金标委发布《支付信息保护技术规范》,支付信息将分4大等级-上海市电子商务行业协会 贵阳市电子商务行业商会 
主页 > 行业动态 > 专题报道 >

专题报道

金标委发布《支付信息保护技术规范》,支付信息将分4大等级

2018年10月31日

 

金标委发布《支付信息保护技术规范》,支付信息将分4大等级

来源:移动支付网

导读:《支付信息保护技术规范》规定了支付信息在收集、传输、存储、使用、销毁等生命周期各环节的技术保护要求及安全策略、访问控制、安全运行、监测评估等保障性要求。

近日,全国金融标准化技术委员会发布《支付信息保护技术规范》(送审稿),该规范根据敏感程度对支付信息进行等级划分,按敏感程度从低到高分为C1、C2、C3、C4四个类别。

《支付信息保护技术规范》规定了支付信息在收集、传输、存储、使用、销毁等生命周期各环节的技术保护要求及安全策略、访问控制、安全运行、监测评估等保障性要求。同时,将支付信息在信息收集、保存、使用、委托处理、共享与转让、公开披露、事件处置等行为准则纳入信息生命周期管理技术要求与安全保障性要求中,从技术、行为、保障三个层面对个人金融信息提出技术类规范要求。

规范适用于为金融消费者提供金融产品和服务的相关机构,从事支付业务活动或涉及支付信息处理的相关机构,开展支付等金融业务信息安全相关检测和认证的机构可参照执行。

支付信息分四等级

《支付信息保护技术规范》将支付信息按敏感程度从低到高分为C1、C2、C3、C4四个类别,两种或两种以上的低类别信息经过组合、关联和分析后可能产生高敏感程度的信息。

1、C4类别主要为于金融交易的用户鉴别与授权信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对支付等金融消费主体的个人信息安全与财产安全造成严重危害。如交易密码。

2、C3类别主要为在金融业务中收集、存储的,可识别特定自然人身份与金融状况的个人金融信息,以及金融消费者用于支付等金融业务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对支付等金融消费主体的个人信息安全与财产安全造成一定危害。如支付账号、身份证号。

3、C2类别信息主要为机构内部的信息资产,主要指供内部使用但不能对外公开的个人金融信息,以及与个人金融安全保护相关的信息系统安全功能数据。该类信息一旦遭到未授权查看或变更,可能会对支付等金融消费主体的个人信息安全与财产安全造成危害。如开户银行及时间,交易流水。

4、C1类别信息是指机构在特定条件下可以对外公开或披露的个人金融信息,以及支付等金融服务机构有关信息。这类信息泄露不会对机构或他人造成任何影响,如金融机构名称、金融机构营业网点地址;支付机构名称、办公地址;商户名称等公开信息。

值得一提的是,规范要求金融机构在履行“反洗钱”等法定义务时,个人金融信息的等级应不低于C2。

在信息的收集方面,《支付信息保护技术规范》要求,金融机构不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集支付信息。

1、应合法收集支付信息;

2、应依据最小化原则,收集与为金融消费者提供的金融产品或服务有直接关联的支付信息,不得收集与业务无关的支付信息;

3、收集信息时,应获得个人金融主体的明示同意,其中14岁未成年以下应由监护人明示同意;

4、当金融机构通过格式条款取得支付信息书面(包括电子化的协议)明示同意时,应在条款中明确该授权(或者同意)所适用的向他人(包含第三方机构)提供支付信息的范围和具体情况,并在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权(或者同意)的可能后果;

5、金融机构不得以概括授权的方式,索取与其为个人信息主体提供的金融产品和服务不直接相关的支付信息。

业务外包和被收购,支付信息保护有要求

在支付行业,业务外包模式被普遍应用,《支付信息保护技术规范》对支付信息的委托处理进行了细化要求,这将影响外包机构的相关业务,要求金融机构需要对外包机构进行评估、监督并保存相关信息处理记录。特别需要注意的是,规范要求上述C4、C3类支付敏感信息,不得委托外包机构进行数据处理。若因业务需要留存C3类信息,应报行业主管部门备案;

在信息的共享与转让方面,规范要求金融机构原则上不得共享、转让其收集的支付信息。金融机构非因收购、兼并、重组等原因,确需共享、转让支付信息时,应充分重视信息安全风险,并遵守相关原则。由于市场趋于薄利化、政策监管趋严,支付机构的收购、兼并、重组时常发生,规范为企业变动之后的支付信息的处理问题提供了参考。

相关原则包括:

1、应事先开展全面的个人信息安全影响评估,并依据评估结果采取有效的保护个人信息主体的措施;

2、向个人信息主体告知共享、转让支付信息的目的、数据接收方的身份和数据安全保护能力,并事先征得个人信息主体明示同意。共享、转让经去标识化处理的支付信息,且确保数据接收方无法重新识别个人信息主体的除外;

3、准确记录和保存支付信息的共享、转让情况,包括共享与转让的日期、规模、目的,以及数据接收方基本情况与使用意图等;

4、金融机构应帮助个人信息主体了解数据接收方对支付信息的存储、使用等情况,包括个人信息主体的权利,例如访问、更正、删除、注销账户等;

5、除卡片有效期外的C4类信息,以及C3类信息中的用户鉴别辅助信息不得共享、转让。

当因收购、兼并、重组等情况,对个人信息主体提供金融产品或服务的金融机构主体变更而发生支付信息共享、转让时,金融机构应:

a)将其提供的金融产品或服务移交至其他金融机构的情况,以向金融消费者逐一传达(或公告)的方式通知个人信息主体;

b)承接其金融产品或服务的金融机构,应对其承接运营的金融产品或服务继续履行支付信息保护责任;如变更其在收购、兼并重组过程中获取的支付信息使用目的,应重新获得个人信息主体明示同意(或授权)。

此外,当出现国家安全、公共安全、刑侦等重大事件时,金融机构共享、转让支付信息无需事先征得个人信息主体的授权同意。

在支付信息生命周期保护技术要求上,规范分别对收集、传输、存储、使用、销毁等步骤有详细的要求。