個人金融信息是金融業機構在提供金融產品和服務的過程中積累的重要基礎數據,也是個人隱私的重要內容。個人金融信息一旦洩露,不但會直接侵害個人金融信息主體的合法權益、影響金融業機構的正常運營,甚至可能會帶來系統性金融風險。
為加強個人金融信息安全管理,指導各相關機構規範處理個人金融信息,最大程度保障個人金融信息主體合法權益,2020年2月,中國人民銀行印發了JR/T 0171-2020《個人金融信息保護技術規範》(以下簡稱《規範》)。
《規範》從個人金融信息全生命週期管理的角度,為強化個人金融信息風險識別和監控、建立健全風險事件處置機制、保障個人金融信息主體合法權益提出了要求。
規範重點內容介紹
個人金融信息
《規範》指出,個人金融信息(personal financial information)是指金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息,包括賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息。
安全原則
個人金融信息保護以“權責一致、目的明確、選擇同意、最少夠用、 公開透明、確保安全、主體參與”的原則。
個人金融信息分類
根據信息遭到未經授權的查看或未經授權的變更後所產生的影響和危害,將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別,並對三類信息實施不同級別的保護。
- C3 類別信息主要為用戶鑑別信息。
- C2 類別信息主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息,以及用於 金融產品與服務的關鍵信息。
- C1 類別信息主要為機構內部的信息資產,主要指供金融業機構內部使用的個人金融信息。
全生命週期安全管理
個人金融信息的生命週期包括對個人金融信息進行收集、傳輸、存儲、使用、刪除、銷燬等處理的整個過程,每個環節都要有相應的安全保護措施。
移動金融客戶端
移動金融客戶端是當前金融服務的最前沿,也是個人金融信息保護的關鍵領域。《規範》提出,與個人金融信息相關的客戶端應用軟件及應用軟件開發工具包(SDK)應符合 JR/T 0092—2019、JR/T 0068—2020 客戶端應用軟件有關安全技術要求,並
在上線前進行安全評估,與2019年9月央行印發的《關於發佈金融行業標準加強移動金融客戶端應用軟件安全管理的通知》(銀髮〔2019〕237號)一脈相承。金融APP潛在的仿冒、安全漏洞、權限濫用、個人信息洩露等風險可通過國家金融IC卡安全檢測中心(銀行卡檢測中心)承建的移動金融風險監測平臺進行監控,為金融機構提供個人金融信息風險數據監測分析,助力金融機構構建完善的個人信息保護機制。
金融信息委託處理
大數據發展備受關心的就是信息委託處理的問題,對此,《規範》對金融業機構提出了要求。金融機構因金融產品或服務的需要,將收集的個人金融信息委託給第三方機構(包含外包服務機構與外部合作機構)處理時要承信息安全的責任,限制C3及部分C2類別信息的委託處理,加強對重要信息的保護,採用去標識化等技術進行脫敏保護。還需要對委託行為進行個人金融信息保護安全影響評估,對受委託者進行安全檢查和評估,對外部的工具進行技術檢測。
結語
國標個人信息保護規範發佈以來,對各行業的信息保護都提供了很好的實施建議。據悉,國家個人信息保護法也已經納入人大立法規劃,將盡快發佈出臺。《個人金融信息保護技術規範》在多個方面與GB/T 35273—2017有效銜接,結合金融機構、金融產品、金融服務的具體實踐提出了更適合金融行業的操作指南。《規範》的發佈必將促進全社會對金融數據的安全應用,強化金融機構對消費者的安全保護,為金融創新奠定堅實的發展基礎。
國家金融IC卡安全檢測中心(銀行卡檢測中心)作為《規範》的主要起草單位,也將在近期帶來《規範》的進一步解讀。
中心多次配合人行、公安等部門開展金融信息安全排查工作,同時,作為全球金融安全組織PCI授權的評估機構(QSA)、中國銀聯授權的UP DSS數據評估機構,在數據安全評估方面積累了豐富經驗,可為金融機構提供金融數據治理諮詢、金融信息安全審計等相關服務,幫助金融機構更好的符合國內外的金融數據安全管理要求。
閱讀更多 中金國盛認證中心 的文章
