| 标准编号 | JR/T 0171-2020 (JR/T0171-2020) | | 中文名称 | 个人金融信息保护技术规范 | | 英文名称 | Personal financial information protection technical specification | | 行业 | 金融行业标准 (推荐) | | 中标分类 | A11 | | 国际标准分类 | | | 字数估计 | 25,239 | | 发布日期 | 2020-02-13 | | 实施日期 | 2020-02-13 | | 标准依据 | 银发(2020)45号 | | 发布机构 | 中国人民银行 | JR/T 0171-2020: 个人金融信息保护技术规范
JR/T 0171-2020 英文名称: Personal financial information protection technical specification
中 华 人 民 共 和 国 金 融 行 业 标 准
个人金融信息保护技术规范
中国人民银行 发 布
1 范围
本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护
要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供
参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
4.1 个人金融信息内容
个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其
他反映特定个人金融信息主体某些情况的信息,具体如下:
a) 账户信息指账户及账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、
银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息
产生的支付标记信息等。
b) 鉴别信息指用于验证主体是否具有访问或使用权限的信息,包括但不限于银行卡密码、预付卡
支付密码;个人金融信息主体登录密码、账户查询密码、交易密码;卡片验证码(CVN 和 CVN2)、
动态口令、短信验证码、密码提示问题答案等。
c) 金融交易信息指个人金融信息主体在交易过程中产生的各类信息,包括但不限于交易金额、支
付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息
等。
d) 个人身份信息指个人基本信息、个人生物识别信息等:
个人基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状
况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作
及家庭地址,以及在提供产品和服务过程中收集的照片、音视频等信息;
个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步
态、笔迹等生物特征样本数据、特征值与模板。
e) 财产信息指金融业机构在提供金融产品和服务过程中,收集或生成的个人金融信息主体财产信
息,包括但不限于个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金存缴
金额等。
f) 借贷信息指个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于授信、信
用卡和贷款的发放及还款、担保情况等。
g) 其他信息:
对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息,包括但不限于特
定个人金融信息主体的消费意愿、支付习惯和其他衍生信息;
在提供金融产品与服务过程中获取、保存的其他个人信息。
4.2 个人金融信息类别
根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程
度从高到低分为C3、C2、C1三个类别。具体如下:
a) C3 类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会
对个人金融信息主体的信息安全与财产安全造成严重危害,包括但不限于:
银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN 和 CVN2)、卡片有效期、银行卡
密码、网络支付交易密码;
账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码;
用于用户鉴别的个人生物识别信息。
b) C2 类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于
金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人
金融信息主体的信息安全与财产安全造成一定危害,包括但不限于:
支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、
手机号码。
账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名。
用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码;若用
户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于 C3 类别信息。
直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、
借贷信息。
用于金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险
理赔)等。
用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产
品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。
其他能够识别出特定主体的信息,如家庭地址等。
c) C1 类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该
类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与
财产安全造成一定影响,包括但不限于:
账户开立时间、开户机构;
基于账户信息产生的支付标记信息;
C2 和 C3 类别信息中未包含的其他个人金融信息。
个人金融信息主体因业务需要(如贷款)主动提供的有关家庭成员信息(如身份证号码、手机号码、
财产信息等),应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。
两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一
信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别
进行识别,并实施针对性的保护措施。
5 安全基本原则
金融业机构应遵循 GB/T 35273-2017 的要求,以“权责一致、目的明确、选择同意、最少够用、
公开透明、确保安全、主体参与”的原则,设计并实施覆盖个人金融信息全生命周期的安全保护策略。
6 安全技术要求
6.1 生命周期技术要求
6.1.1 收集
应根据信息类别确定个人金融信息收集方案。具体技术要求如下:
a) 不应委托或授权无金融业相关资质的机构收集 C3、C2 类别信息。
b) 应确保收集信息来源的可追溯性。
c) 应采取技术措施(如弹窗、明显位置 URL 链接等),引导个人金融信息主体查阅隐私政策,并
获得其明示同意后,开展有关个人金融信息的收集活动。
d) 对于 C3 类别信息,通过受理终端、客户端应用软件、浏览器等方式收集时,应使用加密等技
术措施保证数据的保密性,防止其被未授权的第三方获取。
e) 通过受理终端、客户端应用软件与浏览器等方式引导用户输入(或设置)银行卡密码、网络支
付密码时,应采取展示屏蔽等措施防止密码明文显示,其他密码类信息宜采取展示屏蔽措施。
f) 在网络支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付
敏感信息的输入进行安全保护,并采取有效措施防止合作机构获取、留存支付敏感信息。
g) 在停止提供金融产品或服务时,应及时停止继续收集个人金融信息的活动。
6.1.2 传输
个人金融信息传输过程的参与方应保证信息在传输过程中的保密性、完整性和可用性,具体技术要
求如下:
a) 应建立相应的个人金融信息传输安全策略和规程,采用满足个人金融信息传输安全策略的安全
控制措施,如安全通道、数据加密等技术措施。
b) 传输个人金融信息前,通信双方应通过有效技术手段进行身份鉴别和认证。
c) 通过公共网络传输时,C2、C3 类别信息应使用加密通道或数据加密的方式进行传输,保障个
人金融信息传输过程的安全;对于 C3 类别中的支付敏感信息,其安全传输技术控制措施应符
合有关行业技术标准与行业主管部门有关规定要求。
d) 应根据个人金融信息的不同类别,采用技术手段保证个人金融信息的安全传输;低敏感程度类
别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授
权完整要素的情况),应提升相应的安全传输保障手段。
e) 个人金融信息传输的接收方应对接收的信息进行完整性校验。
f) 应建立有效机制对个人金融信息传输安全策略进行审核、监控和优化,包括对通道安全配置、
密码算法配置、密钥管理等保护措施的管理和监控。
g) 应采取有效措施(如个人金融信息传输链路冗余)保证数据传输可靠性和网络传输服务可用性。
6.1.3 存储
个人金融信息存储的具体技术要求如下:
a) 不应留存非本机构的银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN
和 CVN2)、银行卡密码、网络支付密码等 C3 类别信息。若确有必要留存的,应取得个人金融
信息主体及账户管理机构的授权。
b) 应根据个人金融信息的不同类别,采用技术手段保证个人金融信息的存储安全;低敏感程度类
别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授
权完整要素的情况),应提升相应的安全存储保障手段。
c) C3 类别个人金融信息应采用加密措施确保数据存储的保密性。
d) 受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据(或芯片等效信息)、银行
卡有效期、卡片验证码(CVN 和 CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生
物识别信息的样本数据、模板,仅可保存完成当前交易所必需的基本信息要素,并在完成交易
后及时予以清除。
e) 采取必要的技术和管控措施保证个人金融信息存储转移过程中的安全性。
f) 应将去标识化、匿名化后的数据与可用于恢复识别个人的信息采取逻辑隔离的方式进行存储,
确保去标识化、匿名化后的信息与个人金融信息不被混用。
g) 在停止运营时,应依据国家法律法规与行业主管部门有关规定要求,对所存储的个人金融信息
进行妥善处置,或移交国家与行业主管部门指定的机构继续保存。
6.1.4 使用
6.1.4.1 信息展示
提供业务办理与查询等功能的应用软件,对个人金融信息展示具体技术要求如下:
a) 依据国家法律法规与行业主管部门有关规定要求,对通过计算机屏幕、客户端应用软件、银行
卡受理设备、自助终端设备、纸面(如受理终端打印出的交易凭条等交易凭证)等界面展示的
个人金融信息应采取信息屏蔽(或截词)等处理措施,降低个人金融信息在展示环节的泄露风
险。
b) 处于未登录状态时,不应展示与个人金融信息主体相关的 C3 类别信息。
c) 处于已登录状态时,个人金融信息展示的技术要求如下:
除银行卡有效期外,C3 类别信息不应明文展示。
对于银行卡号、手机号码、证件类识别标识或其他识别标识信息等可以直接或组合后确定
个人金融信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示,如需完整展示,
应进行用户身份验证,并做好此类信息管理,防范此类信息泄露风险。
涉及其他个人金融信息主体的信息时,除以下情况外,宜进行屏蔽展示:
--其他方主动发起的活动包含的信息,此种情况需展示必要的信息以供活动接收方对活
动内容进行确认,例如:其他方发起的交易、其他方发起的收付款、保险保费代收。
--与其他方已建立信任关系(间接授权),此时需活动发起方确认发起活动的必要信息
的正确性(或活动发起方需接收活动结果信息,并确认活动已正确完成),例如:向
其他方收款,其他方已付款;向其他方申请代付,其他方同意付款或者其他方在自己
业务应用范围内的联系人。
6.1.4.2 共享和转让
个人金融信息在共享和转让的过程中,应充分重视信息转移或交换过程中的安全风险,具体技术要
求如下:
a) 在共享和转让前,应开展个人金融信息安全影响评估,并依据评估结果采取有效措施保护个人
金融信息主体权益。
b) 在共享和转让前,应开展个人金融信息接收方信息安全保障能力评估,并与其签署数据保护责
任承诺。
c) 支付账号及其等效信息在共享和转让时,除法律法规和行业主管部门另有规定外,应使用支付
标记化(按照 JR/T 0149-2016)技术进行脱敏处理(因业务需要无法使用支付标记化技术时,
应进行加密),防范信息泄露风险。
d) 应部署信息防泄露监控工具,监控及报告个人金融信息的违规外发行为。
e) 应部署流量监控技术措施,对共享、转让的信息进行监控和审计。
f) 应根据“业务需要”和“最小权限”原则,对个人金融信息的导出操作进行细粒度的访问控制
与全过程审计,应采取两种或两种以上鉴别技术对导出信息操作人员进行身份鉴别。
g) 应定期检查或评估信息导出通道的安全性和可靠性。
h) 使用外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)进
行信息共享与转让时,应定期检查或评估信息共享工具、服务组件和共享通道的安全性和可靠
性,并留存检查或评估结果记录。
i) 应执行严格的审核程序,并准确记录和保存个人金融信息共享和转让情况。记录内容应包括但
不限于日期、规模、目的、范围,以及数据接收方基本情况与使用意图等,并应确保对共享和
转让的信息及其过程可被追溯。
j) 应采取有效技术防护措施,防范信息转移过程中被除信息发送方与接收方之外的其他个人、组
织和机构截获和利用。
6.1.4.3 公开披露
个人金融信息原则上不得公开披露。金融业机构经法律授权或具备合理事由确需公开披露时,具体
技术要求如下:
a) 应事先开展个人金融信息安全影响评估,并依据评估结果采取有效的保护个人金融信息主体权
益的措施。
b) 不应公开披露个人生物识别信息。
c) 应准确记录和保存个人金融信息的公开披露情况,包括公开披露的日期、规模、目的、内容、
公开范围等。
......
|