信息來(lái)源：freebuf

近日，全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱“金標(biāo)委”）發(fā)布了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（以下簡(jiǎn)稱“《規(guī)范》”）?！兑?guī)范》適用于提供金融產(chǎn)品和服務(wù)的金融業(yè)機(jī)構(gòu)，并為安全評(píng)估機(jī)構(gòu)開展安全檢查與評(píng)估工作提供參考。

根據(jù)《規(guī)范》，個(gè)人金融信息是個(gè)人信息在金融領(lǐng)域圍繞賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息等方面的擴(kuò)展與細(xì)化，是金融業(yè)機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)的過(guò)程中積累的重要基礎(chǔ)數(shù)據(jù)，也是個(gè)人隱私的重要內(nèi)容。

個(gè)人金融信息一旦泄露，不但會(huì)直接侵害個(gè)人金融信息主體的合法權(quán)益、影響金融業(yè)機(jī)構(gòu)的正常運(yùn)營(yíng)，甚至可能會(huì)帶來(lái)系統(tǒng)性金融風(fēng)險(xiǎn)。

因此，《規(guī)范》規(guī)定了個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求，從安全技術(shù)和安全管理兩個(gè)方面，對(duì)個(gè)人金融信息保護(hù)提出了規(guī)范性要求。

個(gè)人金融信息按敏感度分為三類

《規(guī)范》將個(gè)人金融信息由高到低分為C3、C2、C1三個(gè)類別，C3主要為各類賬戶密碼，C2主要為賬戶、身份證信息、短信口令、KYC信息、住址等，C1主要為開戶時(shí)間、支付標(biāo)記信息等。

無(wú)資質(zhì)不可收集C3、C2類別信息

在信息收集方面，《規(guī)范》要求“不應(yīng)委托或授權(quán)無(wú)金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集C3、C2類別信息”，這一條使得許多非持牌機(jī)構(gòu)在金融信息的收集上異常被動(dòng)。另外，C3類別信息以及C2類別信息中的用戶鑒別輔助信息不應(yīng)共享、轉(zhuǎn)讓。

在信息傳輸方面，《規(guī)范》則要求“應(yīng)建立相應(yīng)的個(gè)人金融信息傳輸安全策略和規(guī)程，采用滿足個(gè)人金融信息傳輸安全策略的安全 控制措施，如安全通道、數(shù)據(jù)加密等技術(shù)措施”，以此進(jìn)一步保障個(gè)人金融信息傳輸過(guò)程的安全。

此外，針對(duì)安全運(yùn)行要求中的Web應(yīng)用安全，《規(guī)范》提出：

不應(yīng)以默認(rèn)授權(quán)方式強(qiáng)制收集

《規(guī)范》將“不應(yīng)欺詐、誘騙，或以默認(rèn)授權(quán)、功能捆綁等方式誤導(dǎo)強(qiáng)迫個(gè)人金融信息主體提供個(gè)人金融信息”作為收集個(gè)人金融信息的基本規(guī)則之一，并要求金融業(yè)機(jī)構(gòu)不應(yīng)隱瞞金融產(chǎn)品或服務(wù)所具有的收集個(gè)人金融信息的功能。

個(gè)人信息的安全檢查和評(píng)估

《規(guī)范》對(duì)金融業(yè)機(jī)構(gòu)應(yīng)對(duì)個(gè)人金融信息生命周期全過(guò)程進(jìn)行的安全檢査和評(píng)估提出了具體要求，比如每年進(jìn)行一次的“對(duì)信息系統(tǒng)進(jìn)行信息安全評(píng)估、漏洞掃描和滲透測(cè)試，并及時(shí)采取補(bǔ)救措施”。

《規(guī)范》具體內(nèi)容可進(jìn)一步參考正文，下載地址如下：

https://pan.baidu.com/s/1JBTCI8nCATp-_qBtwWjzfA ，提取碼: du44