首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2020 > 正文

一文看懂《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（文末附完整版）

閱讀量：次

2月13日，中國人民銀行正式發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171—2020）（以下簡(jiǎn)稱“《規(guī)范》”）。該規(guī)范由中國人民銀行提出，全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理，由中國人民銀行科技司提出并負(fù)責(zé)起草，多家單位參與起草。

一、規(guī)范概述

《規(guī)范》將個(gè)人金融信息按敏感程度、泄露后造成的危害程度，從高到低分為C3、C2、C1三個(gè)類別；同時(shí)，規(guī)定了個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求，從安全技術(shù)和安全管理兩個(gè)方面，對(duì)個(gè)人金融信息保護(hù)提出了規(guī)范性要求。

01? 規(guī)范作用

有助于規(guī)范金融業(yè)機(jī)構(gòu)個(gè)人金融信息保護(hù)工作，提升金融數(shù)據(jù)風(fēng)險(xiǎn)防控能力，促進(jìn)我國金融市場(chǎng)的健康發(fā)展；

有助于提高金融機(jī)構(gòu)個(gè)人賬戶信息、銀行卡信息安全管理水平，加大互聯(lián)網(wǎng)交易風(fēng)險(xiǎn)防控力度，防范各類金融交易風(fēng)險(xiǎn)，切實(shí)維護(hù)金融穩(wěn)定，保護(hù)金融消費(fèi)者合法權(quán)益。

02? 適用機(jī)構(gòu)

《規(guī)范》適用的主體包括兩大類：金融機(jī)構(gòu)和獲取個(gè)人金融信息的非金融機(jī)構(gòu)。

03? 基本原則

《規(guī)范》要求金融業(yè)機(jī)構(gòu)應(yīng)遵循“權(quán)責(zé)一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與”的原則。

04? 內(nèi)容概況

《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》全文共分為范圍、規(guī)范性引用文件、術(shù)語和定義、個(gè)人金融信息概述、安全基本原則、安全技術(shù)要求、安全管理要求等七個(gè)章節(jié)。整體內(nèi)容架構(gòu)圖如下：

二、個(gè)人金融信息分類分級(jí)

《規(guī)范》指出，個(gè)人金融信息是指金融業(yè)機(jī)構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個(gè)人信息，包括賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息及其他反映特定個(gè)人某些情況的信息等7大類。

《規(guī)范》將個(gè)人金融信息按敏感程度從高到低分為C3、C2、C1三個(gè)類別。

類型	主要信息內(nèi)容	危害程度	合規(guī)要求示例
C3（用戶鑒別信息）	銀行卡磁道銀行卡密碼網(wǎng)絡(luò)支付密碼; ? 賬戶登錄密碼交易密碼 ? 生物識(shí)別信息 ?	一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，會(huì) 對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成嚴(yán)重危害	不應(yīng)共享、轉(zhuǎn)讓，不得委托處理
C2（可識(shí)別信息主體身份與金融狀況的個(gè)人金融信息）	支付賬號(hào) 證件信息手機(jī)號(hào)碼 ? 賬戶登錄名 ? 用戶鑒別輔助信息 ? 個(gè)人財(cái)產(chǎn)信息信貸信息 ? 交易信息主體照片音視頻信息 ?	一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，會(huì)對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成一定危害	除用戶鑒別輔助信息外，經(jīng)告知統(tǒng)一可以轉(zhuǎn)讓共享，可以委托處理
C1（機(jī)構(gòu)內(nèi)部的信息資產(chǎn)）	賬戶開立時(shí)間開戶機(jī)構(gòu) ? 支付標(biāo)記信息 ?	一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，可能會(huì)對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成一定影響	經(jīng)告知統(tǒng)一可以共享、轉(zhuǎn)讓，可以委托處理

三、生命周期技術(shù)要求重點(diǎn)內(nèi)容

01? 信息收集

1）不應(yīng)委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集C3、C2類別信息。

2）C3類別信息，通過受理終端、客戶端應(yīng)用軟件、瀏覽器等方式收集時(shí)，應(yīng)使用加密等技術(shù)措施保證數(shù)據(jù)的保密性，防止其被未授權(quán)的第三方獲取。

3）《規(guī)范》中要求金融機(jī)構(gòu)應(yīng)當(dāng)采取技術(shù)措施（如彈窗、明顯位置URL鏈接等），引導(dǎo)用戶查閱隱身政策，并獲得其明示同意后再開展收集個(gè)人金融信息。

02? 信息傳輸

1）通過公共網(wǎng)絡(luò)傳輸時(shí)，C2、C3類別信息應(yīng)使用加密通道或數(shù)據(jù)加密的方式進(jìn)行傳輸，保障個(gè)人金融信息傳輸過程的安全。

2）C3類別中的支付敏感信息，其安全傳輸技術(shù)控制措施應(yīng)符合有關(guān)行業(yè)技術(shù)標(biāo)準(zhǔn)與行業(yè)主管部門有關(guān)規(guī)定要求。

03? 信息存儲(chǔ)

1）C3類別信息應(yīng)采用加密措施確保數(shù)據(jù)存儲(chǔ)的保密性。

2）未取得信息主體與賬戶管理機(jī)構(gòu)的授權(quán)，金融業(yè)從業(yè)機(jī)構(gòu)不得留存非本機(jī)構(gòu)的用戶鑒別信息（C3類）。

04? 信息使用

信息展示：處于未登錄狀態(tài)時(shí)，不應(yīng)展示與個(gè)人金融信息主體相關(guān)的C3類別信息；處于已登陸狀態(tài)時(shí)，除銀行卡有效期外的C3類別信息不應(yīng)明文展示。

共享和轉(zhuǎn)讓：C2類別中的支付賬號(hào)及其等效信息在共享、轉(zhuǎn)讓時(shí)應(yīng)當(dāng)進(jìn)行脫敏處理；C3類別信息及C2類別中的用戶鑒別輔助信息不應(yīng)共享、轉(zhuǎn)讓。

公開披露：C3類別信息及C2類別中的用戶鑒別輔助信息不應(yīng)公開披露；人生物識(shí)別信息，包括C3類別信息中的用于用戶鑒別的個(gè)人生物識(shí)別信息，一律不得公開披露。

委托處理：C3類別及C2類別中的用戶鑒別輔助信息，不應(yīng)委托給第三方機(jī)構(gòu)進(jìn)行處理；對(duì)委托行為，需要確保受委托者具備足夠的數(shù)據(jù)安全能力，且提供了足夠的安全保護(hù)措施。

加工處理：可參照等保及相關(guān)標(biāo)準(zhǔn)，對(duì)個(gè)人金融信息的特殊保護(hù)應(yīng)建立相關(guān)規(guī)范和機(jī)制，并能夠?qū)€(gè)人金融信息加工處理操作記錄，對(duì)個(gè)人金融信息濫用行為進(jìn)行有效的識(shí)別、監(jiān)控和預(yù)警。

匯聚融合：匯聚融合的數(shù)據(jù)不能超出在信息收集時(shí)對(duì)主體所聲明的使用范圍；開展個(gè)人金融信息安全影響評(píng)估，并采取有效的技術(shù)保護(hù)措施。

開發(fā)測(cè)試：開發(fā)環(huán)境、測(cè)試環(huán)境不應(yīng)使用真實(shí)的個(gè)人金融信息，如果測(cè)試需要應(yīng)進(jìn)行脫敏，可使用數(shù)據(jù)脫敏軟件或編寫脫敏規(guī)則進(jìn)行脫敏。

05? 刪除與銷毀

1）個(gè)人金融信息刪除與銷毀的區(qū)別，區(qū)分刪除與銷毀的關(guān)鍵即在于個(gè)人金融信息能否被恢復(fù)。

2）金融機(jī)構(gòu)在委托第三方處理個(gè)人金融信息時(shí)，在委托關(guān)系解除后，金融機(jī)構(gòu)應(yīng)當(dāng)要求受托方銷毀所處理的個(gè)人金融信息。

四、安全運(yùn)行技術(shù)要求重點(diǎn)內(nèi)容

網(wǎng)絡(luò)安全要求：承載與處理個(gè)人金融信息的信息系統(tǒng)應(yīng)滿足國家等級(jí)保護(hù)及金融行業(yè)等級(jí)保護(hù)的基本要求，并且存儲(chǔ)個(gè)人金融信息的數(shù)據(jù)庫應(yīng)處于金融業(yè)機(jī)構(gòu)可控網(wǎng)絡(luò)內(nèi)，設(shè)置有效的訪問控制措施。

WEB應(yīng)用和客戶端軟件安全要求：涉及C2、C3類別信息的Web應(yīng)用應(yīng)具有防篡改和防web攻擊的措施，并具備對(duì)處理個(gè)人金融信息的系統(tǒng)組件進(jìn)行實(shí)時(shí)監(jiān)測(cè)的能力；要求處理個(gè)人金融信息相關(guān)的 Web 應(yīng)用系統(tǒng)與組件上線前應(yīng)進(jìn)行安全評(píng)估。

五、安全管理要求重點(diǎn)內(nèi)容

《規(guī)范》的安全管理要求共5大類10個(gè)子類，從安全準(zhǔn)則、安全策略、訪問控制、安全監(jiān)控和風(fēng)險(xiǎn)評(píng)估、安全事件處置五方面進(jìn)行了安全管理要求。重點(diǎn)包括對(duì)個(gè)人金融信息收集、存儲(chǔ)、使用的安全管理要求，對(duì)個(gè)人金融信息安全管理的制度、組織、人員、訪問控制、安全事件的安全管理要求。除相對(duì)傳統(tǒng)的安全管理外，比較特殊的管理準(zhǔn)則包括：

01? 收集

1)? 收集渠道：柜面、信息系統(tǒng)、金融自助設(shè)備、受理終端、客戶端應(yīng) 用軟件等渠道。

2)? 向個(gè)人金融信息主體明示收集與使用個(gè)人金融信息的目的、方式、范圍和規(guī)則等，獲得個(gè)人金融信息主體的授權(quán)同意。

02? 存儲(chǔ)

1)? 滿足國家法律法規(guī)與行業(yè)主管部門有關(guān)規(guī)定要求。

2)? 并符合個(gè)人金融信息主體授權(quán)使用的目的所必需的最短時(shí)間要求。

3)? 超過期限后，應(yīng)對(duì)收集的個(gè)人金融信息進(jìn)行刪除或匿名化處理。

03? 使用

1)? 原則上不應(yīng)共享、轉(zhuǎn)讓、公開披露其收集的個(gè)人金融信息。

2)? C3類別信息以及 C2類別信息中的用戶鑒別輔助信息不應(yīng)共享、轉(zhuǎn)讓、公開披露。

3）境內(nèi)收集的個(gè)人金融信息應(yīng)在境內(nèi)存儲(chǔ)、處理和分析。

六、安恒信息解決方案

1、個(gè)人金融信息整體防護(hù)框架

2、個(gè)人金融信息生命周期技術(shù)防護(hù)體系

3、個(gè)人金融信息技術(shù)防護(hù)架構(gòu)（安恒信息）

4、個(gè)人金融信息管理制度體系

5、個(gè)人金融信息保護(hù)工作開展流程

關(guān)閉

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運(yùn)營咨詢服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級(jí)智能體

API安全智能體

自動(dòng)化滲透測(cè)試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測(cè)智能體

數(shù)據(jù)安全咨詢服務(wù)智能體

核心安全產(chǎn)品

場(chǎng)景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺(tái)最熱

數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)推薦

明御防火墻最熱

AI時(shí)代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報(bào)告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測(cè)試

AI應(yīng)急響應(yīng)

AI安全咨詢

AI代碼審計(jì)

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識(shí)教育解決方案>

一文看懂《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（文末附完整版）

相關(guān)推薦

告警研判和
降噪智能體

安全運(yùn)營咨詢
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級(jí)智能體

API安全
智能體

自動(dòng)化滲透
測(cè)試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測(cè)智能體

數(shù)據(jù)安全咨詢
服務(wù)智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務(wù)