个人金融信息保护技术规范

JR/T 0171-2020个人金融信息保护技术规范重点条款及浅析版本V1.0Aryasec Ltd. All rights reserved.本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海安言信息技术有限公司所有，受到有关产权及版权法保护。

任何个人、机构未经上海安言信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

生命周期重点技术要求收集1、不应委托或授权无金融业相关资质的机构收集C3、C2类别信息；2、利用加密技术确保收集个人金融信息的传输通道的保密性和完整性3、利用技术手段提供明显的隐私政策引导个人金融信息主体查阅并授权；4、利用技术手段确保当个人金融信息主体输入密码时，确保非明文显示；5、停止服务时，同时应停止收集个人金融信息的活动。

传输1、传输个人金融信息前，通信双方需经过有效的身份鉴别和认证；2、信息传输的接收方应对接收的信息进行完整性校验存储1、C3类别个人金融信息应采用加密措施确保数据存储的保密性；2、受理终端、个人终端及客户端软件均不应存储银行卡磁道数据、银行卡有效期、卡片验证码等信息，对于必要的交易信息应在完成交易后清除。

信息展示：1、未登录时不应展示个人金融信息主体的C3信息；2、登陆后除银行卡有效期外，C3类别信息不应明文显示；共享和转让：1、共享和转让前，应开展个人金融信息安全影响评估；2、部署信息防泄漏监控工具，监控及报告个人金融信息的违规外发；3、部署流量监控技术措施，对共享、转让的信息进行监控和审计；4、定期评估信息到处通道的安全性和可靠性；公开披露：1、不应公开披露个人生物识别信息；2、准确记录和保存个人金融信息的公开披露情况，包括披露的日期、规模、目的、内容、公开委托处理：1、对委托行为进行个人金融信息安全影响评估，并确保受委托者具备足够的数据安全能力，且提供了足够的安全保护措施；2、英规外部嵌入或接入的自动化工具开展技术检测加工处理：1、采取必要的技术手段和管理措施，确保在个人金融信息清晰和转换过程中对信息进行保护，对C2/C3类别信息，应采取更加严格的保护措施；汇聚融合：1、荣俱融合的数据不应超出收集时所明确的适用范围，因业务需要确需超范围使用的，应再次征得个人金融信息主体得明示同意。

关于JR/T 0171—2020《个人金融信息保护技术规范》的介绍张旭刚　谢宗晓（中国金融认证中心）1　概述个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化，是金融业机构在提供金融产品和服务的过程中积累的重要基础数据，也是个人隐私的重要内容。

个人金融信息一旦泄露，不但会直接侵害金融消费者的合法权益、影响金融业机构的正常运营，甚至可能会带来系统性金融风险。

本文将对2020年2月13日发布的JR/T 0171—2020《个人金融信息保护技术规范》从产生背景、适用范围、个人金融信息类别、分类重点防护、安全管理要求等方面进行相关介绍。

2　产生背景中国在金融领域发布的法律法规汇总见表1。

由表1可以看出，金融行业已经有了较为完善的法律和相关法规，但缺少个人金融信息保护方面的具体实施规范，在此背景下，2020年2月13日，中国人民银行正式发布了行业标准JR/T 0171—2020《个人金融信息保护技术规范》（以下简称《规范》），《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。

3　适用范围《规范》明确了适用于提供金融产品和金融服务的金融业机构，同时又定义了金融业机构为由国家金融管理部门监督管理的持牌金融机构，以及涉及个人金融信息处理的相关机构。

从上面可以看出这里的适用对象主要包括两个：持牌金融机构和个人金融信息处理相关机构。

在我国持牌金融机构主要分为银行和非银行，银行包括：政策性银行、大型商业银行、股份制商业银行、城商行、农商行、农村信用社、外资银行、村镇银行等；非银行金融机构指不经营一般银行业务的金融机构，主要提供专门的金融服务和开展指定范围内的业务。

这类机构比较庞杂，主要包括：支付机构、信托、证券、保险、公募基金、私募基金、典当行、融资租赁等机构以及财务公司等。

金融个人信息管理制度一、总则为规范金融机构对个人信息的管理，保护客户个人信息安全，维护金融秩序，依据相关法律法规，制定本制度。

二、适用范围本制度适用于所有金融机构及其从业人员在营销、征信、信贷、资产管理、互联网金融等业务中的个人信息管理。

三、信息安全管理1. 个人信息分类管理金融机构应对个人信息进行分类管理，确保信息的完整性和安全性。

按照信息的敏感程度和重要性分级管理，建立健全个人信息保密体系。

2. 信息采集和存储金融机构在进行个人信息采集和存储时，应遵守相关法律法规，获取个人信息的合法、正当、必要授权。

采用加密、备份等技术手段保障信息安全，建立信息存储与维护制度，确保信息的可靠性和完整性。

3. 信息使用和共享在使用和共享个人信息时，金融机构应保证事先获得客户的明示同意，并且仅限于业务合作的需要。

对于涉及到客户隐私的信息，必须事先征得客户的书面授权。

4. 信息传输和销毁在信息传输过程中，金融机构应采取安全的加密技术，防止信息泄露和篡改。

对于不再使用的个人信息，金融机构应按照规定的期限和方式进行销毁，并追踪销毁记录以保障信息安全。

四、信息权益保护1. 处理客户请求金融机构应建立完善的客户信息服务中心或渠道，及时有效地处理客户的个人信息查询、更正、删除等请求，保护客户的信息权益。

2. 信息安全教育金融机构应对员工进行信息安全和个人信息管理的培训，提高员工对信息安全的认识和保护客户信息的能力。

3. 法律责任金融机构及其从业人员应遵守相关法律法规，确保个人信息的安全和合法使用。

违反个人信息管理制度，造成不良后果的，应承担相应的法律责任。

五、监督管理1. 日常监督金融监管部门对金融机构的个人信息管理工作进行监督检查，对存在违规行为的金融机构给予点名批评和处罚。

2. 信息评估金融机构应每年对个人信息管理制度进行评估，及时发现和解决存在的问题，不断提升信息管理水平。

3. 信息披露金融机构应定期公布个人信息管理制度及执行情况，以及客户个人信息的使用情况和安全保障措施。

个人金融信息保护技术规1 围本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规性要求。

本标准适用于提供金融产品和服务的金融业机构，并为安全评估机构开展安全检查与评估工作提供参考。

2 规性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 22239-2019信息安全技术网络安全等级保护基本要求GB/T 25069-2010信息安全技术术语GB/T 31186.2-2014银行客户基本信息描述规第2部分：名称GB/T 31186.3-2014银行客户基本信息描述规第3部分：识别标识GB/T 35273-2017信息安全技术个人信息安全规JR/T 0068-2020网上银行系统信息安全通用规JR/T 0071 金融行业信息系统信息安全等级保护实施指引JR/T 0092-2019移动金融客户端应用软件安全管理规JR/T 0149-2016中国金融移动支付支付标记化技术规JR/T 0167-2018云计算技术金融应用规安全技术要求3术语和定义GB/T 25069-2010，GB/T 35273-2017界定的以及下列术语和定义适用于本文件。

3.1金融业机构financial industry institutions本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构，以及涉及个人金融信息处理的相关机构。

3.2个人金融信息personal financial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。

注1：本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。

金融消费者权益保护个人金融信息保护办法第一章总则第一条为规范商业银行（以下简称本行）金融消费者权益保护工作，切实保障金融消费者合法权益，根据（中国人民银行令〔2020〕第5号）、《全省农村商业银行金融消费者权益保护工作指导意见（试行）》等相关法律、法规、规章及规范性文件，制定本办法。

第二条本行及分支机构适用本办法。

第三条本办法所称金融消费者，是指购买或使用本行的金融产品或接受本行金融服务的自然人。

第四条本办法所称个人金融信息，是指本行及分支机构在开展业务时，通过但不限于综合业务系统、信贷管理系统、人行征信系统、支付系统、公安联网身份证查询系统等其他系统获取、使用、加工、对外提供和保存的个人金融信息。

包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。

第五条金融消费者个人金融信息保护工作由业务发展部牵头组织实施。

第二章主要内容第六条本办法所称个人金融信息包括但不限于以下内容：（一）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址；（二）个人财产信息包括个人收入状况、拥有的不动产状况、车辆状况、纳税额、公积金缴存金额，以及购买的保险、股金、基金等理财产品等；（三）个人账户信息，包括账号、账户开立时间、开户行、账户余额及交易情况；（四）个人信用信息，包括征信状况、信用额度、信用卡还款情况、贷款偿还情况以及其他能够反映其信用状况的其他信息；（五）个人金融交易信息，包括本行在支付结算、理财、保险箱等中间业务过程中获取、留存的个人信息和本行与保险、证券公司等第三方机构发生业务关系时产生的个人信息等；（六）衍生信息，包括个人消费习惯、风险偏好、投资意愿等对原始信息进行处理、分析形成的反映特定个人某些情况的信息；（七）媒体信息，包括金融消费者购买理财或其他交易活动的录音录像信息及电子日志信息等；（八）在与个人建立业务关系过程中获取、保存的其他个人信息。

运维大讲堂培训测试（个人金融信息保护技术规范）培训时间：2020年3月19日 14：00—17：00培训项目:个人金融信息保护技术规范讲师：顾红亲爱的运维同学：感谢参与本次培训，请配合完成测试题目并提交，培训后会根据各位同学的成绩对老师进行评价，同时会计算各位同学本年度测试平均分，请大家予以重视。

如有改进建议请反馈给我们，您的评价和建议将有利于我们更好的改进我中心培训组织工作。

您的姓名： [填空题] *_________________________________您的部门： [单选题] *○中心领导○生产管理室○系统室○网络室○应用一室○应用二室○运行室1. 以下个人金融信息中不属于C3类别的信息为：（） [单选题] *A卡片有效期B 交易密码C 短信验证码(正确答案)D 个人生物识别信息答案解析：1. 以下个人金融信息中不属于C3类别的信息为：（C）A卡片有效期 B 交易密码 C 短信验证码 D 个人生物识别信息2. 根据安全技术要求，个人金融信息收集时应确保信息来源的（）。

[单选题] *A 可追溯性(正确答案)B 准确性C 安全性D 稳定性答案解析：2. 根据安全技术要求，个人金融信息收集时应确保信息来源的（）。

（A）A 可追溯性B 准确性C 安全性D 稳定性3. 不应留存非本机构的()类个人金融信息，若确有必要保留的，应取得个人金融信息主体及账户管理机构的授权。

[单选题] *A C3(正确答案)B C2C C1D C3、C2、C1答案解析：3. 不应留存非本机构的（）类个人金融信息，若确有必要保留的，应取得个人金融信息主体及账户管理机构的授权。

（A）A C3B C2C C1D C3、C2、C14. 对涉及个人金融信息相关人员录用前，应进行()，并于其签署保密协议，或在劳动合同中设置保密条款。

[单选题] *A 面试B 背景调查(正确答案)C笔试D 尽职调查答案解析：4. 对涉及个人金融信息相关人员录用前，应进行（），并于其签署保密协议，或在劳动合同中设置保密条款。

中国人民银行关于发布金融业标准做好个人金融信息保护技术管理工作的
通知
正文：
----------------------------------------------------------------------------------------------------------------------------------------------------
中国人民银行关于发布金融业标准做好个人金融信息保护技术管理工作的通知
银发〔2020〕45号
《个人金融信息保护技术规范》(JR/T 0171-2020，以下简称《规范》)金融行业标准已经全国金融标准化技术委员会审查通过，现予以发布，并就有关事项通知如下：
一、金融业机构可结合实际按照《规范》加强个人金融信息全生命周期技术管理，强化风险识别和监控，建立健全风险事件处置机制，保障个人金融信息主体合法权益。

二、行业协会可根据工作需要按照《规范》加强个人金融信息保护行业自律管理，建立健全自律检查、违规约束、投诉处理等机制，定期向人民银行报送相关情况。

请人民银行副省级城市中心支行以上分支机构将本通知告知辖区内分支机构和金融业机构。

附件：个人金融信息保护技术规范
——结束——。

**银行个人金融信息保护管理规定第一章总则第一条为提高个人金融信息保护工作水平，规范**银行（以下简称“我行”）个人金融信息处理行为，切实保护金融消费者合法权益，推动我行持续健康发展，根据监管部门规定以及《**银行金融消费权益保护管理办法》《个人金融信息保护技术规范》等制度及规范，制定本管理规定。

第二条本规定所称的“个人金融信息”，是指我行通过提供金融产品和服务或者其他渠道处理的个人信息，包括但不限于：（一）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、照片、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址等；（二）鉴别信息，是指用于验证主体是否具有访问或使用权限的信息，包括但不限于银行卡密码、个人金融信息主体登录密码、账户查询密码、交易密码、动态口令、短信验证码、生物识别等；（三）个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等；（四）个人账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等；（五）借贷信息，是指个人金融信息主体在金融业机构发生借贷业务产生的信息，包括但不限于授信、信用卡和贷款的发放及还款、担保情况等；（六）个人金融交易信息，包括我行在支付结算、理财等业务办理过程中获取、保存、留存的个人信息，以及客户在通过我行与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等；（七）其他信息，包括对原始数据进行处理、分析形成的，能够反映特定个人某些情况的信息，如特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息等，以及在提供金融产品与服务过程中获取、保存的其他个人信息，如行踪轨迹等。

第三条本规定所称“未成年人”，是指不满十四周岁的未成年人。

第四条本规定适用于总行各部门、各分行（以下简称“各单位”）第二章职责分工第五条总行消费者权益保护部是全行个人金融信息保护工作牵头管理部门，主要职责包括：（一）贯彻执行国家和监管部门有关个人金融信息保护的方针政策和法律法规，对全行个人金融信息保护工作实行统一管理、统筹规划和组织协调。