JR∕T 0171-2020 個人金融信息保護技術規范安全管理要求
7.1 安全準則
7.1.1 收集
個人金融信息收集的方式包括但不限于通過柜面、信息系統、金融自助設備、受理終端、客戶端應用軟件等渠道獲取。金融業機構應遵循合法、正當、必要的原則,向個人金融信息主體明示收集與使用個人金融信息的目的、方式、范圍和規則等,獲得個人金融信息主體的授權同意,并滿足以下要求:
a)收集個人金融信息的基本規則如下:
不應欺詐、誘騙,或以默認授權、功能捆綁等方式誤導強迫個人金融信息主體提供個人金融信息;
不應隱瞞金融產品或服務所具有的收集個人金融信息的功能;
不應通過非法渠道間接獲取個人金融信息;
不應收集法律法規與行業主管部門有關規定明令禁止收集的個人金融信息。
b)收集個人金融信息應遵循最小化要求,收集個人金融信息的目的應與實現和優化金融產品或服務、防范金融產品或服務的風險有直接關聯。直接關聯是指無該個人金融信息參與無法實現前
c)收集個人金融信息時授權同意的具體要求如下:
收集個人金融信息前,應向個人金融信息主體明確告知金融產品或服務需收集的個人金融信息類別,以及收集、使用個人金融信息的規則(如:收集和使用個人金融信息的目的、收集方式、自身的數據安全能力、對外共享、轉讓、公開披露的規則、投訴與申訴的渠道及響應時限等),并獲得個人金融信息主體的明示同意。
間接獲取個人金融信息時,應要求個人金融信息提供方說明個人金融信息來源,并對其個人金融信息來源的合法性進行確認;應了解個人金融信息提供方已獲得的授權內容,包括使用目的,個人金融信息主體是否授權同意轉讓、共享、公開披露等情況;因業務需要金融業機構確需超出原授權范圍處理個人金融的,應在使用個人金融信息前,征得個人金融信息主體的明示同意。
d)以下情形收集使用個人金融信息無需征得個人金融信息主體的授權同意:
與履行國家法律法規及行業主管部門有關規定的義務相關的;
與國家安全、國防安全直接相關的;
與公共安全、公共衛生、重大公共利益直接相關的;
與犯罪偵查、起訴、審判和判決執行等直接相關的;
出于維護個人金融信息主體或其他主體的生命、財產等重大合法權益但又很難得到本人同意的;
個人金融信息主體自行向社會公眾公開的;
根據個人金融信息主體要求簽訂和履行合同所必需的;
從合法公開披露的信息中收集個人金融信息的,如合法的新聞報道、政府信息公開等渠道;
用于維護所提供的金融產品或服務的安全穩定運行所必需的,例如識別、處置金融產品或服務中的欺詐或被盜用等。
7.1.2 存儲
個人金融信息的存儲時限應滿足國家法律法規與行業主管部門有關規定要求,并符合個人金融信息主體授權使用的目的所必需的最短時間要求。超過該期限后,應對收集的個人金融信息進行刪除或匿名化處理。
7.1.3 使用
個人金融信息在信息展示、共享與轉讓、公開披露、委托處理、加工處理、匯聚融合等方面,應遵循6.1.4.1一6.1.4.6的要求,并滿足以下要求:
a)除法律法規與行業主管部門另有規定或開展金融業務所必需的數據共享與轉讓(如轉接清算等)外,金融業機構原則上不應共享、轉讓其收集的個人金融信息,確需共享、轉讓的,應充分重視信息安全風險,具體要求如下:
應向個人金融信息主體告知共享、轉讓個人金融信息的目的、數據接收方的類型,并事先征得個人金融信息主體明示同意,共享、轉讓經去標識化處理(不應僅使用加密技術)的個人金融信息,且確保數據接收方無法重新識別個人金融信息主體的除外。
應幫助個人金融信息主體了解數據接收方對個人金融信息的存儲、使用等情況,包括個人金融信息主體的權利,例如訪問、更正、刪除、注銷賬戶等;在法律法規規定、行業主管部門有關規定及個人金融信息主體約定的范圍內,個人金融信息主體行使其個人金融信息控制權利,金融業機構應配合響應其請求。
C3類別信息以及C2類別信息中的用戶鑒別輔助信息不應共享、轉讓。
轉接清算、登記結算等情況,應依據國家有關法律法規與行業主管部門有關規定與技術標準執行。
當因收購、兼并、重組、破產等情況,對個人金融信息主體提供金融產品或服務的金融業機構主體變更而發生個人金融信息共享、轉讓時,具體要求如下:
– 金融業機構將其提供的金融產品或服務移交至其他金融業機構的情況,應使用逐一傳達(或公告)的方式通知個人金融信息主體。
– 承接其金融產品或服務的金融業機構,應對其承接運營的金融產品或服務繼續履行個人金融信息保護責任;如變更其在收購、兼并重組過程中獲取的個人金融信息使用目的,應重新獲得個人金融信息主體明示同意(或授權)。
b)金融業機構原則上不應公開披露其收集的個人金融信息,經法律授權或具備合理理由確需公開披露個人金融信息的,具體要求如下:
應向個人金融信息主體告知公開披露個人金融信息的目的、類別,并事先征得個人金融信息主體的同意,并向其告知涉及的信息內容;
承擔因公開披露個人金融信息對個人金融信息主體合法權益造成損害的相應責任;
C3類別信息,以及C2類別信息中的用戶鑒別輔助信息不應公開披露。
c)因金融產品或服務的需要,將收集的個人金融信息委托給第三方機構(包含外包服務機構與外部合作機構)處理的,具體要求如下:
依據6.1.4.4開展委托處理工作。
應對第三方機構等受委托者提出如下要求:
– 應嚴格按照金融業機構的要求處理個人金融信息,如因特殊原因受委托者未能按照要求處理個人金融信息,應及時告知金融業機構,并配合金融業機構進行信息安全評估,并采取補救措施以保護個人金融信息的安全,必要時應終止其對個人金融信息的處理;
– 未經書面授權,受委托者不應將其處理的個人金融信息再次委托給其他機構進行處理;
– 應協助響應個人金融信息主體的請求;
– 如受委托者在處理個人金融信息過程中無法提供足夠的信息安全保護水平或發生安全事件,應及時告知金融業機構,配合進行信息安全評估與安全事件調查,并采取補救措施以保護個人金融信息的安全,必要時應終止其對個人金融信息的處理;
– 在委托關系解除時(或外包服務終止后),受委托者應按照金融業機構的要求銷毀其處理的個人金融信息,并依據雙方協商的期限承擔后續的個人金融信息保密責任;
– 應準確記錄和保存委托處理個人金融信息的情況。
d)在中華人民共和國境內提供金融產品或服務過程中收集和產生的個人金融信息,應在境內存儲、處理和分析。因業務需要,確需向境外機構(含總公司、母公司或分公司、子公司及其他為完成該業務所必需的關聯機構)提供個人金融信息的,具體要求如下:
應符合國家法律法規及行業主管部門有關規定;
應獲得個人金融信息主體明示同意;
應依據國家、行業有關部門制定的辦法與標準開展個人金融信息出境安全評估,確保境外機構數據安全保護能力達到國家、行業有關部門與金融業機構的安全要求;
應與境外機構通過簽訂協議、現場核查等方式,明確并監督境外機構有效履行個人金融信息保密、數據刪除、案件協查等職責義務。
e)以下情形中,金融業機構共享、轉讓、公開披露個人金融信息無需征得個人金融信息主體的授權同意:
與履行法律法規及行業主管部門規定的義務相關的;
與國家安全、國防安全直接相關的;
與公共安全、公共衛生、重大公共利益直接相關的;
與犯罪偵查、起訴、審判和判決執行等直接相關的;
出于維護個人金融信息主體或其他主體的生命、財產等重大合法權益但又很難得到本人同意的;
個人金融信息主體自行向社會公眾公開的;
從合法公開披露的信息中收集個人金融信息的,如合法的新聞報道、政府信息公開等渠道。
7.2 安全策略
7.2.1 安全制度體系建立與發布
金融業機構應建立個人金融信息保護制度體系,明確工作職責,規范工作流程。制度體系的管理范疇應涵蓋本機構、外包服務機構與外部合作機構,并確保相關制度發布并傳達給本機構員工及外部合作方。相關制度應至少包括個人金融信息保護管理規定、日常管理及操作流程、外包服務機構與外部合作機構管理、內外部檢查及監督機制、應急處理流程和預案。具體要求如下:
a)制定個人金融信息保護管理規定,提出本機構個人金融信息保護工作方針、目標和原則。
b)開展個人金融信息分類分級管理。應針對不同類別和敏感程度的個人金融信息,實施相應的安全策略和保障措施。
c)建立日常管理及操作流程。應對個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等環節提出具體保護要求,制定個人金融信息時效性管理規程,確保符合法律法規和行業主管部門有關規定。
d)建立信息系統分級授權管理機制。應在不影響履行反洗錢等法定義務的前提下,制定本機構人員個人金融信息調取權限與使用范圍,并制定專門的授權審批流程。
e)建立個人金融信息脫敏(如屏蔽、去標識、匿名化等)管理規范和制度,應明確不同敏感級別個人金融信息脫敏規則、脫敏方法和脫敏數據的使用限制。
f)依據國家與行業有關標準,建立個人金融信息安全影響評估制度,應定期(至少每年一次)開展個人金融信息安全影響評估。
g)建立外包服務機構與外部合作機構管理制度,包括但不限于:
應對個人金融信息生命周期過程中相關的外包服務機構與外部合作機構進行審查與評估,評估其個人金融信息的保護能力是否達到國家、行業主管部門與金融業機構的要求;應通過協議或合同的方式,約束外包服務機構與外部合作機構不應留存C2、C3類別信息;對于C2類別信息中的支付賬號等信息,若因清分清算、差錯處理等業務需要確需留存,金融業機構應明確其保密義務與保密責任,并應根據安全要求落實安全控制措施,并將有關資料留檔備查;對可能訪問個人金融信息的外包服務機構、外部合作機構及其人員,金融業機構應要求外包服務機構與外部合作機構向有關人員傳達個人金融信息保護安全要求,與其簽署保密協議,并對協議履行情況進行監督。
不應將存儲個人金融信息的數據庫交由外部合作機構運維。
應定期對外包服務機構與外部合作機構的個人金融信息保護措施落實情況進行確認,確認的方式包括但不限于外部信息安全評估、現場檢查等。
國家法律法規與行業主管部門另有規定的,按照相關要求執行。
h)建立個人金融信息安全檢查及監督機制。應建立個人金融信息安全日常檢查機制和工作流程、定期評估個人金融信息管理方面存在的不足,及時調整檢查機制和工作流程。
i)應將個人金融信息泄露等相關事件處理納入機構信息安全事件應急處置工作機制,制定專門的流程和預案。定期評估應急處理流程和預案,及時保障、有效應對個人金融信息安全事件,降
j)建立個人金融信息投訴與申訴處理程序,明確投訴與申訴受理部門、處理程序,對個人金融信息主體要求更正或刪除金融業機構收集其個人金融信息的情況,應受理、核實,并依據國家與行業主管部門要求予以處理。
k)明確個人金融信息共享、存儲、使用和銷毀的期限,具備個人金融信息存儲時效性的控制能力。
7.2.2 組織架構崗位設置
組織架構及崗位設置具體要求如下:
a)應建立個人金融信息保護組織架構,明確機構各層級內設部門與相關崗位個人金融信息保護職責與總體要求。
b)應明確個人金融信息保護責任人和個人金融信息保護責任機構,并履行以下工作職責:
負責制定和管理本機構個人金融信息安全管理制度;
制定、實施、定期更新隱私政策和相關規程;
監督本機構內部,以及本機構與外部合作方個人金融信息安全管理;
開展信息安全管理內部審計、分析處理信息安全相關事件;
組織開展個人金融信息安全影響評估,提出個人金融信息保護的對策建議;
組織在金融產品或服務上線發布前進行技術檢測,避免未知(與金融產品或服務功能及隱私政策不符)的個人金融信息收集、使用、共享等處理行為;
公布投訴與申訴方式等信息并及時受理個人金融信息有關的投訴、申訴。
c)日志文件和匹配規則的數據應至少保存6個月,應定期對所有系統組件日志進行審計,包括但不限于存儲、處理或傳輸個人金融信息的系統組件日志、執行安全功能的系統組件日志(如防火墻、入侵檢測系統、驗證服務器等)、安全事件日志等。
d)應采取技術手段對個人金融信息全生命周期進行安全風險識別和管控,如惡意代碼檢測、異常流量監測、用戶行為分析等。
7.4.2 安全檢查和評估
金融業機構應對個人金融信息生命周期全過程進行安全檢查和評估,范圍包括金融業機構以及與其合作的第三方機構(包含外包服務機構與外部合作機構)。
個人金融信息的安全檢查和評估具體要求如下:
a)應依據制定的個人金融信息安全影響評估制度,在個人金融信息委托處理、共享與轉讓、公開披露等過程中,執行個人金融信息安全影響評估活動,并將評估報告歸檔保存。個人金融信息安全影響評估可由金融業機構自行組織開展,也可委托外部安全評估機構執行。
b)應每年至少開展一次對涉及收集、存儲、傳輸、使用個人金融信息的信息系統進行安全檢查或安全評估,包括但不限于以下方式及其組合:
對信息系統進行信息安全評估、漏洞掃描和滲透測試,并及時采取補救措施;
在信息系統組件或運行環境發生重大變更(或發現新的高安全等級威脅和漏洞)時,重新進行信息安全風險評估;
將個人金融信息保護納入金融業機構內部安全審計工作,定期開展安全審計,形成審計報告,并根據審計結果完善制度、流程。
c)對于個人金融信息中的支付信息部分,應采取自行評估或委托外部機構進行檢查評估,金融業機構以及與其合作的第三方機構應每年至少開展一次支付信息安全合規評估,對評估過程中發現的問題及時采取補救措施并形成報告存檔備查。
d)出現個人金融信息泄露事件,造成一定經濟損失(或社會影響)時,應及時委托外部安全評估機構重新進行相關安全評估與檢查活動,并將結果報送行業主管部門。
7.5 安全事件處置
安全事件處置具體要求如下:
a)應制定個人金融信息安全事件應急預案,明確安全事件處置流程和崗位職責。
b)應定期組織內部相關人員進行個人金融信息保護應急預案相關培訓和應急演練。
c)發生個人金融信息遺失、損毀、泄露或被篡改等安全事件后,應及時采取必要措施進行處置,控制事態發展,消除安全隱患,并及時告知受影響的個人金融信息主體,告知的內容應符合GB/T 35273-2017 關于安全事件告知內容的規定,告知的方式包括但不限于:
以郵件、信函、電話、推送消息等方式及時告知受影響的個人金融信息主體;
難以逐一告知個人金融信息主體時,應采取合理、有效的方式發布與公眾有關的警示信息。
d)發現因系統漏洞或人為原因造成個人金融信息泄露時,應立即采取有效措施防止風險擴大,并向行業主管部門報告。
e)應記錄事件內容,分析和鑒定事件產生的原因,評估事件可能造成的影響,制定補救措施,并按國家與行業主管部門規定及時進行報告。
f)應建立投訴與申訴管理機制,包括跟蹤流程,并在規定的時間內,對投訴、申訴進行響應。
g)根據相關法律法規與行業主管部門有關規定的變化情況以及事件處置情況,及時評估并更新應急預案。
推薦文章: