解读《个人金融信息保护技术规范》之信息分级管理
                      詹昊、宋迎、韦飞
2020年2月20日,全国金融标准化技术委员会公布了《个人金融信息保护技术规范》(JR/T 0171——2020)(以下简称“《规范》”)。《规范》是中国人民银行发布的金融行业推荐性标准(并非强制性标准在《信息安全技术 个人信息安全规范》(GB/T 35273——2017,以下简称“《个人信息安全规范》”)等国家标准基础上个人金融信息的保护作出的细化规定,基本遵循了《个人信息安全规范》关于收集、传输、存储、使用、删除、销毁等信息生命周期全部环节的基本要求。
《规范》较为引人瞩目的是对个人金融信息采取了分级管理的方式,本文主要就此进行研讨。
一、个人金融信息的范围
根据《规范》第4.1条,个人金融信息具体指以下信息:
账户信息
账户及账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。
鉴别信息
用于验证主体是否具有访问或使用权限的信息,包括但不限于银行卡密码、预付卡支付密码、个人金融信息主体登录密码、账户査询密码、交易密码;卡片验证码(CVN和CVN2)、动态口令、短信验证码、密码提示问题答案等。
金融交易信息
个人敏感信息个人金融信息主体在交易过程中产生的各类信息,包括但不限于交易金额、支付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息等。
个人身份信息
个人基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、、工作及家庭地址,以及在提供产品和服务过程中收集的照片、音视频等信息;
个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。
财产信息
金融业机构在提供金融产品和服务过程中,收集或生成的个人金融信息主体财产信息,包括但不限于个人收入状况,拥有的不动产状况,拥有的车辆状况、纳税额、公积金存缴金额等。
借贷信息
个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于授信、信用卡和贷款的发放及还款、担保情况等。
其他信息
对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息,包括但不限于特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息,以及在提供金融产品与服务过程中获取、保存的其他个人信息
二、个人金融信息分级管理机制
《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,即采用了分级管理机制:
级别
危害程度
主要类型
具体信息
C3
造成严重危害
用户鉴别信息
银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码;
账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、査询密码;
用于用户鉴别的个人生物识别信息。
C2
造成一定危害
可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息
支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、 手机号码
账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名;
用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码;若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于C3类别信息
直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、 借贷信息
用于金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等;
用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息
其他能够识别出特定主体的信息,如家庭地址等。
C1
造成一定影响
机构内部的信息资产
账户开立时间、开户机构;
基于账户信息产生的支付标记信息;
C2和C3类别信息中未包含的其他个人金融信息
三、个人金融信息全生命周期中分级管理的特别规定
《规范》以个人金融信息收集、传输、存储、使用、删除、销毁等生命周期作为维度,对个人金融信息提出了具体合规性要求,其中各个周期对C3、C2类别的信息有不同于其他个人金融信息的特别规定。
级别
特别规定
C3
1)不应委托或授权无金融业相关资质的机构收集。
2)通过受理终端、客户端应用软件、浏览器等方式收集时,应使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取。
3)通过公共网络传输时,应使用加密通道或数据加密的方式进行传输,保障个人金融信息传输过程的安全;对于C3类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求
4)不应留存非本机构的银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN 和CVN2)、银行卡密码、网络支付密码等C3类别信息。若确有必要留存的,应取得个人金融 信息主体及账户管理机构的授权
5)C3类别个人金融信息应采用加密措施确保数据存储的保密性。
6)计算机屏幕、客户端应用软件、银行卡受理设备、自助终端设备处于未登录状态时,不应展示与个人金融信息主体相关的C3类别信息;处于己登录状态时,除银行卡有效期外,C3类别信息不应明文展示。
7)应用软件的后台管理与业务支撑系统,除银行卡有效期外,C3类别信息不应明文展示
8)C3类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。
9)信息加工处理中, 对C3类别信息,应采取更加严格的保护措施。
10)涉及C3类别信息的Web应用的安全技术要求如下:
应具备对网站页面篡改、网站页面源代码暴露、穷举登录尝试、重放攻击、SQL注入、跨站脚本攻击、钓鱼、木马以及任意文件上传、下载等已知漏洞的防范能力。
处理个人金融信息相关的Web应用系统与组件上线前应进行安全评估。
应具备对处理个人金融信息的系统组件进行实时监测的能力,有效识别和阻止来自内外部的非法访问。
11)C3类别信息不应共享、转让。
12)C3类别信息不应公开披露。
13)外包服务机构与外部合作机构不应留存C3类别信息
14)留存有C3类别信息的物理设备或介质移入或移出机房以及移入或移出区域应经审批授权。
C2
1)不应委托或授权无金融业相关资质的机构收集。
2)通过公共网络传输时,C2类别信息应使用加密通道或数据加密的方式进行传输,保障个人金融信息传输过程的安全
3)C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理
4)信息加工处理中, 对C2类别信息,应采取更加严格的保护措施。
5)涉及C2类别信息的Web应用的安全技术要求如下:
应具备对网站页面篡改、网站页面源代码暴露、穷举登录尝试、重放攻击、SQL注入、跨站脚本攻击、钓鱼、木马以及任意文件上传、下载等已知漏洞的防范能力。
处理个人金融信息相关的Web应用系统与组件上线前应进行安全评估。
应具备对处理个人金融信息的系统组件进行实时监测的能力,有效识别和阻止来自内外部的非法访问。
6)C2类别信息中的用户鉴别辅助信息不应共享、转让
7)C2类别信息中的用户鉴别辅助信息不应公开披露
8)外包服务机构与外部合作机构不应留存C2类别信息C2类别信息中的支付账号等信息,若因清分清算、差错处理等业务需要确需留存,金融业机构应明确其保密义务与保密贵任,并应根据安全要求落实安全控制措施,并将有关资料留档备査
9)留存有C2类别信息的物理设备或介质移入或移出机房以及移入或移出区域应经审批授权。