前言

个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害金融消费者的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。本文将对近日发布的《个人金融信息保护技术规范》(JR/T 0171-2020)从产生背景、适用范围、个人金融信息类别、分类重点防护、移动金融客户端、安全管理要求等方面进行相关解析。

一、产生背景

首先看下面一张表:

时间

监管文件

发布机构

2011年1月

《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》

中国人民银行

2012年3月

《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》

中国人民银行

2016年12月

《中国人民银行金融消费者权益保护实施办法》

中国人民银行

2017年1月

《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》

中国银行业监督管理委员会(现为:中国银行保险监督管理委员会)

2018年5月

《银行业金融机构数据治理指引》

中国银行保险监督管理委员会

2019年10月

《个人金融信息(数据)保护试行办法(初稿)》

中国人民银行

2019年11月

《关于增强个人信息保护意识依法开展业务的通知》

中国互联网金融协会

2019年12月

《中国人民银行金融消费者权益保护实施办法(征求意见稿)》

中国人民银行

由以上可以看出金融行业在个人金融信息保护方面已经发布了不少监管文件,但缺少具体的实施规范,在此背景下,2020年2月13日中国人民银行正式发布了行业标准《个人金融信息保护技术规范》(JR/T 0171-2020)(以下简称“规范”)。《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。同时对加强个人金融信息管理,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,维护金融市场稳定,提供了重要意义。

二、适用范围

《规范》明确了适用于提供金融产品和金融服务的金融业机构,同时又定义了金融业机构为由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。

从上面可以看出这里的适用对象主要包括两个,一个是持牌金融机构,一个是个人金融信息处理相关机构。在我国持牌金融机构主要分为银行和非银行,银行这里大家比较熟悉,包括政策性银行、大型商业银行、股份制商业银行、城商行、农商行、农村信用社、外资银行、村镇银行等;非银行金融机构指不经营一般银行业务的金融机构,主要提供专门的金融服务和开展指定范围内的业务。这类机构比较庞杂,如支付机构、保险公司、证券公司、信托投资公司等。

个人金融信息处理的相关机构,主要是为持牌金融机构业务提供基础支持服务而需要处理个人金融信息的企业,如电信服务商、信息技术提供商、市场营销服务提供商。举个例子,某公司不是金融持牌机构,但是与银行合作的过程中需要把个人贷款信息影像的非结构化数据录入到系统转变为结构化数据,那么该公司也适用。此外《规范》的安全管理要求也提到了金融业机构应对个人金融信息生命周期全过程进行安全检查和评估,安全检查和评估的范围包括金融业机构,以及与金融业机构合作的外部第三方。

三、个人金融信息类别

《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,具体如下。

类别

影响和危害

定义

举例

C3

对个人金融信息主体的信息安全与财产安全造成严重危害。

主要为用户鉴别信息。

银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、银行卡密码、登录密码、交易密码、个人生物识别信息等。

C2

对个人金融信息主体的信息安全与财产安全造成一定危害。

主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。

支付账号、身份证、护照、账户登录的用户名、动态口令、短息验证码、个人财产信息、交易信息、KYC信息、家庭住址等。

C1

对个人金融信息主体的信息安全与财产安全造成一定影响。

主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。

账户开立时间、开立机构、基于账户产生的支付标记信息等。

这里要注意两种或两种以上的低类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。比如短信验证码属于C2类别信息,但是在转账业务过程中通过短信验证码认证方式就能完成一笔转账,此时的短信验证码属于C3类别信息;如果在转账业务过程中,除了需要短信验证码还需要交易密码才能完成一笔转账,那么此时的短信验证码则属于C2类别信息。

四、分类重点防护

个人金融信息的分类不仅对个人金融信息控制者提出了不同类别的个人金融信息应实施不同的安全防护策略,而且对金融业机构的数据分类分级提供了指导和参考。下面笔者梳理了《规范》对C2、C3类别的个人金融信息在收集、传输、存储、使用等生命周期及安全运行等各环节的重点安全防护要求。

生命

周期

个人金融信息类别

解析

C2

C3

收集

不应委托或授权无金融业相关资质的机构收集C3、C2类别信息。

这一条将对部分金融科技公司、大数据公司等产生巨大影响,因为实名认证的四要素都是C2类别的信息。

对于C3类别信息,通过受理终端、客户端应用软件、浏览器等方式收集时,应使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取。

这里明确了通过受理终端(智能柜员终端、POS终端等)、APP、浏览器等收集卡片验证码、卡片有效期、银行卡密码、交易密码、登录密码等C3类别信息时应采取加密措施。一般受理终端采用硬件加密机加密,客户端和浏览器一般通过密码控件实现,但其中应用的密码算法应符合相关要求。

在网络支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效措施防止合作机构获取、留存支付敏感信息。

这条没有明确说明是C3类别信息应该满足的要求,但是指明对象是支付敏感信息,而支付敏感信息在定义中规定为涉及支付主体隐私和身份识别的重要信息,如卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等,适用于大部分C3类别信息。

传输

通过公共网络传输时,C2、C3类别信息应使用安全通道或数据加密的方式进行传输,保障个人金融信息传输过程的安全。

这条明确了传输C2、C3类别信息时应采用加密方式,常见的是通道加密和数据加密,通道加密比较常见的就是HTTPS,这种属于传输层的加密;数据加密是对应用层的数据信息进行加密,一般通过调用加密算法实现,属于应用层加密。

对于C3类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。

各行业对C3类别中的支付敏感信息的安全防护要求不同,比如《中国人民银行关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号)中明确规定“加强支付敏感信息安全防护,各商业银行、支付机构在客户端软件与服务器、服务器与服务器之间进行通道加密和双向认证”,这里除了加密还需实现双向认证。因此,安全传输技术控制措施需要符合有关行业技术标准与行业主管部门有关规定要求。

存储

不应留存非本机构的银行卡磁道(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等C3类别信息,若确有必要留存的,应取个人金融信息主体及账户管理机构的授权。

这条明确了C3类别的信息只能由账户管理机构留存,如果其他机构确有必要留存,应获得个人信息主体和账户管理机构的授权,目前仅通过个人金融信息主体授权而获得非本机构C3类别信息的机构就需要整改了。

C3类别个人金融信息应采用加密措施确保数据存储的保密性。

对C3类别的信息需要加密存储。此外个人生物识别信息应与个人身份信息分开存储,虽然《规范》中没有明确规定,但是在《信息安全技术 个人信息安全规范》(GB/T 35273-2020)和《人脸识别线下支付行业自律公约(试行)》(中支协发〔2020〕30号印发)中已提出明确要求。

受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生物识别数据的样本数据、模板,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时予以清除。

这条明确了受理终端、个人终端及客户端应用软件都不能存储支付敏感信息及个人生物识别数据的样本数据、模板,仅能保存当前交易所必需的要素,并在完成交易后清除。那么通过APP刷脸支付的,人脸信息就不能存储在本地了,交易完成后应立即删除。

使用

处于未登录状态时,不应展示与个人金融信息主体相关的C3类别信息。

这条明确了在未登录的状态下,个人金融信息主体相关的C3类别信息不能展示,即使是处理后,也不能以*等形式展示。

处于已登录状态时,除银行卡有效期外,C3类别信息不应明文展示。

处于登录状态时,登录密码、交易密码、查询密码、银行卡密码等C3类别的信息不能明文展示,应采取信息屏蔽等处理措施。

应用软件的后台管理与业务支撑系统,除银行卡有效期外,C3类别信息不应明文展示。

后台系统和相关业务支撑系统也不能明文显示银行卡有效期外的C3类别信息。如银行的手机银行后台管理系统和客户信息系统不能明文显示手机银行登录密码、交易密码、查询密码等信息。

C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。转接清算、登记结算等情况,应依据国家有关法律法规及行业主管部门有关规定与技术标准执行。

这条明确了不能委托第三方机构处理卡片验证码、卡片有效期、银行卡密码、网络支付交易密码、登录密码、个人生物识别信息、动态口令、短信验证码等C3以及C2类别信息中的用户鉴别辅助信息。

应采取必要的技术手段和管理措施,确保在个人金融信息清洗和转换过程中对信息进行保护,对C2、C3类别信息,应采取更加严格的保护措施。

目前金融业机构基本都有了自己的大数据平台,那么从业务系统数据到大数据平台数据的转化以及在大数据平台的处理和分析中就要对个人金融信息进行保护,对C2、C3类别信息还应采取更加严格的保护措施,如在数据分析中使用去标识化处理的技术工具,对C2、C3类别信息从数据中进行去标识化处理,避免根据这些属性直接识别或者结合其它信息识别出原始个人金融信息主体。

C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让。

这条对当前的开放银行来说是一种巨大的考验。因为开放银行的本质是一种利用开放API或SDK技术实现银行与第三方之间数据共享,从而提升客户体验的平台合作模式。这就对银行与第三方平台之间哪些数据能共享,哪些不能,提供了指导和参考。

C3类别信息,以及C2类别信息中的用户鉴别辅助信息不应公开披露。

金融业机构原则上不应该公开披露个人金融信息,金融业机构经法律授权或具备合理事由确需公开披露时个人金融信息时,应事先开展个人金融信息安全影响评估,并准确记录和保存个人金融信息的公开披露情况。但是不应披露C3 类别信息,以及C2 类别信息中的用户鉴别辅助信息。

WEB应用安全要求

应具备对网站页面篡改、网站页面源代码暴露、穷举登录尝试、重放攻击、SQL注入、跨站脚本攻击、钓鱼、木马以及任意文件上传、下载等已知漏洞的防范能力。

本条例举了常见的WEB安全漏洞,承载和处理C2、C3类别信息的WEB应用应具备这种漏洞的防范能力。

处理个人金融信息相关的Web应用系统与组件上线前应进行安全评估。

目前大多数金融业机构WEB应用系统上线前都会进行安全评估,这里再次强调了涉及C2、C3类别信息的WEB应用系统上线前评估的重要性。

应具备对处理个人金融信息的系统组件进行实时监测的能力,有效识别和阻止来自内外部的非法访问。

本条明确了金融业机构应具备实时监测涉及C2、C3类别信息的Web应用系统组件的工具,不仅要监测外部的攻击还要监测内部的非法访问。

五、移动金融客户端

2019年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布了《关于开展APP违法违规收集使用个人信息专项治理的公告》,此次行动的意义重大,将全面整治应用程序市场的权限滥用乱象,更好的保护个人信息安全。为保障个人金融信息安全、提升金融APP安全防护能力,中国人民银行于2019年9月发布了《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》,《通知》强调了加强个人金融信息保护,从个人金融信息的收集、传输、存储、使用、删除等生命周期为金融业机构规定了四条红线。《规范》在此背景下,从个人金融信息的收集、存储、使用等环节对客户端提出了进一步要求,并且规定了个人金融信息相关的客户端应用软件及应用软件开发工具包(SDK)按照JR/T 0092-2019、JR/T 0068-2020客户端应用软件的有关技术要求在上线前进行安全评估。

六、安全管理要求

《规范》从安全准则、安全策略、访问控制、安全监测与风险评估以及安全事件处置等五个方面对安全管理进行了要求。安全准则主要规定了个人金融信息在收集、存储、使用等环节应遵循的原则和相关要求;安全策略从安全制度体系建立与发布、组织架构岗位设置和人员管理方面对金融业机构提出了相关要求;访问控制提出了个人金融信息应根据“业务需要”和“最小权限”原则进行权限管理,并对账户管理、远程访问管理以及操作记录管理等内容作出了规定;安全监测与风险评估明确了金融业机构应对个人金融信息全生命周期进行用户行为分析和异常流量监测,同时应对个人金融信息生命周期全过程进行安全检查和评估,安全检查和评估的范围还包括与金融业机构合作的外部第三方(包含外包服务机构与外部合作机构);安全事件处置对制定个人金融信息安全事件应急预案、组织内部人员开展应急预案培训和应急演练工作等做出了规定。

七、《信息安全技术 个人信息安全规范》(GB/T 35273-2017)与《规范》的关系

于2018年5月1日实施的《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(以下简称“国标”)是一部关于我国个人信息安全保护的标准,《国标》针对个人信息面临的安全问题,规范了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为;而此次《规范》中的一些要求参考了《国标》,从安全技术和安全管理两个方面对个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期环节提出了安全防护要求,可以说是人民银行在《国标》的基础上对个人金融信息提出的增强型要求。

目前新版《信息安全技术 个人信息安全规范》(GB/T 35273-2020)已在2020年3月6日发布,并于2020年10月1日开始实施,在旧版的基础上增加和修改了“多项业务功能的自主选择、用户画像的使用限制、个人信息安全工程、个人信息主体注销账户以及实现个人信息主体自主意愿的方法”等内容,进一步严格规定了个人信息处理活动应遵循的原则和安全要求。

CFCA一直从事于数据安全/个人信息/隐私保护的相关工作,在《国标》发布后又与中国邮政储蓄银行合作,以“国家法律法规、行业监管要求、国家标准规范”为依据,以“全生命周期覆盖、全业务流程覆盖、全系统功能覆盖”为原则,不仅对其个人金融信息生命周期全过程进行了安全评估,而且提供了个人金融信息保护安全框架的咨询,并取得重要成果。最后由中国邮政储蓄银行与中国金融认证中心组编的《个人信息保护-基于GB/T 35273的最佳实践》一书已出版,可供金融业机构在开展个人金融信息保护的安全检查与安全评估时进行参考。

张旭刚,5年以上信息安全工作经验,目前专注并擅长电子银行安全评估、个人信息安全保护咨询、网络安全等级保护等,主导及参与了30多家国有银行、全国股份制银行、城商行、外资银行、民营银行的信息安全咨询和评估项目,在银行业信息科技风险、个人信息保护咨询、网络安全等级保护等方面有着丰富的实践经验。作者邮箱:zhangxugang@cfca.com.cn。欢迎大家提出宝贵的建议!

声明:本文来自网安前哨,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。