| Notice by the People's Bank of China Regarding Issuance of a Financial Industry Standard and Effective Technological Management of Personal Financial Information Protection | | 中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知 |
| (No. 45 [2020] of the People's Bank of China) | | (银发〔2020〕45号) |
| The financial industry standard—Personal Financial Information Protection Technical Specification (JR/T 0171-2020, hereinafter referred to as the “Specification”), as examined and adopted by the China Financial Standardization Technical Committee, is hereby issued, and you are hereby notified of the following matters: | | 《个人金融信息保护技术规范》(JR/T 0171-2020,以下简称《规范》)金融行业标准已经全国金融标准化技术委员会审查通过,现予以发布,并就有关事项通知如下: |
| I. Financial industry institutions may, in light of their actual conditions, enhance the full life-cycle technological management of personal financial information according to the Specification, strengthen risk identification and monitoring, establish and improve their mechanisms for handling risk events, and protect the legitimate rights and interests of personal financial information subjects. | | 一、金融业机构可结合实际按照《规范》加强个人金融信息全生命周期技术管理,强化风险识别和监控,建立健全风险事件处置机制,保障个人金融信息主体合法权益。 |
| II. Industry associations may, as needed in their work, enhance their self-regulation of personal financial information protection according to the Specification, establish and improve mechanisms for self-regulatory inspection, restraints on violations, and complaint handling, and report the relevant information to the People's Bank of China (“PBC”) on a regular basis. | | 二、行业协会可根据工作需要按照《规范》加强个人金融信息保护行业自律管理,建立健全自律检查、违规约束、投诉处理等机制,定期向人民银行报送相关情况。 |
| The PBC branch offices at and above the level of a central sub-branch in a sub-provincial city shall forward this Notice to their branch offices and the financial institutions within their respective jurisdictions. | | 请人民银行副省级城市中心支行以上分支机构将本通知告知辖区内分支机构和金融业机构。 |
| Annex: Personal Financial Information Protection Technical Specification (Omitted) | | 附件:个人金融信息保护技术规范 |
| | 附件 |
| | 个人金融信息保护技术规范 |
| | Personal financial information protection technical specification |
| | 目次 |
| | 前言 |
| | 引言 |
| | 1范围 |
| | 2规范性引用文件 |
| | 3术语和定义 |
| | 4个人金融信息概述 |
| | 5安全基本原则 |
| | 6安全技术要求 |
| | 7安全管理要求 |
| | 附录A (资料性附录)信息屏蔽 |
| | 参考文献 |
| | 前言 |
| | 本标准按照GB/T 1.1-2009给出的规则起草。 |
| | 本标准由中国人民银行提出。 |
| | 本标准由全国金融标准化技术委员会(SAC/TC 180)归口。 |
| | 本标准起草单位:中国人民银行科技司、中国人民银行郑州中心支行、北京银联金卡科技有限公司、中国银行股份有限公司、中国银联股份有限公司、网联清算有限公司、浙江蚂蚁小微金融服务集团股份有限公司、拉卡拉支付股份有限公司、中国金融电子化公司、中国人民银行武汉分行、中国工商银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、中国平安保险(集团)股份有限公司、北京中金国盛认证有限公司、北京软件产品质量检测检验中心、中金金融认证中心有限公司、信息产业信息安全测评中心、华泰证券股份有限公司、中国人民保险集团股份有限公司、财付通支付科技有限公司、中国支付清算协会、中国互联网金融协会、建信金融科技有限责任公司。 |
| | 本标准主要起草人:李伟、李兴锋、张宏基、关晓辉、刘雨露、汤沁、郭琳诤、赵战勇、熊继承、渠韶光、孟飞宇、高强裔、陈聪、居崑、陈雪秀、公丽丽、徐艳姣、牛小伟、王欢、展昭、强群力、郭林、杨萌、陈俊、李意、冯坚坚、唐凌、黄本涛、魏猛、刘琼瑶、赵旭、孙垚、周利华、母延燕、王家炜、张扬、蔡嘉勇、刘洋、孙鹏亮、聂丽琴、刘力慷、牛跃华、陈伟、王秀君、任凤丽、谢宗晓、董亚南、张旭刚、刘健、董晶晶、张嵩、于晓雪、吴永强、陆家有、石竹君、于沛、侯晓晨、田然、王泽航、何伟明、梁伟韬。 |
| | 引言 |
| | 个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。为加强个人金融信息安全管理,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,维护金融市场稳定,编制本标准。 |
| | 个人金融信息保护技术规范 |
| | 1 范围 |
| | 本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。 |
| | 本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。 |
| | 2 规范性引用文件 |
| | 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 |
| | GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 |
| | GB/T 25069-2010 信息安全技术 术语 |
| | GB/T 31186.2-2014 银行客户基本信息描述规范 第2部分:名称 |
| | GB/T 31186.3-2014 银行客户基本信息描述规范 第3部分:识别标识 |
| | GB/T 35273-2017 信息安全技术 个人信息安全规范 |
| | JR/T 0068-2020 网上银行系统信息安全通用规范 |
| | JR/T 0071 金融行业信息系统信息安全等级保护实施指引 |
| | JR/T 0092-2019 移动金融客户端应用软件安全管理规范 |
| | JR/T 0149-2016 中国金融移动支付 支付标记化技术规范 |
| | JR/T 0167-2018 云计算技术金融应用规范 安全技术要求 |
| | 3 术语和定义 |
| | GB/T 25069-2010、GB/T 35273-2017界定的以及下列术语和定义适用于本文件。 |
| | 3.1 金融业机构 financial industry institutions |
| | 本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。 |
| | 3.2 个人金融信息 personal financial information |
| | 金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。 |
| | 注1:本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。 |
| | 注2:改写GB/T 35273-2017,定义3.1。 |
| | 3.3 支付敏感信息 payment sensitive information |
| | 支付信息中涉及支付主体隐私和身份识别的重要信息。 |
| | 注:支付敏感信息包括但不限于银行卡磁道数据或芯片等效信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等用于支付鉴权的个人金融信息。 |
| | 3.4 个人金融信息主体 personal financial information subject |
| | 个人金融信息所标识的自然人。 |
| | 注:改写GB/T 35273-2017,定义3.3。 |
| | 3.5 个人金融信息控制者 personal financial information controller |
| | 有权决定个人金融信息处理目的、方式等的机构。 |
| | 注:改写GB/T 35273-2017,定义3.4。 |
| | 3.6 收集 collect |
| | 获得个人金融信息的控制权的行为。 |
| | 注1:收集行为包括由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人金融信息等行为。 |
| | 注2:如金融产品或服务提供者提供工具供个人金融信息主体使用,提供者不对个人金融信息进行访问的,则不属于本标准所称的收集。例如手机银行客户端应用软件在终端获取用户指纹特征信息用于本地鉴权后,指纹特征信息不回传至提供者,则不属于用户指纹特征信息的收集行为。 |
| | 注3:改写GB/T 35273-2017,定义3.5。 |
| | 3.7 公开披露 public disclosure |
| | 向社会或不特定群体发布信息的行为。 |
| | [GB/T 35273-2017,定义3.10] |
| | 3.8 转让 transfer of control |
| | 将个人金融信息控制权由一个控制者向另一个控制者转移的过程。 |
| | 注:改写GB/T 35273-2017,定义3.11。 |
| | 3.9 共享 sharing |
| | 个人金融信息控制者向其他控制者提供个人金融信息,且双方分别对个人金融信息拥有独立控制权的过程。 |
| | 注:改写GB/T 35273-2017,定义3.12。 |
| | 3.10 个人金融信息安全影响评估 personal financial information security impact assessment |
| | 针对个人金融信息处理活动,检验其合法合规程度,判断其对个人金融信息主体合法权益造成损害的各种风险,以及评估用于保护个人金融信息主体的各项措施有效性的过程。 |
| | 注:改写GB/T 35273-2017,定义3.8。 |
| | 3.11 支付账号 payment account |
| | 具有金融交易功能的银行账户、非银行支付机构支付账户及银行卡卡号。 |
| | 注:改写JR/T 0149-2016,定义3.1。 |
| | 3.12 支付标记 payment token (Token) |
| | 作为支付账号等原始交易要素的替代值,用于完成特定场景支付交易。 |
| | [JR/T 0149-2016,定义3.2] |
| | 3.13 磁道数据 track data |
| | 一磁、二磁和三磁定义的必备或可选的数据元。 |
| | 注:磁道数据可以在物理卡的磁条上,也可以被包含在集成电路或者其他媒介上。 |
| | [JR/T 0061-2011,定义3.20] |
| | 3.14 卡片验证码 card verification number; CVN |
| | 对磁条信息合法性进行验证的代码。 |
| | [JR/T 0061-2011,定义8.7] |
| | 3.15 卡片验证码2 card verification number 2; CVN2 |
| | 在邮购或电话订购等非面对面交易中对银行卡卡片合法性进行验证的代码。 |
| | [JR/T 0061-2011,定义8.8] |
| | 3.16 动态口令 one-time-password (OTP), dynamic password |
| | 基于时间、事件等方式动态生成的一次性口令。 |
| | [GM/Z 0001-2013,定义2.15] |
| | 3.17 短信动态密码 SMS dynamic code |
| | 短信验证码 SMS code |
| | 后台系统以手机短信形式发送到用户绑定手机上的随机数,用户通过回复该随机数进行身份认证。 |
| | [JR/T 0088.1-2012,定义2.44] |
| | 3.18 客户法定名称 customer's legal name |
| | 在法律上认可的客户名称。 |
| | 注1:客户法定名称一般记录在国家授权部门颁发给客户的证件上,本标准客户主要指自然人客户。 |
| | 注2:改写GB/T 31186.2-2014,定义3.2。 |
| | 3.19 证件类识别标识 legal discriminating ID |
| | 由国家法定有权部门颁发,能够唯一确定客户的且具有法律效力的标识。 |
| | 注1:证件类识别标识是外源性数据。外源性数据意味着数据的使用者不是数据的所有者,数据在产生、变更、废止后可能不为数据的使用者所知悉。 |
| | 注2:本标准的使用者因本身业务需求而产生的内部证件类标识,不应在使用者外部使用,也不具有法律效力。 |
| | 注3:改写GB/T 31186.3-2014,定义3.2。 |
| | 3.20 未经授权的查看 unauthorized reading |
| | 未得到信息的所有者或有权授权人授权对信息的查看。 |
| | 注1:未经授权的查看可能是善意的,也可能是恶意的;信息处理者无意泄露的未经授权的查看为信息泄露事件; |
| | 攻击者通过使相关安全措施无效的措施有意获取的未经授权的查看为信息窃取事件。 |
| | 注2:非法查看是对未经授权的查看的一种不严谨但在特定的语境下并无二义性的提法。 |
| | 3.21 未经授权的变更 unauthorized altering |
| | 未得到信息的所有者或有权授权人授权对信息的变更。 |
| | 注1:未经授权的变更典型地分为未经授权的增加(即增加全新的内容)、未经授权的更改(即修改现有的内容)或未经授权的删除(即删除原有的内容)三种情况,也可能是三种情况的组合。 |
| | 注2:未经授权的变更可能是善意的,也可能是恶意的;往往表现为信息篡改事件、信息假冒事件、信息丢失事件等。 |
| | 注3:非法变更是对未经授权的变更的一种不严谨但在特定的语境下并无二义性的提法。 |
| | 3.22 明示同意 explicit consent |
| | 个人金融信息主体通过书面声明或主动作出肯定性动作,对其个人金融信息进行特定处理作出明确授权的行为。 |
| | 注1:肯定性动作包括个人金融信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。 |
| | 注2:改写GB/T 35273-2017,定义3.6。 |
| | 3.23 匿名化 anonymization |
| | 通过对个人金融信息的技术处理,使得个人金融信息主体无法被识别,且处理后的信息不能被复原的过程。 |
| | 注1:个人金融信息经匿名化处理后所得的信息不属于个人金融信息。 |
| | 注2:改写GB/T 35273-2017,定义3.13。 |
| | 3.24 去标识化 de-identification |
| | 通过对个人金融信息的技术处理,使其在不借助额外信息的情况下,无法识别个人金融信息主体的过程。 |
| | 注1:去标识化仍建立在个体基础之上,保留了个体颗粒度,采用假名、加密、加盐的哈希函数等技术手段替代对个人金融信息的标识。 |
| | 注2:改写GB/T 35273-2017,定义3.14。 |
| | 3.25 删除 delete |
| | 在金融产品和服务所涉及的系统中去除个人金融信息的行为,使其保持不可被检索、访问的状态。 |
| | 注:改写GB/T 35273-2017,定义3.9。 |
| | 4 个人金融信息概述 |
| | 4.1 个人金融信息内容 |
| | 个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息,具体如下: |
| | a)账户信息指账户及账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。 |
| | b)鉴别信息指用于验证主体是否具有访问或使用权限的信息,包括但不限于银行卡密码、预付卡支付密码;个人金融信息主体登录密码、账户查询密码、交易密码;卡片验证码(CVN和CVN2)、动态口令、短信验证码、密码提示问题答案等。 |
| | c)金融交易信息指个人金融信息主体在交易过程中产生的各类信息,包括但不限于交易金额、支付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息等。 |
| | d)个人身份信息指个人基本信息、个人生物识别信息等: |
| | ·个人基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址,以及在提供产品和服务过程中收集的照片、音视频等信息; |
| | ·个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。 |
| | e)财产信息指金融业机构在提供金融产品和服务过程中,收集或生成的个人金融信息主体财产信息,包括但不限于个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金存缴金额等。 |
| | f)借贷信息指个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于授信、信用卡和贷款的发放及还款、担保情况等。 |
| | g)其他信息: |
| | ·对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息,包括但不限于特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息; |
| | ·在提供金融产品与服务过程中获取、保存的其他个人信息。 |
| | 4.2 个人金融信息类别 |
| | 根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。具体如下: |
| | a)C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害,包括但不限于: |
| | ·银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码; |
| | ·账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码; |
| | ·用于用户鉴别的个人生物识别信息。 |
| | b)C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害,包括但不限于: |
| | ·支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、手机号码。 |
| | ·账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名。 |
| | ·用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码;若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于C3类别信息。 |
| | ·直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息。 |
| | ·用于金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等。 |
| | ·用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。 |
| | ·其他能够识别出特定主体的信息,如家庭地址等。 |
| | c)C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响,包括但不限于: |
| | ·账户开立时间、开户机构; |
| | ·基于账户信息产生的支付标记信息; |
| | ·C2和C3类别信息中未包含的其他个人金融信息。 |
| | 个人金融信息主体因业务需要(如贷款)主动提供的有关家庭成员信息(如身份证号码、手机号码、财产信息等),应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。 |
| | 两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。
...... |
|
| |
您好:您现在要进入的是北大法宝英文库会员专区。
如您是我们英文用户可直接 登录,进入会员专区查询您所需要的信息;如您还不是我们 的英文用户;您可通过网上支付进行单篇购买,支付成功后即可立即查看本篇内容。
Tel: +86 (10) 82689699, +86 (10) 82668266 ext. 153
Mobile: +86 13311570713
Fax: +86 (10) 82668268
E-mail:info@chinalawinfo.com
|
| | | |
| | | |