中国人民银行:支付信息保护技术规范(送审稿)
支付信息是金融机构日常业务工作中积累的一项重要基础数据,也是金融机构客户(金融消费者)个人隐私的重要内容。支付信息为个人信息围绕“身份信息”、“账户信息”、“财产信息”的扩展与深化,是“个人信息”在金融业务领域的细化,对我国社会稳定、公民与法人的利益保护有重要的相关性。
在支付等金融业务活动中,支付信息泄露严重侵害相关用户和机构的合法权益,带来系统性金融风险隐患,危害金融支付市场稳定。为加强支付信息安全管理,指导各机构在包括支付信息在内的个人金融信息的收集、传输、存储、使用、销毁等生命周期各个环节规范处理信息,防范个人金融信息泄露风险,特制订本技术规范。
对标准中的具体事项,法律法规另有规定的,应遵照其规定执行。
本标准规定了支付信息在收集、传输、存储、使用、销毁等生命周期各环节的技术保护要求及安全策略、访问控制、安全运行、监测评估等保障性要求。同时,本标准将支付信息在信息收集、保存、使用、委托处理、共享与转让、公开披露、事件处置等行为准则纳入信息生命周期管理技术要求与安全保障性要求中,从技术、行为、保障三个层面对个人金融信息提出技术类规范要求。
本标准适用于为金融消费者提供金融产品和服务的相关机构,从事支付业务活动或涉及支付信息处理的相关机构,开展支付等金融业务信息安全相关检测和认证的机构可参照执行。