近日,全國金融標準化技術委員會發布了《個人金融信息保護技術規範》。
該規範目前已經通過全國金融標準化技術委員會審查並向各金融業機構發佈,但其實影響範圍絕不僅止於金融行業。此份《規範》將個人金融信息按照敏感程度分為三大類,由高到低,依次為C3、C2、C1,其中C3主要為各類賬戶密碼,C2主要為賬戶、身份證信息、短信口令、KYC信息、住址等,C1主要為開戶時間、支付標記信息等,其中絕大部分與個人信用相關。
《規範》規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷燬等生命週期各環節的安全防護要求,從安全技術和安全管理兩個方面,對個人金融信息保護提出了規範性要求。同時,要求金融業機構不應以默認授權、功能捆綁等方式強制獲取個人金融信息,也不應委託或授權無金融業相關資質的機構收集身份證號、手機號等個人信息。
這份《規定》當中所涉及的“金融業機構”, 一類是由國家金融管理部門監督管理的持牌金融機構,另一類是涉及個人金融信息處理的相關機構;而“個人金融信息”則是指金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息,這裡絕大部分都屬於個人信用信息的範疇。
我們日常說熟悉的“個人常用設備信息(如IMEI、MAC地址、IDFA、軟件列表等)”、“個人上網記錄(如網站瀏覽記錄、軟件使用記錄、點擊記錄等)”和“個人位置信息(如行蹤軌跡、精準定位信息等)”等《個人信息安全規範》附錄所明確列舉的個人信息應該都屬於“在提供金融產品與服務過程中獲取、保存的其他個人信息”的範疇,按類別可以將其視為C2類別的個人信息。
個人金融信息按敏感程度從高到低分為C3、C2、C1三類。其中:C3類別信息主要為用戶鑑別信息。該類信息一旦遭到未經授權的查看或未經授權的變更,會對個人金融信息主體的信息安全與財產安全造成嚴重危害;C2類別信息主要為可識別特定用戶身份與金融狀況的個人金融信息,及用於金融產品和服務的關鍵信息。該類信息一旦遭到未經授權的查看或未經授權的變更,會對個人金融信息主體的信息安全與財產安全造成一定危害;C1類別信息主要為機構內部的信息資產,主要指供金融業機構內部使用的個人金融信息。該類信息一旦遭到未經授權的查看或未經授權的變更,可能會對個人金融信息主體的信息安全與財產安。
根據該項規範的要求,“用於維護所提供的金融產品或服務的安全穩定運行所必須的,例如識別、處置金融產品或服務中的欺詐或被盜用等”進行的個人金融信息收集使用無需徵得個人金融信息主體授權同意的情形,但同時有可能導致許多非持牌機構可能不再能在業務前端代表金融業企業採集客戶KYC、借貸等相關信息, 對於某些金融業企業的外部合作機構而言,其產品和服務的提供可能必須基於明文的C3類和/或C2類中的用戶鑑別輔助信息,如目前接受銀行等金融機構委託進行身份核驗等的助貸企業,可能必須以客戶身份三要素(如姓名、身份證號和手機號碼)的獲取為業務開展的基礎,依據目前的要求,非持牌機構可能難以再獲得明文的上述個人金融信息,因此業務模式可能面臨重新調整的需要。
不過據信息安全行業人士表示,本次出臺的《規範》僅為行業技術標準,並具有跨行業的強制力,對金融機構也僅具有參考作用。
(文中資料採集自“鳳凰網”財經頻道、“支付百科”、企業信用管理辦公室等相關資料整理)
閱讀更多 企業信用管理辦公室 的文章
