近日,全国金融标准化技术委员会发布了《个人金融信息保护技术规范》。
该规范目前已经通过全国金融标准化技术委员会审查并向各金融业机构发布,但其实影响范围绝不仅止于金融行业。此份《规范》将个人金融信息按照敏感程度分为三大类,由高到低,依次为C3、C2、C1,其中C3主要为各类账户密码,C2主要为账户、身份证信息、短信口令、KYC信息、住址等,C1主要为开户时间、支付标记信息等,其中绝大部分与个人信用相关。
《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。同时,要求金融业机构不应以默认授权、功能捆绑等方式强制获取个人金融信息,也不应委托或授权无金融业相关资质的机构收集身份证号、手机号等个人信息。
这份《规定》当中所涉及的“金融业机构”, 一类是由国家金融管理部门监督管理的持牌金融机构,另一类是涉及个人金融信息处理的相关机构;而“个人金融信息”则是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,这里绝大部分都属于个人信用信息的范畴。
我们日常说熟悉的“个人常用设备信息(如IMEI、MAC地址、IDFA、软件列表等)”、“个人上网记录(如网站浏览记录、软件使用记录、点击记录等)”和“个人位置信息(如行踪轨迹、精准定位信息等)”等《个人信息安全规范》附录所明确列举的个人信息应该都属于“在提供金融产品与服务过程中获取、保存的其他个人信息”的范畴,按类别可以将其视为C2类别的个人信息。
个人金融信息按敏感程度从高到低分为C3、C2、C1三类。其中:C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害;C2类别信息主要为可识别特定用户身份与金融状况的个人金融信息,及用于金融产品和服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害;C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安。
根据该项规范的要求,“用于维护所提供的金融产品或服务的安全稳定运行所必须的,例如识别、处置金融产品或服务中的欺诈或被盗用等”进行的个人金融信息收集使用无需征得个人金融信息主体授权同意的情形,但同时有可能导致许多非持牌机构可能不再能在业务前端代表金融业企业采集客户KYC、借贷等相关信息, 对于某些金融业企业的外部合作机构而言,其产品和服务的提供可能必须基于明文的C3类和/或C2类中的用户鉴别辅助信息,如目前接受银行等金融机构委托进行身份核验等的助贷企业,可能必须以客户身份三要素(如姓名、身份证号和手机号码)的获取为业务开展的基础,依据目前的要求,非持牌机构可能难以再获得明文的上述个人金融信息,因此业务模式可能面临重新调整的需要。
不过据信息安全行业人士表示,本次出台的《规范》仅为行业技术标准,并具有跨行业的强制力,对金融机构也仅具有参考作用。
(文中资料采集自“凤凰网”财经频道、“支付百科”、企业信用管理办公室等相关资料整理)
閱讀更多 企業信用管理辦公室 的文章
