个人金融信息保护技术规范.docx

1、个人金融信息保护技术规范个人金融信息保护技术规范 个人金融信息保护技术规范 1 范围 本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。本标准适用于提供金融产品和服务的金融业机构，并为安全评估机构开展安全检查与评估工作提供参考。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 250

2、69-2010 信息安全技术 术语 GB/T 31186.2-2014 银行客户基本信息描述规范 第 2部分：名称 GB/T 31186.3-2014 银行客户基本信息描述规范 第 3部分：识别标识 GB/T 35273-2017 信息安全技术 个人信息安全规范 JR/T 0068-2020 网上银行系统信息安全通用规范 JR/T 0071 金融行业信息系统信息安全等级保护实施指引 JR/T 0092-2019 移动金融客户端应用软件安全管理规范 JR/T 0149-2016 中国金融移动支付 支付标记化技术规范 JR/T 0167-2018 云计算技术金融应用规范 安全技术要求 3术语和定义

3、 GB/T 25069-2010，GB/T 35273-2017 界定的以及下列术语和定义适用于本文件。3.1金融业机构 financial industry institutions 本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构，以及涉及个人金融信息处理的相关机构。3.2个人金融信息 personal financial information 金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注 1：本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。注 2：改写 GB/T

4、35273-2017，定义 3.1 3.3支付敏感信息 payment sensitive information 支付信息中涉及支付主体隐私和身份识别的重要信息。注：支付敏感信息包括但不限于银行卡磁道数据或芯片等效信息，卡片验证码、卡片有效期、银行卡密码、网络付交易密码等用于支付鉴权的个人金融信息。3.4个人金融信息主体 personal financial information subject 个人金融信息所标识的自然人。注：改写 GB/T 35273-2017，定义 3.3。3.5个人金融信息控制者 personal financial information controller 有

5、权决定个人金融信息处理目的、方式等的机构。注：改写 GB/T 35273-2017，定义 3.4。3.6收集 collect 获得个人金融信息的控制权的行为。注 1：收集行为包括由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等自动采集行为，以及通过共享、转让、搜集公开信息等间接获取个人金融信息等行为。注 2：如金融产品或服务提供者提供工具供个人金融信息主体使用，提供者不对个人金融信息进行访问的，则不属于本标准所称的收集。例如手机银行客户端应用软件在终端获取用户指纹特征信息用于本地鉴权后，指纹特征信息不回传至提供者，则不属于用户指纹特征信息的收集行为。注 3：改

6、写 GB/T 35273-2017，定义 3.5。3.7公开披露 public disclosure 向社会或不特定群体发布信息的行为。GB/T 35273-2017，定义 3.10 3.8转让 transfer of control 将个人金融信息控制权由一个控制者向另一个控制者转移的过程。注：改写 GB/T 35273-2017，定义 3.1。3.9共享 sharing 个人金融信息控制者向其他控制者提供个人金融信息，且双方分别对个人金融信息拥有独立控制权的过程。注：改写 GB/T 35273-2017，定义 3.12。3.10个人金融信息安全影响评估 personal financial

7、 information secur ity impact assessment 针对个人金融信息处理活动，检验其合法合规程度，判断其对个人金融信息主体合法权益造成损害的各种风险，以及评估用于保护个人金融信息主体的各项措施有效性的过程。3.11支付账号 payment account 具有金融交易功能的银行账户、非银行支付机构支付账户及银行卡卡号。注：改写 JR/T 0149-2016，定义 3.1。3.12支付标记 payment token（Token）作为支付账号等原始交易要素的替代值，用于完成特定场景支付交易。CJR/T 0149-2016，定义 3.2。3.13磁道数据 track

8、data 一磁、二磁和三磁定义的必备或可选的数据元 注：磁道数据可以在物理卡的磁条上，也可以被包含在集成电路或者其他媒介上。JR/T 0061-2011，定义 3.20。3.14卡片验证码 card ver ification number；CVN 对磁条信息合法性进行验证的代码。JR/T 0061-2011，定义 8.7。3.15卡片验证码 2 card verification number 2；CVN2 在邮购或电话订购等非面对面交易中对银行卡卡片合法性进行验证的代码。CJR/T 0061-2011，定义 8.8 3.16动态口令 one-time-password（OTP），dynam

9、ic password 基于时间、事件等方式动态生成的一次性口令。CM/2 0001-2013，定义 2.15 3.17短信动态密码 SMs dynamic code 短信验证码 SMS code 后台系统以手机短信形式发送到用户绑定手机上的随机数，用户通过回复该随机数进行身份认证。JR/T 0088.1-2012，定义 2.41 3.18客户法定名称 customers legal name 在法律上认可的客户名称，注 1：客户法定名称一般记录在国家授权部门颁发给客户的证件上，本标准客户主要指自然人客户。注 2：改写 GB/T 31186.2-2014，定义 3.2。3.19证件识别标识 l

10、egal discrimination ID 由国家法定有权部门颁发，能够唯一确定客户的且具有法律效力的标识。注 1：证件类识别标识是外源性数据。外源性数据意味着数据的使用者不是数据的所有者，数据在产生、变更、废止后可能不为数据的使用者所知悉。注 2：本标准的使用者因本身业务需求而产生的内部证件类标识，不应在使用者外部使用，也不具有法律效力。注 3：改写 GB/T 31186.3-2014，定义 3.2。3.20XX的查看 unauthorized reading 未得到信息的所有者或有权授权人授权对信息的查看。注 1：XX的查看可能是善意的，也可能是恶意的：信息处理者无意泄露的 XX的查看为

11、信息泄露事件；攻击者通过使相关安全措施无效的措施有意获取的 XX的查看为信息窃取事件。注 2：非法查看是对 XX的查看的一种不严谨但在特定的语境下并无二义性的提法。3.21XX的变更 unauthorized altering 未得到信息的所有者或有权授权人授权对信息的变更。注 1：XX的变更典型地分为 XX的增加（即增加全新的内容）、XX 的更改（即修改现有的内容）或 XX 的删除（即删除原有的内容）三种情况，也可能是三种情况的组合。注 2：XX的变更可能是善意的，也可能是恶意的；往往表现为信息篡改事件、信息假冒事件、信息丢失事件等。注 3：非法变更是对 XX的变更的一种不严谨但在特定的语境

12、下并无二义性的提法。3.22明示同意 explicit consent 个人金融信息主体通过书面声明或主动作出肯定性动作，对其个人金融信息进行特定处理作出明确授权的行为。注 1：肯定性动作包括个人金融信息主体主动作出声明（电子或纸质形式）、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。注 2：改写 GB/T 35273-2017，定义 3.6 3.23匿名化 anonymization 通过对个人金融信息的技术处理，使得个人金融信息主体无法被识别，且处理后的信息不能被复原的过程。注 1：个人金融信息经匿名化处理后所得的信息不属于个人金融信息。注 2：改写 GB/T 35

13、273-2017，定义 3.13。3.24去标识化 de-identification 通过对个人金融信息的技术处理，使其在不借助额外信息的情况下，无法识别个人金融信息主体的过程。注 1：去标识化仍建立在个体基础之上，保留了个体颗粒度，采用假名、加密、加盐的哈希函数等技术手段替代对个人金融信息的标识。注 2：改写 GB/T 35273-2017，定义 3.14。3.25删除 delete 在金融产品和服务所涉及的系统中去除个人金融信息的行为，使其保持不可被检索、访问的状态。注：改写 GB/T 35273-2017，定义 3.9。4个人金融信息概述 4.1个人金融信息内容 个人金融信息包括账户信

14、息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息，具体如下：a）账户信息指账户及账户相关信息，包括但不限于支付账号、银行卡磁道数据（或芯片等效信息）银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。b）鉴别信息指用于验证主体是否具有访问或使用权限的信息，包括但不限于银行卡密码、预付卡支付密码：个人金融信息主体登录密码、账户查询密码、交易密码；卡片验证码（CVN和 CVN2），动态口令、短信验证码、密码提示问题答案等。c）金融交易信息指个人金融信息主体在交易过程中产生的各类信息，包括但不

15、限于交易金额、支付记录、透支记录、交易日志、交易凭证；证券委托、成交、持仓信息；保单信息、理赔信息等。d）个人身份信息指个人基本信息、个人生物识别信息等。个人基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址，以及在提供产品和服务过程中收集的照片、音视频等信息；个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。e）财产信息指金融业机构在提供金融产品和服务过程中，收集或生成的个人金融信息主体财产信息，包括但不限于个人

16、收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金存缴金额等。f）借贷信息指个人金融信息主体在金融业机构发生借贷业务产生的信息，包括但不限于信、信用卡和贷款的发放及还款、担保情况等。g）其他信息：对原始数据进行处理、分析形成的，能够反映特定个人某些情况的信息，包括但不限于特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息：在提供金融产品与服务过程中获取、保存的其他个人信息。4.2个人金融信息类别 根据信息遭到 XX 的查看或 XX的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为 C3，C2，C1三个类别。具体如下：a）C3 类别信息主要为用户鉴别信息。该类信息一旦遭

17、到 XX的查看或 XX的变更会对个人金融信息主体的信息安全与财产安全造成严重危害，包括但不限于：银行卡磁道数据（或芯片等效信息）、卡片验证码（CVN和 CVN2）、卡片有效期、银行卡密码、网络支付交易密码：账户（包括但不限于支付账号、证券账户、保险账户）登录密码、交易密码、查询密码：用于用户鉴别的个人生物识别信息 b）C2 类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息。该类信息一旦遭到 XX 的查看或 XX的变更，会对个人金融信息主体的信息安全与财产安全造成一定危害，包括但不限于：支付账号及其等效信息，如支付账号、证件类识别标识与证件信

18、息（身份证、护照等）、手机号码。账户（包括但不限于支付账号、证券账户、保险账户）登录的用户名。用户鉴别辅助信息，如动态口令、短信验证码、密码提示问题答案、动态声纹密码：若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别，则属于 c3 类别信息。直接反映个人金融信息主体金融状况的信息，如个人财产信息（包括网络支付账号余额）、借贷信息。用于金融产品与服务的关键信息，如交易信息（如交易指令、交易流水、证券委托、保险理赔）等。用于履行了解你的客户（KYC）要求，以及按行业主管部门存证、保全等需要，在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。其他能够识别出特定主体的信息，如家庭地

19、址等。c）C1类别信息主要为机构内部的信息资产，主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到 XX的查看或 XX的变更，可能会对个人金融信息主体的信息安全与财产安全造成一定影响，包括但不限于：账户开立时间、开户机构；基于账户信息产生的支付标记信息：C2 和 C3类别信息中未包含的其他个人金融信息。个人金融信息主体因业务需要（如贷款）主动提供的有关家庭成员信息（如身份证号码、手机号码、财产信息等），应依据 c3、C2、C1敏感程度类别进行分类，并实施针对性的保护措施。两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一言息在不同的服务场景中可能处于

20、不同的类别，应依据服务场景以及该信息在其中的作用对信息的类别进行识别，并实施针对性的保护措施。4.3个人金融信息生命周期 个人金融信息生命周期指对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程，各环节描述如下：a）收集：对个人金融信息主体各类信息进行获取和记录的过程。b）传输：个人金融信息在终端设备、信息系统内或信息系统间传递的过程。c）存储：个人金融信息在终端设备、信息系统内保存的过程。d）使用：对个人金融信息进行展示、共享和转让、公开披露、委托处理、加工处理等操作的过程。e）删除：使个人金融信息不可被检索、访问的过程。f）销毁：对个人金融信息进行清除，使其不可恢复的过程

21、。5安全基本原则 金融业机构应遵循 GB/T 35273-2017的要求，以“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则，设计并实施覆盖个人金融信息全生命周期的安全保护策略。6安全技术要求 6.1 生命周期技术要求 6.1.1收集 应根据信息类别确定个人金融信息收集方案。具体技术要求如下：a）不应委托或授权无金融业相关资质的机构收集 C3.c2 类别信息 b）应确保收集信息来源的可追溯性。c）应采取技术措施（如弹窗、明显位置 URL链接等），引导个人金融信息主体查阅隐私政策，并获得其明示同意后，开展有关个人金融信息的收集活动。d）对于 C3类别信息，通过受理终

22、端、客户端应用软件、浏览器等方式收集时，应使用加密等技术措施保证数据的保密性，防止其被未授权的第三方获取。e）通过受理终端、客户端应用软件与浏览器等方式引导用户输入（或设置）银行卡密码、网络支付密码时，应采取展示屏蔽等措施防止密码明文显示，其他密码类信息宜采取展示屏蔽措施。f）在网络支付业务系统中，应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护，并采取有效措施防止合作机构获取、留存支付敏感信息。g）在停止提供金融产品或服务时，应及时停止继续收集个人金融信息的活动。6.1.2 传输 个人金融信息传输过程的参与方应保证信息在传输过程中的保密性、完整性和可用性

23、，具体技术要求如下：a）应建立相应的个人金融信息传输安全策略和规程，采用满足个人金融信息传输安全策略的安全控制措施，如安全通道、数据加密等技术措施。b）传输个人金融信息前，通信双方应通过有效技术手段进行身份鉴别和认证 c）通过公共网络传输时，c2、C3类别信息应使用加密通道或数据加密的方式进行传输，保障个人金融信息传输过程的安全；对于 C3类别中的支付敏感信息，其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。d）应根据个人金融信息的不同类别，采用技术手段保证个人金融信息的安全传输；低敏感程度类别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的（如，经组合后构成交

24、易授权完整要素的情况），应提升相应的安全传输保障手段。e）个人金融信息传输的接收方应对接收的信息进行完整性校验 f）应建立有效机制对个人金融信息传输安全策略进行审核、监控和优化，包括对通道安全配置、密码算法配置、密钥管理等保护措施的管理和监控。g）应采取有效措施（如个人金融信息传输链路冗余）保证数据传输可靠性和网络传输服务可用性。6.1.3 存储 个人金融信息存储的具体技术要求如下：a）不应留存非本机构的银行卡磁道数据（或芯片等效信息）、银行卡有效期、卡片验证码（CVN信息主体及账户管理机构的授权。b）应根据个人金融信息的不同类别，采用技术手段保证个人金融信息的存储安全；低敏感程度类别的个人金

25、融信息因参与身份鉴别等关键活动导致敏感程度上升的（如，经组合后构成交易授权完整要素的情况），应提升相应的安全存储保障手段。c）C3 类别个人金融信息应采用加密措施确保数据存储的保密性。d）受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据（或芯片等效信息）、银行卡有效期、卡片验证码（CVN和 CVN2）、银行卡密码、网络支付密码等支付敏感信息及个人生物识别信息的样本数据、模板，仅可保存完成当前交易所必需的基本信息要素，并在完成交易旨及时予以清除。e）采取必要的技术和管控措施保证个人金融信息存储转移过程中的安全性。f）应将去标识化、匿名化后的数据与可用于恢复识别个人的信息采取逻辑隔离的方

26、式进行存储，确保去标识化、匿名化后的信息与个人金融信息不被混用。g）在停止运营时，应依据国家法律法规与行业主管部门有关规定要求，对所存储的个人金融信息进行妥善处置，或移交国家与行业主管部门指定的机构继续保存。6.1.4 使用 6.1.4.1信息展示 提供业务办理与查询等功能的应用软件，对个人金融信息展示具体技术要求如下：a）依据国家法律法规与行业主管部门有关规定要求，对通过计算机屏幕、客户端应用软件、银行卡受理设备、自助终端设备、纸面（如受理终端打印出的交易凭条等交易凭证）等界面展示的个人金融信息应采取信息屏蔽（或截词）等处理措施，降低个人金融信息在展示环节的泄露风险。注 1：关于信息屏蔽（或

27、截词）的使用方式，参见附录 A.注 2：金融业机构框面打印的凭证依据有关规范执行。b）处于未登录状态时，不应展示与个人金融信息主体相关的 c3 类别信息 c）处于已登录状态时，个人金融信息展示的技术要求如下：除银行卡有效期外，C3类别信息不应明文展示。对于银行卡号、手机号码、证件类识别标识或其他识别标识信息等可以直接或组合后确定个人金融信息主体的信息应进行屏蔽展示，或由用户选择是否屏蔽展示，如需完整展示应进行用户身份验证，并做好此类信息管理，防范此类信息泄露风险。涉及其他个人金融信息主体的信息时，除以下情况外，宜进行屏蔽展示：其他方主动发起的活动包含的信息，此种情况需展示必要的信息以供活动接收

28、方对混动内容进行确认，例如：其他方发起的交易、其他方发起的收付款、保险保费代收。与其他方已建立信任关系（间接授权），此时需活动发起方确认发起活动的必要信息的正确性（或活动发起方需接收活动结果信息，并确认活动已正确完成），例如：向其他方收款，其他方已付款向其他方申请代付，其他方同意付款或者其他方在自己业务应用范围内的联系人。其他法律法规要求的情况。应用软件的后台管理与业务支撑系统，对个人金融信息展示具体技术要求如下：a）除银行卡有效期外，C3类别信息不应明文展示。b）应采取技术措施防范个人金融信息在展示过程中泄露或被 XX的拷贝。c）后台系统对支付账号、客户法定名称、支付预留手机号码、证件类或其

29、他类识别标识信息等展。d）后台系统不应具备开放式查询能力，应严格限制批量查询。e）对于确有明文查看需要的业务场景可以保留明文查看权限，后台系统应对所有查询操作进行细粒度的授权与行为审计。应防止通过散列碰撞等方法推导出完整的数据，若使用“截词”的方式进行部分字段的屏蔽处理，不应用散列代替字段被截词的部分。6.1.4.2 共享和转让 个人金融信息在共享和转让的过程中，应充分重视信息转移或交换过程中的安全风险，具体技术要求如下 a）在共享和转让前，应开展个人金融信息安全影响评估，并依据评估结果采取有效措施保护个人金融信息主体权益。b）在共享和转让前，应开展个人金融信息接收方信息安全保障能力评估，并与

30、其签署数据保护责任承诺。c）支付账号及其等效信息在共享和转让时，除法律法规和行业主管部门另有规定外，应使用支付标记化（按照 JR/T0149-2016）技术进行脱敏处理（因业务需要无法使用支付标记化技术时应进行加密），防范信息泄露风险。d）应部署信息防泄露監控工具，监控及报告个人金融信息的违规外发行为。e）应部署流量监控技术措施，对共享、转让的信息进行监控和审计。f）应根据“业务需要”和“最小权限”原则，对个人金融信息的导出操作进行细粒度的访问控制与全过程审计，应采取两种或两种以上鉴别技术对导出信息操作人员进行身份鉴别。g）应定期检查或评估信息导出通道的安全性和可靠性。h）使用外部嵌入或接入的

31、自动化工具（如代码、脚本、接口、算法模型、软件开发工具包等）进行信息共享与转让时，应定期检查或评估信息共享工具、服务组件和共享通道的安全性和可靠性，并留存检查或评估结果记录。i）应执行严格的审核程序，并准确记录和保存个人金融信息共享和转让情况。记录内容应包括但不限于日期、规模、目的、范围，以及数据接收方基本情况与使用意图等，并应确保对共享和转让的信息及其过程可被追溯。j）应采取有效技术防护措施，防范信息转移过程中被除信息发送方与接收方之外的其他个人、组织和机构截获和利用。6.1.4.3公开披露 个人金融信息原则上不得公开披露。金融业机构经法律授权或具备合理事由确需公开披露时，具体技术要求如下：

32、a）应事先开展个人金融信息安全影响评估，并依据评估结果采取有效的保护个人金融信息主体权益的措施。b）不应公开披露个人生物识别信息。c）应准确记录和保存个人金融信息的公开披露情况，包括公开披露的日期、规模、目的、内容、公开范围等。6.1.4.4委托处理 金融业机构因金融产品或服务的需要，将收集的个人金融信息委托给第三方机构（包含外包服务机构与外部合作机构）处理时，具体技术要求如下：a）委托行为不应超出已征得个人金融信息主题授权同意的范围或遵循 7.1 中对于征得授权同意的例外所规定的情形，并准确记录和保存委托处理个人金融信息的情况。b）C3 以及 C2类别信息中的用户鉴别辅助信息，不应委托给第三

33、方机构进行处理。转接清算、登记结算等情况，应依据国家有关法律法规及行业主管部门有关规定与技术标准执行。c）对委托处理的信息应采用去标识化（不应仅使用加密技术）等方式进行脱敏处理，降低个人金融信息被泄露、误用、滥用的风险。d）应对委托行为进行个人金融信息安全影响评估，并确保受委托者具备足够的数据安全能力，且提供了足够的安全保护措施。e）应对第三方机构等受委托者进行监督，方式包括但不限于：依据 7.2.1 的要求，通过合同等方式规定受委托者的责任和义务 依据 7.4.2 的要求，对受委托者进行安全检查和评估 f）应对外部嵌入或接入的自动化工具（代码、脚本、接口、算法模型、软件开发工具包等）开展技术检测，确保其个人金融信息收集、使用行为符合约定要求：并对其收集个人金融信息的行为进行审计，发现超出约定行为及时切断接入。6.1.4.5加工处理 个人金融信息在加工处理的过程中，具体技术要求如下：a）应