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別。具體如下:
(a) C3 類別信息主要為用戶鑑別信息。該類信息一旦遭到未經授權的查看或未經授權的變更,會對個人金融信息主體的信息安全與財產安全造成嚴重危害,包括但不限於:
銀行卡磁軌數據(或晶片等效信息)、卡片驗證碼(CVN 和 CVN2)、卡片有效期、銀行卡密碼、網路支付交易密碼;
賬戶(包括但不限於支付賬號、證券賬戶、保險賬戶)登錄密碼、交易密碼、查詢密碼;
用於用戶鑑別的個人生物識別信息。
(b) C2 類別信息主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息,以及用於金融產品與服務的關鍵信息。該類信息一旦遭到未經授權的查看或未經授權的變更,會對個人金融信息主體的信息安全與財產安全造成一定危害,包括但不限於:
支付賬號及其等效信息,如支付賬號、證件類識別標識與證件信息(身份證、護照等)、手機號碼。
賬戶(包括但不限於支付賬號、證券賬戶、保險賬戶)登錄的用戶名。
用戶鑑別輔助信息,如動態口令、簡訊驗證碼、密碼提示問題答案、動態聲紋密碼;若用戶鑑別輔助信息與賬號結合使用可直接完成用戶鑑別,則屬於 C3 類別信息。
直接反映個人金融信息主體金融狀況的信息,如個人財產信息(包括網路支付賬號餘額)、借貸信息。
用於金融產品與服務的關鍵信息,如交易信息(如交易指令、交易流水、證券委託、保險理賠)等。
用於履行了解你的客戶(KYC)要求,以及按行業主管部門存證、保全等需要,在提供產品和服務過程中收集的個人金融信息主體照片、音視頻等影像信息。
其他能夠識別出特定主體的信息,如家庭地址等。
(c) C1 類別信息主要為機構內部的信息資產,主要指供金融業機構內部使用的個人金融信息。該類信息一旦遭到未經授權的查看或未經授權的變更,可能會對個人金融信息主體的信息安全與財產安全造成一定影響,包括但不限於:
賬戶開立時間、開戶機構;
基於賬戶信息產生的支付標記信息;
C2 和 C3 類別信息中未包含的其他個人金融信息。
個人金融信息主體因業務需要(如貸款)主動提供的有關家庭成員信息(如身份證號碼、手機號碼、財產信息等),應依據C3、C2、C1敏感程度類別進行分類,並實施針對性的保護措施。
兩種或兩種以上的低敏感程度類別信息經過組合、關聯和分析後可能產生高敏感程度的信息。同一信息在不同的服務場景中可能處於不同的類別,應依據服務場景以及該信息在其中的作用對信息的類別進行識別,並實施針對性的保護措施。
4.3 個人金融信息生命周期
個人金融信息生命周期指對個人金融信息進行收集、傳輸、存儲、使用、刪除、銷毀等處理的整個過程,各環節描述如下:JR/T 0171—20207
(a) 收集:對個人金融信息主體各類信息進行獲取和記錄的過程。
(b) 傳輸:個人金融信息在終端設備、信息系統內或信息系統間傳遞的過程。
(c) 存儲:個人金融信息在終端設備、信息系統內保存的過程。
(d) 使用:對個人金融信息進行展示、共享和轉讓、公開披露、委託處理、加工處理等操作的過程。
(e) 刪除:使個人金融信息不可被檢索、訪問的過程。
(f) 銷毀:對個人金融信息進行清除,使其不可恢復的過程。
5 安全基本原則
金融業機構應遵循 GB/T 35273—2017 的要求,以“權責一致、目的明確、選擇同意、最少夠用、公開透明、確保全全、主體參與”的原則,設計並實施覆蓋個人金融信息全生命周期的安全保護策略。
6 安全技術要求
6.1 生命周期技術要求
6.1.1 收集
應根據信息類別確定個人金融信息收集方案。具體技術要求如下:
(a) 不應委託或授權無金融業相關資質的機構收集 C3、C2 類別信息。
(b) 應確保收集信息來源的可追溯性。
(c) 應採取技術措施(如彈窗、明顯位置 URL 連結等),引導個人金融信息主體查閱隱私政策,並獲得其明示同意後,開展有關個人金融信息的收集活動。
(d) 對於 C3 類別信息,通過受理終端、客戶端套用軟體、瀏覽器等方式收集時,應使用加密等技術措施保證數據的保密性,防止其被未授權的第三方獲取。
(e) 通過受理終端、客戶端套用軟體與瀏覽器等方式引導用戶輸入(或設定)銀行卡密碼、網路支付密碼時,應採取展示禁止等措施防止密碼明文顯示,其他密碼類信息宜採取展示禁止措施。
(f) 在網路支付業務系統中,應採取具有信息輸入安全防護、即時數據加密功能的安全控制項對支付敏感信息的輸入進行安全保護,並採取有效措施防止合作機構獲取、留存支付敏感信息。
(g) 在停止提供金融產品或服務時,應及時停止繼續收集個人金融信息的活動。
6.1.2 傳輸
個人金融信息傳輸過程的參與方應保證信息在傳輸過程中的保密性、完整性和可用性,具體技術要求如下:
(a) 應建立相應的個人金融信息傳輸安全策略和規程,採用滿足個人金融信息傳輸安全策略的安全控制措施,如安全通道、數據加密等技術措施。
(b) 傳輸個人金融信息前,通信雙方應通過有效技術手段進行身份鑑別和認證。
(c) 通過公共網路傳輸時,C2、C3 類別信息應使用加密通道或數據加密的方式進行傳輸,保障個人金融信息傳輸過程的安全;對於 C3 類別中的支付敏感信息,其安全傳輸技術控制措施應符合有關行業技術標準與行業主管部門有關規定要求。
(d) 應根據個人金融信息的不同類別,採用技術手段保證個人金融信息的安全傳輸;低敏感程度類別的個人金融信息因參與身份鑑別等關鍵活動導致敏感程度上升的(如,經組合後構成交易授權完整要素的情況),應提升相應的安全傳輸保障手段。
(e) 個人金融信息傳輸的接收方應對接收的信息進行完整性校驗。
(f) 應建立有效機制對個人金融信息傳輸安全策略進行審核、監控和最佳化,包括對通道安全配置、密碼算法配置、密鑰管理等保護措施的管理和監控。
(g) 應採取有效措施(如個人金融信息傳輸鏈路冗餘)保證數據傳輸可靠性和網路傳輸服務可用性。
6.1.3 存儲
個人金融信息存儲的具體技術要求如下:
(a) 不應留存非本機構的銀行卡磁軌數據(或晶片等效信息)、銀行卡有效期、卡片驗證碼(CVN和 CVN2)、銀行卡密碼、網路支付密碼等 C3 類別信息。若確有必要留存的,應取得個人金融信息主體及賬戶管理機構的授權。
(b) 應根據個人金融信息的不同類別,採用技術手段保證個人金融信息的存儲安全;低敏感程度類別的個人金融信息因參與身份鑑別等關鍵活動導致敏感程度上升的(如,經組合後構成交易授權完整要素的情況),應提升相應的安全存儲保障手段。
(c) C3 類別個人金融信息應採用加密措施確保數據存儲的保密性。
(d) 受理終端、個人終端及客戶端套用軟體均不應存儲銀行卡磁軌數據(或晶片等效信息)、銀行卡有效期、卡片驗證碼(CVN 和 CVN2)、銀行卡密碼、網路支付密碼等支付敏感信息及個人生物識別信息的樣本數據、模板,僅可保存完成當前交易所必需的基本信息要素,並在完成交易後及時予以清除。
(e) 採取必要的技術和管控措施保證個人金融信息存儲轉移過程中的安全性。
(f) 應將去標識化、匿名化後的數據與可用於恢復識別個人的信息採取邏輯隔離的方式進行存儲,確保去標識化、匿名化後的信息與個人金融信息不被混用。
(g) 在停止運營時,應依據國家法律法規與行業主管部門有關規定要求,對所存儲的個人金融信息進行妥善處置,或移交國家與行業主管部門指定的機構繼續保存。
6.1.4 使用
6.1.4.1 信息展示
提供業務辦理與查詢等功能的套用軟體,對個人金融信息展示具體技術要求如下:
(a) 依據國家法律法規與行業主管部門有關規定要求,對通過計算機螢幕、客戶端套用軟體、銀行卡受理設備、自助終端設備、紙面(如受理終端列印出的交易憑條等交易憑證)等界面展示的個人金融信息應採取信息禁止(或截詞)等處理措施,降低個人金融信息在展示環節的泄露風險。
注 1:關於信息禁止(或截詞)的使用方式,參見附錄 A。
注 2:金融業機構櫃面列印的憑證依據有關規範執行。
(b) 處於未登錄狀態時,不應展示與個人金融信息主體相關的 C3 類別信息。
(c) 處於已登錄狀態時,個人金融信息展示的技術要求如下:
除銀行卡有效期外,C3 類別信息不應明文展示。
對於銀行卡號、手機號碼、證件類識別標識或其他識別標識信息等可以直接或組合後確定個人金融信息主體的信息應進行禁止展示,或由用戶選擇是否禁止展示,如需完整展示,應進行用戶身份驗證,並做好此類信息管理,防範此類信息泄露風險。
涉及其他個人金融信息主體的信息時,除以下情況外,宜進行禁止展示:
——其他方主動發起的活動包含的信息,此種情況需展示必要的信息以供活動接收方對活動內容進行確認,例如:其他方發起的交易、其他方發起的收付款、保險保費代收。
——與其他方已建立信任關係(間接授權),此時需活動發起方確認發起活動的必要信息JR/T 0171—20209的正確性(或活動發起方需接收活動結果信息,並確認活動已正確完成),例如:向其他方收款,其他方已付款;向其他方申請代付,其他方同意付款或者其他方在自己業務套用範圍內的聯繫人。
——其他法律法規要求的情況。
套用軟體的後台管理與業務支撐系統,對個人金融信息展示具體技術要求如下:
(a) 除銀行卡有效期外,C3 類別信息不應明文展示。
(b) 應採取技術措施防範個人金融信息在展示過程中泄露或被未經授權的拷貝。
(c) 後台系統對支付賬號、客戶法定名稱、支付預留手機號碼、證件類或其他類識別標識信息等展示宜進行禁止處理,如需完整展示,應做好此類信息管理,採取有效措施防範未經授權的拷貝。
(d) 後台系統不應具備開放式查詢能力,應嚴格限制批量查詢。
(e) 對於確有明文查看需要的業務場景可以保留明文查看許可權,後台系統應對所有查詢操作進行細粒度的授權與行為審計。
應防止通過散列碰撞等方法推導出完整的數據,若使用“截詞”的方式進行部分欄位的禁止處理,不套用散列代替欄位被截詞的部分。
6.1.4.2 共享和轉讓
個人金融信息在共享和轉讓的過程中,應充分重視信息轉移或交換過程中的安全風險,具體技術要求如下:
(a) 在共享和轉讓前,應開展個人金融信息安全影響評估,並依據評估結果採取有效措施保護個人金融信息主體權益。
(b) 在共享和轉讓前,應開展個人金融信息接收方信息安全保障能力評估,並與其簽署數據保護責任承諾。
(c) 支付賬號及其等效信息在共享和轉讓時,除法律法規和行業主管部門另有規定外,應使用支付標記化(按照 JR/T 0149—2016)技術進行脫敏處理(因業務需要無法使用支付標記化技術時,應進行加密),防範信息泄露風險。
(d) 應部署信息防泄露監控工具,監控及報告個人金融信息的違規外發行為。
(e) 應部署流量監控技術措施,對共享、轉讓的信息進行監控和審計。
(f) 應根據“業務需要”和“最小許可權”原則,對個人金融信息的導出操作進行細粒度的訪問控制與全過程審計,應採取兩種或兩種以上鑑別技術對導出信息操作人員進行身份鑑別。
(g) 應定期檢查或評估信息導出通道的安全性和可靠性。
(h) 使用外部嵌入或接入的自動化工具(如代碼、腳本、接口、算法模型、軟體開發工具包等)進行信息共享與轉讓時,應定期檢查或評估信息共享工具、服務組件和共享通道的安全性和可靠性,並留存檢查或評估結果記錄。
(i) 應執行嚴格的審核程式,並準確記錄和保存個人金融信息共享和轉讓情況。記錄內容應包括但不限於日期、規模、目的、範圍,以及數據接收方基本情況與使用意圖等,並應確保對共享和轉讓的信息及其過程可被追溯。
(j) 應採取有效技術防護措施,防範信息轉移過程中被除信息傳送方與接收方之外的其他個人、組織和機構截獲和利用。
6.1.4.3 公開披露
個人金融信息原則上不得公開披露。金融業機構經法律授權或具備合理事由確需公開披露時,具體技術要求如下:
(a) 應事先開展個人金融信息安全影響評估,並依據評估結果採取有效的保護個人金融信息主體權益的措施。
(b) 不應公開披露個人生物識別信息。
(c) 應準確記錄和保存個人金融信息的公開披露情況,包括公開披露的日期、規模、目的、內容、公開範圍等。
6.1.4.4 委託處理
金融業機構因金融產品或服務的需要,將收集的個人金融信息委託給第三方機構(包含外包服務機構與外部合作機構)處理時,具體技術要求如下:
(a) 委託行為不應超出已徵得個人金融信息主體授權同意的範圍或遵循 7.1 中對於徵得授權同意的例外所規定的情形,並準確記錄和保存委託處理個人金融信息的情況。
(b) C3 以及 C2 類別信息中的用戶鑑別輔助信息,不應委託給第三方機構進行處理。轉接清算、登記結算等情況,應依據國家有關法律法規及行業主管部門有關規定與技術標準執行。
(c) 對委託處理的信息應採用去標識化(不應僅使用加密技術)等方式進行脫敏處理,降低個人金融信息被泄露、誤用、濫用的風險。
(d) 應對委託行為進行個人金融信息安全影響評估,並確保受委託者具備足夠的數據安全能力,且提供了足夠的安全保護措施。
(e) 應對第三方機構等受委託者進行監督,方式包括但不限於:
依據 7.2.1 的要求,通過契約等方式規定受委託者的責任和義務;
依據 7.4.2 的要求,對受委託者進行安全檢查和評估。
(f) 應對外部嵌入或接入的自動化工具(如代碼、腳本、接口、算法模型、軟體開發工具包等)開展技術檢測,確保其個人金融信息收集、使用行為符契約定要求;並對其收集個人金融信息的行為進行審計,發現超出約定行為及時切斷接入。
6.1.4.5 加工處理個人金融信息在加工處理的過程中,具體技術要求如下:
(a) 應採取必要的技術手段和管理措施,確保在個人金融信息清洗和轉換過程中對信息進行保護,對 C2、C3 類別信息,應採取更加嚴格的保護措施。
(b) 應對匿名化或去標識化處理的數據集或其他數據集匯聚後重新識別出個人金融信息主體的風險進行識別和評價,並對數據集採取相應的保護措施。
(c) 應建立個人金融信息防泄露控制規範和機制,防止個人金融信息處理過程中的調試信息、日誌記錄等因不受控制的輸出而泄露受保護的信息。
(d) 應具備信息化技術手段或機制,對個人金融信息濫用行為進行有效的識別、監控和預警。
(e) 應具備完整的個人金融信息加工處理操作記錄和管理能力,記錄內容包括但不限於日期、時間、主體、事件描述、事件結果等。
6.1.4.6 匯聚融合
個人金融信息匯聚融合的技術要求如下:
(a) 匯聚融合的數據不應超出收集時所聲明的使用範圍。因業務需要確需超範圍使用的,應再次徵得個人金融信息主體明示同意。
(b) 應根據匯聚融合後的個人金融信息類別及使用目的,開展個人金融信息安全影響評估,並採取有效的技術保護措施。
6.1.4.7 開發測試
個人金融信息在開發測試過程中的具體技術要求如下:
(a) 應對開發測試環境與生產環境進行有效隔離。
(b) 開發環境、測試環境不應使用真實的個人金融信息,應使用虛構的或經過去標識化(不應僅使用加密技術)脫敏處理的個人金融信息,賬號、卡號、協定號、支付指令等測試確需信息除外。
6.1.5 刪除
個人金融信息在刪除過程中的具體技術要求如下:
(a) 應採取技術手段,在金融產品和服務所涉及的系統中去除個人金融信息,使其保持不可被檢索和訪問。
(b) 個人金融信息主體要求刪除個人金融信息時,金融業機構應依據國家法律法規、行業主管部門有關規定以及與個人金融信息主體的約定予以回響。
6.1.6 銷毀
個人金融信息在銷毀過程中的具體技術要求如下:
(a) 應建立個人金融信息銷毀策略和管理制度,明確銷毀對象、流程、方式和要求。
(b) 應對個人金融信息存儲介質銷毀過程進行監督與控制,對待銷毀介質的登記、審批、介質交接、銷毀執行等過程進行監督。
(c) 銷毀過程應保留有關記錄,記錄至少應包括銷毀內容、銷毀方式與時間、銷毀人簽字、監督人簽字等內容。
(d) 存儲個人金融信息的介質如不再使用,應採用不可恢復的方式(如消磁、焚燒、粉碎等)對介質進行銷毀處理;存儲個人金融信息的介質如還需繼續使用,不應只採用刪除索引、刪除檔案系統的方式進行信息銷毀,應通過多次覆寫等方式安全地擦除個人金融信息,確保介質中的個人金融信息不可再被恢復或者以其他形式加以利用。
(e) 雲環境下有關數據清除應依據 JR/T 0167—2018 的 9.6 執行。
6.2 安全運行技術要求
6.2.1 網路安全要求
承載與處理個人金融信息的信息系統應符合國家網路安全相關規定與 GB/T 22239—2019、JR/T0071 的要求。存儲個人金融信息的資料庫應處於金融業機構可控網路內,並進行有效的訪問控制。
6.2.2 Web 套用安全要求
涉及C2、C3類別信息的Web套用的安全技術要求如下:
(a) 應具備對網站頁面篡改、網站頁面原始碼暴露、窮舉登錄嘗試、重放攻擊、SQL 注入、跨站腳本攻擊、釣魚、木馬以及任意檔案上傳、下載等已知漏洞的防範能力。
(b) 處理個人金融信息相關的 Web 套用系統與組件上線前應進行安全評估。
(c) 應具備對處理個人金融信息的系統組件進行實時監測的能力,有效識別和阻止來自內外部的非法訪問。
6.2.3 客戶端套用軟體安全要求
與個人金融信息相關的客戶端套用軟體及套用軟體開發工具包(SDK)應符合 JR/T 0092—2019、JR/T 0068—2020 客戶端套用軟體有關安全技術要求,並在上線前進行安全評估。
6.2.4 密碼技術與密碼產品要求
使用的密碼技術及產品應符合國家密碼管理部門與行業主管部門要求。
7 安全管理要求
7.1 安全準則
7.1.1 收集
個人金融信息收集的方式包括但不限於通過櫃面、信息系統、金融自助設備、受理終端、客戶端套用軟體等渠道獲取。金融業機構應遵循合法、正當、必要的原則,向個人金融信息主體明示收集與使用個人金融信息的目的、方式、範圍和規則等,獲得個人金融信息主體的授權同意,並滿足以下要求:
(a) 收集個人金融信息的基本規則如下:
不應欺詐、誘騙,或以默認授權、功能捆綁等方式誤導強迫個人金融信息主體提供個人金融信息;
不應隱瞞金融產品或服務所具有的收集個人金融信息的功能;
不應通過非法渠道間接獲取個人金融信息;
不應收集法律法規與行業主管部門有關規定明令禁止收集的個人金融信息。
(b) 收集個人金融信息應遵循最小化要求,收集個人金融信息的目的應與實現和最佳化金融產品或服務、防範金融產品或服務的風險有直接關聯。直接關聯是指無該個人金融信息參與無法實現前述目的。
(c) 收集個人金融信息時授權同意的具體要求如下:
收集個人金融信息前,應向個人金融信息主體明確告知金融產品或服務需收集的個人金融信息類別,以及收集、使用個人金融信息的規則(如:收集和使用個人金融信息的目的、收集方式、自身的數據安全能力、對外共享、轉讓、公開披露的規則、投訴與申訴的渠道及回響時限等),並獲得個人金融信息主體的明示同意。
間接獲取個人金融信息時,應要求個人金融信息提供方說明個人金融信息來源,並對其個人金融信息來源的合法性進行確認;應了解個人金融信息提供方已獲得的授權內容,包括使用目的,個人金融信息主體是否授權同意轉讓、共享、公開披露等情況;因業務需要金融業機構確需超出原授權範圍處理個人金融的,應在使用個人金融信息前,徵得個人金融信息主體的明示同意。
(d) 以下情形收集使用個人金融信息無需徵得個人金融信息主體的授權同意:
與履行國家法律法規及行業主管部門有關規定的義務相關的;
與國家安全、國防安全直接相關的;
與公共安全、公共衛生、重大公共利益直接相關的;
與犯罪偵查、起訴、審判和判決執行等直接相關的;
出於維護個人金融信息主體或其他主體的生命、財產等重大合法權益但又很難得到本人同意的;
個人金融信息主體自行向社會公眾公開的;
根據個人金融信息主體要求籤訂和履行契約所必需的;
從合法公開披露的信息中收集個人金融信息的,如合法的新聞報導、政府信息公開等渠道;
用於維護所提供的金融產品或服務的安全穩定運行所必需的,例如識別、處置金融產品或服務中的欺詐或被盜用等。
7.1.2 存儲
個人金融信息的存儲時限應滿足國家法律法規與行業主管部門有關規定要求,並符合個人金融信息主體授權使用的目的所必需的最短時間要求。超過該期限後,應對收集的個人金融信息進行刪除或匿名化處理。
7.1.3 使用
個人金融信息在信息展示、共享與轉讓、公開披露、委託處理、加工處理、匯聚融合等方面,應遵循6.1.4.1—6.1.4.6的要求,並滿足以下要求:
(a) 除法律法規與行業主管部門另有規定或開展金融業務所必需的數據共享與轉讓(如轉接清算等)外,金融業機構原則上不應共享、轉讓其收集的個人金融信息,確需共享、轉讓的,應充分重視信息安全風險,具體要求如下:
應向個人金融信息主體告知共享、轉讓個人金融信息的目的、數據接收方的類型,並事先徵得個人金融信息主體明示同意,共享、轉讓經去標識化處理(不應僅使用加密技術)的個人金融信息,且確保數據接收方無法重新識別個人金融信息主體的除外。
應幫助個人金融信息主體了解數據接收方對個人金融信息的存儲、使用等情況,包括個人金融信息主體的權利,例如訪問、更正、刪除、註銷賬戶等;在法律法規規定、行業主管部門有關規定及個人金融信息主體約定的範圍內,個人金融信息主體行使其個人金融信息控制權利,金融業機構應配合回響其請求。
C3 類別信息以及 C2 類別信息中的用戶鑑別輔助信息不應共享、轉讓。
轉接清算、登記結算等情況,應依據國家有關法律法規與行業主管部門有關規定與技術標準執行。
當因收購、兼併、重組、破產等情況,對個人金融信息主體提供金融產品或服務的金融業機構主體變更而發生個人金融信息共享、轉讓時,具體要求如下:
——金融業機構將其提供的金融產品或服務移交至其他金融業機構的情況,應使用逐一傳達(或公告)的方式通知個人金融信息主體。
——承接其金融產品或服務的金融業機構,應對其承接運營的金融產品或服務繼續履行個人金融信息保護責任;如變更其在收購、兼併重組過程中獲取的個人金融信息使用目的,應重新獲得個人金融信息主體明示同意(或授權)。
(b) 金融業機構原則上不應公開披露其收集的個人金融信息,經法律授權或具備合理理由確需公開披露個人金融信息的,具體要求如下:
應向個人金融信息主體告知公開披露個人金融信息的目的、類別,並事先徵得個人金融信息主體的同意,並向其告知涉及的信息內容;
承擔因公開披露個人金融信息對個人金融信息主體合法權益造成損害的相應責任;
C3 類別信息,以及 C2 類別信息中的用戶鑑別輔助信息不應公開披露。
(c) 因金融產品或服務的需要,將收集的個人金融信息委託給第三方機構(包含外包服務機構與外部合作機構)處理的,具體要求如下:
依據 6.1.4.4 開展委託處理工作。
應對第三方機構等受委託者提出如下要求:
——應嚴格按照金融業機構的要求處理個人金融信息,如因特殊原因受委託者未能按照要求處理個人金融信息,應及時告知金融業機構,並配合金融業機構進行信息安全評估,並採取補救措施以保護個人金融信息的安全,必要時應終止其對個人金融信息的處理;
——未經書面授權,受委託者不應將其處理的個人金融信息再次委託給其他機構進行處理;
——應協助回響個人金融信息主體的請求;
——如受委託者在處理個人金融信息過程中無法提供足夠的信息安全保護水平或發生安全事件,應及時告知金融業機構,配合進行信息安全評估與安全事件調查,並採取補救措施以保護個人金融信息的安全,必要時應終止其對個人金融信息的處理;
——在委託關係解除時(或外包服務終止後),受委託者應按照金融業機構的要求銷毀其處理的個人金融信息,並依據雙方協商的期限承擔後續的個人金融信息保密責任;
——應準確記錄和保存委託處理個人金融信息的情況。
(d) 在中華人民共和國境內提供金融產品或服務過程中收集和產生的個人金融信息,應在境記憶體儲、處理和分析。因業務需要,確需向境外機構(含總公司、母公司或分公司、子公司及其他為完成該業務所必需的關在線上構)提供個人金融信息的,具體要求如下:
應符合國家法律法規及行業主管部門有關規定;
應獲得個人金融信息主體明示同意;
應依據國家、行業有關部門制定的辦法與標準開展個人金融信息出境安全評估,確保境外機構數據安全保護能力達到國家、行業有關部門與金融業機構的安全要求;
應與境外機構通過簽訂協定、現場核查等方式,明確並監督境外機構有效履行個人金融信息保密、數據刪除、案件協查等職責義務。
(e) 以下情形中,金融業機構共享、轉讓、公開披露個人金融信息無需徵得個人金融信息主體的授權同意:
與履行法律法規及行業主管部門規定的義務相關的;
與國家安全、國防安全直接相關的;
與公共安全、公共衛生、重大公共利益直接相關的;
與犯罪偵查、起訴、審判和判決執行等直接相關的;
出於維護個人金融信息主體或其他主體的生命、財產等重大合法權益但又很難得到本人同意的;
個人金融信息主體自行向社會公眾公開的;
從合法公開披露的信息中收集個人金融信息的,如合法的新聞報導、政府信息公開等渠道。
7.2 安全策略
7.2.1 安全制度體系建立與發布
金融業機構應建立個人金融信息保護制度體系,明確工作職責,規範工作流程。制度體系的管理範疇應涵蓋本機構、外包服務機構與外部合作機構,並確保相關制度發布並傳達給本機構員工及外部合作方。相關制度應至少包括個人金融信息保護管理規定、日常管理及操作流程、外包服務機構與外部合作機構管理、內外部檢查及監督機制、應急處理流程和預案。具體要求如下:
(a) 制定個人金融信息保護管理規定,提出本機構個人金融信息保護工作方針、目標和原則。
(b) 開展個人金融信息分類分級管理。應針對不同類別和敏感程度的個人金融信息,實施相應的安全策略和保障措施。
(c) 建立日常管理及操作流程。應對個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等環節提出具體保護要求,制定個人金融信息時效性管理規程,確保符合法律法規和行業主管部門有關規定。
(d) 建立信息系統分級授權管理機制。應在不影響履行反洗錢等法定義務的前提下,制定本機構人員個人金融信息調取許可權與使用範圍,並制定專門的授權審批流程。
(e) 建立個人金融信息脫敏(如禁止、去標識、匿名化等)管理規範和制度,應明確不同敏感級別個人金融信息脫敏規則、脫敏方法和脫敏數據的使用限制。
(f) 依據國家與行業有關標準,建立個人金融信息安全影響評估制度,應定期(至少每年一次)開展個人金融信息安全影響評估。
(g) 建立外包服務機構與外部合作機構管理制度,包括但不限於:
應對個人金融信息生命周期過程中相關的外包服務機構與外部合作機構進行審查與評估,評估其個人金融信息的保護能力是否達到國家、行業主管部門與金融業機構的要求;應通過協定或契約的方式,約束外包服務機構與外部合作機構不應留存 C2、C3 類別信息;對於 C2 類別信息中的支付賬號等信息,若因清分清算、差錯處理等業務需要確需留存,金融業機構應明確其保密義務與保密責任,並應根據安全要求落實安全控制措施,並將有關資料留檔備查;對可能訪問個人金融信息的外包服務機構、外部合作機構及其人員,金融業機構應要求外包服務機構與外部合作機構向有關人員傳達個人金融信息保護安全要求,與其簽署保密協定,並對協定履行情況進行監督。
不應將存儲個人金融信息的資料庫交由外部合作機構運維。
應定期對外包服務機構與外部合作機構的個人金融信息保護措施落實情況進行確認,確認的方式包括但不限於外部信息安全評估、現場檢查等。
國家法律法規與行業主管部門另有規定的,按照相關要求執行。
(h) 建立個人金融信息安全檢查及監督機制。應建立個人金融信息安全日常檢查機制和工作流程、定期評估個人金融信息管理方面存在的不足,及時調整檢查機制和工作流程。
(i) 應將個人金融信息泄露等相關事件處理納入機構信息安全事件應急處置工作機制,制定專門的流程和預案。定期評估應急處理流程和預案,及時保障、有效應對個人金融信息安全事件,降低安全事件造成的損失及不利影響。
(j) 建立個人金融信息投訴與申訴處理程式,明確投訴與申訴受理部門、處理程式,對個人金融信息主體要求更正或刪除金融業機構收集其個人金融信息的情況,應受理、核實,並依據國家與行業主管部門要求予以處理。
(k) 明確個人金融信息共享、存儲、使用和銷毀的期限,具備個人金融信息存儲時效性的控制能力。
7.2.2 組織架構崗位設定
組織架構及崗位設定具體要求如下:
(a) 應建立個人金融信息保護組織架構,明確機構各層級內設部門與相關崗位個人金融信息保護職責與總體要求。
(b) 應明確個人金融信息保護責任人和個人金融信息保護責任機構,並履行以下工作職責:
負責制定和管理本機構個人金融信息安全管理制度;
制定、實施、定期更新隱私政策和相關規程;
監督本機構內部,以及本機構與外部合作方個人金融信息安全管理;
開展信息安全管理內部審計、分析處理信息安全相關事件; 組織開展個人金融信息安全影響評估,提出個人金融信息保護的對策建議;
組織在金融產品或服務上線發布前進行技術檢測,避免未知(與金融產品或服務功能及隱私政策不符)的個人金融信息收集、使用、共享等處理行為;
公布投訴與申訴方式等信息並及時受理個人金融信息有關的投訴、申訴。
(c) 應明確在提供金融產品和服務的過程中知悉個人金融信息的崗位,並針對相關崗位明確其個人金融信息安全管理責任與保密責任,如不得未經授權的複製、存儲、使用個人金融信息,不得向他人出售或者以其他形式未經授權的共享、轉讓、披露個人金融信息等。
7.2.3 人員管理
對涉及個人金融信息相關人員的安全管理,具體要求如下:
(a) 錄用員工前,應進行必要的背景調查,並與所有可訪問個人金融信息的員工簽署保密協定,或在勞動契約中設定保密條款。
(b) 應定期開展內外部個人金融信息保護培訓與意識教育活動,並保留相關記錄。
(c) 在發生人員調離崗位時,應立即調整和完成相關人員的個人金融信息訪問、使用等許可權的配置,並明確有關人員後續的個人金融信息保護管理許可權和保密責任;若有關人員調整後的崗位不涉及個人金融信息的訪問與處理的,應明確其繼續履行有關信息的保密義務要求。
(d) 與員工終止勞動契約時,應立即終止並收回其對個人金融信息的訪問許可權,並明確其繼續履行有關信息的保密義務要求。
(e) 系統開發人員、系統測試人員與運維人員之間不應相互兼崗。
(f) 應定期(至少每年一次)或在隱私政策發生重大變化時,對個人金融信息處理崗位上的相關人員開展個人金融信息安全專業化培訓和考核,確保相關人員熟練掌握隱私政策和相關規程。
7.3 訪問控制
加強個人金融信息訪問控制管理,具體要求如下:
(a) 應根據“業務需要”和“最小許可權”原則,進行個人金融信息相關的許可權管理,嚴格控制和分配訪問、使用個人金融信息的許可權。
(b) 對於可訪問和處理個人金融信息的系統應設定基於角色的訪問控制策略,禁止賬戶共用。
(c) 傳輸、處理、存儲個人金融信息的系統默認用戶許可權應為“拒絕所有訪問”。
(d) 對個人金融信息使用的許可權管理應設定許可權指派、回收、過期處理等安全功能。
(e) 對存儲或處理個人金融信息的系統或設備進行遠程訪問時,應通過專線、VPN 等方式訪問,個人金融信息不應在遠程訪問設備上留存。
(f) 應對生產網路、開發測試網路、辦公網路以及相關非生產網路進行訪問控制。
(g) 應對個人金融信息訪問與個人金融信息的增刪改查等操作進行記錄,並保證操作日誌的完整性、可用性及可追溯性,操作日誌包括但不限於業務操作日誌、系統日誌等;系統運維管理類日誌不應記錄個人金融信息。
(h) 應對存儲個人金融信息的資料庫及操作日誌實施嚴格的用戶授權與訪問控制。
(i) 存儲或處理個人金融信息的相關物理設備或介質應在獲得審批授權後方可移入或移出機房受控區域,留存有 C2、C3 類別信息的物理設備或介質移入或移出區域應具有同等的安全保障措施。
7.4 安全監測與風險評估
7.4.1 監控與審計
監控與審計具體要求如下:
(a) 應識別並記錄包括但不限於管理員用戶、業務用戶對個人金融信息的訪問。
(b) 應對個人金融信息數據交換網路流量進行安全監控和分析,並存儲匹配安全規則的數據,以備事件溯源。
(c) 日誌檔案和匹配規則的數據應至少保存 6 個月,應定期對所有系統組件日誌進行審計,包括但不限於存儲、處理或傳輸個人金融信息的系統組件日誌、執行安全功能的系統組件日誌(如防火牆、入侵檢測系統、驗證伺服器等)、安全事件日誌等。
(d) 應採取技術手段對個人金融信息全生命周期進行安全風險識別和管控,如惡意代碼檢測、異常流量監測、用戶行為分析等。
7.4.2 安全檢查和評估
金融業機構應對個人金融信息生命周期全過程進行安全檢查和評估,範圍包括金融業機構以及與其合作的第三方機構(包含外包服務機構與外部合作機構)。個人金融信息的安全檢查和評估具體要求如下:
(a) 應依據制定的個人金融信息安全影響評估制度,在個人金融信息委託處理、共享與轉讓、公開披露等過程中,執行個人金融信息安全影響評估活動,並將評估報告歸檔保存。個人金融信息安全影響評估可由金融業機構自行組織開展,也可委託外部安全評估機構執行。
(b) 應每年至少開展一次對涉及收集、存儲、傳輸、使用個人金融信息的信息系統進行安全檢查或安全評估,包括但不限於以下方式及其組合:
對信息系統進行信息安全評估、漏洞掃描和滲透測試,並及時採取補救措施;
在信息系統組件或運行環境發生重大變更(或發現新的高安全等級威脅和漏洞)時,重新進行信息安全風險評估;
將個人金融信息保護納入金融業機構內部安全審計工作,定期開展安全審計,形成審計報告,並根據審計結果完善制度、流程。
(c) 對於個人金融信息中的支付信息部分,應採取自行評估或委託外部機構進行檢查評估,金融業機構以及與其合作的第三方機構應每年至少開展一次支付信息安全合規評估,對評估過程中發現的問題及時採取補救措施並形成報告存檔備查。
(d) 出現個人金融信息泄露事件,造成一定經濟損失(或社會影響)時,應及時委託外部安全評估機構重新進行相關安全評估與檢查活動,並將結果報送行業主管部門。
7.5 安全事件處置
安全事件處置具體要求如下:
(a) 應制定個人金融信息安全事件應急預案,明確安全事件處置流程和崗位職責。
(b) 應定期組織內部相關人員進行個人金融信息保護應急預案相關培訓和應急演練。
(c) 發生個人金融信息遺失、損毀、泄露或被篡改等安全事件後,應及時採取必要措施進行處置,控制事態發展,消除安全隱患,並及時告知受影響的個人金融信息主體,告知的內容應符合GB/T 35273—2017 關於安全事件告知內容的規定,告知的方式包括但不限於:
以郵件、信函、電話、推送訊息等方式及時告知受影響的個人金融信息主體;
難以逐一告知個人金融信息主體時,應採取合理、有效的方式發布與公眾有關的警示信息。
(d) 發現因系統漏洞或人為原因造成個人金融信息泄露時,應立即採取有效措施防止風險擴大,並向行業主管部門報告。
(e) 應記錄事件內容,分析和鑑定事件產生的原因,評估事件可能造成的影響,制定補救措施,並按國家與行業主管部門規定及時進行報告。
(f) 應建立投訴與申訴管理機制,包括跟蹤流程,並在規定的時間內,對投訴、申訴進行回響。
(g) 根據相關法律法規與行業主管部門有關規定的變化情況以及事件處置情況,及時評估並更新應急預案。
附錄A(資料性附錄)信息禁止
信息禁止指對某些敏感信息通過既定規則禁止(或截詞)全部(或部分)敏感信息,實現對敏感信息展示的可靠保護。通過信息禁止可使信息本身的安全等級降級,從而可以在開發、測試和其他非生產環境以及外包或雲計算環境中安全地使用脫敏後的信息集。藉助信息禁止(或截詞)技術,禁止敏感信息,並使禁止的信息保留其原始個人金融信息格式和屬性,以確保應用程式可在使用脫敏個人金融信息的開發與測試過程中正常運行。
註:截詞的目的在於永久刪除某條信息的某個數據段,僅存儲部分數據(如僅保留銀行卡卡號不超過前六位和後四位數)。
對外輸出的任何個人金融信息原則上應事先做禁止(或截詞)等脫敏處理(已經獲得用戶明示同意以及根據法律法規要求需要對外輸出的信息除外),脫敏處理包括但不限於:
——模糊化:指通過隱藏(或截詞)局部信息令該個人金融信息無法完整顯示,包括但不限於:
具體名稱 ID 化(如:以 12345 代替客戶法定名稱或 ID),具體 ID 哈希化,金額、筆數去絕對值化(如:區間分段、個位數及小數點取整等)、星號模糊化;
信息隱藏規則(預設):顯示前 1/3 和後 1/3(向下取整),其他用*號代替,這樣保留了部分信息,並且保證了信息的長度不變性,對信息持有者更易辨別,如手機、身份證號碼等。
——不可逆:指無法通過樣本信息倒推真實信息的方法,包括但不限於:
使用匿名、差分隱私等技術對真實信息進行處理,使其無法被識別,且處理後的信息不能被復原;
不應通過信息拼接、關聯得到完整的敏感信息記錄;
不應通過局部占比的信息得到全量信息。
針對特定類型信息的隱藏規則示例詳見表A.1。
表 A.1 個人金融信息隱藏規則及示例
參考文獻
[1] GB/T 13016—2018 標準體系構建原則和要求
[2] GB/T 13017—2018 企業標準體系表編制指南
[3] GB/T 18336.1—2015 信息技術 安全技術 信息技術安全評估準則 第1部分:簡介和一般模型
[4] GB/T 25000.10—2016 系統與軟體工程 系統與軟體質量要求和評價(SQuaRE) 第10部分:系統與軟體質量模型
[5] GB/T 26237.1—2010 信息技術 生物特徵識別數據交換格式 第1部分:框架
[6] GB/Z 28828—2012 信息安全技術 公共及商用服務信息系統 個人信息保護指南
[7] GM/Z 0001—2013 密碼術語
[8] JR/T 0061—2011 銀行卡名詞術語
[9] JR/T 0088.1—2012 中國金融移動支付 套用基礎 第1部分:術語
[10] JR/T 0156—2017 移動終端支付可信環境技術規範
[11] ISO/IEC 19785-2:2006 Information technology—Common biometric exchange formats framework—Part 2:Procedures for the operation of the biometric registration authority
[12] ISO/IEC 27018:2014 Information technology—security techniques—Code of practicefor protection of personally identifiable information (PII) in public clouds acting as PII processors
[13] ISO/IEC 29100:2011 Information technology—Security techniques—Privacy framework
[14] 中國人民銀行.中國人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知(銀髮〔2011〕17號),2011-01-21
[15] 中國人民銀行.中國人民銀行關於銀行業金融機構進一步做好客戶個人金融信息保護工作的通知(銀髮〔2012〕80號),2012-03-27
[16] 徵信業管理條例(國務院令 第631號),2013-01-21
[17] 中國人民銀行.中國人民銀行關於進一步加強銀行卡風險管理的通知(銀髮〔2016〕170號),2016-06-13
[18] 中國人民銀行.中國人民銀行關於印發《中國人民銀行金融消費者權益保護實施辦法》的通知(銀髮〔2016〕314號),2016-12-14
[19] 中國人民銀行.中國人民銀行關於印發《金融科技(FinTech)發展規劃(2019—2021年)》的通知(銀髮〔2019〕209號),2019-08-19
[20] 金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法(中國人民銀行 中國銀行業監督管理委員會 中國證券監督管理委員會 中國保險監督管理委員會令〔2007〕第2號),2007-06-21
社會影響
2021年2月25日,新華網訊息。近日,由中國計算機學會主辦、中國計算機學會計算機安全專業委員會承辦的2020年中國網路安全大事在京發布。此次活動通過對2020年重大網路安全事件的梳理,採用徵求業界部分專家意見和網路公開投票的方式,評選出10件2020年中國網路安全大事件。中國人民銀行正式發布新修訂的金融行業標準《個人金融信息保護技術規範》列入2020年中國網路安全十大事件。
