按:因昨晚的图片版中有个技术问题需处理,先删掉。今天重发,并特意将其转录为文字版(PDF半见文后),供学习参考,如有文字错误敬请拜谢,并在留言区留言以便后续更正为谢。
中华人民共和国金融行业标准
JR/T 0171-2020个人金融信息保护技术规范Personal financial information protection technical specification2020-02- 13 发布2020-02- 13 实施
中国人民银行 发布
个人金融信息是个人信息在金融领域围绕帐户信息、鉴别信息、金融交易信息、个人身分信息、财 产信息、借贷信息等方面的扩充与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄漏,不但会直接侵犯个人金融信息主体的合法权益、影响金融业机构的正常营运,甚至可能会带来系统性金融风险。为强化个人金融信息安全管理,指 导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,维护金融市场稳定, 编制本标准。
个人金融信息保护技术规范
1范围
本标准规定了个人金融信息在搜集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护 要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构举办安全检测与评估工作提供参考。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的更改单)适用于本文件。
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 25069—2010 信息安全技术 术语GB/T 31186.2-2014 银行顾客基本信息描述规范 第2部份:名称GB/T 31186.3-2014 银行顾客基本信息描述规范 第3部份:识别标示GB/T 35273-2017 信息安全技术 个人信息安全规范JR/T 0068-2020 网上建行系统信息安全通用规范JR/T 0071 金融行业信息系统信息安全等级保护施行指引JR/T 0092-2019 移动金融客户端应用软件安全管理规范JR/T 0149-2016 中国金融移动支付支付标记化技术规范JR/T 0167-2018 云计算技术金融应用规范安全技术要求
3术语和定义
GB/T 25069-2010、GB/T 35273-2017划分的以及下述术语和定义适用于本文件。
3.1
金融业机构 financial industry institutions
本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
3.2
个人金融信息 personalfinancial information
金融业机构通过提供金融产品和服务或则其他渠道获取、加工和保存的个人信息。注1:本标准中的个人金融信息包括帐户信息、鉴别信息、金融交易信息、个人身分信息、财产信息、借贷信息及 其他反映特定个人个别情况的信息。注 2:改写 GB/T 35273-2017,定义 3.1。
3.3
支付敏感信息 payment sensitive information
支付信息中涉及支付主体隐私和身分辨识的重要信息。注:支付敏感信息包括但不限于交行卡扇区数据或芯片等效信息、卡片验证码、卡片有效期、银行卡密码、网络支 付交易密码等用于支付信令的个人金融信息。
3.4
个人金融信息主体 persona I financial information subject
个人金融信息所标示的自然人。注:改写GB/T 35273-2017,定义3. 3。
3.5个人金融信息控制者 persona I financial information controller有权决定个人金融信息处理目的、方式等的机构。注:改写GB/T 35273-2017,定义3. 4。
3.6
收集 collect
获得个人金融信息的控制权的行为。注1:收集行为包括由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等手动釆集行为,以及通过共享、转让、搜集公开信息等间接获取个人金融信息等行为。注2:如金融产品或服务提供者提供工具供个人金融信息主体使用,提供者不对个人金融信息诳行访问的,则不属 于本标准所称的搜集。例如手机建行客户端应用软件在终端获取用户指纹特点信息用于本地信令后,指纹特 征信息不回传至提供者,则不属于用户指纹特点倍息的搜集行为。注 3:改写 GB/T 35273-2017,定义 3.5。
3.7
公开披露 public disclosure
向社会或不特定群体发布信息的行为。[GB/T 35273-2017,定义3.10]
3.8
转让 transfer of control
将个人金融信息控制权由一个控制者向另一个控制者转移的过程。注:改写GB/T 35273-2017,定义3.11。
3.9
共享 sharing
个人金融信息控制者向其他控制者提供个人金融信息,且双方分别对个人金融信息拥有独立控制权的过程。注:改写GB/T 35273-2017,定义3.12。
3.10
个人金融信息安全影响评估 personal financial information security impact assessment
针对个人金融信息处理活动,检验其合法合规程度,判断其对个人金融信息主体合法权益导致损害 的各类风险,以及评估用于保护个人金融信息主体的各项举措有效性的过程。注:改写GB/T 35273-2017,定义3. 8。
3.11
支付帐号 payment account
具有金融交易功能的建行帐户、非交行支付机构支付帐户及交行卡卡号。注:改写JR/T 0149-2016,定义3.1。
3. 12
支付标记 payment token (Token)
作为支付帐号等原始交易要素的取代值,用于完成特定场景支付交易。
[JR/T 0149-2016,定义3.2]
3. 13
磁道数据track data
一磁、二磁和三磁定义的必备或可选的数据元。注:磁道数据可以在数学卡的磁条上,也可以被包含在集成电路或则其他媒介上。[JR/T 0061-2011,定义3. 20]
3.14
卡片验证码 card verification number;CVN
对磁条信息合法性进行验证的代码。[JR/T 0061-2011,定义8. 7]
3.15
卡片验证码 2 card verification number 2;CVN2
在邮购或电话购买等非面对面交易中对农行卡卡片合法性进行验证的代码。[JR/T 0061-2011,定义8.8]
3.16
动态口令 one-time-password (OTP), dynamic password
基于时间、事件等方法动态生成的一次性口令。[GM/Z 0001-2013,定义2. 15]
3.17
短信动态密码 SMS dynamic code
短信验证码SMS code
后台系统以手机邮件方式发送到用户绑定手机上的随机数,用户通过回复该随机数进行身分认证。[JR/T 0088. 1-2012,定义2.44]
3.18
客户法定名称 customer's Legal name
在法律上认可的顾客名称。注1:客户法定名称一股记录在国家授权部门颁授给顾客的护照上,本标准顾客主要指自然人顾客。注 2:改写 GB/T 31186.2—2014,定义 3. 2。
3. 19
证件类辨识标示legal discriminating ID
由国家法定有权部门颁授,能够惟一确定顾客的且具有法律效力的标示。注1:证件类辨识标示是外源性数据。外源性数据意味若数据的使用者不是数据的所有者,数据在形成、变更、废 止后可能不为数据的使用者所知悉。注2:本标准的使用者因本身业务需求而形成的内部护照类标示,不应在使用者外部使用,也不具有法律效力。注 3:改写 GB/T 31186. 3-2014,定义 3.2。
3. 20
未经授权的查看unauthorized reading
未得到信息的所有者或有权授权人授权对信息的查看。注1:未经授权的査看可能是善意的,也可能是恶意的:信息处理者无意泄漏的未经授权的査看为信息泄漏风波;攻击者通过使相关安全举措无效的举措有意获取的未经授权的査看为信息泄露风波。注2:非法査看是对未经授权的査看的一种不严谨但在特定的语境下并无二义性的提法。
3. 21
未经授权的变更 unauthorized altering
未得到信息的所有者或有权授权人授权对信息的变更。注1:未经授权的变更典型地分为未经授权的増加(即増加全新的内容)、未经授权的修改(即更改现有的内容)或未经授权的删掉(即删掉原有的内容)三种情况,也可能是三种情况的组合。注2:未经授权的变更可能是善意的,也可能是恶意的;往往表现为信息篡改风波、信息冒充风波、信息遗失风波等。注3:非法变更是对未经授权的变更的一种不严谨但在特定的语境下并无二义性的提法。
3. 22
明示同意 explicit consent
个人金融信息主体通过书面申明或主动做出肯定性动作,对其个人金融信息进行特定处理做出明晰 授权的行为。注1:肯定性动作包括个人金融信息主体主动作出申明(电子或纸质方式)、主动勾选、主动点击“同意” “注册” “发送” “拨打”、主动填写或提供等。注 2:改写 GB/T 35273-2017,定义 3.6。
3. 23
匿名化 anonymization
通过对个人金融信息的技术处理,使得个人金融信息主体难以被辨识,且处理后的信息不能被复原 的过程。注1:个人金融信息经匿名化处理后所得的信息不属于个人金融信息。注 2:改写 GB/T 35273—2017,定义 3.13。
3. 24
去标识化 de-idenification
通过对个人金融信息的技术处理,使其在不依靠额外信息的情况下,无法辨识个人金融信息主体的过程。注1:去标识化仍构建在个体基础之上,保留了个体颗粒度,采用假名、加密、加盐的哈希函数等技术手段代替对个人金融信息的标示。注 2:改写 GB/T 35273-2017,定义 3.14。
3.25
删除 delete
在金融产品和服务所涉及的系统中清除个人金融信息的行为,使其保持不可被检索、访问的状态。注:改写GB/T 35273-2017,定义3.9。
4个人金融信息概述
4.1个人金融信息内容
个人金融信息包括帐户信息、鉴别信息、金融交易信息、个人身分信息、财产信息、借贷信息和其他反映特定个人金融信息主体个别情况的信息,具体如下:a)账户信息指帐户及帐户相关信息,包括但不限于支付帐号、银行卡扇区数据(或芯片等效信息)、银行卡有效期、证券帐户、保险帐户、账户开立时间、开户机构、账户余额以及基于上述信息 产生的支付标记信息等。b)鉴别信息指用于验证主体是否具有访问或使用权限的信息,包括但不限于交行卡密码、预付卡支付密码;个人金融信息主体登陆密码、账户査询密码、交易密码;卡片验证码(CVN和CVN2)、动态口令、短信验证码、密码提示问题答案等。c)金融交易信息指个人金融信息主体在交易过程中形成的各种信息,包括但不限于交易金额、支付记录、透支记录、交易日志、交易账簿;证券委托、成交、持仓信息;保单信息、理赔信息等。d)个人身分信息指个人基本信息、个人生物辨识信息等:e)财产信息指金融业机构在提供金融产品和服务过程中,收集或生成的个人金融信息主体财产信 息,包括但不限于个人收入状况、拥有的不动产状况、拥有的汽车状况、纳税额、公积金存缴金额等。f)借贷信息指个人金融信息主体在金融业机构发生借贷业务形成的信息,包括但不限于授信、信 用卡和按揭的领取及还贷、担保情况等。g)其他信息:
4.2个人金融信息类别
根据信息受到未经授权的查看或未经授权的变更后所形成的影响和害处,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。具体如下:
a)C3类别信息主要为用户分辨信息。该类信息一旦受到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全导致严重害处,包括但不限于:b)C2类别信息主要为可辨识特定个人金融信息主体身分与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦受到未经授权的査看或未经授权的变更,会对个人 金融信息主体的信息安全与财产安全导致一定害处,包括但不限于:c)C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦受到未经授权的査看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全导致一定影响,包括但不限于:个人金融信息主体因业务须要(如按揭)主动提供的有关家庭成员信息(如身份证号码、手机号码、 财产信息等),应根据C3、C2、C1敏感程度类别进行分类,并施行针对性的保护举措。两种或两种以上的低敏感程度类别信息经过组合、关联和剖析后可能形成髙敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应根据服务场景以及该信息在其中的作用对信息的类别进行辨识,并施行针对性的保护举措。
4.3个人金融信息生命周期
个人金融信息生命周期指对个人金融信息进行搜集、传输、存储、使用、删除、销毁等处理的整个过程,各环节描述如下:
a)收集:对个人金融信息主体各种信息进行获取和记录的过程。b)传输:个人金融信息在终端设备、信息系统内或信息系统间传递的过程.c)存储:个人金融信息在终端设备、信息系统内保存的过程。d)使用:对个人金融信息进行展示、共享和出售、公开披露、委托处理、加工处理等操作的过程。e)删除:使个人金融信息不可被检索、访问的过程。f)销毁:对个人金融信息进行清理,使其不可恢复的过程。
5 安全基本原则
金融业机构应遵守GB/T 35273-2017的要求,以“权责一致、目的明晰、选择同意、最少够用、 公开透明、确保安全、主体参与”的原则,设计并施行覆盖个人金融信息全生命周期的安全保护策略。
6 安全技术要求
6.1生命周期技术要求
6.1.1 收集
应按照信息类别确定个人金融信息搜集方案。具体技术要求如下:a)不应委托或授权无金融业相关资质的机构搜集C3、C2类别信息。b)应确保搜集信息来源的可溯源性。c)应采取技术举措(如弹窗、明显位置URL链接等),引导个人金融信息主体查阅隐私新政,并获得其明示同意后,开展有关个人金融信息的搜集活动。d)对于C3类别信息,通过受理终端、客户端应用软件、浏览器等方法搜集时,应使用加密等技术举措保证数据的保密性,防止其被未授权的第三方获取。e)通过受理终端、客户端应用软件与浏览器等方法引导用户输入(或设置)银行卡密码、网络支付密码时,应釆取展示屏蔽等举措避免密码明文显示,其他密码类信息宜采取展示屏蔽举措。f)在网路支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效举措避免合作机构获取、留存支付敏感信息。g)在停止提供金融产品或服务时,应及时停止继续搜集个人金融信息的活动。
6.1.2 传输
个人金融信息传输过程的参与方应保证信息在传输过程中的保密性、完整性和可用性,具体技术要求如下:a)应完善相应的个人金融信息传输安全策略和规程,采用满足个人金融信息传输安全策略的安全 控制举措,如安全通道、数据加密等技术举措。b)传输个人金融信息前,通信双方应通过有效技术手段进行身分鉴定和认证。c)通过公共网路传输时,C2、C3类别信息应使用加密通道或数据加密的方法进行传输,保障个人金融信息传输过程的安全;对于C3类别中的支付敏感信息,其安全传输技术控制举措应符合有关行业技术标准与行业主管部门有关规定要求。d)应按照个人金融信息的不同类别,釆用技术手段保证个人金融信息的安全传输;低敏感程度类别的个人金融信息因参与身分鉴定等关键活动引起敏感程度上升的(如,经组合后构成交易授权完整要素的情况),应提高相应的安全传输保障手段。e)个人金融信息传输的接收方应对接收的信息进行完整性校准。f)应完善有效机制对个人金融信息传输安全策略进行初审、监控和优化,包括对通道安全配置、 密码算法配置、密钥管理等保护举措的管理和监控。g)应采取有效举措(如个人金融信息传输链路冗余)保证数据传输可靠性和网路传输服务可用性。
6.1.3储存
个人金融信息储存的具体技术要求如下:
a)不应存留非本机构的交行卡扇区数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN 和CVN2)、银行卡密码、网络支付密码等C3类别信息。若确有必要存留的,应取得个人金融 信息主体及帐户管理机构的授权。b)应按照个人金融信息的不同类别,釆用技术手段保证个人金融信息的储存安全;低敏感程度类别的个人金融信息因参与身分鉴定等关键活动引起敏感程度上升的(如,经组合后构成交易授 权完整要素的情况),应提高相应的安全储存保障手段。c)C3类别个人金融信息应采用加密举措确保数据储存的保密性。d)受理终端、个人终端及客户端应用软件均不应储存交行卡扇区数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生 物辨识信息的样本数据、模板,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时给以清理。e)釆取必要的技术和管控举措保证个人金融信息储存转移过程中的安全性。f)应将去标识化、匿名化后的数据与可用于恢复辨识个人的信息采取逻辑隔离的方法进行储存, 确保去标识化、匿名化后的信息与个人金融信息不被混用。g)在停止营运时,应根据国家法律法规与行业主管部门有关规定要求,对所储存的个人金融信息 进行妥善处置,或移交国家与行业主管部门指定的机构继续保存。
6. 1.4使用
6. 1.4. 1信息展示
提供业务代办与査询等功能的应用软件,对个人金融信息展示具体技术要求如下:
a)依据国家法律法规与行业主管部门有关规定要求,对通过计算机屏幕、客户端应用软件、银行卡受理设备、自助终端设备、纸面(如受理终端复印出的交易收据等交易账簿)等界面展示的个人金融信息应采取信息屏蔽(或截词)等处理举措,降低个人金融信息在展示环节的泄漏风险。注1:关于信息屏蔽(或截词)的使用方法,参见附表A。注2:金融业机构柜面复印的账簿根据有关规范执行。b)处于未登入状态时,不应展示与个人金融信息主体相关的C3类别信息。c)处于己登入状态时,个人金融信息展示的技术要求如下:应用软件的后台管理与业务支撑系统,对个人金融信息展示具体技术要求如下:a)除交行卡有效期外,C3类别信息不应明文展示。b)应采取技术举措防范个人金融信息在展示过程中外泄或被未经授权的拷贝。c)后台系统对支付帐号、客户法定名称、支付预留手机号码、证件类或其他类辨识标示信息等展 示宜进行屏蔽处理,如需完整展示,应做好这种信息管理,采取有效举措防范未经授权的拷贝。d)后台系统不应具备开放式査询能力,应严格限制批量査询。e)对于确有明文查看须要的业务场景可以保留明文查看权限,后台系统应对所有查询操作进行细细度的授权与行为审计。应避免通过散列碰撞等方式推论出完整的数据,若使用“截词”的方法进行部份数组的屏蔽处理, 不应用散列取代数组被截词的部份。
6. 1.4.2共享和出售
个人金融信息在共享和出售的过程中,应充分注重信息转移或交换过程中的安全风险,具体技术要求如下:
a)在共享和出售前,应举办个人金融信息安全影响评估,并根据评估结果采取有效举措保护个人金融信息主体权益。b)在共享和出售前,应举办个人金融信息接收方信息安全保障能力评估,并与其签订数据保护责任承诺。c)支付帐号及其等效信息在共享和出售时,除法律法规和行业主管部门另有规定外,应使用支付标记化(按照JR/T 0149-2016)技术进行脱敏处理(因业务须要难以使用支付标记化技术时, 应进行加密),防范信息泄漏风险。d)应布署信息防泄漏监控工具,监控及报告个人金融信息的违法外发行为。e)应布署流量监控技术举措,对共享、转让的信息进行监控和审计。f)应按照“业务须要”和“最小权限”原则,对个人金融信息的导入操作进行细细度的访问控制与全过程审计,应采取两种或两种以上鉴定技术对导入信息操作人员进行身分鉴定。g)应定期检査或评估信息导入通道的安全性和可靠性。h)使用外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)进 行信息共享与出售时,应定期检査或评估信息共享工具、服务组件和共享通道的安全性和可靠性,并存留检査或评估结果记录。i)应执行严格的初审程序,并确切记录和保存个人金融信息共享和出售情况。记录内容应包括但 不限于日期、规模、目的、范围,以及数据接收方基本情况与使用意图等,并应确保对共享和 转让的信息及其过程可被溯源。j)应采取有效技术防护举措,防范信息转移过程中被除信息发送方与接收方之外的其他个人、组 织和机构查获和借助。
6.1.4.3公开披露
个人金融信息原则上不得公开披露。金融业机构经法律授权或具备合理事由确需公开披露时,具体 技术要求如下:a)应事先举办个人金融信息安全影响评估,并根据评佔结果采取有效的保护个人金融信息主体权 益的举措。b)不应公开披露个人生物辨识信息。c)应确切记录和保存个人金融信息的公开披露情况,包括公开披露的日期、规模、目的、内容、 公开范围等。
6. 1.4. 4委托处理
金融业机构因金融产品或服务的须要,将搜集的个人金融信息委托给第三方机构(包含外包服务机 构与外部合作机构)处理时,具体技术要求如下:
a)委托行为不应超出己征得个人金融信息主体授权同意的范围或遵守7.1中对于征得授权同意 的例外所规定的情形,并确切记录和保存委托处理个人金融信息的情况。b)C3以及C2类别信息中的用户分辨辅助信息,不应委托给第三方机构进行处理。转接清算、登记结算等情况,应根据国家有关法律法规及行业主管部门有关规定与技术标准执行。c)对委托处理的信息应釆用去标识化(不应仅使用加密技术)等方法进行脱敏处理,降低个人金 融信息被泄漏、误用、滥用的风险。d)应对委托行为进行个人金融信息安全影响评佔,并确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施。e)应对第三方机构等受委托者进行监督,方式包括但不限于: 依据7. 2.1的要求,通过协议等形式规定受委托者的责任和义务; 依据7.4.2的要求,对受委托者进行安全检査和评估。f)应对外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检查,确保其个人金融信息搜集、使用行为符合约定要求;并对其搜集个人金融信息的 行为进行审计,发现超出约定行为及时切断接入。
6.1.4.5加工处理
个人金融信息在加工处理的过程中,具体技术要求如下:a)应采取必要的技术手段和管理举措,确保在个人金融信息清洗和转换过程中对信息进行保护, 对C2、C3类别信息,应采取愈加严格的保护举措。b)应对匿名化或去标识化处理的数据集或其他数据集凝聚后重新辨识出个人金融信息主体的风险进行辨识和评价,并对数据集采取相应的保护举措。c)应完善个人金融信息防泄漏控制规范和机制,防止个人金融信息处理过程中的调试信息、日志 记录等因不受控制的输出而窃取受保护的信息。d)应具备信息化技术手段或机制,对个人金融信息滥用行为进行有效的辨识、监控和预警。e)应具备完整的个人金融信息加工处理操作记录和管理能力,记录内容包括但不限于日期、时间、 主体、事件描述、事件结果等。
6. 1.4. 6凝聚融合
个人金融信息凝聚融合的技术要求如下:a)汇聚融合的数据不应超出搜集时所申明的使用范围。因业务须要确需超范围使用的,应再度征 得个人金融信息主体明示同意。b)应按照凝聚融合后的个人金融信息类别及使用目的,开展个人金融信息安全影响评估,并采取有效的技术保护举措。
6.1.4. 7开发测试
个人金融信息在开发测试过程中的具体技术要求如下:a)应对开发测试环境与生产环境进行有效隔离。b)开发环境、测试环境不应使用真实的个人金融信息,应使用虚构的或经过去标识化(不应仅使用加密技术)脱敏处理的个人金融信息,账号、卡号、协议号、支付指令等测试确需信息除外。
6.1.5删掉
个人金融信息在删掉过程中的具体技术要求如下:a)应釆取技术手段,在金融产品和服务所涉及的系统中清除个人金融信息,使其保持不可被检索和访问。b)个人金融信息主体要求删掉个人金融信息时,金融业机构应根据国家法律法规、行业主管部门有关规定以及与个人金融信息主体的约定给以响应。
6.1.6销毁
个人金融信息在销毁过程中的具体技术要求如下:a)应完善个人金融信息销毁策略和管理制度,明确销毁对象、流程、方式和要求。b)应对个人金融信息储存介质销毁过程进行监督与控制,对待销毁介质的登记、审批、介质交接、 销毁执行等过程进行监督。c)销毁过程应保留有关记录,记录起码应包括销毁内容、销毁方法号时间、销毁人签字、监督人 签字等内容。d)存储个人金融信息的介质如不再使用,应采用不可恢复的方法(如消磁、焚烧、粉碎等)对介质进行销毁处理;存储个人金融信息的介质如还需继续使用,不应只采用删掉索引、删除文件系统的方法进行信息销毁,应通过多次覆写等方法安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或则以其他方式加以借助。e)云环境下有关数据清理应根据JR/T 0167-2018的9. 6执行。
6.2安全运行技术要求
6. 2.1网路安全要求
承载与处理个人金融信息的信息系统应符合国家网路安全相关规定与GB/T 22239-2019. JR/T 0071的要求。存储个人金融信息的数据库应处于金融业机构可控网路内,并进行有效的访问控制。
6. 2.2 Web应用安全要求
涉及C2、C3类别信息的Web应用的安全技术要求如下:
a)应具备对网站页面篡改、网站页面源代码曝露、穷举登陆尝试、重放攻击、SQL注入、跨站脚本攻击、钓鱼、木马以及任意文件上传、下载等已知漏洞的防范能力。b)处理个人金融信息相关的Web应用系统与组件上线前应进行安全评估。c)应具备对处理个人金融信息的系统组件进行实时检测的能力,有效辨识和制止来自内外部的非法访问。
6. 2.3客户端应用软件安全要求
与个人金融信息相关的客户端应用软件及应用软件开发工具包(SDK)应符合JR/T 0092—2019、 JR/T 0068—2020客户端应用软件有关安全技术要求,并在上絞前进行安全评估。
6. 2.4密码技术与密码产品要求
使用的密码技术及产品应符合国家密码管理部门与行业主管部门要求。
7安全管理要求
7.1安全准则
7.1.1搜集
个人金融信息搜集的方法包括但不限于通过柜面、信息系统、金融自助设备、受理终端、客户端应用软件等渠道获取。金融业机构应遵守合法、正当、必要的原则,向个人金融信息主体明示搜集与使用个人金融信息的目的、方式、范围和规则等,获得个人金融信息主体的授权同意,并满足以下要求:a)收集个人金融信息的基本规则如下:b)收集个人金融信息应遵守最小化要求,收集个人金融信息的目的应与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联。直接关联是指无该个人金融信息参与未能实现前述目的。c)收集个人金融信息时授权同意的具体要求如下:收集个人金融信息前,应向个人金融信息主体明晰告知金融产品或服务需搜集的个人金融信息类别,以及搜集、使用个人金融信息的规则(如:收集和使用个人金融信息的目的、 收集方法、自身的数据安全能力、对外共享、转让、公开披露的规则、投诉与申述的集 道及响应期限等),并获得个人金融信息主体的明示同意。间接获取个人金融信息时,应要求个人金融信息提供方说明个人金融信息来源,并对其个 人金融信息来源的合法性进行确认:应了解个人金融信息提供方已获得的授权内容,包括使用目的,个人金融信息主体是否授权同意出售、共享、公开披露等情况:因业务须要金融业机构确需超出原授权范围处理个人金融的,应在使用个人金融信息前,征得个人金融信息主体的明示同意。d)以下情形搜集使用个人金融信息无需征得个人金融信息主体的授权同意 与履行国家法律法规及行业主管部门有关规定的义务相关的;
7.1.2储存
个人金融信息的储存期限应满足国家法律法规与行业主管部门有关规定要求,并符合个人金融信息主体授权使用的目的所必需的最短时间要求。超过该时限后,应对搜集的个人金融信息进行删掉或匿名化处理。
7.1.3使用
个人金融信息在信息展示、共享与出售、公开披露、委托处理、加工处理、汇聚融合等方面,应遵 循6. 1.4. 1-6. 1.4. 6的要求,并满足以下要求:a)除法律法规与行业主管部门另有规定或举办金融业务所必需的数据共享与出售(如转接清算 等)外,金融业机构原则上不应共享、转让其搜集的个人金融信息,确需共享、转让的,应充分注重信息安全风险,具体要求如下:b)金融业机构原则上不应公开披露其搜集的个人金融信息,经法律授权或具备合理理由确需公开 披露个人金融信息的,具体要求如下: 应向个人金融信息主体告知公开披露个人金融信息的目的、类别,并事先征 得个人金融信 息主体的同意,并向其告知涉及的信息内容:c)因金融产品或服务的须要,将搜集的个人金融信息委托给第三方机构(包含外包服务机构与外 部合作机构)处理的,具体要求如下:d)在中华人民共和国境内提供金融产品或服务过程中搜集和形成的个人金融信息,应在境内储存、处理和剖析。因业务须要,确需向境外机构(含总公司、母公司或分公司、子公司及其他 为完成该业务所必需的关联机构)提供个人金融信息的,具体要求如下:e)以下情形中,金融业机构共享、转让、公开披露个人金融信息无需征得个人金融信息主体的授 权同意:
7.2安全策略
7.2.1安全制度体系构建与发布
金融业机构应完善个人金融信息保护制度体系,明确工作职责,规范工作流程。制度体系的管理范 畴应囊括本机构、外包服务机构与外部合作机构,并确保相关制度发布并传达给本机构职工及外部合作方。相关制度应起码包括个人金融信息保护管理规定、日常管理及操作流程、外包服务机构与外部合作 机构管理、内外部检测及监督机制、应急处理流程和预案。具体要求如下:a)制定个人金融信息保护管理规定,提出本机构个人金融信息保护工作方针、目标和原则。b)开展个人金融信息分类分级管理。应针对不同类别和敏感程度的个人金融信息,实施相应的安全策略和保障举措。c)建立日常管理及操作流程。应对个人金融信息的搜集、传输、存储、使用、删除、销毁等环节 提出具体保护要求,制定个人金融信息时效性管理规程,确保符合法律法规和行业主管部门有 关规定。d)建立信息系统分级授权管理机制。应在不影响履行反洗钱等法定义务的前提下,制定本机构人 员个人金融信息调阅权限与使用范围,并制订专门的授权审批流程。e)建立个人金融信息脱敏(如屏蔽、去标示、匿名化等)管理规范和制度,应明晰不同敏感级别个人金融信息脱敏规则、脱敏方式和脱敏数据的使用限制。f)依据国家与行业有关标准,建立个人金融信息安全影响评估制度,应定期(至少每年一次)开展个人金融信息安全影响评估。g)建立外包服务机构与外部合作机构管理制度,包括但不限于:h)建立个人金融信息安全检査及监督机制。应完善个人金融信息安全日常检査机制和工作流程、 定期评估个人金融信息管理方面存在的不足,及时调整检测机制和工作流程。i)应将个人金融信息泄漏等相关风波处理列入机构信息安全风波应急处置工作机制,制定专门的流程和预案。定期评估应急处理流程和预案,及时保障、有效应对个人金融信息安全风波,降低安全风波导致的损失及不利影响。J)建立个人金融信息投诉与申述处理程序,明确投诉与申述受理部门、处理程序,对个人金融信息主体要求更正或删掉金融业机构搜集其个人金融信息的情况,应受理、核实,并根据国家与行业主管部门要求给以处理。k)明确个人金融信息共享、存储、使用和销毁的年限,具备个人金融信息储存时效性的控制能力。
7.2.2组织构架岗位设置
组织构架及岗位设置具体耍求如下:
a)应完善个人金融信息保护组织构架,明确机构各层级内设部门与相关岗位个人金融信息保护职 责与总体要求。b)应明晰个人金融信息保护责任人和个人金融信息保护责任机构,并履行以下工作职责:c)应明晰在提供金融产品和服务的过程中知悉个人金融信息的岗位,并针对相关岗位明晰其个人 金融信息安全管理责任与保密责任,如不得未经授权的复制、存储、使用个人金融信息,不得 向别人转让或则以其他方式未经授权的共享、转让、披露个人金融信息等。
7. 2.3人员管理
对涉及个人金融信息相关人员的安全管理,具体要求如下:
a)录用职工前,应进行必要的背景调査,并与所有可访问个人金融信息的职工签订保密协议,或 在劳动协议中设置保密条款。b)应定期举办内外部个人金融信息保护培训与意识教育活动,并保留相关记录。c)在发生人员调职岗位时,应立刻调整和完成相关人员的个人金融信息访问、使用等权限的配置, 并明晰有关人员后续的个人金融信息保护管理权限和保密责任;若有关人员调整后的岗位不涉及个人金融信息的访问与处理的,应明晰其继续履行有关信息的保密义务要求。d)与职工中止劳动协议时,应立刻中止并收回其对个人金融信息的访问权限,并明谪其继续履行有关信息的保密义务要求。e)系统开发人员、系统测试人员与运维人员之间不应互相兼岗。f)应定期(至少每年一次)或在隐私新政发生重大变化时,对个人金融信息处理肉位上的相关人员举办个人金融信息安全专业化培训和考评,确保相关人员熟练把握隐私新政和相关规程。
7.3访问控制
加强个人金融信息访问控制管理,具体要求如下:
a)应按照“业务须要”和“最小权限”原则,进行个人金融信息相关的权限管理,严格控制和分配访问、使用个人金融信息的权限。b)对于可访问和处理个人金融信息的系统应设置基于角色的访问控制策略,禁止帐户共用。c)传输、处理、存储个人金融信息的系统默认用户权限应为“拒绝所有访问”。d)对个人金融信息使用的权限管理应设置权限委派、回收、过期处理等安全功能。e)对储存或处理个人金融信息的系统或设备进行远程访问时,应通过专线、VPN等方法访问,个人金融信息不应在远程访问设备上存留。f)应对生产网路、开发测试网路、办公网路以及相关非生产网路进行访问控制。g)应对个人金融信息访问与个人金融信息的增删改査等操作进行记录,并保证操作日志的完整 性、可用性及可追溯性,操作日志包括但不限于业务操作日志、系统日志等;系统运维管理类 日志不应记录个人金融信息。h)应对储存个人金融信息的数据库及操作日志施行严格的用户授权与访问控制。i)存储或处理个人金融信息的相关数学设备或介质应在获得审批授权后方可移入或移出机房受 控区域,留存有C2、C3类别信息的化学设备或介质移入或移出区域应具有同等的安全保障措 施。
7.4安全检测与风险评估
7. 4.1监控与审计
监控与审计具体要求如下:
a)应辨识并记录包括但不限于管理员用户、业务用户对个人金融信息的访问。b)应对个人金融信息数据交换网路流量逬行安全监控和剖析,并储存匹配安全规则的数据,以备 事件追溯。c)日志文件和匹配规则的数据应起码保存6个月,应定期对所有系统组件日志进行审计,包括但不限于储存、处理或传输个人金融信息的系统组件日志、执行安全功能的系统组件日志(如防火墙、入侵检测系统、验证服务器等)、安全风波日志等。d)应采取技术手段对个人金融信息全生命周期进行安全风险辨识和管控,如恶意代码检查、异常 流量检测、用户行为剖析等。
7.4.2安全检查和评估
金融业机构应对个人金融信息生命周期全过程进行安全检査和评估,范围包括金融业机构以及与其 合作的第三方机构(包含外包服务机构与外部合作机构)。
个人金融信息的安全检査和评估具体要求如下:a)应根据拟定的个人金融信息安全影响评估制度,在个人金融信息委托处理、共享与出售、公开披露等过程中,执行个人金融信息安全影响评估活动,并将评估报告归档保存。个人金融信息安全影响评估可由金融业机构自行组织举办,也可委托外部安全评估机构执行。b)应每年起码举办一次对涉及搜集、存储、传输、使用个人金融信息的信息系统进行安全检测或安全评估,包括但不限于以下形式及其组合:c)对于个人金融信息中的支付信息部份,应采取自行评估或委托外部机构进行椅查评佔,金融业 机构以及与其合作的第三方机构应每年起码举办一次支付信息安全合规评估,对评估过程中发 现的问题及时釆取补救举措并产生报告存档备查。d)出现个人金融信息泄漏风波,造成一定经济损失(或社会影响)时,应及时委托外部安全评估机构重新进行相关安全评估与检査活动,并将结果报送行业主管部门。
7.5安全风波处置
安全风波处置具体要求如下:
a)应制订个人金融信息安全风波应急预案,明确安全风波处置流程和岗位职责。b)应定期组织内部相关人员进行个人金融信息保护应急预案相关培训和应急演习。c)发生个人金融信息丢失、损毁、泄露或被篡改等安全风波后,应及时釆取必要举措进行处置, 控制局势发展,消除安全隐患,并及时告知受影响的个人金融信息主体,告知的内容应符合 GB/T 35273-2017关于安全风波告知内容的规定,告知的方法包括但不限于:d)发现因系统渝洞或人为诱因引起个人金融信息泄漏时,应立刻采取有效举措避免风险扩大,并向行业主管部门报告。e)应记录风波内容,分析和鉴别风波形成的缘由,评估风波可能导致的影响,制定补救举措,并 按国家与行业主管部门规定及时进行报告。f)应完善投诉与申述管理机制,包括跟踪流程,并在规定的时间内,对投诉、申诉进行响应。g)根据相关法律法规与行业主管部门有关规定的变化情况以及风波处置情况,及时评估并更新应急预案。
附录A(资料性附表)
信息屏蔽信息屏蔽指对个别敏感信息通过既定规则屏蔽(或截词)全部(或部份)敏感信息,实现对敏感信 息展示的可靠保护。通过信息屏蔽可使信息本身的安全等级降级,从而可以在开发、测试和其他非生产 环境以及外包或云计算环境中安全地使用脱敏后的信息集。借助信息屏蔽(或截词)技术,屏蔽敏感信 息,并使屏蔽的信息保留其原始个人金融信息格式和属性,以确保应用程序可在使用脱敏个人金融信息 的开发与测试过程中正常运行。注:截词的目的在于永久删掉某条信息的某个数据段,仅储存部份数据(如仅保留交行卡卡号不超过前六位和后四位数), 对外输出的任何个人金融信息原则上应事先做屏蔽(或截词)等脱敏处理(已经获得用户明示同意 以及依照法律法规要求须要对外输出的信息除外),脱敏处理包括但不限于:——模糊化:指通过隐藏(或截词)局部信息令该个人金融信息未能完整显示,包括但不限于:——不可逆:指未能通过样本信息倒推真实信息的方式,包括但不限于:
针对特定类型信息的隐藏规则示例详见表A. 1。表A, 1个人金融信息隐藏规则及示例
敏感信息类型
信息范围
展示规范
银行卡信息
银行卡卡号
显示前6位+* (实际位数)+后4位。如:622575******1496
个人身分信息
1)身份证号码、军官证号 码、护照号码
使用缺省信息隐藏规则,如隐藏出生口期,身份证号码屏蔽后6位
2)客户法定名称(姓名)
隐藏部份字符
3)手机号码
除区号外,至少隐藏中冋四位台湾:显示前3位+****+后4位。如:137****9050 香港、澳门:显示前2位+****+后2位。如:90****85大陆:显示前2位+****+后3位。如:90****856 其他海外地区:使用缺省隐蔵规则
4)固定电话号码
推荐的规范:显示区号和后2位
敏感信息类型
信息范围
展示规范
5)电子邮箱
@前面的字符显示前3位,3位后显示3个*,的旁边完整显示如:con***111. com假如多于三位,则全部显示,镣前加***,例如It0111.com则显示为 tt***9111. com
参考文献
GB/T 13016-2018 标准体系建立原则和要求
GB/T 13017-2018 企业标准体系表编制手册
GB/T 18336. 1-2015 信息技术 安全技术 信息技术安全评估准则 第1部份:简介和通常模型
GB/T 25000. 10-2016 系统与软件工程 系统与软件质量要求和评价(SQuaRE)第10部份:系统与软件质量模型
GB/T 26237. 1-2010 信息技术 生物特点辨识数据交换格式 第1部份:框架
GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统 个人信息保护手册
GM/Z 0001-2013 密码术语
JR/T 0061-2011 银行卡名词术语
JR/T 0088. 1-2012 中国金融移动支付 应用基础 第1部份:术语
JR/T 0156-2017 移动终端支付可信环境技术规范
ISO/IEC 19785-2:2006 Information technology―Common biometric exchange formats framework—Part 2:Procedures for the operation of the biometric registration authority
ISO/IEC 27018:2014 Information technology—security techniques—Code of practice for protection of personally identifiable information (PII) in public clouds acting as PIIprocessors
ISO/IEC 29100:2011 Information technology—Security techniques—Privacy framework
中国人民银行.中国人民银行关于建行业金融机构做好个人金融信息保护工作的通知(银发[2011]17号),2011-01-21
中国人民银行.中国人民银行关于银行业金融机构进一步做好顾客个人金融信息保护工作的通知(银发[2012]80号),2012-03-27
征信业管理条例(国务院令第631号),2013-01-21
中国人民银行.中国人民银行关于进一步强化交行卡风险管理的通知(银发[2016]170号), 2016-06-13
中国人民银行.中国人民银行关于印发《中国人民银行金融消费者权益保护施行办法》的通 知(银发[2016] 314号),2016-12-14
中国人民银行.中国人民银行关于印发《金融科技(FinTech)发展规划(2019—2021年)》 的通知(银发[2019]209号),2019-08-19
金融机构顾客身分辨识和顾客身分资料及交易记录保存管理办法(中国人民银行中国银行业监督管理委员会 中国证券监督管理委员会 中国保险监督管理委员会令[2007] 第2号),2007-06-21
编辑 方巧娟
主编 刘洋
网络法律师、互联网公司法务、司法界人士、
市场监管等实务界人士、互联网创业者
在这儿见证网路法生长、同步网路法最新案例和知识
