关于《个人金融信息保护技术规范》的相关解读


来源:网安前哨    作者:张旭刚    2020-3-17 16:12

前言

个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害金融消费者的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。本文将对近日发布的《个人金融信息保护技术规范》(JR/T 0171-2020)从产生背景、适用范围、个人金融信息类别、分类重点防护、移动金融客户端、安全管理要求等方面进行相关解析。

一、产生背景

首先看下面一张表:

由以上可以看出金融行业在个人金融信息保护方面已经发布了不少监管文件,但缺少具体的实施规范,在此背景下,2020年2月13日中国人民银行正式发布了行业标准《个人金融信息保护技术规范》(JR/T 0171-2020)(以下简称“规范”)。《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。同时对加强个人金融信息管理,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,维护金融市场稳定,提供了重要意义。

二、适用范围

《规范》明确了适用于提供金融产品和金融服务的金融业机构,同时又定义了金融业机构为由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。

从上面可以看出这里的适用对象主要包括两个,一个是持牌金融机构,一个是个人金融信息处理相关机构。在我国持牌金融机构主要分为银行和非银行,银行这里大家比较熟悉,包括政策性银行、大型商业银行、股份制商业银行、城商行、农商行、农村信用社、外资银行、村镇银行等;非银行金融机构指不经营一般银行业务的金融机构,主要提供专门的金融服务和开展指定范围内的业务。这类机构比较庞杂,如支付机构、保险公司、证券公司、信托投资公司等。

个人金融信息处理的相关机构,主要是为持牌金融机构业务提供基础支持服务而需要处理个人金融信息的企业,如电信服务商、信息技术提供商、市场营销服务提供商。举个例子,某公司不是金融持牌机构,但是与银行合作的过程中需要把个人贷款信息影像的非结构化数据录入到系统转变为结构化数据,那么该公司也适用。此外《规范》的安全管理要求也提到了金融业机构应对个人金融信息生命周期全过程进行安全检查和评估,安全检查和评估的范围包括金融业机构,以及与金融业机构合作的外部第三方。

三、个人金融信息类别

《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,具体如下。

这里要注意两种或两种以上的低类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。比如短信验证码属于C2类别信息,但是在转账业务过程中通过短信验证码认证方式就能完成一笔转账,此时的短信验证码属于C3类别信息;如果在转账业务过程中,除了需要短信验证码还需要交易密码才能完成一笔转账,那么此时的短信验证码则属于C2类别信息。

四、分类重点防护

个人金融信息的分类不仅对个人金融信息控制者提出了不同类别的个人金融信息应实施不同的安全防护策略,而且对金融业机构的数据分类分级提供了指导和参考。下面笔者梳理了《规范》对C2、C3类别的个人金融信息在收集、传输、存储、使用等生命周期及安全运行等各环节的重点安全防护要求。

五、移动金融客户端

2019年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布了《关于开展APP违法违规收集使用个人信息专项治理的公告》,此次行动的意义重大,将全面整治应用程序市场的权限滥用乱象,更好的保护个人信息安全。为保障个人金融信息安全、提升金融APP安全防护能力,中国人民银行于2019年9月发布了《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》,《通知》强调了加强个人金融信息保护,从个人金融信息的收集、传输、存储、使用、删除等生命周期为金融业机构规定了四条红线。《规范》在此背景下,从个人金融信息的收集、存储、使用等环节对客户端提出了进一步要求,并且规定了个人金融信息相关的客户端应用软件及应用软件开发工具包(SDK)按照JR/T 0092-2019、JR/T 0068-2020客户端应用软件的有关技术要求在上线前进行安全评估。

六、安全管理要求

《规范》从安全准则、安全策略、访问控制、安全监测与风险评估以及安全事件处置等五个方面对安全管理进行了要求。安全准则主要规定了个人金融信息在收集、存储、使用等环节应遵循的原则和相关要求;安全策略从安全制度体系建立与发布、组织架构岗位设置和人员管理方面对金融业机构提出了相关要求;访问控制提出了个人金融信息应根据“业务需要”和“最小权限”原则进行权限管理,并对账户管理、远程访问管理以及操作记录管理等内容作出了规定;安全监测与风险评估明确了金融业机构应对个人金融信息全生命周期进行用户行为分析和异常流量监测,同时应对个人金融信息生命周期全过程进行安全检查和评估,安全检查和评估的范围还包括与金融业机构合作的外部第三方(包含外包服务机构与外部合作机构);安全事件处置对制定个人金融信息安全事件应急预案、组织内部人员开展应急预案培训和应急演练工作等做出了规定。

七、《信息安全技术个人信息安全规范》(GB/T 35273-2017)与《规范》的关系

于2018年5月1日实施的《信息安全技术个人信息安全规范》(GB/T 35273-2017)(以下简称“国标”)是一部关于我国个人信息安全保护的标准,《国标》针对个人信息面临的安全问题,规范了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为;而此次《规范》中的一些要求参考了《国标》,从安全技术和安全管理两个方面对个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期环节提出了安全防护要求,可以说是人民银行在《国标》的基础上对个人金融信息提出的增强型要求。

目前新版《信息安全技术个人信息安全规范》(GB/T 35273-2020)已在2020年3月6日发布,并于2020年10月1日开始实施,在旧版的基础上增加和修改了“多项业务功能的自主选择、用户画像的使用限制、个人信息安全工程、个人信息主体注销账户以及实现个人信息主体自主意愿的方法”等内容,进一步严格规定了个人信息处理活动应遵循的原则和安全要求。

CFCA一直从事于数据安全/个人信息/隐私保护的相关工作,在《国标》发布后又与中国邮政储蓄银行合作,以“国家法律法规、行业监管要求、国家标准规范”为依据,以“全生命周期覆盖、全业务流程覆盖、全系统功能覆盖”为原则,不仅对其个人金融信息生命周期全过程进行了安全评估,而且提供了个人金融信息保护安全框架的咨询,并取得重要成果。最后由中国邮政储蓄银行与中国金融认证中心组编的《个人信息保护-基于GB/T 35273的最佳实践》一书已出版,可供金融业机构在开展个人金融信息保护的安全检查与安全评估时进行参考。

本文作者介绍:张旭刚,5年以上信息安全工作经验,目前专注并擅长电子银行安全评估、个人信息安全保护咨询、网络安全等级保护等,主导及参与了30多家国有银行、全国股份制银行、城商行、外资银行、民营银行的信息安全咨询和评估项目,在银行业信息科技风险、个人信息保护咨询、网络安全等级保护等方面有着丰富的实践经验。

评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2020 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号