QQ泡沫乐园 · 免费提供游戏辅助,破解软件,活动资讯,喜欢记得收藏哦!
综合软件_线报活动_游戏辅助_最新电影_最优质的的辅助分享平台

即将发布:个人金融信息保护技术规范征求意见稿

网络 2023-03-18 08:04

前言:近年来,非法获取走私顾客个人金融信息屡见不鲜,衍生“套路贷”、“非法催款”等不法行为,导致大量顾客的合法权益得不到有效保护。互联网金融机构基于身分认证、授信、反欺诈等不同需求,促使了大数据技术在金融业务中的应用,犹如双刃剑存在滥用个人信息之嫌,如何保护顾客的个人信息,明确责任方范围,规范企业行为,防范个人金融信息违规违法情形的发生成为监管部门当下的治理重点,在此背景下金融领域个人信息保护相关规范标准建章立制迫在眉睫,技术标准具备实操性。

全国金融标准化技术委员会于2018年发布了《支付信息保护技术规范(征求意见稿)》,2019年修订为《个人金融信息保护技术规范》再次征询意见,2020年初即将发布,几易其稿堪称一波三折,一经颁布便惹人注目,被誉为金融行业的“35273”。(即GB/T 35273-2017《信息安全技术个人信息安全规范》)。2019年以来,一系列个人金融信息保护要求规定及标准的颁布,昭示个人金融信息保护立法的快节奏。

个人金融信息保护相关监管要求

《个人金融信息保护技术规范》(以下简称《规范》)主要从安全技术和安全管理两个维度,以《网络安全法》和《信息安全技术个人信息安全规范》为基础,对搜集、传输、使用、存储、共享、删除、销毁等个人金融信息生命周期中的保护举措提出了具体要求。《规范》的颁布,加强个人金融信息安全管理,指导各金融机构规范处理个人金融信息,最大程度保障个人金融信息主体的合法权益。

一、个人金融信息分类

《规范》指出,个人金融信息(personal financial information)是指金融业机构通过提供金融产品和服务或则其他渠道获取、加工和保存的个人信息,包括帐户信息、鉴别信息、金融交易信息、个人身分信息、财产信息、借贷信息及其他反映特定个人个别情况的信息。

相较于2016年的《中国人民银行金融消费者权益保护施行办法》的定义,新增了鉴定信息(密码、口令及密码提示问题答案等),银行卡扇区数据(或芯片等效信息)、个人生物辨识信息(指纹、人脸、虹膜耳纹、掌纹、静脉、声纹等),将原“个人信用信息”修改为“借贷信息”(授信、信用卡和按揭的领取及还贷、担保情况等)。

相较于GB/T 35273《信息安全技术个人信息安全规范》附录中明晰列出的个人信息类型,将分辨信息(口令)从个人财产信息单列下来1类,并进行了详尽扩展。个人上网记录(如网站浏览记录、软件使用记录、点击记录等)、个人常用设备信息(如IMEI、MAC地址、IDFA、软件列表等)和个人位置信息(如行踪轨迹、精准定位信息等)等未在《规范》4.1中明晰列出,但可从该款g项其他信息中进行规范“在提供金融产品与服务过程中获取、保存的其他个人信息”,按照4.2个人金融信息敏感程度分类归为“其他才能辨识出特定主体的信息”C2类别的个人金融信息。

因此对于互联网金融企业来说,设备信息、用户上网行为信息、位置信息等在用户身分辨识、识别严打黑产、营销活动、风控等领域依赖性较高,需要结合《规范》和《信息安全技术个人信息安全规范》从梳理业务产品中涉及静态的数据类型与内容出发,识别所涉及的所有个人金融信息,并对其进行分级分类,落实相应的合规要求。

根据信息受到未经授权的查看或未经授权的变更后所形成的影响和害处,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,并对三类信息施行不同级别的保护。具体详见下表:

二、安全基本原则

金融业机构应遵守《信息安全技术个人信息安全规范》的要求,以“权责一致、目的明晰、选择同意、最少够用、公开透明、确保安全、主体参与”的原则,设计并施行覆盖个人金融信息全生命周期的安全保护策略。

三、个人金融信息生命周期

个人金融信息的生命周期包括对个人金融信息进行搜集、传输、存储、使用、删除、销毁等处理的整个过程,每个环节都要有相应的安全保护措施。

因此企业除了应当从静态数据出发,也要动态地从个人金融信息全生命周期出发,对“收集、传输、存储、使用、删除、销毁等”各环节进行统计和梳理,个人信息类别也会在不同的使用场景中有所变化,例如好多较低敏感程度类别的信息在不同的应用场景中,经过组合、关联成为高敏感的信息,C2短信验证码+C2帐户(手机号)组合便可用于用户分辨,成为C3类别信息。此过程也须要更多关注内部、外部之间数据的流转,规范第三方合作中各项安全管理以及技术要求,为后续合规落实提供基础。

四、全生命周期技术要求

金融消费者信息保护_个人金融信息保护图片_中华人民共和国防震减灾法 保护 公民和个人不得

早在2019年11月,中国互联网金融协会发布《关于提高个人信息保护意识依法举办业务的通知》明确规定了全生命周期的个人信息保护制度。作为金融机构,需要做好各条线监管的合规要求,如《网络安全法》、《信息安全技术个人信息安全规范》、《信息安全技术网路安全等级保护基本要求》(等保2.0)等关于个人信息保护和网路运行安全的规定,以及金融监管体系下的央行17号文、《中国人民银行关于金融机构进一步做好顾客个人金融信息保护工作的通知》与《中国人民银行金融消费者权益保护施行办法》等关于个人金融信息保护的相关要求。

下面从个人金融信息分类以及重点合规技术要求方面说明数据类别在个人金融信息各生命周期分级施行技术和管理要求:

1、收集环节,对于C3、C2类别的个人金融信息的要求如下:

依据《规范》的要求,企业不得委托或授权大数据公司、无个人征信车牌的征信公司搜集C3、C2类别信息。将导流、助贷、大数据剖析公司排除在外,加强第三方合作机构的资质审查,避免与非持牌机构机构举办涉及个人金融信息的业务合作(征信、催收)。另外,《规范》参考了《App违规违法搜集使用个人信息行为认定方式》和《信息安全技术个人信息安全规范》关于用户授权同意的合规要求,app默认勾选隐私新政,登录注册即同意隐私新政的授权形式,都是不合规的。

2、传输、存储、使用(信息展示)、使用(公开披露)环节,对于C3、C2类别的个人金融信息的要求如下:

《规范》对个人金融信息的储存明晰规定,金融机构不得存留非本机构的C3类别信息。如果确有必要存留非本机构的C3类别信息的须要获取个人金融信息主体、账户管理机构的双重授权。由于获取其他金融机构的C2/C3级别数据时,没有取得金融机构授权,投诉现象时有发生。人脸辨识后不能留存在手机相册本地都须要根据本条规定在进行完交易后删掉相应的信息。

3、使用(委托处理)、使用(加工处理)环节,对于C3、C2类别的个人金融信息的要求如下:

企业除了应该要求第三方业务合规性和业务逻辑进行说明、承诺。同样也须要针对自动化工具举办技术检查,并对基于委托搜集处理个人金融信息的行为进行审计。并进行全流程管控制度,包括接入前的合规和技术评估、定期审计和应急处理机制等。

4、规范明晰要求金融机构与合作方签约时,约定针对敏感数据应仅使用不存留的数据安全条款。

5、个人金融信息脱敏

《规范》在个人金融信息的多个生命周期环节中,明确要求金融业机构适当采用脱敏技术,以提高个人金融信息的安全并增加泄密的风险。信息屏蔽规则请见《规范》附录。

1.收集:引导用户输入(或设置)银行卡密码、网络支付密码时,应采取展示屏蔽等举措避免密码明文显示,其他密码类信息宜采取展示屏蔽举措

2.信息展示:对通过各种业务界面或后台管理和业务支撑系统展示的个人金融信息,应采取信息屏蔽等处理举措;

3.共享和出售:支付帐号及其等效信息在共享和出售时应使用支付标记化技术(按照JR/T 0149-2016)进行脱敏处理;

中华人民共和国防震减灾法 保护 公民和个人不得_金融消费者信息保护_个人金融信息保护图片

4.委托处理:对委托处理的信息应采用去标识化等方法进行脱敏处理;

5.开发测试:开发环境、测试环境应使用虚构的或经过去标识化脱敏处理的个人金融信息;

6.安全制度体系完善与发布:建立个人金融信息脱敏管理规范和制度,应明晰不同敏感级别个人金融信息脱敏规则、脱敏方式和脱敏数据的使用限制。

6、新增规定个人金融信息凝聚融合、开发测试、销毁

(1)数据的凝聚融合可能包括:同一公司内部不同业务线的数据共享;同一集团内不同关联企业间数据共享;与集团外第三方的数据共享。《规范》在金融领域首次提出对于个人金融信息凝聚融合的明晰要求:

1)汇聚融合的数据不应超出搜集时所申明的使用该范围。因业务须要确需超范围使用的,应再度征得个人金融信息主体明示同意;

2)应按照凝聚融合后的个人金融信息类别及使用目的,开展个人金融信息安全影响评估,并采取有效的技术保护举措。

(2)个人金融信息在开发测试过程中的具体技术要求如下:

开发环境、测试环境不应使用真实的个人金融信息,应使用虚构的或经过去标识化(不应仅使用加密技术)脱敏处理的个人金融信息,账号、卡号、协议号、支付指令等测试确需信息除外。

(3)《规范》对于个人金融信息生命周期降低了个人金融信息的销毁环节。分别对“删除”和“销毁”作出了明晰的定义:

1)删除:在金融产品和服务所涉及的系统中清除个人金融信息的行为,使其保持不可被检索、访问的状态。此处定义与《信息安全技术个人信息安全规范》关于个人信息“删除”的定义保持一致。

2)销毁:存储个人金融信息的介质如不再使用,应采用不可恢复的形式(如消磁、焚烧、粉碎等)对介质进行销毁处理;存储个人金融信息的介质如还需继续使用,不应只采用删掉索引、删除文件系统的方法进行信息销毁,应通过多次覆写等方法安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或则以其他方式加以借助。

五、安全管理合规要求

《规范》结合《信息安全技术个人信息安全规范》、《互联网个人信息安全保护手册》等相关标准指引的要求,对企业内部个人金融信息的安全管理合规要求从安全制度体系设置、组织构架岗位设置、人员管理、访问控制、安全风波处置等方面明晰相应的合规要求。结合金融行业的特殊性与重要性,应注意以下几点:

六、规范怎样“谋而后动”

《规范》作为金融领域的“特别规范”,对于金融领域推进落实“35273”规范具备指导意义,按照惯例预判,金融领域各级监管蓄势待发,金融机构将立于个人信息保护聚焦点的风口浪尖。

中国人民银行于2019年第四季度发布《中国人民银行关于发布金融行业标准狠抓无卡金融客户端应用软件安全管理的通知(银发〔2019〕237号)》,其中侧重强调“各金融机构应严格依照《无卡金融客户端应用软件安全管理规范》(JR/T 0092-2019)要求,采取有效举措强化客户端软件个人金融信息保护,中国互联网金融协会作为备案的主管行业协会”,要求金融机构处理金融业务的无卡客户端,完成外部检查评估和申报备案工作,以技术合规为切入点加强个人金融信息保护的业务设施建设。

各金融机构尤其是非建行金融机构须要关切的是,除上述通知以外,比照2018年“146号文”专项模式,可以预期本年度各级监管的专项检测将加强对违法采集、使用个人金融信息的包庇力度。

兵马未动粮草先行,金融机构应借东风定制度促合力补弱项,切实履行金融机构主体责任,加快推动落实个人信息保护安全技术和安全管理要求,有效保护个人金融信息主体合法权益,确保金融机构的稳健营运,防止诱发系统性金融风险。