2020年2月13日,中國人民銀行正式發佈《個人金融信息保護技術規範》(JR/T 0171—2020)(以下簡稱“《規範》”)。
一、 規範提出的意義
《個人金融信息保護技術規範》的發佈為金融業個人金融信息保護,金融數據風險防護提供有力的支撐。
二、 適用範圍
本規範的適用範圍包含傳統金融機構(商業銀行、證券公司、保險公司、信託投資公司等)及涉及金融信息處理的相關機構(電信服務商等)。
三、 個人金融信息定義
《規範》指出以下信息屬於個人信息:
- 賬戶信息
- 鑑別信息
- 金融交易信息
- 個人身份信息
- 財產信息
- 借貸信息
- 其他反映特定個人某些情況的信息
四、 金融分級
分級依據:敏感程度
- C3級別(敏感程度最高):即用戶鑑別信息,其中包含銀行卡密碼、賬戶登錄密碼、生物識別信息等。此級別信息一旦其保密性和完整性遭到破壞,會對個人信息主體造成信息安全/財產安全的嚴重損害。
- C2級別(敏感程度中等):即可識別金融信息主體身份與金融狀況的信息,其中包含支付賬號、手機號碼、交易信息、個人金融信息主體圖片信息等。此類信息的保密性或完整性遭到破壞會對個人及金融信息主體的信息安全與財產安全造成一定危害。
- C1級別(敏感程度較低):即涉及金融機構內部的信息,例如開戶機構、賬戶的開立時間等,此類信息的保密性或完整性遭到破壞。可能會對個人及金融信息主體的信息安全與財產安全造成一定影響。
五、 安全技術及安全管理重點要求展示及分析
下文將為大家展示《規範》中安全技術及安全管理的重點示例,如需完整版,請在安言諮詢公眾號後端回覆郵箱地址,我們會在3月13日前統一發送。
生命週期的安全技術重點要求示例
其他安全技術重點要求示例
生命週期的安全管理重點要求示例
其他安全管理重點要求示例
六、 安言建議
《規範》在多個方面與GB/T35273—2017有效銜接,結合金融機構、金融產品、金融服務的具體實踐提出了更適合金融行業的操作指南。建議金融業在針對個人金融信息安全保護體系設計時,可參考GB/T35273—2017與《個人金融信息保護技術規範》共同實施,確保個人金融信息安全。
如有需要獲取《個人金融信息保護技術規範》全面重點解析材料,請在安言諮詢微信公眾號留言回覆姓名及郵箱地址,我們會在3月13日前統一發送。
閱讀更多 安言諮詢 的文章