-1-个人金融信息保护技术规范1范围本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T25069-2010信息安全技术术语GB/T31186.2-2014银行客户基本信息描述规范第2部分:名称GB/T31186.3-2014银行客户基本信息描述规范第3部分:识别标识GB/T35273-2017信息安全技术个人信息安全规范JR/T0068-2020网上银行系统信息安全通用规范JR/T0071金融行业信息系统信息安全等级保护实施指引JR/T0092-2019移动金融客户端应用软件安全管理规范-2-JR/T0149-2016中国金融移动支付支付标记化技术规范JR/T0167-2018云计算技术金融应用规范安全技术要求3术语和定义GB/T25069-2010,GB/T35273-2017界定的以及下列术语和定义适用于本文件。3.1金融业机构financialindustryinstitutions本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。3.2个人金融信息personalfinancialinformation金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注1:本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。注2:改写GB/T35273-2017,定义3.13.3支付敏感信息paymentsensitiveinformation支付信息中涉及支付主体隐私和身份识别的重要信息。注:支付敏感信息包括但不限于银行卡磁道数据或芯片等效信息,卡片验证码、卡片有效期、银行卡密码、网络付交易密码等用于支付鉴权的个人金融信息。3.4个人金融信息主体personalfinancialinformation-3-subject个人金融信息所标识的自然人。注:改写GB/T35273-2017,定义3.3。3.5个人金融信息控制者personalfinancialinformationcontroller有权决定个人金融信息处理目的、方式等的机构。注:改写GB/T35273-2017,定义3.4。3.6收集collect获得个人金融信息的控制权的行为。注1:收集行为包括由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人金融信息等行为。注2:如金融产品或服务提供者提供工具供个人金融信息主体使用,提供者不对个人金融信息进行访问的,则不属于本标准所称的收集。例如手机银行客户端应用软件在终端获取用户指纹特征信息用于本地鉴权后,指纹特征信息不回传至提供者,则不属于用户指纹特征信息的收集行为。注3:改写GB/T35273-2017,定义3.5。3.7公开披露publicdisclosure向社会或不特定群体发布信息的行为。[GB/T35273-2017,定义3.10]-4-3.8转让transferofcontrol将个人金融信息控制权由一个控制者向另一个控制者转移的过程。注:改写GB/T35273-2017,定义3.1。3.9共享sharing个人金融信息控制者向其他控制者提供个人金融信息,且双方分别对个人金融信息拥有独立控制权的过程。注:改写GB/T35273-2017,定义3.12。3.10个人金融信息安全影响评估personalfinancialinformationsecurityimpactassessment针对个人金融信息处理活动,检验其合法合规程度,判断其对个人金融信息主体合法权益造成损害的各种风险,以及评估用于保护个人金融信息主体的各项措施有效性的过程。3.11支付账号paymentaccount具有金融交易功能的银行账户、非银行支付机构支付账户及银行卡卡号。注:改写JR/T0149-2016,定义3.1。3.12支付标记paymenttoken(Token)作为支付账号等原始交易要素的替代值,用于完成特定场景支付交易。CJR/T0149-2016,定义3.2。-5-3.13磁道数据trackdata一磁、二磁和三磁定义的必备或可选的数据元注:磁道数据可以在物理卡的磁条上,也可以被包含在集成电路或者其他媒介上。[JR/T0061-2011],定义3.20。3.14卡片验证码cardverificationnumber;CVN对磁条信息合法性进行验证的代码。[JR/T0061-2011,定义8.7。3.15卡片验证码2cardverificationnumber2;CVN2在邮购或电话订购等非面对面交易中对银行卡卡片合法性进行验证的代码。[CJR/T0061-2011,定义8.8]3.16动态口令one-time-password(OTP),dynamicpassword基于时间、事件等方式动态生成的一次性口令。[CM/20001-2013,定义2.15]3.17短信动态密码SMsdynamiccode短信验证码SMScode后台系统以手机短信形式发送到用户绑定手机上的随机数,用户通过回复该随机数进行身份认证。[JR/T0088.1-2012,定义2.41]3.18客户法定名称customer'slegalname-6-在法律上认可的客户名称,注1:客户法定名称一般记录在国家授权部门颁发给客户的证件上,本标准客户主要指自然人客户。注2:改写GB/T31186.2-2014,定义3.2。3.19证件识别标识legaldiscriminationID由国家法定有权部门颁发,能够唯一确定客户的且具有法律效力的标识。注1:证件类识别标识是外源性数据。外源性数据意味着数据的使用者不是数据的所有者,数据在产生、变更、废止后可能不为数据的使用者所知悉。注2:本标准的使用者因本身业务需求而产生的内部证件类标识,不应在使用者外部使用,也不具有法律效力。注3:改写GB/T31186.3-2014,定义3.2。3.20未经授权的查看unauthorizedreading未得到信息的所有者或有权授权人授权对信息的查看。注1:未经授权的查看可能是善意的,也可能是恶意的:信息处理者无意泄露的未经授权的查看为信息泄露事件;攻击者通过使相关安全措施无效的措施有意获取的未经授权的查看为信息窃取事件。注2:非法查看是对未经授权的查看的一种不严谨但在特定的语境下并无二义性的提法。3.21未经授权的变更unauthorizedaltering-7-未得到信息的所有者或有权授权人授权对信息的变更。注1:未经授权的变更典型地分为未经授权的增加(即增加全新的内容)、未经授权的更改(即修改现有的内容)或未经授权的删除(即删除原有的内容)三种情况,也可能是三种情况的组合。注2:未经授权的变更可能是善意的,也可能是恶意的;往往表现为信息篡改事件、信息假冒事件、信息丢失事件等。注3:非法变更是对未经授权的变更的一种不严谨但在特定的语境下并无二义性的提法。3.22明示同意explicitconsent个人金融信息主体通过书面声明或主动作出肯定性动作,对其个人金融信息进行特定处理作出明确授权的行为。注1:肯定性动作包括个人金融信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。注2:改写GB/T35273-2017,定义3.63.23匿名化anonymization通过对个人金融信息的技术处理,使得个人金融信息主体无法被识别,且处理后的信息不能被复原的过程。注1:个人金融信息经匿名化处理后所得的信息不属于个人金融信息。注2:改写GB/T35273-2017,定义3.13。-8-3.24去标识化de-identification通过对个人金融信息的技术处理,使其在不借助额外信息的情况下,无法识别个人金融信息主体的过程。注1:去标识化仍建立在个体基础之上,保留了个体颗粒度,采用假名、加密、加盐的哈希函数等技术手段替代对个人金融信息的标识。注2:改写GB/T35273-2017,定义3.14。3.25删除delete在金融产品和服务所涉及的系统中去除个人金融信息的行为,使其保持不可被检索、访问的状态。注:改写GB/T35273-2017,定义3.9。4个人金融信息概述4.1个人金融信息内容个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息,具体如下:a)账户信息指账户及账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。b)鉴别信息指用于验证主体是否具有访问或使用权限的信息,-9-包括但不限于银行卡密码、预付卡支付密码:个人金融信息主体登录密码、账户查询密码、交易密码;卡片验证码(CVN和CVN2),动态口令、短信验证码、密码提示问题答案等。c)金融交易信息指个人金融信息主体在交易过程中产生的各类信息,包括但不限于交易金额、支付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息等。d)个人身份信息指个人基本信息、个人生物识别信息等。·个人基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址,以及在提供产品和服务过程中收集的照片、音视频等信息;·个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。e)财产信息指金融业机构在提供金融产品和服务过程中,收集或生成的个人金融信息主体财产信息,包括但不限于个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金存缴金额等。f)借贷信息指个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于信、信用卡和贷款的发放及还款、担保情况等。g)其他信息:·对原始数据进行处理、分析形成的,能够反映特定个人某些情-10-况的信息,包括但不限于特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息:·在提供金融产品与服务过程中获取、保存的其他个人信息。4.2个人金融信息类别根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3,C2,C1三个类别。具体如下:a)C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更会对个人金融信息主体的信息安全与财产安全造成严重危害,包括但不限于:·银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码:·账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码:·用于用户鉴别的个人生物识别信息b)C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害,包括但不限于:·支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、手机号码。-11-·账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名。·用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态