银行卡检测中心:《个人金融信息保护技术规范》解读
2020/2/21 11:25:56

个人金融信息是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。

为加强个人金融信息安全管理,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,2020年2月,中国人民银行印发了JR/T 0171-2020《个人金融信息保护技术规范》(以下简称《规范》)。

《规范》从个人金融信息全生命周期管理的角度,为强化个人金融信息风险识别和监控、建立健全风险事件处置机制、保障个人金融信息主体合法权益提出了要求。

规范重点内容介绍

个人金融信息

《规范》指出,个人金融信息(personal financial information)是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。

安全原则

个人金融信息保护以“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则。

个人金融信息分类

根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,并对三类信息实施不同级别的保护。

C3类别信息主要为用户鉴别信息。

C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。

C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。

全生命周期安全管理

个人金融信息的生命周期包括对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程,每个环节都要有相应的安全保护措施。

移动金融客户端

移动金融客户端是当前金融服务的最前沿,也是个人金融信息保护的关键领域。《规范》提出,与个人金融信息相关的客户端应用软件及应用软件开发工具包(SDK)应符合JR/T 0092—2019、JR/T 0068—2020客户端应用软件有关安全技术要求,并在上线前进行安全评估,与2019年9月央行印发的《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号)一脉相承。金融APP潜在的仿冒、安全漏洞、权限滥用、个人信息泄露等风险可通过国家金融IC卡安全检测中心(银行卡检测中心)承建的移动金融风险监测平台进行监控,为金融机构提供个人金融信息风险数据监测分析,助力金融机构构建完善的个人信息保护机制。

金融信息委托处理

大数据发展备受关心的就是信息委托处理的问题,对此,《规范》对金融业机构提出了要求。金融机构因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(包含外包服务机构与外部合作机构)处理时要承信息安全的责任,限制C3及部分C2类别信息的委托处理,加强对重要信息的保护,采用去标识化等技术进行脱敏保护。还需要对委托行为进行个人金融信息保护安全影响评估,对受委托者进行安全检查和评估,对外部的工具进行技术检测。

结语

国标个人信息保护规范发布以来,对各行业的信息保护都提供了很好的实施建议。据悉,国家个人信息保护法也已经纳入人大立法规划,将尽快发布出台。《个人金融信息保护技术规范》在多个方面与GB/T 35273—2017有效衔接,结合金融机构、金融产品、金融服务的具体实践提出了更适合金融行业的操作指南。《规范》的发布必将促进全社会对金融数据的安全应用,强化金融机构对消费者的安全保护,为金融创新奠定坚实的发展基础。

国家金融IC卡安全检测中心(银行卡检测中心)作为《规范》的主要起草单位,也将在近期带来《规范》的进一步解读。

中心多次配合人行、公安等部门开展金融信息安全排查工作,同时,作为全球金融安全组织PCI授权的评估机构(QSA)、中国银联授权的UP DSS数据评估机构,在数据安全评估方面积累了丰富经验,可为金融机构提供金融数据治理咨询、金融信息安全审计等相关服务,帮助金融机构更好的符合国内外的金融数据安全管理要求。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消