个人金融信息保护技术规范.pdfVIP

吾日三省乎吾身。为人谋而不忠乎?与朋友交而不信乎?传不习乎?——《论语》

.

个人金融信息保护技术规范

1范围

本标准规定了个人金融信息在收集、传输、存储、使用、删除、

销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个

方面，对个人金融信息保护提出了规范性要求。

本标准适用于提供金融产品和服务的金融业机构，并为安全评估

机构开展安全检查与评估工作提供参考。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文

件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最

新版本（包括所有的修改单）适用于本文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T25069-2010信息安全技术术语

GB/T31186.2-2014银行客户基本信息描述规范第2部分：名

称

GB/T31186.3-2014银行客户基本信息描述规范第3部分：识

别标识

GB/T35273-2017信息安全技术个人信息安全规范

JR/T0068-2020网上银行系统信息安全通用规范

JR/T0071金融行业信息系统信息安全等级保护实施指引

JR/T0092-2019移动金融客户端应用软件安全管理规范

.

吾日三省乎吾身。为人谋而不忠乎?与朋友交而不信乎?传不习乎?——《论语》

.

JR/T0149-2016中国金融移动支付支付标记化技术规范

JR/T0167-2018云计算技术金融应用规范安全技术要求

3术语和定义

GB/T25069-2010，GB/T35273-2017界定的以及下列术语和定义

适用于本文件。

3.1金融业机构financialindustryinstitutions

本标准中的金融业机构是指由国家金融管理部门监督管理的持

牌金融机构，以及涉及个人金融信息处理的相关机构。

3.2个人金融信息personalfinancialinformation

金融业机构通过提供金融产品和服务或者其他渠道获取、加工和

保存的个人信息。

注1：本标准中的个人金融信息包括账户信息、鉴别信息、金融

交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人

某些情况的信息。

注2：改写GB/T35273-2017，定义3.1

3.3支付敏感信息paymentsensitiveinformation

支付信息中涉及支付主体隐私和身份识别的重要信息。

注：支付敏感信息包括但不限于银行卡磁道数据或芯片等效信

息，卡片验证码、卡片有效期、银行卡密码、网络付交易密码等用于

支付鉴权的个人金融信息。

3.4个人金融信息主体personalfinancialinformation

.

吾日三省乎吾身。为人谋而不忠乎?与朋友交而不信乎?传不习乎?——《论语》

.

subject

个人金融信息所标识的自然人。

注：改写GB/T35273-2017，定义3.3。