酷应用

“橙”说安全 |《个人金融信息保护技术规范》解读

百家作者：甜橙安全应急响应中心 2020-03-03 06:29:01

前言

近年来，非法获取贩卖客户个人金融信息屡见不鲜，衍生“套路贷”、“非法催收”等不法行为，导致大量客户的合法权益得不到有效保护。互联网金融机构基于身份认证、授信、反欺诈等不同需求，促使了大数据技术在金融业务中的应用，犹如双刃剑存在滥用个人信息之嫌，如何保护客户的个人信息，明确责任方范围，规范企业行为，防范个人金融信息违法违规情形的发生成为监管部门当下的整治重点，在此背景下金融领域个人信息保护相关规范标准建章立制迫在眉睫，技术标准具备实操性。

全国金融标准化技术委员会于2018年发布了《支付信息保护技术规范（征求意见稿）》，2019年修订为《个人金融信息保护技术规范》再次征求意见，2020年初正式发布，几易其稿可谓一波三折，一经出台便惹人注目，被誉为金融行业的“35273”。（即GB/T 35273-2017 《信息安全技术个人信息安全规范》）。2019年以来，一系列个人金融信息保护要求规定及标准的出台，昭示个人金融信息保护立法的快节奏。

中国人民银行和我国其他的金融行业监管机构已经在不同的文件中提出过对个人金融信息保护的要求，和我司相关文件可参考下表：
监管文件	监管机构	时间
《基于大数据的支付风险智能防控技术规范》（征求意见稿）	全国金融标准化技术委员会	2019.07
《金融科技（Fin Tech）发展规划（2019-2021年）》	中国人民银行	2019.08
个人金融信息（数据）保护试行办法（征求意见稿）	中国人民银行	2019.09
《个人金融信息（数据）保护试行办法（初稿）》	中国人民银行	2019.10
《人脸识别线下支付安全应用技术规范》	全国金融标准化技术委员会	2019.11
《关于增强个人信息保护意识依法开展业务的通知》	中国互联网金融协会	2019.11
《中国人民银行金融消费者权益保护实施办法（征求意见稿）》	中国人民银行	2019.12
《个人金融信息保护技术规范》	全国金融标准化技术委员会	2020.02

个人金融信息保护相关监管要求

《个人金融信息保护技术规范》（以下简称《规范》）主要从安全技术和安全管理两个维度，以《网络安全法》和《信息安全技术个人信息安全规范》为基础，对收集、传输、使用、存储、共享、删除、销毁等个人金融信息生命周期中的保护措施提出了具体要求。《规范》的出台，加强个人金融信息安全管理，指导各金融机构规范处理个人金融信息，最大程度保障个人金融信息主体的合法权益。

一、个人金融信息分类

《规范》指出，个人金融信息（personal financial information）是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息，包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。

相较于2016年的《中国人民银行金融消费者权益保护实施办法》的定义，新增了鉴别信息（密码、口令及密码提示问题答案等），银行卡磁道数据（或芯片等效信息）、个人生物识别信息（指纹、人脸、虹膜耳纹、掌纹、静脉、声纹等），将原“个人信用信息”修改为“借贷信息”（授信、信用卡和贷款的发放及还款、担保情况等）。

相较于GB/T 35273《信息安全技术个人信息安全规范》附录中明确列举的个人信息类型，将鉴别信息（口令）从个人财产信息单列出来1类，并进行了详细扩充。个人上网记录（如网站浏览记录、软件使用记录、点击记录等）、个人常用设备信息（如IMEI、MAC地址、IDFA、软件列表等）和个人位置信息（如行踪轨迹、精准定位信息等）等未在《规范》4.1中明确列举，但可从该款g项其他信息中进行规范 “在提供金融产品与服务过程中获取、保存的其他个人信息”，按照4.2个人金融信息敏感程度分类归为“其他能够识别出特定主体的信息”C2类别的个人金融信息。

因此对于互联网金融企业来说，设备信息、用户上网行为信息、位置信息等在用户身份识别、识别打击黑产、营销活动、风控等领域依赖性较高，需要结合《规范》和《信息安全技术个人信息安全规范》从梳理业务产品中涉及静态的数据类型与内容出发，识别所涉及的所有个人金融信息，并对其进行分级分类，落实相应的合规要求。

根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，并对三类信息实施不同级别的保护。具体详见下表：

级别	标准	列举
C3	用户鉴别信息	• 　银行卡磁道数据（或芯片等效信息）、卡片验证码（CVN和CVN2）、卡片有效期、银行卡密码、网络支付交易密码； • 　账户（包括但不限于支付账号、证券账户、保险账户）登录密码、交易密码、査询密码； • 　用于用户鉴别的个人生物识别信息。
C2	可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息	• 　支付账号及其等效信息，如支付账号、证件类识别标识与证件信息（身份证、护照等）、手机号码。 • 　账户（包括但不限于支付账号、证券账户、保险账户）登录的用户名。 • 　用户鉴别辅助信息，如动态口令、短信验证码、密码提示问题答案、动态声纹密码；若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别，则属于C3类别信息。 • 　直接反映个人金融信息主体金融状况的信息，如个人财产信息（包括网络支付账号余额）、借贷信息。 • 　用于金融产品与服务的关键信息，如交易信息（如交易指令、交易流水、证券委托、保险理赔）等。 • 　用于履行了解你的客户（KYC）要求，以及按行业主管部门存证、保全等需要，在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。 • 　其他能够识别出特定主体的信息，如家庭地址等。
C1	机构内部的信息资产（主要指供金融业机构内部使用的个人金融信息）	• 　账户开立时间、开户机构； • 　基于账户信息产生的支付标记信息； • 　C2和C3类别信息中未包含的其他个人金融信息。

二、安全基本原则

金融业机构应遵循《信息安全技术个人信息安全规范》的要求，以“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则，设计并实施覆盖个人金融信息全生命周期的安全保护策略。

三、个人金融信息生命周期

个人金融信息的生命周期包括对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程，每个环节都要有相应的安全保护措施。

因此企业不仅应该从静态数据出发，也要动态地从个人金融信息全生命周期出发，对“收集、传输、存储、使用、删除、销毁等”各环节进行统计和梳理，个人信息类别也会在不同的使用场景中有所变化，例如很多较低敏感程度类别的信息在不同的应用场景中，经过组合、关联成为高敏感的信息，C2短信验证码+C2账户（手机号）组合便可用于用户鉴别，成为C3类别信息。此过程也需要更多关注内部、外部之间数据的流转，规范第三方合作中各项安全管理以及技术要求，为后续合规落实提供基础。

四、全生命周期技术要求

早在2019年11月，中国互联网金融协会发布《关于增强个人信息保护意识依法开展业务的通知》明确规定了全生命周期的个人信息保护制度。作为金融机构，需要做好各条线监管的合规要求，如《网络安全法》、《信息安全技术个人信息安全规范》、《信息安全技术网络安全等级保护基本要求》（等保2.0）等关于个人信息保护和网络运行安全的规定，以及金融监管体系下的央行17号文、《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》与《中国人民银行金融消费者权益保护实施办法》等关于个人金融信息保护的相关要求。

下面从个人金融信息分类以及重点合规技术要求方面说明数据类别在个人金融信息各生命周期分级实施技术和管理要求：

1、收集环节，对于C3、C2类别的个人金融信息的要求如下：

数据生命周期	C３	C２	重点合规事项
收集	不应委托或授权无金融业相关资质的机构收集C3、C2类别信息。	不应委托或授权无金融业相关资质的机构收集C3、C2类别信息。	应采取技术措施（如弹窗、明显位置URL链接等），引导个人金融信息主体查阅隐私政策，并获得其明示同意后，开展有关个人金融信息的收集活动。
收集	对于C3类别信息，通过受理终端、客户端应用软件、浏览器等方式收集时，应使用加密等技术措施保证数据的保密性，防止其被未授权的第三方获取。	／

依据《规范》的要求，企业不得委托或授权大数据公司、无个人征信牌照的征信公司收集C3、C2类别信息。将导流、助贷、大数据分析公司排除在外，加强第三方合作机构的资质审查，避免与非持牌机构机构开展涉及个人金融信息的业务合作（征信、催收）。另外，《规范》参考了《App违法违规收集使用个人信息行为认定方法》和《信息安全技术个人信息安全规范》关于用户授权同意的合规要求，app默认勾选隐私政策，登录注册即同意隐私政策的授权方式，都是不合规的。

2、传输、存储、使用（信息展示）、使用（公开披露）环节，对于C3、C2类别的个人金融信息的要求如下：

数据生命周期	C３	C２	重点合规事项
传输	通过公共网络传输时，C2、C3类别信息应使用加密通道或数据加密的方式进行传输，保障个人金融信息传输过程的安全；	通过公共网络传输时，C2、C3类别信息应使用加密通道或数据加密的方式进行传输，保障个人金融信息传输过程的安全；
传输	对于C3类别中的支付敏感信息，其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。	／
存储	不应留存非本机构的C3类别信息。若确有必要留存的，应取得个人金融信息主体及账户管理机构的授权。	／	通过协议或合同的方式，约束外包服务机构与外部服务机构不应留存C2、C3类别信息
	应采用加密措施确保数据存储的保密性。	／
	受理终端、个人终端及客户端应用软件均不应存储支付敏感信息及个人生物识别信息的样本数据、模板，仅可保存完成当前交易所必需的基本信息要素，并在完成交易后及时予以清除。	／
使用（信息展示）	提供业务办理与査询等功能的应用软件 • 　处于未登录状态时，不应展示与个人金融信息主体相关的C3类别信息。 • 　除银行卡有效期外，C3类别信息不应明文展示。	提供业务办理与査询等功能的应用软件 • 　处于己登录状态时，对可以直接或组合后确定个人金融信息主体的信息应进行屏蔽展示，或由用户选择是否屏蔽展示，如需完整展示，应进行用户身份验证，并做好此类信息管理，防范此类信息泄露风险。
使用（信息展示）	应用软件的后台管理与业务支撑系统 • 　除银行卡有效期外，C3类别信息不应明文展示。	应用软件的后台管理与业务支撑系统 • 　对支付账号、客户法定名称、支付预留手机号码、证件类或其他类识别标识信息等展示宜进行屏蔽处理，如需完整展示，应做好此类信息管理，采取有效措施防范未经授权的拷贝。
使用（共享转让）	C3类别信息不应共享、转让。	C2类别信息中的用户鉴别辅助信息不应共享、转让。
使用（公开披露）	经法律授权或具备合理理由确需公开披露个人金融信息的，C3类别信息不应公开披露，不应公开披露个人生物识别信息。	经法律授权或具备合理理由确需公开披露个人金融信息的，C2类别信息中的用户鉴别辅助信息不应公开披露。

《规范》对个人金融信息的存储明确规定，金融机构不得留存非本机构的C3类别信息。如果确有必要留存非本机构的C3类别信息的需要获取个人金融信息主体、账户管理机构的双重授权。由于获取其他金融机构的C2/C3级别数据时，没有取得金融机构授权，投诉现象时有发生。人脸识别后不能留存在手机相册本地都需要按照本条规定在进行完交易后删除相应的信息。

3、使用（委托处理）、使用（加工处理）环节，对于C3、C2类别的个人金融信息的要求如下：

数据生命周期	C３	C２	重点合规事项
使用（委托处理）	C3以及C2类别信息中的用户鉴别辅助信息，不应委托给第三方机构进行处理。	C3以及C2类别信息中的用户鉴别辅助信息，不应委托给第三方机构进行处理。	应对委托处理的信息采用去标识化（不应仅使用加密技术）进行脱敏处理。
			应对外部嵌入或介入的自动化工具（如代码、脚本、接口、算法模型、软件开发工具包等）开展技术检测，并对第三方的收集个人金融信息行为开展审计，发现超出约定行为及时切断接入。
			在委托关系解除时（或外包服务终止后），受委托者应按照金融业机构的要求销毁其处理的个人金融信息，并依据双方协商的期限承担后续的个人金融信息保密责任；
使用（加工处理）	应采取必要的技术手段和管理措施，确保在个人金融信息清洗和转换过程中对信息进行保护，对C2、C3类别信息，应采取更加严格的保护措施。	应采取必要的技术手段和管理措施，确保在个人金融信息清洗和转换过程中对信息进行保护，对C2、C3类别信息，应采取更加严格的保护措施。

企业不仅应当要求第三方业务合规性和业务逻辑进行说明、承诺。同样也需要针对自动化工具开展技术检测，并对基于委托收集处理个人金融信息的行为进行审计。并进行全流程管控制度，包括接入前的合规和技术评估、定期审计和应急处理机制等。

4、规范明确要求金融机构与合作方签约时，约定针对敏感数据应仅使用不留存的数据安全条款。

类别	C３	C２
安全策略	应通过协议或合同的方式，约束外包服务机构与外部合作机构不应留存C2、C3类别信息；	应通过协议或合同的方式，约束外包服务机构与外部合作机构不应留存C2、C3类别信息；
安全策略	／	对于C2类别信息中的支付账号等信息，若因清分清算、差错处理等业务需要确需留存，金融业机构应明确其保密义务与保密责任，并应根据安全要求落实安全控制措施，并将有关资料留档备査；
访问控制	留存有C2、C3类别信息的物理设备或介质移入或移出区域应具有同等的安全保障措施。	留存有C2、C3类别信息的物理设备或介质移入或移出区域应具有同等的安全保障措施。
Web应用安全要求	涉及C2、C3类别信息的Web应用的安全技术要求如下： • 　应具备对网站页面篡改、网站页面源代码暴露、穷举登录尝试、重放攻击、SQL注入、跨站脚本攻击、钓鱼、木马以及任意文件上传、下载等已知漏洞的防范能力。 • 　处理个人金融信息相关的Web应用系统与组件上线前应进行安全评估。 • 　应具备对处理个人金融信息的系统组件进行实时监测的能力，有效识别和阻止来自内外部的非法访问。

5、个人金融信息脱敏

《规范》在个人金融信息的多个生命周期环节中，明确要求金融业机构适当采用脱敏技术，以提升个人金融信息的安全并降低泄露的风险。信息屏蔽规则请见《规范》附录。

收集：引导用户输入（或设置）银行卡密码、网络支付密码时，应采取展示屏蔽等措施防止密码明文显示，其他密码类信息宜采取展示屏蔽措施

信息展示：对通过各类业务界面或后台管理和业务支撑系统展示的个人金融信息，应采取信息屏蔽等处理措施；

共享和转让：支付账号及其等效信息在共享和转让时应使用支付标记化技术（按照JR/T 0149-2016）进行脱敏处理；

委托处理：对委托处理的信息应采用去标识化等方式进行脱敏处理；

开发测试：开发环境、测试环境应使用虚构的或经过去标识化脱敏处理的个人金融信息；

安全制度体系建立与发布：建立个人金融信息脱敏管理规范和制度，应明确不同敏感级别个人金融信息脱敏规则、脱敏方法和脱敏数据的使用限制。

6、新增规定个人金融信息汇聚融合、开发测试、销毁

（1）数据的汇聚融合可能包括：同一公司内部不同业务线的数据共享；同一集团内不同关联企业间数据共享；与集团外第三方的数据共享。《规范》在金融领域首次提出对于个人金融信息汇聚融合的明确要求：

1）汇聚融合的数据不应超出收集时所声明的使用该范围。因业务需要确需超范围使用的，应再次征得个人金融信息主体明示同意；

2）应根据汇聚融合后的个人金融信息类别及使用目的，开展个人金融信息安全影响评估，并采取有效的技术保护措施。

（2）个人金融信息在开发测试过程中的具体技术要求如下：

开发环境、测试环境不应使用真实的个人金融信息，应使用虚构的或经过去标识化（不应仅使用加密技术）脱敏处理的个人金融信息，账号、卡号、协议号、支付指令等测试确需信息除外。

（3）《规范》对于个人金融信息生命周期增加了个人金融信息的销毁环节。分别对“删除”和“销毁”作出了明确的定义：

1）删除：在金融产品和服务所涉及的系统中去除个人金融信息的行为，使其保持不可被检索、访问的状态。此处定义与《信息安全技术个人信息安全规范》关于个人信息“删除”的定义保持一致。

2）销毁：存储个人金融信息的介质如不再使用，应采用不可恢复的方式（如消磁、焚烧、粉碎等）对介质进行销毁处理；存储个人金融信息的介质如还需继续使用，不应只采用删除索引、删除文件系统的方式进行信息销毁，应通过多次覆写等方式安全地擦除个人金融信息，确保介质中的个人金融信息不可再被恢复或者以其他形式加以利用。

五、安全管理合规要求

《规范》结合《信息安全技术个人信息安全规范》、《互联网个人信息安全保护指南》等相关标准指引的要求，对企业内部个人金融信息的安全管理合规要求从安全制度体系设置、组织架构岗位设置、人员管理、访问控制、安全事件处置等方面明确相应的合规要求。结合金融行业的特殊性与重要性，应注意以下几点：

个人金融信息保护技术规范要求	实施细则
设置组织架构和岗位	（1）需要设立个人金融信息保护责任机构（2）需要任命个人金融信息保护责任人（3）需要明确机构各层级内设部门与相关岗位个人金融信息保护职责与总体要求
建立健全安全制度体系	（1）建立个人金融信息保护管理规定；（2）开展个人金融信息分类分级管理；（3）建立个人金融信息日常管理及操作流程；（4）建立信息系统分级授权管理机制；（5）建立个人金融信息脱敏管理规范和制度；（6）建立个人金融信息安全影响评估制度；（7）建立外包服务机构与外部合作机构管理制度；（8）建立个人金融信息安全检查及监督机制；（9）建立个人金融信息泄露应急处置工作机制；（10）建立个人金融信息投诉与申诉处理程序；（11）明确个人金融信息共享、存储、使用和销毁的期限。
客户端应用软件安全评估	提供个人金融信息相关的客户端应用软件及应用软件开发工具包（SDK）的金融机构应达标符合如下（1）网络安全（2）Web 应用安全（3）通过客户端应用软件安全评估
密码技术与密码产品评估	使用的密码技术及产品应通过相关主管部门的外部评估
安全监控与审计	（1）日志文件和匹配规则的数据应至少保存6个月，定期对所有系统组件日志进行审计。包括但不限于存储、处理或传输个人金融信息的系统组件日志、执行安全功能的系统组件日志（如防火墙、入侵检测系统、验证服务器等）、安全事件日志等。（2）采取技术手段对个人金融信息全生命周期进行安全风险识别和管控。如恶意代码检测、异常流量监测、用户行为分析等。


安全检查与评估（范围包括金融业机构以及与其合作的第三方机构（包含外包服务机构与外部合作机构））	（1）应每年至少开展一次对涉及收集、存储、传输、使用个人金融信息的信息系统进行安全检查或安全评估。 a）信息安全评估、漏洞扫描和渗透测试，并及时采取补救措施； b）发生重大变更时，重新进行信息安全风险评估； c）定期开展内部安全审计，形成审计报告，并根据审计结果完善制度、流程。（2）金融业机构以及与其合作的第三方机构应每年至少开展一次支付信息安全合规评估，对评估过程中发现的问题及时采取补救措施并形成报告存档备查。
安全检查与评估（范围包括金融业机构以及与其合作的第三方机构（包含外包服务机构与外部合作机构））
安全事件处置	（1）应制定个人金融信息安全事件应急预案，明确安全事件处置流程和岗位职责。（2）应定期组织内部相关人员进行个人金融信息保护应急预案相关培训和应急演练。（3）发生个人金融信息遗失、损毁、泄露或被篡改等安全事件后，应及时采取必要措施进行处置，控制事态发展，消除安全隐患，并及时告知影响的个人金融信息主体。（4）发现因系统漏洞或人为原因造成个人金融信息泄露时，应立即采取有效措施防止风险扩大并向行业主管部门报告。（5）应记录事件内容，分析和鉴定事件产生的原因，评估事件可能造成的影响，制定补救措施，并按国家与行业主管部规定及时进行报告。（6）应建立投诉与申诉管理机制，包括跟踪流程，并在规定的时间内，对投诉、申诉进行响应。
安全事件处置

六、规范如何“谋而后动”

《规范》作为金融领域的“特别规范”，对于金融领域推动落实“35273”规范具备指导意义，按照惯例预判，金融领域各级监管蓄势待发，金融机构将立于个人信息保护聚焦点的风口浪尖。

中国人民银行于2019年第四季度发布《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知（银发〔2019〕237号）》，其中着重指出“各金融机构应严格按照《移动金融客户端应用软件安全管理规范》（JR/T 0092-2019）要求，采取有效措施加强客户端软件个人金融信息保护，中国互联网金融协会作为备案的主管行业协会”，要求金融机构处理金融业务的移动客户端，完成外部检测评估和申报备案工作，以技术合规为切入点强化个人金融信息保护的业务设施建设。

各金融机构尤其是非银行金融机构需要关切的是，除上述通知以外，比照2018年“146号文”专项模式，可以预期本年度各级监管的专项检查将加大对违规采集、使用个人金融信息的惩处力度。