个人金融信息保护技术规范
JR/T 0171—2020
前言
本标准按照GB/T1.1—2009给出的规则起草。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)归口。
本标准起草单位:中国人民银行科技司、中国人民银行郑州中心支行、北京银联金卡科技有限公司、中国银行股份有限公司、中国银联股份有限公司、网联清算有限公司、浙江蚂蚁小微金融服务集团股份有限公司、拉卡拉支付股份有限公司、中国金融电子化公司、中国人民银行武汉分行、中国工商银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、中国平安保险(集团)股份有限公司、北京中金国盛认证有限公司、北京软件产品质量检测检验中心、中金金融认证中心有限公司、信息产业信息安全测评中心、华泰证券股份有限公司、中国人民保险集团股份有限公司、财付通支付科技有限公司、中国支付清算协会、中国互联网金融协会、建信金融科技有限责任公司。
本标准主要起草人:李伟、李兴锋、张宏基、关晓辉、刘雨露、汤沁瑾、郭琳诤、赵战勇、熊继承、渠韶光、孟飞宇、高强裔、陈聪、居崑、陈雪秀、公丽丽、徐艳姣、牛小伟、王欢、展昭、强群力、郭林、杨萌、陈俊、李意、冯坚坚、唐凌、黄本涛、魏猛、刘琼瑶、赵旭、孙垚、周利华、母延燕、王家炜、张扬、蔡嘉勇、刘洋、孙鹏亮、聂丽琴、刘力慷、牛跃华、陈伟、王秀君、任凤丽、谢宗晓、董亚南、张旭刚、刘健、董晶晶、张嵩、于晓雪、吴永强、陆家有、石竹君、于沛、侯晓晨、田然、王泽航、何伟明、梁伟韬。
引言
个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。为加强个人金融信息安全管理,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,维护金融市场稳定,编制本标准。
个人金融信息保护技术规范
1、范围
本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
2、规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239—2019信息安全技术网络安全等级保护基本要求
GB/T 25069—2010信息安全技术术语
GB/T 31186.2—2014银行客户基本信息描述规范第2部分:名称
GB/T 31186.3—2014银行客户基本信息描述规范第3部分:识别标识
GB/T 35273—2017信息安全技术个人信息安全规范
JR/T 0068—2020网上银行系统信息安全通用规范
JR/T 0071金融行业信息系统信息安全等级保护实施指引
JR/T 0092—2019 移动金融客户端应用软件安全管理规范
JR/T 0149—2016 中国金融移动支付支付标记化技术规范
JR/T 0167—2018 云计算技术金融应用规范安全技术要求
3、术语和定义
GB/T 25069—2010、GB/T35273—2017界定的以及下列术语和定义适用于本文件。
3.1 金融业机构 financial industry institutions
本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
3.2 个人金融信息 personal financial information
个人金融信息是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注1:本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。注2:改写GB/T 35273—2017,定义3.1。
7.5 安全事件处置
安全事件处置具体要求如下:
a)应制定个人金融信息安全事件应急预案,明确安全事件处置流程和岗位职责。
b)应定期组织内部相关人员进行个人金融信息保护应急预案相关培训和应急演练。
c)发生个人金融信息遗失、损毁、泄露或被篡改等安全事件后,应及时采取必要措施进行处置,控制事态发展,消除安全隐患,并及时告知受影响的个人金融信息主体,告知的内容应符合GB/T35273—2017关于安全事件告知内容的规定,告知的方式包括但不限于:
以邮件、信函、电话、推送消息等方式及时告知受影响的个人金融信息主体;
难以逐一告知个人金融信息主体时,应采取合理、有效的方式发布与公众有关的警示信息。
d)发现因系统漏洞或人为原因造成个人金融信息泄露时,应立即采取有效措施防止风险扩大,并向行业主管部门报告。
e)应记录事件内容,分析和鉴定事件产生的原因,评估事件可能造成的影响,制定补救措施,并按国家与行业主管部门规定及时进行报告。
f)应建立投诉与申诉管理机制,包括跟踪流程,并在规定的时间内,对投诉、申诉进行响应。
g)根据相关法律法规与行业主管部门有关规定的变化情况以及事件处置情况,及时评估并更新应急预案。
附录A(资料性附录) 信息屏蔽
信息屏蔽指对某些敏感信息通过既定规则屏蔽(或截词)全部(或部分)敏感信息,实现对敏感信息展示的可靠保护。通过信息屏蔽可使信息本身的安全等级降级,从而可以在开发、测试和其他非生产环境以及外包或云计算环境中安全地使用脱敏后的信息集。借助信息屏蔽(或截词)技术,屏蔽敏感信息,并使屏蔽的信息保留其原始个人金融信息格式和属性,以确保应用程序可在使用脱敏个人金融信息的开发与测试过程中正常运行。
注:截词的目的在于永久删除某条信息的某个数据段,仅存储部分数据(如仅保留银行卡卡号不超过前六位和后四位数)。
对外输出的任何个人金融信息原则上应事先做屏蔽(或截词)等脱敏处理(已经获得用户明示同意以及根据法律法规要求需要对外输出的信息除外),脱敏处理包括但不限于:
——模糊化:指通过隐藏(或截词)局部信息令该个人金融信息无法完整显示,包括但不限于:
①具体名称ID化(如:以12345代替客户法定名称或ID),具体ID哈希化,金额、笔数去绝对值化(如:区间分段、个位数及小数点取整等)、星号模糊化;
②信息隐藏规则(缺省):显示前1/3和后1/3(向下取整),其他用*号代替,这样保留了部分信息,并且保证了信息的长度不变性,对信息持有者更易辨别,如手机、身份证号码等。
——不可逆:指无法通过样本信息倒推真实信息的方法,包括但不限于:
①使用匿名、差分隐私等技术对真实信息进行处理,使其无法被识别,且处理后的信息不能被复原;
②不应通过信息拼接、关联得到完整的敏感信息记录;
③不应通过局部占比的信息得到全量信息。
针对特定类型信息的隐藏规则示例详见表A.1。
表A.1 个人金融信息隐藏规则及示例
| 敏感信息类型 | 信息范围 | 展示规范 |
| 银行卡信息 | 银行卡卡号 | 显示前6位+*(实际位数)+后4位。如:622575******1496 |
| 个人身份信息 | 1)身份证号码、军官证号码、护照号码 | 使用缺省信息隐藏规则,如隐藏出生日期,身份证号码屏蔽后6位 |
| 2)客户法定名称(姓名) | 隐藏部分字符 | |
| 3)手机号码 |
除区号外,至少隐藏中间四位 大陆:显示前3位+****+后4位。如:137****9050 香港、澳门:显示前2位+****+后2位。如:90****85 台湾:显示前2位+****+后3位。如:90****856 其他海外地区:使用缺省隐藏规则 |
|
| 4)固定电话号码 | 推荐的规范:显示区号和后2位 | |
| 5)电子邮箱 |
@前面的字符显示前3位,3位后显示3个*,@后面完整显示 如:con***@111.com 如果少于三位,则全部显示,@前加***,例如tt@111.com则显示为tt***@111.com |
参考文献
[1]GB/T13016—2018标准体系构建原则和要求
[2]GB/T13017—2018企业标准体系表编制指南
[3]GB/T18336.1—2015信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型
[4]GB/T25000.10—2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第10部分:系统与软件质量模型
[5]GB/T26237.1—2010信息技术生物特征识别数据交换格式第1部分:框架
[6]GB/Z28828—2012信息安全技术公共及商用服务信息系统个人信息保护指南
[7]GM/Z0001—2013密码术语
[8]JR/T0061—2011银行卡名词术语
[9]JR/T0088.1—2012中国金融移动支付应用基础第1部分:术语
[10]JR/T0156—2017移动终端支付可信环境技术规范
[11]ISO/IEC19785-2:2006 Information technology—Common biometric exchange formats framework—Part2:Procedures for the operation of the biometric registration authority
[12]ISO/IEC27018:2014Informationtechnology—security techniques—Code of practice for protection of personally identifiable information(PII)in public clouds acting as PII processors
[13]ISO/IEC29100:2011Informationtechnology—Security techniques—Privacy framework
[14]中国人民银行.中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知(银发〔2011〕17号),2011-01-21
[15]中国人民银行.中国人民银行关于银行业金融机构进一步做好客户个人金融信息保护工作的通知(银发〔2012〕80号),2012-03-27
[16]征信业管理条例(国务院令第631号),2013-01-21
[17]中国人民银行.中国人民银行关于进一步加强银行卡风险管理的通知(银发〔2016〕170号),2016-06-13
[18]中国人民银行.中国人民银行关于印发《中国人民银行金融消费者权益保护实施办法》的通知(银发〔2016〕314号),2016-12-14
[19]中国人民银行.中国人民银行关于印发《金融科技(Fin Tech)发展规划(2019—2021年)》的通知(银发〔2019〕209号),2019-08-19
[20]金融机构客户身份识别和客户身份资料及交易记录保存管理办法(中国人民银行中国银行业监督管理委员会中国证券监督管理委员会中国保险监督管理委员会令〔2007〕第2号),2007-06-21
发表评论