个人金融信息保护技术规范标准.docx

个人金融信息保护技术规 围 本标准规定了个人金融信息在收集、传输、存储、使用、删除、 销毁等生命周期各环节的安全防护要求， 从安全技术和安全管理两个方面，对个人金融信息保护提出了规性要求。 本标准适用于提供金融产品和服务的金融业机构， 并为安全评估机构开展安全检查与评估工作提供参考。 规性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最 新版本（包括所有的修改单）适用于本文件。 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 25069-2010 信息安全技术 术语 GB/T 31186.2-2014 银行客户基本信息描述规 第 2 部分：名称 GB/T 31186.3-2014 银行客户基本信息描述规 第 3 部分：识别 标识 GB/T 35273-2017 信息安全技术 个人信息安全规 JR/T 0068-2020 网上银行系统信息安全通用规 JR/T 0071 金融行业信息系统信息安全等级保护实施指引 JR/T 0092-2019 移动金融客户端应用软件安全管理规 JR/T 0149-2016 中国金融移动支付 支付标记化技术规 JR/T 0167-2018 云计算技术金融应用规 安全技术要求 术语和定义 GB/T 25069-2010 ， GB/T 35273-2017 界定的以及下列术语和定义适用于本文件。 金融业机构 financial industry institutions 本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构，以及涉及个人金融信息处理的相关机构。 个人金融信息 personal financial information 金融业机构通过提供金融产品和服务或者其他渠道获取、 加工和保存的个人信息。 注 1：本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。 注 2：改写 GB/T 35273-2017 ，定义 3.1 支付敏感信息 payment sensitive information 支付信息中涉及支付主体隐私和身份识别的重要信息。 注：支付敏感信息包括但不限于银行卡磁道数据或芯片等效信息，卡片验证码、卡片有效期、银行卡密码、网络付交易密码等用于支付鉴权的个人金融信息。 个 人 金 融 信 息 主 体 personal financial information subject 个人金融信息所标识的自然人。 注：改写 GB/T 35273-2017 ，定义 3.3。 个人金融信息控制者 personal financial information controller 有权决定个人金融信息处理目的、方式等的机构。注：改写 GB/T 35273-2017 ，定义 3.4。 收集 collect 获得个人金融信息的控制权的行为。 注 1：收集行为包括由个人金融信息主体主动提供、通过与个人 金融信息主体交互或记录个人金融信息主体行为等自动采集行为， 以及通过共享、转让、搜集公开信息等间接获取个人金融信息等行为。 注 2：如金融产品或服务提供者提供工具供个人金融信息主体使用，提供者不对个人金融信息进行访问的，则不属于本标准所称的收集。例如手机银行客户端应用软件在终端获取用户指纹特征信息用于本地鉴权后，指纹特征信息不回传至提供者，则不属于用户指纹特征信息的收集行为。 注 3：改写 GB/T 35273-2017 ，定义 3.5。 公开披露 public disclosure 向社会或不特定群体发布信息的行为。 ［ GB/T 35273-2017 ，定义 3. 10］ 转让 transfer of control 将个人金融信息控制权由一个控制者向另一个控制者转移的过 程。 注：改写 GB/T 35273-2017 ，定义 3.1。 共享 sharing 个人金融信息控制者向其他控制者提供个人金融信息， 且双方分 别对个人金融信息拥有独立控制权的过程。 注：改写 GB/T 35273-2017 ，定义 3. 12。 3. 10 个 人 金 融 信 息 安 全 影 响 评 估 personal financial information secur ity impact assessment 针对个人金融信息处理活动，检验其合法合规程度，判断其对个 人金融信息主体合法权益造成损害的各种风险， 以及评估用于保护个人金融信息主体的各项措施有效性的过程。 3. 11 支付账号 payment account 具有金融交易功能的银行账户、 非银行支付机构支付账户及银行卡卡号。 注：改写 JR/T