个人金融信息保护技术规范
JR/T 0171-2020
范围
本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面对个人金融信息保护提出了规范性要求。
本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
个人金融信息
1、个人金融信息内容
账户信息
支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额。
基于上述信息产生的支付标记信息。
鉴别信息
银行卡密码、预付卡支付密码、个人金融信息主体登录密码、账户查询密码、交易密码卡片验证码(CVN和CVN2)、动态口令、短信验证码、密码提示问题答案。
金融交易信息
交易金额、支付记录、透支记录、交易日志、交易凭证、证券委托、成交、持仓信息、保单信息、理赔信息。
个人身份信息
个人基本信息:包括但不限于客户法定名称,性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址,以及在提供产品和服务过程中收集的照片、音视频等信息;
个人生物识别信息:包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。
财产信息
个人收入状况、纳税额、拥有的不动产状况、公积金存缴金额、拥有的车辆状况。
借贷信息
授信、信用卡和贷款的发放及还款、担保情况。
其他信息
其他反映特定个人某些情况的信息。
消费意愿、支付习惯、其他衍生信息。
2、个人金融信息类别
根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。
C3:高敏感度
·银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)卡片有效期、银行卡密码、网络支付交易密码;
·账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码;
·用于用户鉴别的个人生物识别信息。
C2:中敏感度
·支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、手机号码。
·账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名。
·用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码;若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于C3类别信息。
·直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息。
·用于金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等。
·用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。
·其他能够识别出特定主体的信息,如家庭地址等。
C1:低敏感度
·账户开立时间、开户机构;
·基于账户信息产生的支付标记信息;
·C2和C3 类别信息中未包含的其他个人金融信息。
注意:两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。
3、个人金融信息生命周期
对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程。
安全基本原则
权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与
安全技术要求
1、生命周期技术要求
收集、传输、存储
使用:信息展示共享和转让、公开披露、委托处理、加工处理、汇聚融合、开发测试
删除、销毁
2、安全运行技术要求
网络安全要求、Web应用安全要求、客户端应用软件安全要求、密码技术与密码产品要求
3、安全管理要求
安全准则:收集、存储、使用
安全策略:安全制度体系建立与发布、组织架构岗位设置、人员管理、访问控制
安全监测与风险评估:监控与审计、安全检查和评估、安全事件处置
文字来源:中国人民银行福建省分行
