信息來源:freebuf
近日,全國金融標(biāo)準化技術(shù)委員會(簡稱“金標(biāo)委”)發(fā)布了《個人金融信息保護技術(shù)規(guī)范》(以下簡稱“《規(guī)范》”)?!兑?guī)范》適用于提供金融產(chǎn)品和服務(wù)的金融業(yè)機構(gòu),并為安全評估機構(gòu)開展安全檢查與評估工作提供參考。
根據(jù)《規(guī)范》,個人金融信息是個人信息在金融領(lǐng)域圍繞賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息等方面的擴展與細化,是金融業(yè)機構(gòu)在提供金融產(chǎn)品和服務(wù)的過程中積累的重要基礎(chǔ)數(shù)據(jù),也是個人隱私的重要內(nèi)容。
個人金融信息一旦泄露,不但會直接侵害個人金融信息主體的合法權(quán)益、影響金融業(yè)機構(gòu)的正常運營,甚至可能會帶來系統(tǒng)性金融風(fēng)險。
因此,《規(guī)范》規(guī)定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護要求,從安全技術(shù)和安全管理兩個方面,對個人金融信息保護提出了規(guī)范性要求。
個人金融信息按敏感度分為三類
《規(guī)范》將個人金融信息由高到低分為C3、C2、C1三個類別,C3主要為各類賬戶密碼,C2主要為賬戶、身份證信息、短信口令、KYC信息、住址等,C1主要為開戶時間、支付標(biāo)記信息等。
無資質(zhì)不可收集C3、C2類別信息
在信息收集方面,《規(guī)范》要求“不應(yīng)委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機構(gòu)收集C3、C2類別信息”,這一條使得許多非持牌機構(gòu)在金融信息的收集上異常被動。另外,C3類別信息以及C2類別信息中的用戶鑒別輔助信息不應(yīng)共享、轉(zhuǎn)讓。
在信息傳輸方面,《規(guī)范》則要求“應(yīng)建立相應(yīng)的個人金融信息傳輸安全策略和規(guī)程,采用滿足個人金融信息傳輸安全策略的安全 控制措施,如安全通道、數(shù)據(jù)加密等技術(shù)措施”,以此進一步保障個人金融信息傳輸過程的安全。
此外,針對安全運行要求中的Web應(yīng)用安全,《規(guī)范》提出:
不應(yīng)以默認授權(quán)方式強制收集
《規(guī)范》將“不應(yīng)欺詐、誘騙,或以默認授權(quán)、功能捆綁等方式誤導(dǎo)強迫個人金融信息主體提供個人金融信息”作為收集個人金融信息的基本規(guī)則之一,并要求金融業(yè)機構(gòu)不應(yīng)隱瞞金融產(chǎn)品或服務(wù)所具有的收集個人金融信息的功能。
個人信息的安全檢查和評估
《規(guī)范》對金融業(yè)機構(gòu)應(yīng)對個人金融信息生命周期全過程進行的安全檢査和評估提出了具體要求,比如每年進行一次的“對信息系統(tǒng)進行信息安全評估、漏洞掃描和滲透測試,并及時采取補救措施”。
《規(guī)范》具體內(nèi)容可進一步參考正文,下載地址如下:
https://pan.baidu.com/s/1JBTCI8nCATp-_qBtwWjzfA ,提取碼: du44