個人金融信息保護技術(shù)規(guī)范

個人金融信息保護技術(shù)規(guī)范1 范圍本標準規(guī)定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護要求，從安全技術(shù)和安全管理兩個方面，對個人金融信息保護提出了規(guī)范性要求。本標準適用于提供金融產(chǎn)品和服務(wù)的金融業(yè)機構(gòu)，并為安全評估機構(gòu)開展安全檢查與評估工作提供參考。2 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求GB/T 25069-2010 信息安全技術(shù) 術(shù)語GB/T 31186.2-2014 銀行客戶基本信息描述規(guī)范 第2部分：名稱GB/T 31186.3-2014 銀行客戶基本信息描述規(guī)范 第3部分：識別標識GB/T 35273-2017 信息安全技術(shù) 個人信息安全規(guī)范JR/T 0068-2020 網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范JR/T 0071 金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引JR/T 0092-2019 移動金融客戶端應(yīng)用軟件安全管理規(guī)范JR/T 0149-2016 中國金融移動支付 支付標記化技術(shù)規(guī)范JR/T 0167-2018 云計算技術(shù)金融應(yīng)用規(guī)范 安全技術(shù)要求3術(shù)語和定義GB/T 25069-2010，GB/T 35273-2017界定的以及下列術(shù)語和定義適用于本文件。3.1金融業(yè)機構(gòu)financial industry institutions本標準中的金融業(yè)機構(gòu)是指由國家金融管理部門監(jiān)督管理的持牌金融機構(gòu)，以及涉及個人金融信息處理的相關(guān)機構(gòu)。3.2個人金融信息 personal financial information金融業(yè)機構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個人信息。注1：本標準中的個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息。注2：改寫GB/T 35273-2017，定義3.13.3支付敏感信息payment sensitive information支付信息中涉及支付主體隱私和身份識別的重要信息。注：支付敏感信息包括但不限于銀行卡磁道數(shù)據(jù)或芯片等效信息，卡片驗證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)付交易密碼等用于支付鑒權(quán)的個人金融信息。3.4個人金融信息主體 personal financial information subject個人金融信息所標識的自然人。注：改寫GB/T 35273-2017，定義3.3。3.5個人金融信息控制者 personal financial information controller有權(quán)決定個人金融信息處理目的、方式等的機構(gòu)。注：改寫GB/T 35273-2017，定義3.4。3.6收集collect獲得個人金融信息的控制權(quán)的行為。注1：收集行為包括由個人金融信息主體主動提供、通過與個人金融信息主體交互或記錄個人金融信息主體行為等自動采集行為，以及通過共享、轉(zhuǎn)讓、搜集公開信息等間接獲取個人金融信息等行為。注2：如金融產(chǎn)品或服務(wù)提供者提供工具供個人金融信息主體使用，提供者不對個人金融信息進行訪問的，則不屬于本標準所稱的收集。例如手機銀行客戶端應(yīng)用軟件在終端獲取用戶指紋特征信息用于本地鑒權(quán)后，指紋特征信息不回傳至提供者，則不屬于用戶指紋特征信息的收集行為。注3：改寫GB/T 35273-2017，定義3.5。3.7公開披露public disclosure向社會或不特定群體發(fā)布信息的行為。GB/T 35273-2017，定義3. 103.8轉(zhuǎn)讓 transfer of control將個人金融信息控制權(quán)由一個控制者向另一個控制者轉(zhuǎn)移的過程。注：改寫GB/T 35273-2017，定義3.1。3.9共享sharing個人金融信息控制者向其他控制者提供個人金融信息，且雙方分別對個人金融信息擁有獨立控制權(quán)的過程。注：改寫GB/T 35273-2017，定義3. 12。3. 10個人金融信息安全影響評估 personal financial information secur ity impact assessment針對個人金融信息處理活動，檢驗其合法合規(guī)程度，判斷其對個人金融信息主體合法權(quán)益造成損害的各種風(fēng)險，以及評估用于保護個人金融信息主體的各項措施有效性的過程。3. 11支付賬號payment account具有金融交易功能的銀行賬戶、非銀行支付機構(gòu)支付賬戶及銀行卡卡號。注：改寫JR/T 0149-2016，定義3.1。3.12支付標記payment token （Token）作為支付賬號等原始交易要素的替代值，用于完成特定場景支付交易。CJR/T 0149-2016，定義3.2。3.13磁道數(shù)據(jù)track data一磁、二磁和三磁定義的必備或可選的數(shù)據(jù)元注：磁道數(shù)據(jù)可以在物理卡的磁條上，也可以被包含在集成電路或者其他媒介上。JR/T 0061-2011，定義3.20。3.14卡片驗證碼card ver ification number；CVN對磁條信息合法性進行驗證的代碼。JR/T 0061-2011，定義8.7。3.15卡片驗證碼2 card verification number 2；CVN2在郵購或電話訂購等非面對面交易中對銀行卡卡片合法性進行驗證的代碼。CJR/T 0061-2011，定義8.83. 16動態(tài)口令one-time-password （OTP）， dynamic password基于時間、事件等方式動態(tài)生成的一次性口令。CM/2 0001-2013，定義2. 153.17短信動態(tài)密碼SMs dynamic code短信驗證碼 SMS code后臺系統(tǒng)以手機短信形式發(fā)送到用戶綁定手機上的隨機數(shù)，用戶通過回復(fù)該隨機數(shù)進行身份認證。JR/T 0088.1-2012，定義2.413.18客戶法定名稱customers legal name在法律上認可的客戶名稱，注1：客戶法定名稱一般記錄在國家授權(quán)部門頒發(fā)給客戶的證件上，本標準客戶主要指自然人客戶。注2：改寫GB/T 31186.2-2014，定義3.2。3.19證件識別標識 legal discrimination ID由國家法定有權(quán)部門頒發(fā)，能夠唯一確定客戶的且具有法律效力的標識。注1：證件類識別標識是外源性數(shù)據(jù)。外源性數(shù)據(jù)意味著數(shù)據(jù)的使用者不是數(shù)據(jù)的所有者，數(shù)據(jù)在產(chǎn)生、變更、廢止后可能不為數(shù)據(jù)的使用者所知悉。注2：本標準的使用者因本身業(yè)務(wù)需求而產(chǎn)生的內(nèi)部證件類標識，不應(yīng)在使用者外部使用，也不具有法律效力。注3：改寫GB/T 31186.3-2014，定義3.2。3.20未經(jīng)授權(quán)的查看unauthorized reading未得到信息的所有者或有權(quán)授權(quán)人授權(quán)對信息的查看。注1：未經(jīng)授權(quán)的查看可能是善意的，也可能是惡意的：信息處理者無意泄露的未經(jīng)授權(quán)的查看為信息泄露事件；攻擊者通過使相關(guān)安全措施無效的措施有意獲取的未經(jīng)授權(quán)的查看為信息竊取事件。注2：非法查看是對未經(jīng)授權(quán)的查看的一種不嚴謹?shù)谔囟ǖ恼Z境下并無二義性的提法。3.21未經(jīng)授權(quán)的變更unauthorized altering未得到信息的所有者或有權(quán)授權(quán)人授權(quán)對信息的變更。注1：未經(jīng)授權(quán)的變更典型地分為未經(jīng)授權(quán)的增加（即增加全新的內(nèi)容）、未經(jīng)授權(quán)的更改（即修改現(xiàn)有的內(nèi)容）或未經(jīng)授權(quán)的刪除（即刪除原有的內(nèi)容）三種情況，也可能是三種情況的組合。注2：未經(jīng)授權(quán)的變更可能是善意的，也可能是惡意的；往往表現(xiàn)為信息篡改事件、信息假冒事件、信息丟失事件等。注3：非法變更是對未經(jīng)授權(quán)的變更的一種不嚴謹?shù)谔囟ǖ恼Z境下并無二義性的提法。3.22明示同意 explicit consent個人金融信息主體通過書面聲明或主動作出肯定性動作，對其個人金融信息進行特定處理作出明確授權(quán)的行為。注1：肯定性動作包括個人金融信息主體主動作出聲明（電子或紙質(zhì)形式）、主動勾選、主動點擊“同意” “注冊”“發(fā)送” “撥打”、主動填寫或提供等。注2：改寫GB/T 35273-2017，定義3.63.23匿名化anonymization通過對個人金融信息的技術(shù)處理，使得個人金融信息主體無法被識別，且處理后的信息不能被復(fù)原的過程。注1：個人金融信息經(jīng)匿名化處理后所得的信息不屬于個人金融信息。注2：改寫GB/T 35273-2017，定義3.13。3.24去標識化de-identification通過對個人金融信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別個人金融信息主體的過程。注1：去標識化仍建立在個體基礎(chǔ)之上，保留了個體顆粒度，采用假名、加密、加鹽的哈希函數(shù)等技術(shù)手段替代對個人金融信息的標識。注2：改寫GB/T 35273-2017，定義3.14。3.25刪除delete在金融產(chǎn)品和服務(wù)所涉及的系統(tǒng)中去除個人金融信息的行為，使其保持不可被檢索、訪問的狀態(tài)。注：改寫GB/T 35273-2017，定義3.9。4個人金融信息概述4.1個人金融信息內(nèi)容個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息，具體如下：a）賬戶信息指賬戶及賬戶相關(guān)信息，包括但不限于支付賬號、銀行卡磁道數(shù)據(jù)（或芯片等效信息）銀行卡有效期、證券賬戶、保險賬戶、賬戶開立時間、開戶機構(gòu)、賬戶余額以及基于上述信息產(chǎn)生的支付標記信息等。b）鑒別信息指用于驗證主體是否具有訪問或使用權(quán)限的信息，包括但不限于銀行卡密碼、預(yù)付卡支付密碼：個人金融信息主體登錄密碼、賬戶查詢密碼、交易密碼；卡片驗證碼（CVN和CVN2），動態(tài)口令、短信驗證碼、密碼提示問題答案等。c）金融交易信息指個人金融信息主體在交易過程中產(chǎn)生的各類信息，包括但不限于交易金額、支付記錄、透支記錄、交易日志、交易憑證；證券委托、成交、持倉信息；保單信息、理賠信息等。d） 個人身份信息指個人基本信息、個人生物識別信息等。個人基本信息包括但不限于客戶法定名稱、性別、國籍、民族、職業(yè)、婚姻狀況、家庭狀況、收入情況、身份證和護照等證件類信息、手機號碼、固定電話號碼、電子郵箱、工作及家庭地址，以及在提供產(chǎn)品和服務(wù)過程中收集的照片、音視頻等信息；個人生物識別信息包括但不限于指紋、人臉、虹膜、耳紋、掌紋、靜脈、聲紋、眼紋、步態(tài)、筆跡等生物特征樣本數(shù)據(jù)、特征值與模板。e）財產(chǎn)信息指金融業(yè)機構(gòu)在提供金融產(chǎn)品和服務(wù)過程中，收集或生成的個人金融信息主體財產(chǎn)信息，包括但不限于個人收入狀況、擁有的不動產(chǎn)狀況、擁有的車輛狀況、納稅額、公積金存繳金額等。f）借貸信息指個人金融信息主體在金融業(yè)機構(gòu)發(fā)生借貸業(yè)務(wù)產(chǎn)生的信息，包括但不限于信、信用卡和貸款的發(fā)放及還款、擔(dān)保情況等。g）其他信息：對原始數(shù)據(jù)進行處理、分析形成的，能夠反映特定個人某些情況的信息，包括但不限于特定個人金融信息主體的消費意愿、支付習(xí)慣和其他衍生信息：在提供金融產(chǎn)品與服務(wù)過程中獲取、保存的其他個人信息。4.2個人金融信息類別根據(jù)信息遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更后所產(chǎn)生的影響和危害，將個人金融信息按敏感程度從高到低分為C3，C2，C1三個類別。具體如下：a）C3類別信息主要為用戶鑒別信息。該類信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更會對個人金融信息主體的信息安全與財產(chǎn)安全造成嚴重危害，包括但不限于：銀行卡磁道數(shù)據(jù)（或芯片等效信息）、卡片驗證碼（CVN和CVN2） 、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼：賬戶（包括但不限于支付賬號、證券賬戶、保險賬戶）登錄密碼、交易密碼、查詢密碼：用于用戶鑒別的個人生物識別信息b）C2類別信息主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息，以及用于金融產(chǎn)品與服務(wù)的關(guān)鍵信息。該類信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，會對個人金融信息主體的信息安全與財產(chǎn)安全造成一定危害，包括但不限于：支付賬號及其等效信息，如支付賬號、證件類識別標識與證件信息（身份證、護照等）、手機號碼。賬戶（包括但不限于支付賬號、證券賬戶、保險賬戶）登錄的用戶名。用戶鑒別輔助信息，如動態(tài)口令、短信驗證碼、密碼提示問題答案、動態(tài)聲紋密碼：若用戶鑒別輔助信息與賬號結(jié)合使用可直接完成用戶鑒別，則屬于c3類別信息。直接反映個人金融信息主體金融狀況的信息，如個人財產(chǎn)信息（包括網(wǎng)絡(luò)支付賬號余額）、借貸信息。用于金融產(chǎn)品與服務(wù)的關(guān)鍵信息，如交易信息（如交易指令、交易流水、證券委托、保險理賠）等。用于履行了解你的客戶（KYC）要求，以及按行業(yè)主管部門存證、保全等需要，在提供產(chǎn)品和服務(wù)過程中收集的個人金融信息主體照片、音視頻等影像信息。其他能夠識別出特定主體的信息，如家庭地址等。c） C1類別信息主要為機構(gòu)內(nèi)部的信息資產(chǎn)，主要指供金融業(yè)機構(gòu)內(nèi)部使用的個人金融信息。該類信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，可能會對個人金融信息主體的信息安全與財產(chǎn)安全造成一定影響，包括但不限于：賬戶開立時間、開戶機構(gòu)；基于賬戶信息產(chǎn)生的支付標記信息：C2和C3類別信息中未包含的其他個人金融信息。個人金融信息主體因業(yè)務(wù)需要（如貸款）主動提供的有關(guān)家庭成員信息（如身份證號碼、手機號碼、財產(chǎn)信息等），應(yīng)依據(jù)c3、 C2、C1敏感程度類別進行分類，并實施針對性的保護措施。兩種或兩種以上的低敏感程度類別信息經(jīng)過組合、關(guān)聯(lián)和分析后可能產(chǎn)生高敏感程度的信息。同一言息在不同的服務(wù)場景中可能處于不同的類別，應(yīng)依據(jù)服務(wù)場景以及該信息在其中的作用對信息的類別進行識別，并實施針對性的保護措施。4.3個人金融信息生命周期個人金融信息生命周期指對個人金融信息進行收集、傳輸、存儲、使用、刪除、銷毀等處理的整個過程，各環(huán)節(jié)描述如下：a）收集：對個人金融信息主體各類信息進行獲取和記錄的過程。b）傳輸：個人金融信息在終端設(shè)備、信息系統(tǒng)內(nèi)或信息系統(tǒng)間傳遞的過程。c）存儲：個人金融信息在終端設(shè)備、信息系統(tǒng)內(nèi)保存的過程。d）使用：對個人金融信息進行展示、共享和轉(zhuǎn)讓、公開披露、委托處理、加工處理等操作的過程。e）刪除：使個人金融信息不可被檢索、訪問的過程。f）銷毀：對個人金融信息進行清除，使其不可恢復(fù)的過程。5安全基本原則金融業(yè)機構(gòu)應(yīng)遵循GB/T 35273-2017的要求，以“權(quán)責(zé)一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與”的原則，設(shè)計并實施覆蓋個人金融信息全生命周期的安全保護策略。6安全技術(shù)要求6.1 生命周期技術(shù)要求6.1.1收集應(yīng)根據(jù)信息類別確定個人金融信息收集方案。具體技術(shù)要求如下：a）不應(yīng)委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機構(gòu)收集C3.c2類別信息b）應(yīng)確保收集信息來源的可追溯性。c）應(yīng)采取技術(shù)措施（如彈窗、明顯位置URL鏈接等），引導(dǎo)個人金融信息主體查閱隱私政策，并獲得其明示同意后，開展有關(guān)個人金融信息的收集活動。d）對于C3類別信息，通過受理終端、客戶端應(yīng)用軟件、瀏覽器等方式收集時，應(yīng)使用加密等技術(shù)措施保證數(shù)據(jù)的保密性，防止其被未授權(quán)的第三方獲取。e）通過受理終端、客戶端應(yīng)用軟件與瀏覽器等方式引導(dǎo)用戶輸入（或設(shè)置）銀行卡密碼、網(wǎng)絡(luò)支付密碼時，應(yīng)采取展示屏蔽等措施防止密碼明文顯示，其他密碼類信息宜采取展示屏蔽措施。f）在網(wǎng)絡(luò)支付業(yè)務(wù)系統(tǒng)中，應(yīng)采取具有信息輸入安全防護、即時數(shù)據(jù)加密功能的安全控件對支付敏感信息的輸入進行安全保護，并采取有效措施防止合作機構(gòu)獲取、留存支付敏感信息。g）在停止提供金融產(chǎn)品或服務(wù)時，應(yīng)及時停止繼續(xù)收集個人金融信息的活動。6.1.2 傳輸個人金融信息傳輸過程的參與方應(yīng)保證信息在傳輸過程中的保密性、完整性和可用性，具體技術(shù)要求如下：a）應(yīng)建立相應(yīng)的個人金融信息傳輸安全策略和規(guī)程，采用滿足個人金融信息傳輸安全策略的安全控制措施，如安全通道、數(shù)據(jù)加密等技術(shù)措施。b）傳輸個人金融信息前，通信雙方應(yīng)通過有效技術(shù)手段進行身份鑒別和認證c）通過公共網(wǎng)絡(luò)傳輸時，c2、C3類別信息應(yīng)使用加密通道或數(shù)據(jù)加密的方式進行傳輸，保障個人金融信息傳輸過程的安全；對于C3類別中的支付敏感信息，其安全傳輸技術(shù)控制措施應(yīng)符合有關(guān)行業(yè)技術(shù)標準與行業(yè)主管部門有關(guān)規(guī)定要求。d）應(yīng)根據(jù)個人金融信息的不同類別，采用技術(shù)手段保證個人金融信息的安全傳輸；低敏感程度類別的個人金融信息因參與身份鑒別等關(guān)鍵活動導(dǎo)致敏感程度上升的（如，經(jīng)組合后構(gòu)成交易授權(quán)完整要素的情況），應(yīng)提升相應(yīng)的安全傳輸保障手段。e）個人金融信息傳輸?shù)慕邮辗綉?yīng)對接收的信息進行完整性校驗f）應(yīng)建立有效機制對個人金融信息傳輸安全策略進行審核、監(jiān)控和優(yōu)化，包括對通道安全配置、密碼算法配置、密鑰管理等保護措施的管理和監(jiān)控。g）應(yīng)采取有效措施（如個人金融信息傳輸鏈路冗余）保證數(shù)據(jù)傳輸可靠性和網(wǎng)絡(luò)傳輸服務(wù)可用性。6.1.3 存儲個人金融信息存儲的具體技術(shù)要求如下：a） 不應(yīng)留存非本機構(gòu)的銀行卡磁道數(shù)據(jù)（或芯片等效信息）、銀行卡有效期、卡片驗證碼（CVN信息主體及賬戶管理機構(gòu)的授權(quán)。b） 應(yīng)根據(jù)個人金融信息的不同類別，采用技術(shù)手段保證個人金融信息的存儲安全；低敏感程度類別的個人金融信息因參與身份鑒別等關(guān)鍵活動導(dǎo)致敏感程度上升的（如，經(jīng)組合后構(gòu)成交易授權(quán)完整要素的情況），應(yīng)提升相應(yīng)的安全存儲保障手段。c）C3類別個人金融信息應(yīng)采用加密措施確保數(shù)據(jù)存儲的保密性。d）受理終端、個人終端及客戶端應(yīng)用軟件均不應(yīng)存儲銀行卡磁道數(shù)據(jù)（或芯片等效信息）、銀行卡有效期、卡片驗證碼（CVN和CVN2）、銀行卡密碼、網(wǎng)絡(luò)支付密碼等支付敏感信息及個人生物識別信息的樣本數(shù)據(jù)、模板，僅可保存完成當(dāng)前交易所必需的基本信息要素，并在完成交易旨及時予以清除。e）采取必要的技術(shù)和管控措施保證個人金融信息存儲轉(zhuǎn)移過程中的安全性。f）應(yīng)將去標識化、匿名化后的數(shù)據(jù)與可用于恢復(fù)識別個人的信息采取邏輯隔離的方式進行存儲，確保去標識化、匿名化后的信息與個人金融信息不被混用。g）在停止運營時，應(yīng)依據(jù)國家法律法規(guī)與行業(yè)主管部門有關(guān)規(guī)定要求，對所存儲的個人金融信息進行妥善處置，或移交國家與行業(yè)主管部門指定的機構(gòu)繼續(xù)保存。6.1.4 使用6.1.4.1信息展示提供業(yè)務(wù)辦理與查詢等功能的應(yīng)用軟件，對個人金融信息展示具體技術(shù)要求如下：a）依據(jù)國家法律法規(guī)與行業(yè)主管部門有關(guān)規(guī)定要求，對通過計算機屏幕、客戶端應(yīng)用軟件、銀行卡受理設(shè)備、自助終端設(shè)備、紙面（如受理終端打印出的交易憑條等交易憑證）等界面展示的個人金融信息應(yīng)采取信息屏蔽（或截詞）等處理措施，降低個人金融信息在展示環(huán)節(jié)的泄露風(fēng)險。注1：關(guān)于信息屏蔽（或截詞）的使用方式，參見附錄A.注2：金融業(yè)機構(gòu)框面打印的憑證依據(jù)有關(guān)規(guī)范執(zhí)行。b）處于未登錄狀態(tài)時，不應(yīng)展示與個人金融信息主體相關(guān)的c3類別信息c）處于已登錄狀態(tài)時，個人金融信息展示的技術(shù)要求如下：除銀行卡有效期外， C3類別信息不應(yīng)明文展示。對于銀行卡號、手機號碼、證件類識別標識或其他識別標識信息等可以直接或組合后確定個人金融信息主體的信息應(yīng)進行屏蔽展示，或由用戶選擇是否屏蔽展示，如需完整展示應(yīng)進行用戶身份驗證，并做好此類信息管理，防范此類信息泄露風(fēng)險。涉及其他個人金融信息主體的信息時，除以下情況外，宜進行屏蔽展示：其他方主動發(fā)起的活動包含的信息，此種情況需展示必要的信息以供活動接收方對混動內(nèi)容進行確認，例如：其他方發(fā)起的交易、其他方發(fā)起的收付款、保險保費代收。與其他方已建立信任關(guān)系（間接授權(quán)），此時需活動發(fā)起方確認發(fā)起活動的必要信息的正確性（或活動發(fā)起方需接收活動結(jié)果信息，并確認活動已正確完成），例如：向其他方收款，其他方已付款向其他方申請代付，其他方同意付款或者其他方在自己業(yè)務(wù)應(yīng)用范圍內(nèi)的聯(lián)系人。其他法律法規(guī)要求的情況。應(yīng)用軟件的后臺管理與業(yè)務(wù)支撐系統(tǒng)，對個人金融信息展示具體技術(shù)要求如下：a） 除銀行卡有效期外，C3類別信息不應(yīng)明文展示。b）應(yīng)采取技術(shù)措施防范個人金融信息在展示過程中泄露或被未經(jīng)授權(quán)的拷貝。c）后臺系統(tǒng)對支付賬號、客戶法定名稱、支付預(yù)留手機號碼、證件類或其他類識別標識信息等展。d） 后臺系統(tǒng)不應(yīng)具備開放式查詢能力，應(yīng)嚴格限制批量查詢。e）對于確有明文查看需要的業(yè)務(wù)場景可以保留明文查看權(quán)限，后臺系統(tǒng)應(yīng)對所有查詢操作進行細粒度的授權(quán)與行為審計。應(yīng)防止通過散列碰撞等方法推導(dǎo)出完整的數(shù)據(jù)，若使用“截詞”的方式進行部分字段的屏蔽處理，不應(yīng)用散列代替字段被截詞的部分。6.1.4.2 共享和轉(zhuǎn)讓個人金融信息在共享和轉(zhuǎn)讓的過程中，應(yīng)充分重視信息轉(zhuǎn)移或交換過程中的安全風(fēng)險，具體技術(shù)要求如下a）在共享和轉(zhuǎn)讓前，應(yīng)開展個人金融信息安全影響評估，并依據(jù)評估結(jié)果采取有效措施保護個人金融信息主體權(quán)益。b）在共享和轉(zhuǎn)讓前，應(yīng)開展個人金融信息接收方信息安全保障能力評估，并與其簽署數(shù)據(jù)保護責(zé)任承諾。c）支付賬號及其等效信息在共享和轉(zhuǎn)讓時，除法律法規(guī)和行業(yè)主管部門另有規(guī)定外，應(yīng)使用支付標記化（按照JR/T0149-2016）技術(shù)進行脫敏處理（因業(yè)務(wù)需要無法使用支付標記化技術(shù)時應(yīng)進行加密），防范信息泄露風(fēng)險。d）應(yīng)部署信息防泄露監(jiān)控工具，監(jiān)控及報告?zhèn)€人金融信息的違規(guī)外發(fā)行為。e）應(yīng)部署流量監(jiān)控技術(shù)措施，對共享、轉(zhuǎn)讓的信息進行監(jiān)控和審計。f）應(yīng)根據(jù)“業(yè)務(wù)需要”和“最小權(quán)限”原則，對個人金融信息的導(dǎo)出操作進行細粒度的訪問控制與全過程審計，應(yīng)采取兩種或兩種以上鑒別技術(shù)對導(dǎo)出信息操作人員進行身份鑒別。g）應(yīng)定期檢查或評估信息導(dǎo)出通道的安全性和可靠性。h）使用外部嵌入或接入的自動化工具（如代碼、腳本、接口、算法模型、軟件開發(fā)工具包等）進行信息共享與轉(zhuǎn)讓時，應(yīng)定期檢查或評估信息共享工具、服務(wù)組件和共享通道的安全性和可靠性，并留存檢查或評估結(jié)果記錄。i）應(yīng)執(zhí)行嚴格的審核程序，并準確記錄和保存?zhèn)€人金融信息共享和轉(zhuǎn)讓情況。記錄內(nèi)容應(yīng)包括但不限于日期、規(guī)模、目的、范圍，以及數(shù)據(jù)接收方基本情況與使用意圖等，并應(yīng)確保對共享和轉(zhuǎn)讓的信息及其過程可被追溯。j）應(yīng)采取有效技術(shù)防護措施，防范信息轉(zhuǎn)移過程中被除信息發(fā)送方與接收方之外的其他個人、組織和機構(gòu)截獲和利用。6.1.4.3公開披露個人金融信息原則上不得公開披露。金融業(yè)機構(gòu)經(jīng)法律授權(quán)或具備合理事由確需公開披露時，具體技術(shù)要求如下：a）應(yīng)事先開展個人金融信息安全影響評估，并依據(jù)評估結(jié)果采取有效的保護個人金融信息主體權(quán)益的措施。b）不應(yīng)公開披露個人生物識別信息。c）應(yīng)準確記錄和保存?zhèn)€人金融信息的公開披露情況，包括公開披露的日期、規(guī)模、目的、內(nèi)容、公開范圍等。6.1.4.4委托處理金融業(yè)機構(gòu)因金融產(chǎn)品或服務(wù)的需要，將收集的個人金融信息委托給第三方機構(gòu)（包含外包服務(wù)機構(gòu)與外部合作機構(gòu)）處理時，具體技術(shù)要求如下：a）委托行為不應(yīng)超出已征得個人金融信息主題授權(quán)同意的范圍或遵循7.1中對于征得授權(quán)同意的例外所規(guī)定的情形，并準確記錄和保存委托處理個人金融信息的情況。b）C3以及C2類別信息中的用戶鑒別輔助信息，不應(yīng)委托給第三方機構(gòu)進行處理。轉(zhuǎn)接清算、登記結(jié)算等情況，應(yīng)依據(jù)國家有關(guān)法律法規(guī)及行業(yè)主管部門有關(guān)規(guī)定與技術(shù)標準執(zhí)行。c）對委托處理的信息應(yīng)采用去標識化（不應(yīng)僅使用加密技術(shù)）等方式進行脫敏處理，降低個人金融信息被泄露、誤用、濫用的風(fēng)險。d）應(yīng)對委托行為進行個人金融信息安全影響評估，并確保受委托者具備足夠的數(shù)據(jù)安全能力，且提供了足夠的安全保護措施。e）應(yīng)對第三方機構(gòu)等受委托者進行監(jiān)督，方式包括但不限于：依據(jù)7.2.1的要求，通過合同等方式規(guī)定受委托者的責(zé)任和義務(wù)依據(jù)7.4.2的要求，對受委托者進行安全檢查和評估f）應(yīng)對外部嵌入或接入的自動化工具（代碼、腳本、接口、算法模型、軟件開發(fā)工具包等）開展技術(shù)檢測，確保其個人金融信息收集、使用行為符合約定要求：并對其收集個人金融信息的行為進行審計，發(fā)現(xiàn)超出約定行為及時切斷接入。6.1.4.5加工處理個人金融信息在加工處理的過程中，具體技術(shù)要求如下：a）應(yīng)采取必要的技術(shù)手段和管理措施，確保在個人金融信息清洗和轉(zhuǎn)換過程中對信息進行保護，對C2、C3類別信息，應(yīng)采取更加嚴格的保護措施。b）應(yīng)對匿名化或去標識化處理的數(shù)據(jù)集或其他數(shù)據(jù)集匯聚后重新識別出個人金融信息主體的風(fēng)險進行識別和評價，并對數(shù)據(jù)集采取相應(yīng)的保護措施。c）應(yīng)建立個人金融信息防泄露控制規(guī)范和機制防止個人金融信息處理過程中的調(diào)試信息、日志記錄等因不受控制的輸出而泄露受保護的信息。d）應(yīng)具備信息化技術(shù)手段或機制，對個人金融信息濫用行為進行有效的識別、監(jiān)控和預(yù)警e）應(yīng)具備完整的個人金融信息加工處理操作記錄和管理能力，記錄內(nèi)容包括但不限于日期時間、主體、事件描述、事件結(jié)果等。6.1.4.6匯聚融合個人金融信息匯聚融合的技術(shù)要求如下：a）匯聚融合的數(shù)據(jù)不應(yīng)超出收集時所聲明的使用范圍。因業(yè)務(wù)需要確需超范圍使用的，應(yīng)再次征得個人金融信息主體明示同意。b）應(yīng)根據(jù)匯聚融合后的個人金融信息類別及使用目的，開展個人金融信息安全影響評估，并采取有效的技術(shù)保護措施。6.1.4.7開發(fā)測試個人金融信息在開發(fā)測試過程中的具體技術(shù)要求如下：a）應(yīng)對開發(fā)測試環(huán)境與生產(chǎn)環(huán)境進行有效隔離。b）開發(fā)環(huán)境、測試環(huán)境不應(yīng)使用真實的個人金融信息，應(yīng)使用虛構(gòu)的或經(jīng)過去標識化（不應(yīng)僅使用加密技術(shù)）脫敏處理的個人金融信息，賬號、卡號、協(xié)議號、支付指令等測試確需信息除外。6.1.5 刪除個人金融信息在刪除過程中的具體技術(shù)要求如下：a）應(yīng)采取技術(shù)手段，在金融產(chǎn)品和服務(wù)所涉及的系統(tǒng)中去除個人金融信息，使其保持不可被檢索和訪問。b）個人金融信息主體要求刪除個人金融信息時，金融機構(gòu)應(yīng)依據(jù)國家法律法規(guī)、行業(yè)主管部門有關(guān)規(guī)定以及與個人金融信息主體的約定予以響應(yīng)。6.1.6 銷毀個人金融信息在銷毀過程中的具體技術(shù)要求如下：a）應(yīng)建立個人金融信息銷毀策略和管理制度，明確銷毀對象、流程、方式和要求。b）應(yīng)對個人金融信息存儲介質(zhì)銷毀過程進行監(jiān)督與控制，對待銷毀介質(zhì)的登記、審批、介質(zhì)交接、銷毀執(zhí)行等過程進行監(jiān)督。c）銷毀過程應(yīng)保留有關(guān)記錄，記錄至少應(yīng)包括銷毀內(nèi)容、銷毀方式與時間、銷毀人簽字、監(jiān)督人簽字等內(nèi)容。d）存儲個人金融信息的介質(zhì)如不再使用，應(yīng)采用不可恢復(fù)的方式（如消磁、焚燒、粉碎等）對介質(zhì)進行銷毀處理；存儲個人金融信息的介質(zhì)如還需繼續(xù)使用，不應(yīng)只采用刪除索引、刪除文件系統(tǒng)的方式進行信息銷毀，應(yīng)通過多次覆寫等方式安全地擦除個人金融信息，確保介質(zhì)中的個人金融信息不可再被恢復(fù)或者以其他形式加以利用。e）云環(huán)境下有關(guān)數(shù)據(jù)清除應(yīng)依據(jù)JR/T 0167-2018的9.6執(zhí)行。6.2 安全運行技術(shù)要求6.2.1網(wǎng)絡(luò)安全要求承載與處理個人金融信息的信息系統(tǒng)應(yīng)符合國家網(wǎng)絡(luò)安全相關(guān)規(guī)定與GB/T 22239-2019、JR/T0071的要求。存儲個人金融信息的數(shù)據(jù)庫應(yīng)處于金融業(yè)機構(gòu)可控網(wǎng)絡(luò)內(nèi)，并進行有效的訪問控制。6.2.2 Web應(yīng)用安全要求涉及C2，C3類別信息的Web應(yīng)用的安全技術(shù)要求如下：a） 應(yīng)具備對網(wǎng)站頁面篡改、網(wǎng)站頁面源代碼暴露、窮舉登錄嘗試、重放攻擊、SQL注入、跨站腳本攻擊、釣魚、木馬以及任意文件上傳、下載等已知漏洞的防范能力。b） 處理個人金融信息相關(guān)的Web應(yīng)用系統(tǒng)與組件上線前應(yīng)進行安全評估。c）應(yīng)具備對處理個人金融信息的系統(tǒng)組件進行實時監(jiān)測的能力，有效識別和阻止來自內(nèi)外部的非法訪問。6.2.3客戶端應(yīng)用軟件安全要求與個人金融信息相關(guān)的客戶端應(yīng)用軟件及應(yīng)用軟件開發(fā)工具包（SDK）應(yīng)符合JR/T 0092-2019JR/T 0068-2020客戶端應(yīng)用軟件有關(guān)安全技術(shù)要求，并在上線前進行安全評估。6.2.4 密碼技術(shù)與密碼產(chǎn)品要求使用的密碼技術(shù)及產(chǎn)品應(yīng)符合國家密碼管理部門與行業(yè)主管部門要求。7安全管理要求7.1安全準則7.1.1 收集個人金融信息收集的方式包括但不限于通過柜面、信息系統(tǒng)、金融自助設(shè)備、受理終端、客戶端應(yīng)用軟件等渠道獲取。金融業(yè)機構(gòu)應(yīng)遵循合法、正當(dāng)、必要的原則，向個人金融信息主體明示收集與使用個人金融信息的目的、方式、范圍和規(guī)則等，獲得個人金融信息主體的授權(quán)同意，并滿足以下要求：a）收集個人金融信息的基本規(guī)則如下：不應(yīng)欺詐、誘騙，或以默認授權(quán)、功能擁綁等方式誤導(dǎo)強迫個人金融信息主體提供個人金融信息：不應(yīng)隱瞞金融產(chǎn)品或服務(wù)所具有的收集個人金融信息的功能不應(yīng)通過非法渠道間接獲取個人金融信息：不應(yīng)收集法律法規(guī)與行業(yè)主管部門有關(guān)規(guī)定明令禁止收集的個人金融信息。b）收集個人金融信息應(yīng)遵循最小化要求，收集個人金融信息的目的應(yīng)與實現(xiàn)和優(yōu)化金融產(chǎn)品或服務(wù)、防范金融產(chǎn)品或服務(wù)的風(fēng)險有直接關(guān)聯(lián)。直接關(guān)聯(lián)是指無該個人金融信息參與無法實現(xiàn)前述目的。c）收集個人金融信息時授權(quán)同意的具體要求如下：收集個人金融信息前，應(yīng)向個人金融信息主體明確告知金融產(chǎn)品或服務(wù)需收集的個人金融信息類別，以及收集、使用個人金融信息的規(guī)則（如：收集和使用個人金融信息的目的、收集方式、自身的數(shù)據(jù)安全能力、對外共享、轉(zhuǎn)讓、公開披露的規(guī)則、投訴與申訴的渠道及響應(yīng)時限等），并獲得個人金融信息主體的明示同意。間接獲取個人金融信息時，應(yīng)要求個人金融信息提供方說明個人金融信息來源，并對其個人金融信息來源的合法性進行確認：應(yīng)了解個人金融信息提供方已獲得的授權(quán)內(nèi)容，包括使用目的，個人金融信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露等情況：因業(yè)務(wù)需要金融業(yè)機構(gòu)確需超出原授權(quán)范圍處理個人金融的，應(yīng)在使用個人金融信息前，征得個人金融信息主體的明示同意。d）以下情形收集使用個人金融信息無需征得個人金融信息主體的授權(quán)同意：與履行國家法律法規(guī)及行業(yè)主管部門有關(guān)規(guī)定的義務(wù)相關(guān)的；與國家安全、國防安全直接相關(guān)的；與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的；與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的；出于維護個人金融信息主體或其他主體的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人同意的；個人金融信息主體自行向社會公眾公開的；根據(jù)個人金融信息主體要求簽；根據(jù)個人金融信息主體要求簽訂和履行合同所必需的；從公開合法披露的信息中收集個人金融信息的，如合法的新聞報道、政府信息公開渠道；用于維護所提供的金融產(chǎn)品或服務(wù)的安全穩(wěn)定運行所必需的，例如識別、處置金融產(chǎn)品或服務(wù)中的欺詐或被盜用等。7.1.2存儲個人金融信息的存儲時限應(yīng)滿足國家法律法規(guī)與行業(yè)主管部門有關(guān)規(guī)定要求，并符合個人金融信息主體授權(quán)使用的目的所必需的最短時間要求，超過該期限后，應(yīng)對收集的個人金融信息進行刪除或匿名化處理。7.1.3使用個人金融信息在信息展示、共享與轉(zhuǎn)讓、公開披露、委托處理、加工處理、匯聚融合等方面，應(yīng)遵循6. 1. 4. 1-6. 1. 4.的要求，并滿足以下要求： a）除法律法規(guī)與行業(yè)主管部門另有規(guī)定或開展金融業(yè)務(wù)所必需的數(shù)據(jù)共享與轉(zhuǎn)讓（如轉(zhuǎn)接清算等）外，金融業(yè)機構(gòu)原則上不應(yīng)共享、轉(zhuǎn)讓其收集的個人金融信息，確需共享、轉(zhuǎn)讓的，應(yīng)充分重視信息安全風(fēng)險，具體要求如下：應(yīng)向個人金融信息主體告知共享、轉(zhuǎn)讓個人金融信息的目的、數(shù)據(jù)接收方的類型，并事先征得個人金融信息主體明示同意，共享、轉(zhuǎn)讓經(jīng)去標識化處理（不應(yīng)僅使用加密技術(shù)）的個人金融信息，且確保數(shù)據(jù)接收方無法重新識別個人金融信息主體的除外。應(yīng)幫助個人金融信息主體了解數(shù)據(jù)接收方對個人金融信息的存儲、使用等情況，包括個人金融信息主體的權(quán)利，例如訪問、更正、刪除、注銷賬戶等；在法律法規(guī)規(guī)定、行業(yè)主管部門有關(guān)規(guī)定及個人金融信息主體約定的范圍內(nèi)，個人金融信息主體行使其個人金融信息控制權(quán)利，金融業(yè)機構(gòu)應(yīng)配合響應(yīng)其請求。 C3類別信息以及C2類別信息中的用戶鑒別輔助信息不應(yīng)共享、轉(zhuǎn)讓。轉(zhuǎn)接清算、登記結(jié)算等情況，應(yīng)依據(jù)國家有關(guān)法律法規(guī)與行業(yè)主管部門有關(guān)規(guī)定與技術(shù)標準執(zhí)行。當(dāng)因收購、兼并、重組、破產(chǎn)等情況，對個人金融信息主體提供金融產(chǎn)品或服務(wù)的金融業(yè)機構(gòu)主體變更而發(fā)生個人金融信息共享、轉(zhuǎn)讓時，具體要求如下：金融業(yè)機構(gòu)將其提供的金融產(chǎn)品或服務(wù)移交至其他金融業(yè)機構(gòu)的情況，應(yīng)使用逐一傳達（或公告）的方式通知個人金融信息主體。承接其金融產(chǎn)品或服務(wù)的金融業(yè)機構(gòu)，應(yīng)對其承接運營的金融產(chǎn)品或服務(wù)繼續(xù)履行個人金融信息保護責(zé)任：如變更其在收購、兼并重組過程中獲取的個人金融信息使用目的，應(yīng)重新獲得個人金融信息主體明示同意（或授權(quán)）。b）金融業(yè)機構(gòu)原則上不應(yīng)公開披露其收集的個人金融信息，經(jīng)法律授權(quán)或具備合理理由確需公開披露個人金融信息的，具體要求如下： 應(yīng)向個人金融信息主體告知公開披露個人金融信息的目的、類別，并事先征得個人金融信息主體的同意，并向其告知涉及的信息內(nèi)容； 承擔(dān)因公開披露個人金融信息對個人金融信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任；C3類別信息，以及C2類別信息中的用戶鑒別輔助信息不應(yīng)公開披露。c）因金融產(chǎn)品或服務(wù)的需要，將收集的個人金融信息委托給第三方機構(gòu)（包含外包服務(wù)機構(gòu)與外部合作機構(gòu)）處理的，具體要求如下： 依據(jù)6.1. 4. 4開展委托處理工作。 應(yīng)對第三方機構(gòu)等受委托者提出如下要求： 應(yīng)嚴格按照金融業(yè)機構(gòu)的要求處理個人金融信息，如因特殊原因受委托者未能按照要求處理個人金融信息，應(yīng)及時告知金融業(yè)機構(gòu)，并配合金融業(yè)機構(gòu)進行信息安全評估； 未經(jīng)書面授權(quán)，受委托者不應(yīng)將其處理的個人金融信息再次委托給其他機構(gòu)進行處理；應(yīng)協(xié)助響應(yīng)個人金融信息主體的請求；如受委托者在處理個人金融信息過程中無法提供足夠的信息安全保護水平或發(fā)生安全事件，應(yīng)及時告知金融業(yè)機構(gòu)，配合進行信息安全評估與安全事件調(diào)查，并采取補救措施以保護個人金融信息的安全，必要時應(yīng)終止其對個人金融信息的處理；在委托關(guān)系解除時（或外包服務(wù)終止后），受委托者應(yīng)按照金融業(yè)機構(gòu)的要求銷毀其處理的個人金融信息，并依據(jù)雙方協(xié)商的期限承擔(dān)后續(xù)的個人金融信息保密責(zé)任； 應(yīng)準確記錄和保存委托處理個人金融信息的情況。d）在中華人民共和國境內(nèi)提供金融產(chǎn)品或服務(wù)過程中收集和產(chǎn)生的個人金融信息，應(yīng)在境內(nèi)存儲、處理和分析。因業(yè)務(wù)需要，確需向境外機構(gòu)（含總公司、母公司或分公司、子公司及其他為完成該業(yè)務(wù)所必需的關(guān)聯(lián)機構(gòu)）提供個人金融信息的，具體要求如下：應(yīng)符合國家法律法規(guī)及行業(yè)主管部門有關(guān)規(guī)定應(yīng)獲得個人金融信息主體明示同意應(yīng)依據(jù)國家、行業(yè)有關(guān)部門制定的辦法與標準開展個人金融信息出境安全評估，確保境外機構(gòu)數(shù)據(jù)安全保護能力達到國家、行業(yè)有關(guān)部門與金融業(yè)機構(gòu)的安全要求：應(yīng)與境外機構(gòu)通過簽訂協(xié)議、現(xiàn)場核查等方式，明確并監(jiān)督境外機構(gòu)有效履行個人金融信息保密、數(shù)據(jù)刪除、案件協(xié)查等職責(zé)義務(wù)。e）以下情形中，金融業(yè)機構(gòu)共享、轉(zhuǎn)讓、公開披露個人金融信息無需征得個人金融信息主體的授權(quán)同意與履行法律法規(guī)及行業(yè)主管部門規(guī)定的義務(wù)相關(guān)的與國家安全、國防安全直接相關(guān)的與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的出于維護個人金融信息主體或其他主體的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人同意的；個人金融信息主體自行向社會公眾公開的從合法公開披露的信息中收集個人金融信息的，如合法的新聞報道、政府信息公開等渠道。7.2 安全策略7.2.1 安全制度體系建立與發(fā)布金融業(yè)機構(gòu)應(yīng)建立個人金融信息保護制度體系，明確工作職責(zé)，規(guī)范工作流程。制度體系的管理范疇應(yīng)涵蓋本機構(gòu)、外包服務(wù)機構(gòu)與外部合作機構(gòu)，并確保相關(guān)制度發(fā)布并傳達給本機構(gòu)員工及外部合作方。相關(guān)制度應(yīng)至少包括個人金融信息保護管理規(guī)定、日常管理及操作流程、外包服務(wù)機構(gòu)與外部合作機構(gòu)管理、內(nèi)外部檢查及監(jiān)督機制、應(yīng)急處理流程和預(yù)案。具體要求如下：a） 制定個人金融信息保護管理規(guī)定，提出本機構(gòu)個人金融信息保護工作方針、目標和原則。b） 開展個人金融信息分類分級管理。應(yīng)針對不同類別和敏感程度的個人金融信息，實施相應(yīng)的安全策略和保障措施。c） 建立日常管理及操作流程。應(yīng)對個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等環(huán)節(jié)提出具體保護要求，制定個人金融信息時效性管理規(guī)程，確保符合法律法規(guī)和行業(yè)主管部門有d） 建立信息系統(tǒng)分級授權(quán)管理機制。應(yīng)在不影響履行反洗錢等法定義務(wù)的前提下，制定本機構(gòu)人員個人金融信息調(diào)取權(quán)限與使用范圍，并制定專門的授權(quán)審批流程。e） 建立個人金融信息脫敏（如屏蔽、去標識、匿名化等）管理規(guī)范和制度，應(yīng)明確不同敏感級別個人金融信息脫敏規(guī)則、脫敏方法和脫敏數(shù)據(jù)的使用限制。f） 依據(jù)國家與行業(yè)有關(guān)標準，建立個人金融信息安全影響評估制度，應(yīng)定期（至少每年一次）開展個人金融信息安全影響評估。g） 建立外包服務(wù)機構(gòu)與外部合作機構(gòu)管理制度，包括但不限于：應(yīng)對個人金融信息生命周期過程中相關(guān)的外包服務(wù)機構(gòu)與外部合作機構(gòu)進行審查與評估，評估其個人金融信息的保護能力是否達到國家、行業(yè)主管部門與金融業(yè)機構(gòu)的要求：應(yīng)通過協(xié)議或合同的方式，約束外包服務(wù)機構(gòu)與外部合作機構(gòu)不應(yīng)留存C2，C3類別信息；對于C2類別信息中的支付賬號等信息，若因清分清算、差錯處理等業(yè)務(wù)需要確需留存，金融業(yè)機構(gòu)應(yīng)明確其保密義務(wù)與保密責(zé)任，并應(yīng)根據(jù)安全要求落實安全控制措施，并將有關(guān)資料留檔備查；對可能訪問個人金融信息的外包服務(wù)機構(gòu)、外部合作機構(gòu)及其人員，金融業(yè)機構(gòu)應(yīng)要求外包服務(wù)機構(gòu)與外部合作機構(gòu)向有關(guān)人員傳達個人金融信息保護安全要求與其簽署保密協(xié)議，并對協(xié)議履行情況進行監(jiān)督。 不應(yīng)將存儲個人金融信息的數(shù)據(jù)庫交由外部合作機構(gòu)運維。 應(yīng)定期對外包服務(wù)機構(gòu)與外部合作機構(gòu)的個人金融信息保護措施落實情況進行確認，確認的方式包括但不限于外部信息安全評估、現(xiàn)場檢查等。 國家法律法規(guī)與行業(yè)主管部門另有規(guī)定的，按照相關(guān)要求執(zhí)行。h）建立個人金融信息安全檢查及監(jiān)督機制。應(yīng)建立個人金融信息安全日常檢查機制和工作流程、定期評估個人金融信息管理方面存在的不足，及時調(diào)整檢查機制和工作流程。i）應(yīng)將個人金融信息泄露等相關(guān)事件處理納入機構(gòu)信息安全事件應(yīng)急處置工作機制，制定專門的流程和預(yù)案。定期評估應(yīng)急處理流程和預(yù)案，及時保障、有效應(yīng)對個人金融信息安全事件，降低安全事件造成的損失及不利影響。j）建立個人金融信息投訴與申訴處理程序，明確投訴與申訴受理部門、處理程序，對個人金融信息主體要求更正或刪除金融業(yè)機構(gòu)收集其個人金融信息的情況，應(yīng)受理、核實，并依據(jù)國家與行業(yè)主管部門要求予以處理。k） 明確個人金融信息共享、存儲、使用和銷毀的期限，具備個人金融信息存儲時效性的控制能力。7.2.2組織架構(gòu)崗位設(shè)置組織架構(gòu)及崗位設(shè)置具體要求如下：a） 應(yīng)建立個人金融信息保護組織架構(gòu)，明確機構(gòu)各層級內(nèi)設(shè)部門與相關(guān)崗位個人金融信息保護職責(zé)與總體要求。b） 應(yīng)明確個人金融信息保護責(zé)任人和個人金融信息保護責(zé)任機構(gòu)，并履行以下工作職責(zé)： 負責(zé)制定和管理本機構(gòu)個人金融信息安全管理制度； 制定、實施、定期更新隱私政策和相關(guān)規(guī)程 監(jiān)督本機構(gòu)內(nèi)部，以及本機構(gòu)與外部合作方個人金融信息安全管理； 開展信息安全管理內(nèi)部審計、分析處理信息安全相關(guān)事件； 組織開展個人金融信息安全影響評估，提出個人金融信息保護的對策建議： 組織在金融產(chǎn)品或服務(wù)上線發(fā)布前進行技術(shù)檢測，避免未知（與金融產(chǎn)品或服務(wù)功能及隱私政策不符）的個人金融信息收集、使用、共享等處理行為； 公布投訴與申訴方式等信息及時受理個人金融信息有關(guān)的投訴、申訴。c）應(yīng)明確在提供金融產(chǎn)品和服務(wù)的過程中知悉個人金融信息的崗位，并針對相關(guān)崗位明確其個人金融信息安全管理責(zé)任與保密責(zé)任，如不得未經(jīng)授權(quán)的復(fù)制、存儲、使用個人金融信息，不得向他人出售或者以其他形式未經(jīng)授權(quán)的共享、轉(zhuǎn)讓、披露個人金融信息等。7.2.3人員管理對涉及個人金融信息相關(guān)人員的安全管理，具體要求如下：a）錄用員工前，應(yīng)進行必要的背景調(diào)查，并與所有可訪問個人金融信息的員工簽署保密協(xié)議，或在勞動合同中設(shè)置保密條款。 b）應(yīng)定期開展內(nèi)外部個人金融信息保護培訓(xùn)與意識教育活動，并保留相關(guān)記錄 c）在發(fā)生人員調(diào)離崗位時，應(yīng)立即調(diào)整和完成相關(guān)人員的個人金融信息訪問、使用等權(quán)限的配置，并明確有關(guān)人員后續(xù)的個人金融信息保護管理權(quán)限和保密責(zé)任：若有關(guān)人員調(diào)整后的崗位不涉及個人金融信息的訪問與處理的，應(yīng)明確其繼續(xù)履行有關(guān)信息的保密義務(wù)要求。 d）與員工終止勞動合同時，應(yīng)立即終止并收回其對個人金融信息的訪問權(quán)限，并明確其繼續(xù)履行有關(guān)信息的保密義務(wù)要求。e）系統(tǒng)開發(fā)人員、系統(tǒng)測試人員與運維人員之間不應(yīng)相互兼崗。f）應(yīng)定期（至少每年一次）或在隱私政策發(fā)生重大變化時，對個人金融信息處理崗位上的相關(guān)人員開展個人金融信息安全專業(yè)化培訓(xùn)和考核，確保相關(guān)人員熟練掌握隱私政策和相關(guān)規(guī)程。7.3訪問控制加強個人金融信息訪問控制管理，具體要求如下：a）應(yīng)根據(jù)“業(yè)務(wù)需要”和“最小權(quán)限”原則，進行個人金融信息相關(guān)的權(quán)限管理，嚴格控制和分配訪問、使用個人金融信息的權(quán)限。b）對于可訪問和處理個人金融信息的系統(tǒng)應(yīng)設(shè)置基于角色的訪問控制策略，禁止賬戶共用。c）傳輸、處理、存儲個人金融信息的系統(tǒng)默認用戶權(quán)限應(yīng)為“拒絕所有訪問”。d）對個人金融信息使用的權(quán)限管理應(yīng)設(shè)置權(quán)限指派、回收、過期處理等安全功能。e）對存儲或處理個人金融信息的系統(tǒng)或設(shè)備進行遠程訪問時，應(yīng)通過專線、VPN等方式訪問，個人金融信息不應(yīng)在遠程訪問設(shè)備上留存。f）應(yīng)對生產(chǎn)網(wǎng)絡(luò)、開發(fā)測試網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)以及相關(guān)非生產(chǎn)網(wǎng)絡(luò)進行訪問控制。g）應(yīng)對個人金融信息訪問與個人金融信息的增刪改查等操作進行記錄，并保證操作日志的完整性、可用性及可追溯性，操作日志包括但不限于業(yè)務(wù)操作日志、系統(tǒng)日志等；系統(tǒng)運維管理類日志不應(yīng)記錄個人金融信息。h）應(yīng)對存儲個人金融信息的數(shù)據(jù)庫及操作日志實施嚴格的用戶授權(quán)與訪問控制。i）存儲或處理個人金融信息的相關(guān)物理設(shè)備或介質(zhì)應(yīng)在獲得審批授權(quán)后方可移入或移出機房受控區(qū)域，留存有C2，C3類別信息的物理設(shè)備或介質(zhì)移入或移出區(qū)域應(yīng)具有同等的安全保障措施。7.4安全監(jiān)測與風(fēng)險評估7.4