近日，北京国家金融科技认证中心（原“中金国盛”）发布文件《关于非银行支付机构支付业务设施技术认证审查要求变更通知》。

通知显示，为推动《个人金融信息保护技术规范》在非银行支付业务领域落地实施，自2021年7月1日起新受理的非银行支付机构认证项目审查要求出现变更，认证实施中均增加个人金融信息保护技术要求的内容，本次变更共涉及71项数据安全类审查项。

标准落地的重要步骤

支付机构对信息安全保护的要求正在逐渐提高。

2020年2月13日，中国人民银行发布《个人金融信息保护技术规范》（JR/T0171-2020）（简称“《规范》”）。《规范》在个人金融信息范围、收集使用行为、安全技术标准、机构安全岗位设置等方面做出了细致的规定。

《规范》清晰明确的列出了个人金融信息的内容，并根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别：

根据C3、C2、C1三个类别，对个人金融信息在收集、传输、存储、使用、删除、销毁等处理的整个过程对相关机构建立不同信息保护层级方面提出了更高的要求。

比如C3类别信息，通过受理终端、客户端应用软件、浏览器等方式收集时，应使用加密等技术措施保证数据的保密性；通过公共网络传输时，C2、C3类别信息应使用加密通道或数据加密的方式进行传输等等。

值得一提的是，《规范》要求“不应委托或授权无金融业相关资质的机构收集C3、C2类别信息”，而包括支付机构在内的持牌机构，才有资格收集C3、C2信息，此番北京国家金融科技认证中心的通知，正是唿应了《规范》的要求，同时对持牌机构的信息保护能力有正式的检测认证要求。

《规范》的出台具有重大的意义。不仅扩大了金融信息安全责任方的范围，并且对相关机构在收集、使用个人金融信息的操作进行详细的规定，最大限度的防范违规违法行为的发生。

北京国家金融科技认证中心此次进行认证审查要求变更，是《规范》落地的重要步骤。71项数据安全审查项，几乎都是根据相关条款设置的。比如个人金融信息保护制度体系建设审查、委托或授权审查等等，直接与《规范》相关。

非银行支付业务认证关系生死

2010年6月14日，中国人民银行发布《非金融机构支付服务管理办法》，并于当年9月1日起施行，这就是支付行业著名的2号令。

2号令规定，申请《支付业务许可证》的，应当向所在地中国人民银行分支机构提交十二种文件、资料，其中就包括“技术安全检测认证证明”，并且申请人应当在收到受理通知后按规定公告支付业务设施的技术安全检测认证证明。

这份“技术安全检测认证证明”即指北京国家金融科技认证中心的“非银行支付机构支付业务设施技术认证”。

换句话说，支付机构想要获得支付牌照，就必须要获得这份非银行支付机构支付业务设施技术认证，没有认证就没有牌照。

更关键的是，这份认证是具有有效期的，据移动支付网了解，该认证有效期时长为三年，当有效期结束，支付机构就需要重新检测获得认证。

因此，北京国家金融科技认证中心作出认证审查要求变更的决定，就意味着几乎所有的支付机构都需要在认证过期之前完成《规范》的落地工作，这个时间不会超过三年。

同时，虽然《规范》在性质上属于推荐性标准，但由于认证审查要求变更，从2021年7月1日起，《规范》对于支付机构来说，几乎等同于强制性标准。

据移动支付网了解，这不是第一次非银行支付机构支付业务设施技术认证审查项目出现变更，2018年11月，就进行过一次变更。

2018年11月，中国人民银行发布《非银行支付机构支付业务设施技术要求》和《非银行支付机构支付业务设施检测规范》两份标准，因此，认证审查也相应的作出了变更。

个人金融信息安全监管：逐步深入

2020年10月，中国人民银行相关分支机构依法对部分金融机构侵害消费者金融信息安全行为立案调查，并依据《中华人民共和国消费者权益保护法》《中华人民共和国反洗钱法》有关规定，分别对农业银行吉林市江北支行、中国银行石嘴山市分行、建设银行德阳分行、建设银行娄底分行、建设银行东营分行、建设银行建德支行及相关责任人予以警告并处以罚款。

针对个人金融安全，目前已经出台了大量的政策、文件、规范，其中重要的有《网络安全法》《个人金融信息保护技术规范》《金融消费者权益保护实施办法》《银行业金融机构数据治理指引》《金融数据安全数据安全分级指南》等等。涵盖金融数据全生命周期的各个方面。

个人金融信息安全已经成为监管重点对象。此次北京国家金融科技认证中心将《个人金融信息保护技术规范》相关要求加入到非银行支付机构支付业务设施技术认证当中，更是说明了个人金融信息安全监管正在逐步深入。