編制背景

随着移動通信技術和互聯網金融的快速發展，金融數據成為科技驅動金融業務創新的橋梁和紐帶，其廣泛應用于精準營銷、客戶畫像、業務風控等金融業務和科技治理領域。但新技術應用也帶來了新的安全威脅和挑戰，金融支付安全直接涉及客戶信息、個人隐私的保護，甚至影響經濟安全和社會穩定。

重要意義

本标準的制定，有助于提高金融機構加強個人賬戶信息、銀行卡信息安全管理水平，加大互聯網交易風險防控力度、切實防範各類金融交易風險，有效防範網絡電信詐騙，保護金融機構和消費者權益。

Part1

概述

本标準将個人金融信息按敏感程度、洩露後造成的危害程度，從高到低分為C3、C2、C1三個類别；規定了個人金融信息在收集、傳輸、存儲、使用、删除、銷毀等生命周期各環節的安全防護要求，從安全技術和安全管理兩個方面，對個人金融信息保護提出了規範性要求。

基本原則

本标準要求金融業機構應遵循“權責一緻、目的明确、選擇同意、最少夠用、公開透明、确保安全、主體參與”的原則。

内容概括

本标準全文共分為範圍、規範性引用文件、術語和定義、個人金融信息概述、安全基本原則、安全技術要求、安全管理要求等，整體内容架構圖如下：

适用機構

本标準适用的主體包括兩大類：金融機構和獲取個人金融信息的非金融機構。

Part2

金融信息分類

賬戶信息

指賬戶及賬戶相關信息，包括但不限于支付賬号、銀行卡磁道數據（或芯片等有效信息）、銀行卡有效期、證券賬戶、保險賬戶、賬戶開立時間、開戶機構、賬戶餘額以及基于上述信息産生的支付标記信息等。

鑒别信息

指用于驗證主體是否具有訪問或使用權限的信息，包括但不限于銀行卡密碼、預付卡支付密碼；個人金融信息主體登錄密碼、賬戶査詢密碼、交易密碼；卡片驗證碼（CVN和CVN2）、動态口令、短信驗證碼、密碼提示問題答案等。

金融交易信息

指個人金融信息主體在交易過程中産生的各類信息，包括但不限于交易金額、支付記錄、透支記錄、交易日志、交易憑證；證券委托、成交、持倉信息；保單信息、理賠信息等。

個人金融信息

個人基本信息包括但不限于客戶法定名稱、性别、國際、民族、職業、婚姻狀況、家庭狀況、收入情況、身份證和護照等證件類信息、手機号碼、固定電話号碼、電子郵箱、工作及家庭住址以及在提供産品和服務過程中收集的照片、音視頻等信息。

個人生物識别信息包括但不限于指紋、人臉、虹膜、耳紋、掌紋、靜脈、聲紋、眼紋、步态、筆迹等生物特征樣本數據、特征值與模闆。

财産信息

指金融業機構在提供金融産品和服務過程中，收集或生成的個人金融信息主體财産信息，包括但不限于個人收入狀況、擁有的不動産狀況、擁有的車輛狀況、納稅額、公積金存繳金額等。

借貸信息

指個人金融信息主體在金融業機構發生借貸業務産生的信息，包括但不限于授信、信用卡和貸款的發放及還款、擔保情況等。

其他信息

指對原始數據進行處理、分析形成的，能夠反映特定個人某些情況的信息，包括但不限于特定個人金融信息主體的消費意願、支付習慣和其他衍生信息；在提供金融産品與服務過程中獲取、保存的其他個人信息。

Part3

安全技術要求

信息收集

不應委托或授權無金融業相關資質的機構收集C3、C2類别信息。

C3類别信息，通過受理終端、客戶端應用軟件、浏覽器等方式收集時，應使用加密等技術措施保證數據的保密性，防止其被未授權的第三方獲取。

要求金融機構應當采取技術措施（如彈窗、明顯位置URL鍊接等），引導用戶查閱隐身政策，并獲得其明示同意後再開展收集個人金融信息。

信息傳輸

通過公共網絡傳輸時，C2、C3類别信息應使用加密通道或數據加密的方式進行傳輸，保障個人金融信息傳輸過程的安全。

C3類别中的支付敏感信息，其安全傳輸技術控制措施應符合有關行業技術标準與行業主管部門有關規定要求。

信息存儲

C3類别信息應采用加密措施确保數據存儲的保密性。

未取得信息主體與賬戶管理機構的授權，金融業從業機構不得留存非本機構的用戶鑒别信息（C3類）。

信息使用

信息展示；共享和轉讓；公開披露；委托處理；加工處理；彙聚融合；開發測試。

删除與銷毀

個人金融信息删除與銷毀的區别，區分删除與銷毀的關鍵即在于個人金融信息能否被恢複。

金融機構在委托第三方處理個人金融信息時，在委托關系解除後，金融機構應當要求受托方銷毀所處理的個人金融信息。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!