個人金融信息保護技術規范個人金融信息保護技術規范個人金融信息保護技術規范xxx公司個人金融信息保護技術規范文件編號：文件日期：修訂次數：第1.0次更改批準審核制定方案設計，管理制度個人金融信息保護技術規范1范圍本標準規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求，從安全技術和安全管理兩個方面，對個人金融信息保護提出了規范性要求。本標準適用于提供金融產品和服務的金融業機構，并為安全評估機構開展安全檢查與評估工作提供參考。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術網絡安全等級保護基本要求GB/T25069-2010信息安全技術術語GB/T銀行客戶基本信息描述規范第2部分：名稱GB/T銀行客戶基本信息描述規范第3部分：識別標識GB/T35273-2017信息安全技術個人信息安全規范JR/T0068-2020網上銀行系統信息安全通用規范JR/T0071金融行業信息系統信息安全等級保護實施指引JR/T0092-2019移動金融客戶端應用軟件安全管理規范JR/T0149-2016中國金融移動支付支付標記化技術規范JR/T0167-2018云計算技術金融應用規范安全技術要求3術語和定義GB/T25069-2010，GB/T35273-2017界定的以及下列術語和定義適用于本文件。金融業機構financialindustryinstitutions本標準中的金融業機構是指由國家金融管理部門監督管理的持牌金融機構，以及涉及個人金融信息處理的相關機構。個人金融信息personalfinancialinformation金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息。注1：本標準中的個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息。注2：改寫GB/T35273-2017，定義支付敏感信息paymentsensitiveinformation支付信息中涉及支付主體隱私和身份識別的重要信息。注：支付敏感信息包括但不限于銀行卡磁道數據或芯片等效信息，卡片驗證碼、卡片有效期、銀行卡密碼、網絡付交易密碼等用于支付鑒權的個人金融信息。個人金融信息主體personalfinancialinformationsubject個人金融信息所標識的自然人。注：改寫GB/T35273-2017，定義。個人金融信息控制者personalfinancialinformationcontroller有權決定個人金融信息處理目的、方式等的機構。注：改寫GB/T35273-2017，定義。收集collect獲得個人金融信息的控制權的行為。注1：收集行為包括由個人金融信息主體主動提供、通過與個人金融信息主體交互或記錄個人金融信息主體行為等自動采集行為，以及通過共享、轉讓、搜集公開信息等間接獲取個人金融信息等行為。注2：如金融產品或服務提供者提供工具供個人金融信息主體使用，提供者不對個人金融信息進行訪問的，則不屬于本標準所稱的收集。例如手機銀行客戶端應用軟件在終端獲取用戶指紋特征信息用于本地鑒權后，指紋特征信息不回傳至提供者，則不屬于用戶指紋特征信息的收集行為。注3：改寫GB/T35273-2017，定義。公開披露publicdisclosure向社會或不特定群體發布信息的行為。［GB/T35273-2017，定義3.10］轉讓transferofcontrol將個人金融信息控制權由一個控制者向另一個控制者轉移的過程。注：改寫GB/T35273-2017，定義。共享sharing個人金融信息控制者向其他控制者提供個人金融信息，且雙方分別對個人金融信息擁有獨立控制權的過程。注：改寫GB/T35273-2017，定義3.12。3.10個人金融信息安全影響評估personalfinancialinformationsecurityimpactassessment針對個人金融信息處理活動，檢驗其合法合規程度，判斷其對個人金融信息主體合法權益造成損害的各種風險，以及評估用于保護個人金融信息主體的各項措施有效性的過程。3.11支付賬號paymentaccount具有金融交易功能的銀行賬戶、非銀行支付機構支付賬戶及銀行卡卡號。注：改寫JR/T0149-2016，定義。支付標記paymenttoken（Token）作為支付賬號等原始交易要素的替代值，用于完成特定場景支付交易。CJR/T0149-2016，定義。磁道數據trackdata一磁、二磁和三磁定義的必備或可選的數據元注：磁道數據可以在物理卡的磁條上，也可以被包含在集成電路或者其他媒介上。［JR/T0061-2011]，定義。卡片驗證碼cardverificationnumber；CVN對磁條信息合法性進行驗證的代碼。［JR/T0061-2011，定義?？ㄆ炞C碼2cardverificationnumber2；CVN2在郵購或電話訂購等非面對面交易中對銀行卡卡片合法性進行驗證的代碼。[CJR/T0061-2011，定義]3.16動態口令one-time-password（OTP），dynamicpassword基于時間、事件等方式動態生成的一次性口令。［CM/20001-2013，定義2.15]短信動態密碼SMsdynamiccode短信驗證碼SMScode后臺系統以手機短信形式發送到用戶綁定手機上的隨機數，用戶通過回復該隨機數進行身份認證。［JR/T，定義］客戶法定名稱customer＇slegalname在法律上認可的客戶名稱，注1：客戶法定名稱一般記錄在國家授權部門頒發給客戶的證件上，本標準客戶主要指自然人客戶。注2：改寫GB/T，定義。證件識別標識legaldiscriminationID由國家法定有權部門頒發，能夠唯一確定客戶的且具有法律效力的標識。注1：證件類識別標識是外源性數據。外源性數據意味著數據的使用者不是數據的所有者，數據在產生、變更、廢止后可能不為數據的使用者所知悉。注2：本標準的使用者因本身業務需求而產生的內部證件類標識，不應在使用者外部使用，也不具有法律效力。注3：改寫GB/T，定義。未經授權的查看unauthorizedreading未得到信息的所有者或有權授權人授權對信息的查看。注1：未經授權的查看可能是善意的，也可能是惡意的：信息處理者無意泄露的未經授權的查看為信息泄露事件；攻擊者通過使相關安全措施無效的措施有意獲取的未經授權的查看為信息竊取事件。注2：非法查看是對未經授權的查看的一種不嚴謹但在特定的語境下并無二義性的提法。未經授權的變更unauthorizedaltering未得到信息的所有者或有權授權人授權對信息的變更。注1：未經授權的變更典型地分為未經授權的增加（即增加全新的內容）、未經授權的更改（即修改現有的內容）或未經授權的刪除（即刪除原有的內容）三種情況，也可能是三種情況的組合。注2：未經授權的變更可能是善意的，也可能是惡意的；往往表現為信息篡改事件、信息假冒事件、信息丟失事件等。注3：非法變更是對未經授權的變更的一種不嚴謹但在特定的語境下并無二義性的提法。明示同意explicitconsent個人金融信息主體通過書面聲明或主動作出肯定性動作，對其個人金融信息進行特定處理作出明確授權的行為。注1：肯定性動作包括個人金融信息主體主動作出聲明（電子或紙質形式）、主動勾選、主動點擊“同意”“注冊”“發送”“撥打”、主動填寫或提供等。注2：改寫GB/T35273-2017，定義匿名化anonymization通過對個人金融信息的技術處理，使得個人金融信息主體無法被識別，且處理后的信息不能被復原的過程。注1：個人金融信息經匿名化處理后所得的信息不屬于個人金融信息。注2：改寫GB/T35273-2017，定義。去標識化de-identification通過對個人金融信息的技術處理，使其在不借助額外信息的情況下，無法識別個人金融信息主體的過程。注1：去標識化仍建立在個體基礎之上，保留了個體顆粒度，采用假名、加密、加鹽的哈希函數等技術手段替代對個人金融信息的標識。注2：改寫GB/T35273-2017，定義。刪除delete在金融產品和服務所涉及的系統中去除個人金融信息的行為，使其保持不可被檢索、訪問的狀態。注：改寫GB/T35273-2017，定義。4個人金融信息概述個人金融信息內容個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息，具體如下：a）賬戶信息指賬戶及賬戶相關信息，包括但不限于支付賬號、銀行卡磁道數據（或芯片等效信息）銀行卡有效期、證券賬戶、保險賬戶、賬戶開立時間、開戶機構、賬戶余額以及基于上述信息產生的支付標記信息等。b）鑒別信息指用于驗證主體是否具有訪問或使用權限的信息，包括但不限于銀行卡密碼、預付卡支付密碼：個人金融信息主體登錄密碼、賬戶查詢密碼、交易密碼；卡片驗證碼（CVN和CVN2），動態口令、短信驗證碼、密碼提示問題答案等。c）金融交易信息指個人金融信息主體在交易過程中產生的各類信息，包括但不限于交易金額、支付記錄、透支記錄、交易日志、交易憑證；證券委托、成交、持倉信息；保單信息、理賠信息等。d）個人身份信息指個人基本信息、個人生物識別信息等?！€人基本信息包括但不限于客戶法定名稱、性別、國籍、民族、職業、婚姻狀況、家庭狀況、收入情況、身份證和護照等證件類信息、手機號碼、固定電話號碼、電子郵箱、工作及家庭地址，以及在提供產品和服務過程中收集的照片、音視頻等信息；·個人生物識別信息包括但不限于指紋、人臉、虹膜、耳紋、掌紋、靜脈、聲紋、眼紋、步態、筆跡等生物特征樣本數據、特征值與模板。e）財產信息指金融業機構在提供金融產品和服務過程中，收集或生成的個人金融信息主體財產信息，包括但不限于個人收入狀況、擁有的不動產狀況、擁有的車輛狀況、納稅額、公積金存繳金額等。f）借貸信息指個人金融信息主體在金融業機構發生借貸業務產生的信息，包括但不限于信、信用卡和貸款的發放及還款、擔保情況等。g）其他信息：·對原始數據進行處理、分析形成的，能夠反映特定個人某些情況的信息，包括但不限于特定個人金融信息主體的消費意愿、支付習慣和其他衍生信息：·在提供金融產品與服務過程中獲取、保存的其他個人信息。個人金融信息類別根據信息遭到未經授權的查看或未經授權的變更后所產生的影響和危害，將個人金融信息按敏感程度從高到低分為C3，C2，C1三個類別。具體如下：a）C3類別信息主要為用戶鑒別信息。該類信息一旦遭到未經授權的查看或未經授權的變更會對個人金融信息主體的信息安全與財產安全造成嚴重危害，包括但不限于：·銀行卡磁道數據（或芯片等效信息）、卡片驗證碼（CVN和CVN2）、卡片有效期、銀行卡密碼、網絡支付交易密碼：·賬戶（包括但不限于支付賬號、證券賬戶、保險賬戶）登錄密碼、交易密碼、查詢密碼：·用于用戶鑒別的個人生物識別信息b）C2類別信息主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息，以及用于金融產品與服務的關鍵信息。該類信息一旦遭到未經授權的查看或未經授權的變更，會對個人金融信息主體的信息安全與財產安全造成一定危害，包括但不限于：·支付賬號及其等效信息，如支付賬號、證件類識別標識與證件信息（身份證、護照等）、手機號碼?！べ~戶（包括但不限于支付賬號、證券賬戶、保險賬戶）登錄的用戶名?！び脩翳b別輔助信息，如動態口令、短信驗證碼、密碼提示問題答案、動態聲紋密碼：若用戶鑒別輔助信息與賬號結合使用可直接完成用戶鑒別，則屬于c3類別信息?！ぶ苯臃从硞€人金融信息主體金融狀況的信息，如個人財產信息（包括網絡支付賬號余額）、借貸信息?！び糜诮鹑诋a品與服務的關鍵信息，如交易信息（如交易指令、交易流水、證券委托、保險理賠）等?！び糜诼男辛私饽愕目蛻簦↘YC）要求，以及按行業主管部門存證、保全等需要，在提供產品和服務過程中收集的個人金融信息主體照片、音視頻等影像信息?！て渌軌蜃R別出特定主體的信息，如家庭地址等。c）C1類別信息主要為機構內部的信息資產，主要指供金融業機構內部使用的個人金融信息。該類信息一旦遭到未經授權的查看或未經授權的變更，可能會對個人金融信息主體的信息安全與財產安全造成一定影響，包括但不限于：·賬戶開立時間、開戶機構；·基于賬戶信息產生的支付標記信息：·C2和C3類別信息中未包含的其他個人金融信息。個人金融信息主體因業務需要（如貸款）主動提供的有關家庭成員信息（如身份證號碼、手機號碼、財產信息等），應依據c3、C2、C1敏感程度類別進行分類，并實施針對性的保護措施。兩種或兩種以上的低敏感程度類別信息經過組合、關聯和分析后可能產生高敏感程度的信息。同一言息在不同的服務場景中可能處于不同的類別，應依據服務場景以及該信息在其中的作用對信息的類別進行識別，并實施針對性的保護措施。個人金融信息生命周期個人金融信息生命周期指對個人金融信息進行收集、傳輸、存儲、使用、刪除、銷毀等處理的整個過程，各環節描述如下：a）收集：對個人金融信息主體各類信息進行獲取和記錄的過程。b）傳輸：個人金融信息在終端設備、信息系統內或信息系統間傳遞的過程。c）存儲：個人金融信息在終端設備、信息系統內保存的過程。d）使用：對個人金融信息進行展示、共享和轉讓、公開披露、委托處理、加工處理等操作的過程。e）刪除：使個人金融信息不可被檢索、訪問的過程。f）銷毀：對個人金融信息進行清除，使其不可恢復的過程。5安全基本原則金融業機構應遵循GB/T35273-2017的要求，以“權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與”的原則，設計并實施覆蓋個人金融信息全生命周期的安全保護策略。6安全技術要求生命周期技術要求收集應根據信息類別確定個人金融信息收集方案。具體技術要求如下：a）不應委托或授權無金融業相關資質的機構收集類別信息b）應確保收集信息來源的可追溯性。c）應采取技術措施（如彈窗、明顯位置URL鏈接等），引導個人金融信息主體查閱隱私政策，并獲得其明示同意后，開展有關個人金融信息的收集活動。d）對于C3類別信息，通過受理終端、客戶端應用軟件、瀏覽器等方式收集時，應使用加密等技術措施保證數據的保密性，防止其被未授權的第三方獲取。e）通過受理終端、客戶端應用軟件與瀏覽器等方式引導用戶輸入（或設置）銀行卡密碼、網絡支付密碼時，應采取展示屏蔽等措施防止密碼明文顯示，其他密碼類信息宜采取展示屏蔽措施。f）在網絡支付業務系統中，應采取具有信息輸入安全防護、即時數據加密功能的安全控件對支付敏感信息的輸入進行安全保護，并采取有效措施防止合作機構獲取、留存支付敏感信息。g）在停止提供金融產品或服務時，應及時停止繼續收集個人金融信息的活動。傳輸個人金融信息傳輸過程的參與方應保證信息在傳輸過程中的保密性、完整性和可用性，具體技術要求如下：a）應建立相應的個人金融信息傳輸安全策略和規程，采用滿足個人金融信息傳輸安全策略的安全控制措施，如安全通道、數據加密等技術措施。b）傳輸個人金融信息前，通信雙方應通過有效技術手段進行身份鑒別和認證c）通過公共網絡傳輸時，c2、C3類別信息應使用加密通道或數據加密的方式進行傳輸，保障個人金融信息傳輸過程的安全；對于C3類別中的支付敏感信息，其安全傳輸技術控制措施應符合有關行業技術標準與行業主管部門有關規定要求。d）應根據個人金融信息的不同類別，采用技術手段保證個人金融信息的安全傳輸；低敏感程度類別的個人金融信息因參與身份鑒別等關鍵活動導致敏感程度上升的（如，經組合后構成交易授權完整要素的情況），應提升相應的安全傳輸保障手段。e）個人金融信息傳輸的接收方應對接收的信息進行完整性校驗f）應建立有效機制對個人金融信息傳輸安全策略進行審核、監控和優化，包括對通道安全配置、密碼算法配置、密鑰管理等保護措施的管理和監控。g）應采取有效措施（如個人金融信息傳輸鏈路冗余）保證數據傳輸可靠性和網絡傳輸服務可用性。存儲個人金融信息存儲的具體技術要求如下：不應留存非本機構的銀行卡磁道數據（或芯片等效信息）、銀行卡有效期、卡片驗證碼（CVN信息主體及賬戶管理機構的授權。應根據個人金融信息的不同類別，采用技術手段保證個人金融信息的存儲安全；低敏感程度類別的個人金融信息因參與身份鑒別等關鍵活動導致敏感程度上升的（如，經組合后構成交易授權完整要素的情況），應提升相應的安全存儲保障手段。c）C3類別個人金融信息應采用加密措施確保數據存儲的保密性。d）受理終端、個人終端及客戶端應用軟件均不應存儲銀行卡磁道數據（或芯片等效信息）、銀行卡有效期、卡片驗證碼（CVN和CVN2）、銀行卡密碼、網絡支付密碼等支付敏感信息及個人生物識別信息的樣本數據、模板，僅可保存完成當前交易所必需的基本信息要素，并在完成交易旨及時予以清除。e）采取必要的技術和管控措施保證個人金融信息存儲轉移過程中的安全性。f）應將去標識化、匿名化后的數據與可用于恢復識別個人的信息采取邏輯隔離的方式進行存儲，確保去標識化、匿名化后的信息與個人金融信息不被混用。g）在停止運營時，應依據國家法律法規與行業主管部門有關規定要求，對所存儲的個人金融信息進行妥善處置，或移交國家與行業主管部門指定的機構繼續保存。使用信息展示提供業務辦理與查詢等功能的應用軟件，對個人金融信息展示具體技術要求如下：a）依據國家法律法規與行業主管部門有關規定要求，對通過計算機屏幕、客戶端應用軟件、銀行卡受理設備、自助終端設備、紙面（如受理終端打印出的交易憑條等交易憑證）等界面展示的個人金融信息應采取信息屏蔽（或截詞）等處理措施，降低個人金融信息在展示環節的泄露風險。注1：關于信息屏蔽（或截詞）的使用方式，參見附錄A.注2：金融業機構框面打印的憑證依據有關規范執行。b）處于未登錄狀態時，不應展示與個人金融信息主體相關的c3類別信息c）處于已登錄狀態時，個人金融信息展示的技術要求如下：·除銀行卡有效期外，C3類別信息不應明文展示?！τ阢y行卡號、手機號碼、證件類識別標識或其他識別標識信息等可以直接或組合后確定個人金融信息主體的信息應進行屏蔽展示，或由用戶選擇是否屏蔽展示，如需完整展示應進行用戶身份驗證，并做好此類信息管理，防范此類信息泄露風險?！ど婕捌渌麄€人金融信息主體的信息時，除以下情況外，宜進行屏蔽展示：——其他方主動發起的活動包含的信息，此種情況需展示必要的信息以供活動接收方對混動內容進行確認，例如：其他方發起的交易、其他方發起的收付款、保險保費代收。——與其他方已建立信任關系（間接授權），此時需活動發起方確認發起活動的必要信息的正確性（或活動發起方需接收活動結果信息，并確認活動已正確完成），例如：向其他方收款，其他方已付款向其他方申請代付，其他方同意付款或者其他方在自己業務應用范圍內的聯系人?！渌煞ㄒ幰蟮那闆r。應用軟件的后臺管理與業務支撐系統，對個人金融信息展示具體技術要求如下：a）除銀行卡有效期外，C3類別信息不應明文展示。b）應采取技術措施防范個人金融信息在展示過程中泄露或被未經授權的拷貝。c）后臺系統對支付賬號、客戶法定名稱、支付預留手機號碼、證件類或其他類識別標識信息等展。d）后臺系統不應具備開放式查詢能力，應嚴格限制批量查詢。e）對于確有明文查看需要的業務場景可以保留明文查看權限，后臺系統應對所有查詢操作進行細粒度的授權與行為審計。應防止通過散列碰撞等方法推導出完整的數據，若使用“截詞”的方式進行部分字段的屏蔽處理，不應用散列代替字段被截詞的部分。共享和轉讓個人金融信息在共享和轉讓的過程中，應充分重視信息轉移或交換過程中的安全風險，具體技術要求如下a）在共享和轉讓前，應開展個人金融信息安全影響評估，并依據評估結果采取有效措施保護個人金融信息主體權益。b）在共享和轉讓前，應開展個人金融信息接收方信息安全保障能力評估，并與其簽署數據保護責任承諾。c）支付賬號及其等效信息在共享和轉讓時，除法律法規和行業主管部門另有規定外，應使用支付標記化（按照JR/T0149-2016）技術進行脫敏處理（因業務需要無法使用支付標記化技術時應進行加密），防范信息泄露風險。d）應部署信息防泄露監控工具，監控及報告個人金融信息的違規外發行為。e）應部署流量監控技術措施，對共享、轉讓的信息進行監控和審計。f）應根據“業務需要”和“最小權限”原則，對個人金融信息的導出操作進行細粒度的訪問控制與全過程審計，應采取兩種或兩種以上鑒別技術對導出信息操作人員進行身份鑒別。g）應定期檢查或評估信息導出通道的安全性和可靠性。h）使用外部嵌入或接入的自動化工具（如代碼、腳本、接口、算法模型、軟件開發工具包等）進行信息共享與轉讓時，應定期檢查或評估信息共享工具、服務組件和共享通道的安全性和可靠性，并留存檢查或評估結果記錄。i）應執行嚴格的審核程序，并準確記錄和保存個人金融信息共享和轉讓情況。記錄內容應包括但不限于日期、規模、目的、范圍，以及數據接收方基本情況與使用意圖等，并應確保對共享和轉讓的信息及其過程可被追溯。j）應采取有效技術防護措施，防范信息轉移過程中被除信息發送方與接收方之外的其他個人、組織和機構截獲和利用。公開披露個人金融信息原則上不得公開披露。金融業機構經法律授權或具備合理事由確需公開披露時，具體技術要求如下：a）應事先開展個人金融信息安全影響評估，并依據評估結果采取有效的保護個人金融信息主體權益的措施。b）不應公開披露個人生物識別信息。c）應準確記錄和保存個人金融信息的公開披露情況，包括公開披露的日期、規模、目的、內容、公開范圍等。委托處理金融業機構因金融產品或服務的需要，將收集的個人金融信息委托給第三方機構（包含外包服務機構與外部合作機構）處理時，具體技術要求如下：a）委托行為不應超出已征得個人金融信息主題授權同意的范圍或遵循中對于征得授權同意的例外所規定的情形，并準確記錄和保存委托處理個人金融信息的情況。b）C3以及C2類別信息中的用戶鑒別輔助信息，不應委托給第三方機構進行處理。轉接清算、登記結算等情況，應依據國家有關法律法規及行業主管部門有關規定與技術標準執行。c）對委托處理的信息應采用去標識化（不應僅使用加密技術）等方式進行脫敏處理，降低個人金融信息被泄露、誤用、濫用的風險。d）應對委托行為進行個人金融信息安全影響評估，并確保受委托者具備足夠的數據安全能力，且提供了足夠的安全保護措施。e）應對第三方機構等受委托者進行監督，方式包括但不限于：·依據的要求，通過合同等方式規定受委托者的責任和義務·依據的要求，對受委托者進行安全檢查和評估f）應對外部嵌入或接入的自動化工具（代碼、腳本、接口、算法模型、軟件開發工具包等）開展技術檢測，確保其個人金融信息收集、使用行為符合約定要求：并對其收集個人金融信息的行為進行審計，發現超出約定行為及時切斷接入。加工處理個人金融信息在加工處理的過程中，具體技術要求如下：a）應采取必要的技術手段和管理措施，確保在個人金融信息清洗和轉換過程中對信息進行保護，對C2、C3類別信息，應采取更加嚴格的保護措施。b）應對匿名化或去標識化處理的數據集或其他數據集匯聚后重新識別出個人金融信息主體的風險進行識別和評價，并對數據集采取相應的保護措施。c）應建立個人金融信息防泄露控制規范和機制防止個人金融信息處理過程中的調試信息、日志記錄等因不受控制的輸出而泄露受保護的信息。d）應具備信息化技術手段或機制，對個人金融信息濫用行為進行有效的識別、監控和預警e）應具備完整的個人金融信息加工處理操作記錄和管理能力，記錄內容包括但不限于日期時間、主體、事件描述、事件結果等。匯聚融合個人金融信息匯聚融合的技術要求如下：a）匯聚融合的數據不應超出收集時所聲明的使用范圍。因業務需要確需超范圍使用的，應再次征得個人金融信息主體明示同意。b）應根據匯聚融合后的個人金融信息類別及使用目的，開展個人金融信息安全影響評估，并采取有效的技術保護措施。開發測試個人金融信息在開發測試過程中的具體技術要求如下：a）應對開發測試環境與生產環境進行有效隔離。b）開發環境、測試環境不應使用真實的個人金融信息，應使用虛構的或經過去標識化（不應僅使用加密技術）脫敏處理的個人金融信息，賬號、卡號、協議號、支付指令等測試確需信息除外。刪除個人金融信息在刪除過程中的具體技術要求如下：a）應采取技術手段，在金融產品和服務所涉及的系統中去除個人金融信息，使其保持不可被檢索和訪問。b）個人金融信息主體要求刪除個人金融信息時，金融機構應依據國家法律法規、行業主管部門有關規定以及與個人金融信息主體的約定予以響應。銷毀個人金融信息在銷毀過程中的具體技術要求如下：a）應建立個人金融信息銷毀策略和管理制度，明確銷毀對象、流程、方式和要求。b）應對個人金融信息存儲介質銷毀過程進行監督與控制，對待銷毀介質的登記、審批、介質交接、銷毀執行等過程進行監督。c）銷毀過程應保留有關記錄，記錄至少應包括銷毀內容、銷毀方式與時間、銷毀人簽字、監督人簽字等內容。d）存儲個人金融信息的介質如不再使用，應采用不可恢復的方式（如消磁、焚燒、粉碎等）對介質進行銷毀處理；存儲個人金融信息的介質如還需繼續使用，不應只采用刪除索引、刪除文件系統的方式進行信息銷毀，應通過多次覆寫等方式安全地擦除個人金融信息，確保介質中的個人金融信息不可再被恢復或者以其他形式加以利用。e）云環境下有關數據清除應依據JR/T0167-2018的執行。安全運行技術要求網絡安全要求承載與處理個人金融信息的信息系統應符合國家網絡安全相關規定與GB/T22239-2019、JR/T0071的要求。存儲個人金融信息的數據庫應處于金融業機構可控網絡內，并進行有效的訪問控制。Web應用安全要求涉及C2，C3類別信息的Web應用的安全技術要求如下：應具備對網站頁面篡改、網站頁面源代碼暴露、窮舉登錄嘗試、重放攻擊、SQL注入、跨站腳本攻擊、釣魚、木馬以及任意文件上傳、下載等已知漏洞的防范能力。處理個人金融信息相關的Web應用系統與組件上線前應進行安全評估。c）應具備對處理個人金融信息的系統組件進行實時監測的能力，有效識別和阻止來自內外部的非法訪問?？蛻舳藨密浖踩笈c個人金融信息相關的客戶端應用軟件及應用軟件開發工具包（SDK）應符合JR/T0092-2019JR/T0068-2020客戶端應用軟件有關安全技術要求，并在上線前進行安全評估。密碼技術與密碼產品要求使用的密碼技術及產品應符合國家密碼管理部門與行業主管部門要求。7安全管理要求安全準則收集個人金融信息收集的方式包括但不限于通過柜面、信息系統、金融自助設備、受理終端、客戶端應用軟件等渠道獲取。金融業機構應遵循合法、正當、必要的原則，向個人金融信息主體明示收集與使用個人金融信息的目的、方式、范圍和規則等，獲得個人金融信息主體的授權同意，并滿足以下要求：a）收集個人金融信息的基本規則如下：·不應欺詐、誘騙，或以默認授權、功能擁綁等方式誤導強迫個人金融信息主體提供個人金融信息：·不應隱瞞金融產品或服務所具有的收集個人金融信息的功能·不應通過非法渠道間接獲取個人金融信息：·不應收集法律法規與行業主管部門有關規定明令禁止收集的個人金融信息。b）收集個人金融信息應遵循最小化要求，收集個人金融信息的目的應與實現和優化金融產品或服務、防范金融產品或服務的風險有直接關聯。直接關聯是指無該個人金融信息參與無法實現前述目的。c）收集個人金融信息時授權同意的具體要求如下：·收集個人金融信息前，應向個人金融信息主體明確告知金融產品或服務需收集的個人金融信息類別，以及收集、使用個人金融信息的規則（如：收集和使用個人金融信息的目的、收集方式、自身的數據安全能力、對外共享、轉讓、公開披露的規則、投訴與申訴的渠道及響應時限等），并獲得個人金融信息主體的明示同意?！らg接獲取個人金融信息時，應要求個人金融信息提供方說明個人金融信息來源，并對其個人金融信息來源的合法性進行確認：應了解個人金融信息提供方已獲得的授權內容，包括使用目的，個人金融信息主體是否授權同意轉讓、共享、公開披露等情況：因業務需要金融業機構確需超出原授權范圍處理個人金融的，應在使用個人金融信息前，征得個人金融信息主體的明示同意。d）以下情形收集使用個人金融信息無需征得個人金融信息主體的授權同意：·與履行國家法律法規及行業主管部門有關規定的義務相關的；·與國家安全、國防安全直接相關的；·與公共安全、公共衛生、重大公共利益直接相關的；·與犯罪偵查、起訴、審判和判決執行等直接相關的；·出于維護個人金融信息主體或其他主體的生命、財產等重大合法權益但又很難得到本人同意的；·個人金融信息主體自行向社會公眾公開的；·根據個人金融信息主體要求簽；·根據個人金融信息主體要求簽訂和履行合同所必需的；·從公開合法披露的信息中收集個人金融信息的，如合法的新聞報道、政府信息公開渠道；·用于維護所提供的金融產品或服務的安全穩定運行所必需的，例如識別、處置金融產品或服務中的欺詐或被盜用等。存儲個人金融信息的存儲時限應滿足國家法律法規與行業主管部門有關規定要求，并符合個人金融信息主體授權使用的目的所必需的最短時間要求，超過該期限后，應對收集的個人金融信息進行刪除或匿名化處理。使用個人金融信息在信息展示、共享與轉讓、公開披露、委托處理、加工處理、匯聚融合等方面，應遵循6.1.4.1-6.1.4.的要求，并滿足以下要求：

a）除法律法規與行業主管部門另有規定或開展金融業務所必需的數據共享與轉讓（如轉接清算等）外，金融業機構原則上不應共享、轉讓其收集的個人金融信息，確需共享、轉讓的，應充分重視信息安全風險，具體要求如下：·應向個人金融信息主體告知共享、轉讓個人金融信息的目的、數據接收方的類型，并事先征得個人金融信息主體明示同意，共享、轉讓經去標識化處理（不應僅使用加密技術）的個人金融信息，且確保數據接收方無法重新識別個人金融信息主體的除外?！獛椭鷤€人金融信息主體了解數據接收方對個人金融信息的存儲、使用等情況，包括個人金融信息主體的權利，例如訪問、更正、刪除、注銷賬戶等；在法律法規規定、行業主管部門有關規定及個人金融信息主體約定的范圍內，個人金融信息主體行使其個人金融信息控制權利，金融業機構應配合響應其請求。C3類別信息以及C2類別信息中的用戶鑒別輔助信息不應共享、轉讓?！まD接清算、登記結算等情況，應依據國家有關法律法規與行業主管部門有關規定與技術標準執行?！ぎ斠蚴召彙⒓娌?、重組、破產等情況，對個人金融信息主體提供金融產品或服務的金融業機構主體變更而發生個人金融信息共享、轉讓時，具體要求如下：——金融業機構將其提供的金融產品或服務移交至其他金融業機構的情況，應使用逐一傳達（或公告）的方式通知個人金融信息主體?！薪悠浣鹑诋a品或服務的金融業機構，應對其承接運營的金融產品或服務繼續履行個人金融信息保護責任：如變更其在收購、兼并重組過程中獲取的個人金融信息使用目的，應重新獲得個人金融信息主體明示同意（或授權）。b）金融業機構原則上不應公開披露其收集的個人金融信息，經法律授權或具備合理理由確需公開披露個人金融信息的，具體要求如下：·應向個人金融信息主體告知公開披露個人金融信息的目的、類別，并事先征得個人金融信息主體的同意，并向其告知涉及的信息內容；

·承擔因公開披露個人金融信息對個人金融信息主體合法權益造成損害的相應責任；·C3類別信息，以及C2類別信息中的用戶鑒別輔助信息不應公開披露。c）因金融產品或服務的需要，將收集的個人金融信息委托給第三方機構（包含外包服務機構與外部合作機構）處理的，具體要求如下：

·依據.4.4開展委托處理工作。

·應對第三方機構等受委托者提出如下要求：

——應嚴格按照金融業機構的要求處理個人金融信息，如因特殊原因受委托者未能按照要

求處理個人金融信息，應及時告知金融業機構，并配合金融業機構進行信息安全評估；

——未經書面授權，受委托者不應將其處理的個人金融信息再次委托給其他機構進行處理；——應協助響應個人金融信息主體的請求；——如受委托者在處理個人金融信息過程中無法提供足夠的信息安全保護水平或發生安全事件，應及時告知金融業機構，配合進行信息安全評估與安全事件調查，并采取補救措施以保護個人金融信息的安全，必要時應終止其對個人金融信息的處理；——在委托關系解除時（或外包服務終止后），受委托者應按照金融業機構的要求銷毀其處理的個人金融信息，并依據雙方協商的期限承擔后續的個人金融信息保密責任；

——應準確記錄和保存委托處理個人金融信息的情況。d）在中華人民共和國境內提供金融產品或服務過程中收集和產生的個人金融信息，應在境內存儲、處理和分析。因業務需要，確需向境外機構（含總公司、母公司或分公司、子公司及其他為完成該業務所必需的關聯機構）提供個人金融信息的，具體要求如下：·應符合國家法律法規及行業主管部門有關規定·應獲得個人金融信息主體明示同意應依據國家、行業有關部門制定的辦法與標準開展個人金融信息出境安全評估，確保境外機構數據安全保護能力達到國家、行業有關部門與金融業機構的安全要求：·應與境外機構通過簽訂協議、現場核查等方式，明確并監督境外機構有效履行個人金融信息保密、數據刪除、案件協查等職責義務。e）以下情形中，金融業機構共享、轉讓、公開披露個人金融信息無需征得個人金融信息主體的授權同意·與履行法律法規及行業主管部門規定的義務相關的·與國家安全、國防安全直接相關的·與公共安全、公共衛生、重大公共利益直接相關的·與犯罪偵查、起訴、審判和判決執行等直接相關的·出于維護個人金融信息主體或其他主體的生命、財產等重大合法權益但又很難得到本人同意的；·個人金融信息主體自行向社會公眾公開的·從合法公開披露的信息中收集個人金融信息的，如合法的新聞報道、政府信息公開等渠道。安全策略安全制度體系建立與發布金融業機構應建立個人金融信息保護制度體系，明確工作職責，規范工作流程。制度體系的管理范疇應涵蓋本機構、外包服務機構與外部合作機構，并確保相關制度發布并傳達給本機構員工及外部合作方。相關制度應至少包括個人金融信息保護管理規定、日常管理及操作流程、外包服務機構與外部合作機構管理、內外部檢查及監督機制、應急處理流程和預案。具體要求如下：制定個人金融信息保護管理規定，提出本機構個人金融信息保護工作方針、目標和原則。開展個人金融信息分類分級管理。應針對不同類別和敏感程度的個人金融信息，實施相應的安全策略和保障措施。建立日常管理及操作流程。應對個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等環節提出具體保護要求，制定個人金融信息時效性管理規程，確保符合法律法規和行業主管部門有建立信息系統分級授權管理機制。應在不影響履行反洗錢等法定義務的前提下，制定本機構人員個人金融信息調取權限與使用范圍，并制定專門的授權審批流程。建立個人金融信息脫敏（如屏蔽、去標識、匿名化等）管理規范和制度，應明確不同敏感級別個人金融信息脫敏規則、脫敏方法和脫敏數據的使用限制。依據國家與行業有關標準，建立個人金融信息安全影響評估制度，應定期（至少每年一次）開展個人金融信息安全影響評估。建立外包服務機構與外部合作機構管理制度，包括但不限于：·應對個人金融信息生命周期過程中相關的外包服務機構與外部合作機構進行審查與評估，評估其個人金融信息的保護能力是否達到國家、行業主管部門與金融業機構的要求：應通過協議或合同的方式，約束外包服務機構與外部合作機構不應留存C2，C3類別信息；對于C2類別信息中的支付賬號等信息，若因清分清算、差錯處理等業務需要確需留存，金融業機構應明確其保密義務與保密責任，并應根據安全要求落實安全控制措施，并將有關資料留檔備查；對可能訪問個人金融信息的外包服務機構、外部合作機構及其人員，金融業機構應要求外包服務機構與外部合作機構向有關人員傳達個人金融信息保護安全要求與其簽署保密協議，并對協議履行情況進行監督?！げ粦獙⒋鎯€人金融信息的數據庫交由外部合作機構運維。

·應定期對外包服務機構與外部合作機構的個人金融信息保護措施落實情況進行確認，確認的方式包括但不限于外部信息安全評估、現場檢查等。

·國家法律法規與行業主管部門另有規定的，按照相關要求執行。h）建立個人金融信息安全檢查及監督機制。應建立個人金融信息安全日常檢查機制和工作流程、定期評估個人金融信息管理方面存在的不足，及時調整檢查機制和工作流程。i）應將個人金融信息泄露等相關事件處理納入機構信息安全事件應急處置工作機制，制定專門的流程和預案。定期評估應急處理流程和預案，及時保障、有效應對個人金融信息安全事件，降低安全事件造成的損失及不利影響。j）建立個人金融信息投訴與申訴處理程序，明確投訴與申訴受理部門、處理程序，對個人金融信息主體要求更正或刪除金融業機構收集其個人金融信息的情況，應受理、核實，并依據國家與行業主管部門要求予以處理。k）明確個人金融信息共享、存儲、使用和銷毀的期限，具備個人金融信息存儲時效性的控制能力。組織架構崗位設置組織架構及崗位設置具體要求如下：應建立個人金融信息保護組織架構，明確機構各層級內設部門與相關崗位個人金融信息保護職責與總體要求。應明確個人金融信息保護責任人和個人金融信息保護責任機構，并履行以下工作職責：

·負責制定和管理本機構個人金融信息安全管理制度；

·制定、實施、定期更新隱私政策和相關規程

·監督本機構內部，以及本機構與外部合作方個人金融信息安全管理；

·開展信息安全管理內部審計、分析處理信息安全相關事件；

·組織開展個人金融信息安全影響評估，提出個人金融信息保護的對策建議：

·組織在金融產品或服務上線發布前進行技術檢測，避免未知（與金融產品或服務功能及隱私政策不符）的個人金融信息收集、使用、共享等處理行為；

·公布投訴與申訴方式等信息及時受理個人金融信息有關的投訴、申訴。c）應明確在提供金融產品和服務的過程中知悉個人金融信息的崗位，并針對相關崗位明確其個人金融信息安全管理責任與保密責任，如不得未經授權的復制、存儲、使用個人金融信息，不得向他人出售或者以其他形式未經授權的共享、轉讓、披露個人金融信息等。人員管理對涉及個人金融信息相關人員的安全管理，具體要求如下：a）錄用員工前，應進行必要的背景調查，并與所有可訪問個人金融信息的員工簽署保密協議，或在勞動合同中設置保密條款。b）應定期開展內外部個人金融信息保護培訓與意識教育活動，并保留相關記錄

c）在發生人員調離崗位時，應立即調整和完成相關人員的個人金融信息訪問、使用等權限的配置，并明確有關人員后續的個人金融信息保護管理權限和保密責任：若有關人員調整后的崗位不涉及個人金融信息的訪問與處理的，應明確其繼續履行有關信息的保密義務要求。

d）與員工終止勞動合同時，應立即終止并收回其對個人金融信息的訪問權限，并明確其繼續履行有關信息的保密義務要求。e）系統開發人員、系統測試人員與運維人員之間不應相互兼崗。f）應定期（至少每年一次）或在隱私政策發生重大變化時，對個人金融信息處理崗位上的相關人員開展個人金融信息安全專業化培訓和考核，確保相關人員熟練掌握隱私政策和相關規程。訪問控制加強個人金融信息訪問控制管理，具體要求如下：a）應根據“業務需要”和“最小權限”原則，進行個人金融信息相關的權限管理，嚴格控制和分配訪問、使用個人金融信息的權限。b）對于可訪問和處理個人金融信息的系統應設置基于角色的訪問控制策略，禁止賬戶共用。c）傳輸、處理、存儲個人金融信息的系統默認用戶權限應為“拒絕所有訪問”。d）對個人金融信息使用的權限管理應設置權限指派、回收、過期處理等安全功能。e）對存儲或處理個人金融信息的系統或設備進行遠程訪問時，應通過專線、VPN等方式訪問，個人金融信息不應在遠程訪問設備上留存。f）應對生產網絡、開發測試網絡、辦公網絡以及相關非生產網絡進行訪問控制。g）應對個人金融信息訪問與個人金融信息的增刪改查等操作進行記錄，并保證操作日志的完整性、可用性及可追溯性，操作日志包括但不限于業務操作日志、系統日志等；系統運維管理類日志不應記錄個人金融信息。h）應對存儲個人金融信息的數據庫及操作日志實施嚴格的用戶授權與訪問控制。i）存儲或處理個人金融信息的相關物理設備或介質應在獲得審批授權后方可移入或移出機房受控區域，留存有C2，C3類別信息的物理設備或介質移入或移出區域應具有同等的安全保障措施。安全監測與風險評估監控與審計監控與審計具體要求如下：a）應識別并記錄包括但不限于管理員用戶、業務用戶對個人金融信息的訪問。b）應對個人金融信息數據交換網絡流量進行安全監控和分析，并存儲匹配安全規則的數據，以備事件溯源。c）日志文件和匹配規則的數據應至少保存6個月，應定期對所有系統組件日志進行審計，包括但不限于存儲、處理或傳輸個人金融信息的系統組件日志、執行安全功能的系統組件日志（如防火墻、入侵檢測系統、驗證服務器等）、安全事件日志等d）應采取技術手段對個人金融信息全生命周期進行安全風險識別和管控，如惡意代碼檢測、異常流量監測、用戶行為分析等。安全檢查和評估金融業機構應對個人金融信息生命周期全過程進行安全檢查和評估，范圍包括金融業機構以及與其合作的第三方機構（包含外包服務機構與外部合作機構）個人金融信息的安全檢查和評估具體要求如下：應依據制定的個人金融信息安全影響評估制度，在個人金融信息委托處理、共享與轉