安全研究

一文看懂《个人金融信息保护技术规范》(文末附完整版)


2月13日,中国人民银行正式发布《个人金融信息保护技术规范》(JR/T 0171—2020)(以下简称“《规范》”)。该规范由中国人民银行提出,全国金融标准化技术委员会归口管理,由中国人民银行科技司提出并负责起草,多家单位参与起草。

一、规范概述

《规范》将个人金融信息按敏感程度、泄露后造成的危害程度,从高到低分为C3、C2、C1三个类别;同时,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。

01  规范作用

有助于规范金融业机构个人金融信息保护工作,提升金融数据风险防控能力,促进我国金融市场的健康发展;

有助于提高金融机构个人账户信息、银行卡信息安全管理水平,加大互联网交易风险防控力度,防范各类金融交易风险,切实维护金融稳定,保护金融消费者合法权益。

02  适用机构

《规范》适用的主体包括两大类:金融机构和获取个人金融信息的非金融机构。

03  基本原则

《规范》要求金融业机构应遵循“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则。

04  内容概况

《个人金融信息保护技术规范》全文共分为范围、规范性引用文件、术语和定义、个人金融信息概述、安全基本原则、安全技术要求、安全管理要求等七个章节。整体内容架构图如下:

二、个人金融信息分类分级

《规范》指出,个人金融信息是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息等7大类。

《规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。

类型

主要信息内容

危害程度

合规要求示例

C3(用户鉴别信息)

银行卡磁道

银行卡密码

网络支付密码;

 

账户登录密码

交易密码

 

生物识别信息

 

一旦遭到未经授权的查看或未经授权的变更,会 对个人金融信息主体的信息安全与财产安全造成严重危害

不应共享、转让,不得委托处理

C2(可识别信息主体身份与金融状况的个人金融信息)

支付账号

证件信息

手机号码

 

账户登录名

 

用户鉴别辅助信息

 

个人财产信息

信贷信息

 

交易信息

主体照片

音视频信息

 

一旦遭到未经授权的查看或未经授权的变更,会对个人 金融信息主体的信息安全与财产安全造成一定危害

除用户鉴别辅助信息外,经告知统一可以转让共享,可以委托处理

C1(机构内部的信息资产)

账户开立时间

开户机构

 

支付标记信息

 

一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与 财产安全造成一定影响

经告知统一可以共享、转让,可以委托处理

 

三、生命周期技术要求重点内容

01  信息收集

1)不应委托或授权无金融业相关资质的机构收集C3、C2类别信息。

2)C3类别信息,通过受理终端、客户端应用软件、浏览器等方式收集时,应使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取。

3)《规范》中要求金融机构应当采取技术措施(如弹窗、明显位置URL链接等),引导用户查阅隐身政策,并获得其明示同意后再开展收集个人金融信息。

02  信息传输

1)通过公共网络传输时,C2、C3类别信息应使用加密通道或数据加密的方式进行传输,保障个人金融信息传输过程的安全。

2)C3类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。

03  信息存储

1)C3类别信息应采用加密措施确保数据存储的保密性。

2)未取得信息主体与账户管理机构的授权,金融业从业机构不得留存非本机构的用户鉴别信息(C3类)。

04  信息使用

信息展示:处于未登录状态时,不应展示与个人金融信息主体相关的C3类别信息;处于已登陆状态时,除银行卡有效期外的C3类别信息不应明文展示。

共享和转让:C2类别中的支付账号及其等效信息在共享、转让时应当进行脱敏处理;C3类别信息及C2类别中的用户鉴别辅助信息不应共享、转让。

公开披露:C3类别信息及C2类别中的用户鉴别辅助信息不应公开披露;人生物识别信息,包括C3类别信息中的用于用户鉴别的个人生物识别信息,一律不得公开披露。

委托处理:C3类别及C2类别中的用户鉴别辅助信息,不应委托给第三方机构进行处理;对委托行为,需要确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施。

加工处理:可参照等保及相关标准,对个人金融信息的特殊保护应建立相关规范和机制,并能够对个人金融信息加工处理操作记录,对个人金融信息滥用行为进行有效的识别、监控和预警。

汇聚融合:汇聚融合的数据不能超出在信息收集时对主体所声明的使用范围;开展个人金融信息安全影响评估,并采取有效的技术保护措施。

开发测试:开发环境、测试环境不应使用真实的个人金融信息,如果测试需要应进行脱敏,可使用数据脱敏软件或编写脱敏规则进行脱敏。

05  删除与销毁

1)个人金融信息删除与销毁的区别,区分删除与销毁的关键即在于个人金融信息能否被恢复。

2)金融机构在委托第三方处理个人金融信息时,在委托关系解除后,金融机构应当要求受托方销毁所处理的个人金融信息。

四、安全运行技术要求重点内容

网络安全要求:承载与处理个人金融信息的信息系统应满足国家等级保护及金融行业等级保护的基本要求,并且存储个人金融信息的数据库应处于金融业机构可控网络内,设置有效的访问控制措施。

WEB应用和客户端软件安全要求:涉及C2、C3类别信息的Web应用应具有防篡改和防web攻击的措施,并具备对处理个人金融信息的系统组件进行实时监测的能力;要求处理个人金融信息相关的 Web 应用系统与组件上线前应进行安全评估。

五、安全管理要求重点内容

《规范》的安全管理要求共5大类10个子类,从安全准则、安全策略、访问控制、安全监控和风险评估、安全事件处置五方面进行了安全管理要求。重点包括对个人金融信息收集、存储、使用的安全管理要求,对个人金融信息安全管理的制度、组织、人员、访问控制、安全事件的安全管理要求。除相对传统的安全管理外,比较特殊的管理准则包括:

01  收集

1)  收集渠道:柜面、信息系统、金融自助设备、受理终端、客户端应 用软件等渠道。

2)  向个人金融信息主体明示收集与使用个人金融信息的目的、方式、范围和规则等,获得个人金融信息主体的授权同意。

02  存储

1)  满足国家法律法规与行业主管部门有关规定要求。

2)  并符合个人金融信息 主体授权使用的目的所必需的最短时间要求。

3)  超过期限后,应对收集的个人金融信息进行删除或匿名化处理。

03  使用

1)  原则上不应共享、转让、公开披露其收集的个人金融信息。

2)  C3类别信息以及 C2类别信息中的用户鉴别辅助信息不应共享、转让、公开披露。

3)境内收集的个人金融信息应在境内存储、处理和分析。

六、欧冠联赛投注解决方案

1、个人金融信息整体防护框架

2、个人金融信息生命周期技术防护体系

3、个人金融信息技术防护架构(欧冠联赛投注)

4、个人金融信息管理制度体系

5、个人金融信息保护工作开展流程