近日，《信息安全技术 网络支付服务数据安全指南》（下文简称“指南”）对外征求意见。指南规定了网络支付服务可以收集、使用、存储、共享、转让、公开披露的数据种类、范围、方式、条件等，以及数据安全保护要求。

指南适用于网络支付服务运营者规范数据活动，也适用于主管监管部门、第三方评估机构对网络支付服务数据活动进行监督、管理、评估时参考。

网络支付数据要分级分类保护

指南规定，网络支付服务数据包括用户数据和业务数据，其中用户数据包括个人自然信息、个人身份鉴别信息、个人资讯信息、个人关系信息、个人行为信息和个人标签信息等，业务数据包括账户信息、商户信息、签约绑卡信息、支付结算信息和经营管理信息等。

根据网络支付数据安全性遭受破坏后的影响对象和所造成的影响程度，可以将网络支付服务网络数据分为四个安全级别，其对应的安全要求逐级递增，分别为第1级、第2级、第3级和第4级。

其中，第4级信息包括个人财产信息、个人网络身份鉴权信息、个人生物特征信息、商户身份鉴别信息等，对应到《个人金融信息保护技术规范》中，基本涵盖了C2、C3类个人金融信息。

指南指出，数据对应的四个安全级别在本部分场景下可能会有所调整，比如两个及以上无映射关系的数据项组成的，数据级别不低于各数据项最高者，如3级数据与3级数据组成的数据可调整为4级；或者当数据量级较大时，低级别数据的等级可提升一级，如2级数据的量级较大时，可提高至3级。

指南规定，网络支付服务运营者应识别数据活动涉及的数据，形成数据保护目录，并对网络支付服务数据进行分级分类保护。

数据全生命周期保护

指南规定了网络支付数据生命周期的安全原则、防护要求，覆盖数据采集、存储、使用、交换等环节。

在数据采集方面，指南规定网络支付服务运营者收集个人信息应遵守《信息安全技术个人信息安全规范》规定的要求，符合最小、必要原则。

网络支付服务运营者收集收款方必要个人信息应满足反洗钱、反作弊、反欺诈等管理要求，范围包括但不限于表1所列信息。

按照最小、必要原则收集个人信息已经成为了我国数据治理的基本原则之一，在网络安全法、个人金融信息保护技术规范、金融数据分级指南、金融数据生命周期安全规范中都有体现。

在数据使用方面，指南规定网络支付服务运营者在数据展示时应建立数据展示安全管控（如去标识化）的管理规范和制度，应明确不同敏感级别数据的展示规则、脱敏方法和使用限制。

在数据加工处理时，网络支付服务运营者应收集个人信息后，宜立即进行去标识化处理，如将记录个人支付账户及其关联的银行卡号等个人信息加密存储在不同的数据表。

在数据共享方面，指南规定网络支付服务运营者与第三方共享个人信息时应对第三方服务商的数据安全保障能力进行评估，以协议等方式约定双方数据保护责任。

向第三方商户提供交易号与相关支付信息的，应在与第三方商户的支付服务协议中约定个人信息处理规则与双方数据保护责任，同时要求第三方商户不应存储用户银行卡的磁道信息或芯片信息、验证码、有效期、口令等敏感信息。

在数据存储方面，指南规定网络支付服务运营者应真实、完整记录付款方的网络支付业务操作行为并保存至少五年。

网络支付服务平台被认定为关键信息基础设施的，应将在中华人民共和国境内运营中收集和产生的个人信息和重要数据存储在境内，且应将身份鉴别类数据与基本信息类数据分开存储，应将个人生物识别信息的原始信息和摘要分开存储。

指南强调，网络支付服务运营者不应存储用户银行卡的磁道信息或芯片信息、验证码、银行卡密码，不应将网络支付密码保存在客户端App中。

点击下载《信息安全技术 网络支付服务数据安全指南》