安言咨询-个人金融信息保护技术规范重点条款及浅析
个人金融信息保护技术规范
个人金融信息保护技术规范
在现代社会,个人金融信息安全日益受到关注。
一项新出台的技
术规范旨在加强个人金融信息保护,将给他们提供安全和舒适的金融
服务环境。
这项新出台的技术规范由国家信息安全管理部门制定,要求金融
机构严格保护个人金融信息安全。
首先,金融机构应该严格遵守注册
和审计机构的要求,制定和实施个人金融信息保护的有效政策。
其次,金融机构需要采用安全解决方案,建立安全的网络环境,严厉抑制非
正当访问者进入系统。
此外,金融机构必须定期对安全环境进行评估,消除潜在安全隐患。
此外,这项新出台的技术规范还规定,个人金融信息持有人应保
证其金融信息的安全,谨慎使用金融信息,避免发生不必要的纠纷;
金融机构应为持有人提供一定的个人金融信息咨询服务;金融机构应
对持有人对个人金融信息的明文装潢进行负责任的监管。
出台这项新出台的技术规范,将是完善和加强金融机构个人金融
信息保护的一个重要举措,以改善金融服务环境,有效保护各社会成
员的合法权益。
个人金融信息保护技术规范
个人金融信息保护技术规范1 范围本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239-2019信息安全技术网络安全等级保护基本要求GB/T 25069-2010信息安全技术术语GB/T 31186.2-2014银行客户基本信息描述规范第2部分:名称GB/T 31186.3-2014银行客户基本信息描述规范第3部分:识别标识GB/T 35273-2017信息安全技术个人信息安全规范JR/T 0068-2020网上银行系统信息安全通用规范JR/T 0071 金融行业信息系统信息安全等级保护实施指引JR/T 0092-2019移动金融客户端应用软件安全管理规范JR/T 0149-2016中国金融移动支付支付标记化技术规范JR/T 0167-2018云计算技术金融应用规范安全技术要求3术语和定义GB/T 25069-2010,GB/T 35273-2017界定的以及下列术语和定义适用于本文件。
3.1金融业机构financial industry institutions本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
3.2个人金融信息personal financial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。
注1:本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
商业银行个人金融信息保护要点
商业银行个人金融信息保护要点个人金融信息是指各级机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。
个人金融信息保护要求包括但不限于以下方面:一、收集个人金融信息时,应当遵循合法、合理、必要原则,按照法律法规要求和业务需要收集个人金融信息,不得收集与业务无关的信息或者采取不正当方式收集信息,不得非法存储个人金融信息。
二、采取符合国家档案管理和电子数据管理规定的措施,妥善保管所收集的个人金融信息,防止信息遗失、毁损、泄露或者篡改。
在发生或者可能发生个人金融信息遗失、毁损、泄露或者篡改等情况时,应当立即采取补救措施,及时告知用户并向有关主管部门报告。
个人金融信息安全隐患至少每半年排查一次。
三、对业务过程中知悉的个人金融信息予以保密,不得非法复制、非法存储、非法使用、向他人出售或者以其他非法形式泄露个人金融信息。
四、建立个人金融信息使用和分级授权管理机制,合理确定本机构员工调取信息的范围、权限及程序,严格内部授权审批,采取有效技术措施,确保信息在内部使用及对外提供等流转环节的安全,防范信息泄露风险。
五、不得将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为与金融消费者建立业务关系的先决条件(该业务关系的性质决定需要预先做出相关授权或者同意的除外);通过格式条款取得个人金融信息书面使用授权或者同意的,应在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。
六、在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。
除法律法规及中国人民银行另有规定外,不得向境外提供境内个人金融信息。
为处理跨境业务且经当事人授权,向境外机构(含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。
个人信息保护的法律要点与法规解读
个人信息保护的法律要点与法规解读随着科技的发展和互联网的普及,个人信息保护成为了一个备受关注的话题。
在信息时代,个人信息的泄露和滥用问题日益突出,因此,各国纷纷出台了相应的法律和法规来保护个人信息的安全。
本文将对个人信息保护的法律要点进行解读,并探讨其对个人隐私的保护意义。
首先,个人信息保护法是个人信息保护的基础。
个人信息保护法旨在规范个人信息的收集、存储、使用和传输等行为,保护个人信息的安全和隐私。
该法规定了个人信息的定义、个人信息的收集和使用原则、个人信息的安全保护措施等内容。
其中,个人信息的定义十分广泛,包括了与个人身份有关的各种信息,如姓名、身份证号码、电话号码、银行账户等。
根据个人信息保护法的规定,个人信息的收集和使用应当遵循合法、正当、必要的原则,同时,个人信息的安全保护措施也应当得到充分的重视。
其次,个人信息保护法规定了个人信息的权利和义务。
根据该法,个人拥有对其个人信息的知情权、决定权和控制权。
这意味着个人有权知道自己的个人信息被收集和使用的情况,有权决定是否提供个人信息,并有权控制个人信息的使用范围和目的。
同时,个人信息的收集者和使用者也有相应的义务,必须履行信息保护的责任,保护个人信息的安全和隐私。
此外,个人信息保护法还规定了个人信息的安全保护措施。
根据该法,个人信息的收集者和使用者应当采取必要的技术和管理措施,确保个人信息的安全。
这包括但不限于加密、防火墙、访问控制等技术手段,以及信息管理制度、安全培训等管理措施。
此外,个人信息的跨境传输也需要符合一定的条件,必须经过个人同意或者获得法律许可。
然而,尽管个人信息保护法的出台是对个人隐私的保护,但在实际执行过程中仍然存在一些挑战。
首先,个人信息的泄露和滥用问题依然屡禁不止。
一些企业或个人为了谋取利益,通过非法手段获取个人信息,并将其用于商业活动。
其次,个人信息保护法在执法和监管方面还存在一定的不足。
一些地区或部门对个人信息保护的重视程度不够,导致执法力度不够强劲,监管措施不够完善。
个人金融信息保护的法条
个人金融信息保护的法条1.引言概述部分需要对个人金融信息保护的法条进行简要介绍和概括。
可以按照以下方式进行撰写:1.1 概述个人金融信息是指个人在金融活动中产生、记录和使用的各类信息,包括但不限于个人身份信息、财产状况信息、信用信息等。
随着金融科技的发展和金融活动的数字化,个人金融信息的重要性日益凸显。
个人金融信息的泄露和滥用可能导致严重的财产损失、信用危机以及个人隐私权的侵犯。
为了保护公民和企业的合法权益,各国纷纷制定了相关的法条,旨在规范金融机构和个人对个人金融信息的收集、存储和使用行为,确保个人金融信息的安全和保密。
本文将主要针对个人金融信息保护的法条展开探讨。
首先,将介绍个人金融信息的重要性,以及其在现代金融活动和日常生活中的广泛应用。
接着,将探讨为何需要法律来保护个人金融信息,强调存在泄露和滥用的风险,以及这些风险对社会和个人造成的潜在威胁。
进一步,本文将梳理个人金融信息保护方面的法条,并对其内容和适用范围进行总结和分析。
最后,本文将展望未来个人金融信息保护的发展趋势,包括技术手段的不断革新和立法环境的进一步完善等。
通过对个人金融信息保护的法条进行深入研究和分析,我们可以更好地了解个人金融信息保护的现状和问题,并提出相应的建议和措施,以确保个人金融信息的安全和隐私权的保护。
1.2 文章结构文章结构部分内容如下:2. 正文本部分将讨论个人金融信息的重要性和法律保护个人金融信息的必要性。
首先,会介绍个人金融信息对个人和社会的重要性。
接下来,会探讨当前个人金融信息保护面临的挑战和风险,并强调法律保护的必要性。
本部分还会对个人金融信息保护的法条进行详细的研究和分析,包括我国现行法律对个人金融信息保护的规定以及其他国家和地区的相关法律。
最后,会对个人金融信息保护的法条进行总结,同时探讨未来个人金融信息保护的发展趋势。
通过对个人金融信息保护的法条进行研究和分析,本文旨在帮助读者深入了解个人金融信息的重要性,加深对法律保护的必要性的理解,并为个人金融信息保护的法律规制和未来发展提供一些建议。
《个人信息保护法》重大产业影响条款深度解析及条文对比解读
《个人信息保护法》重大产业影响条款深度解析及条文对比解读《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)经过三次审议已于2021年8月20正式颁布,并将于2021年11月1日起正式生效实施。
该法的出台是我国个人信息保护领域具有重大意义的里程碑,其三次审议修订过程都吸引了广泛的社会关注与探讨研究。
作为长期深耕个人信息保护相关领域的实务工作者,笔者及团队自然也始终密切跟踪着其发展,过程中亦曾接受了数次相关采访,分享了自己的部分观点。
本次,乘着《个人信息保护法》正式颁布的东风,笔者进一步将自己的见解做系统性梳理,形成了如下成果,以资各方共鉴。
第一部分《个人信息保护法》重大产业影响条款深度解析一、自动化决策(大数据杀熟)规定内容解析二、可携带权规定内容解析三、看门人制度规定内容解析四、连带责任及过错推定责任规定内容解析第二部分《个人信息保护法》正式出台文本中部分条文的对比解读(与二审稿相对比,三审稿与最终出台文本差异较小)《个人信息保护法》重大产业影响条款深度解析01自动化决策(大数据杀熟)规定内容解析在《个人信息保护法》第三次审议的过程中,自动化决策(大数据杀熟)问题就受到了各方的广泛关注,并且产生了一定争议。
立法机关也专门针对该社会关切问题作出了回应,例如全国人大常委会法工委发言人臧铁伟就曾在记者会上指出,“当前,社会各方面对于用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息骚扰、‘大数据杀熟’等问题反映强烈”。
本次正式出台的《个人信息保护法》第二十四条即是针对该问题进行回应的规范内容:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
个人金融信息保护技术规范标准
个人金融信息保护技术规1 围本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规性要求。
本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
2 规性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239-2019信息安全技术网络安全等级保护基本要求GB/T 25069-2010信息安全技术术语GB/T 31186.2-2014银行客户基本信息描述规第2部分:名称GB/T 31186.3-2014银行客户基本信息描述规第3部分:识别标识GB/T 35273-2017信息安全技术个人信息安全规JR/T 0068-2020网上银行系统信息安全通用规JR/T 0071 金融行业信息系统信息安全等级保护实施指引JR/T 0092-2019移动金融客户端应用软件安全管理规JR/T 0149-2016中国金融移动支付支付标记化技术规JR/T 0167-2018云计算技术金融应用规安全技术要求3术语和定义GB/T 25069-2010,GB/T 35273-2017界定的以及下列术语和定义适用于本文件。
3.1金融业机构financial industry institutions本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
3.2个人金融信息personal financial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。
注1:本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
浅析加强保护个人金融信息的几点建议
浅析加强保护个人金融信息的几点建议作者:弓小慧祁利文来源:《科学与财富》2016年第25期摘要:当前信息时代,个人金融信息的价值是巨大的,而金融消费者个人信息被泄露的情况时有发生,本文分析了金融消费者个人信息泄露的原因和提出建议。
关键词:个人;金融信息;保护;法律体系一、个人金融信息泄露的原因(一)法律体系不完善,个人金融信息的保护规定不健全。
目前,我国尚未制定一部专门的个人信息保护法,发挥个人金融信息保护功能的主要是中国人民银行出台的《个人信用信息基础数据库管理暂行办法》(2005)、《关于银行业金融机构做好个人金融信息保护工作的通知》(2011),这些只是部门性德规章制度和政策文件,两者虽对个人金融信息收集、保存、使用等做了相应规定,但前者属效力层级较低的部门规章,且只针对信贷领域的个人信用信息,后者为规范性文件,在实际工作中不具备正式法的效力,执行能力不强。
(二)银行业金融机构对个人信息安全保护的重要性缺乏充分认识,对个人信息缺乏统一的保护机制。
银行业金融机构对客户的个人信息安全保护认识不足,缺乏个人信息安全管理制度,对客户个人信息保密责任不明晰,没有对信息实行有效的安全等级分类管理;对制度的执行监督检查、评估不够,对掌握重要信息的离岗人员的保密责任没有严格的约束措施。
目前个人金融信息保护的相关规定只是散见于银行各类业务的管理制度中,无法保证个人金融信息的采集、保管和追踪等各个环节工作的统一性。
同时,银行各个业务部门中涉及个人金融信息,没有统一的联系和管理机制,个人金融信息在银行内部没有形成互通互联,这给信息保护带来很大难度,是个人信息保护中的漏洞所在。
内部监督检查力度较弱,没有对个人信息保护的专项检查制度,将该类检查纳入常规性检查定期进行的机构比例较低。
(三)监管部门不明确,监管手段欠缺。
目前,人民银行从征信管理的角度加强了对个人客户信息保护工作的力度,印发了《关于银行业金融机构做好个人金融信息保护工作的通知》(2011),尽管对个人金融信息收集、保存、使用、对外提供等做了全面的规定,但由于缺乏明确的法律依据,人民银行履行该项职能缺乏必要的监管手段。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
JR/T 0171-2020
个人金融信息保护技术规范
重点条款及浅析
版本V1.0
Aryasec Ltd. All rights reserved.
本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海安言信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经上海安言信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
生命周期重点技术要求
收集1、不应委托或授权无金融业相关资质的机构收集C3、C2类别信息;
2、利用加密技术确保收集个人金融信息的传输通道的保密性和完整性
3、利用技术手段提供明显的隐私政策引导个人金融信息主体查阅并授权;
4、利用技术手段确保当个人金融信息主体输入密码时,确保非明文显示;
5、停止服务时,同时应停止收集个人金融信息的活动。
传输1、传输个人金融信息前,通信双方需经过有效的身份鉴别和认证;
2、信息传输的接收方应对接收的信息进行完整性校验
存储1、C3类别个人金融信息应采用加密措施确保数据存储的保密性;
2、受理终端、个人终端及客户端软件均不应存储银行卡磁道数据、银行卡有效期、卡片验证码等信息,对于必要的交易信息应在完成交易后清除。
信息展示:
1、未登录时不应展示个人金融信息主体的C3信息;
2、登陆后除银行卡有效期外,C3类别信息不应明文显示;
共享和转让:
1、共享和转让前,应开展个人金融信息安全影响评估;
2、部署信息防泄漏监控工具,监控及报告个人金融信息的违规外发;
3、部署流量监控技术措施,对共享、转让的信息进行监控和审计;
4、定期评估信息到处通道的安全性和可靠性;
公开披露:
1、不应公开披露个人生物识别信息;
2、准确记录和保存个人金融信息的公开披露情况,包括披露的日期、规模、目的、内容、公开委托处理:
1、对委托行为进行个人金融信息安全影响评估,并确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施;
2、英规外部嵌入或接入的自动化工具开展技术检测
加工处理:
1、采取必要的技术手段和管理措施,确保在个人金融信息清晰和转换过程中对信息进行保护,对C2/C3类别信息,应采取更加严格的保护措施;
汇聚融合:
1、荣俱融合的数据不应超出收集时所明确的适用范围,因业务需要确需超范围使用的,应再次征得个人金融信息主体得明示同意。
开发测试:
1、开发测试环境分离
删除个人金融信息主体要求删除个人金融信息时,金融业机构应根据有关规定以及与个人金融信息主体的约定予以响应。
销毁1、存储个人金融信息的介质入不再使用,应采用不可恢复的方式进行销毁;
2、云环境下有关数据清除应依据JR/T0167-2018的9.6执行。
类别重点技术要求
网络安全要求承载与处理个人金融信息的信息系统应符合国家网络安全相关规定及GB/T22239-2019、JR/T0071的要求
Web应用安全要求涉及C2、C3类别信息的Web应用需满足以下内容:
1、具备对网页防篡改、网站页面源代码暴露、SQL驻入、跨站脚本攻击的防范能力
2、Web应用系统与组件上线前应进行安全评估
3、具备对系统组件的实时监测能力
使用
其他类技术重点要求
全生命周期重点技术要求
客户端应用软件安全要求与个人金融信息相关的客户荣及SDK应符合JR/T0092-2019、JR/T0068-2020客户端软件有关安全技术要求,并在上线前评估
密码技术
与密码产
品要求
使用的密码技术及产品应符合国家密码管理部门与行业主管部门的要求生命周期重点管理要求
收集1、 收集方式不限于柜面、信息系统、金融自助设备、受理终端、客户端应用软件等渠道;
2、收集应遵循合法、正当、必要的原则并向个人金融信息主体明示与使用的目的、方式、范围和规则等
存储1、个人金融信息的存储需符合个人金额信息主体授权使用的目的所必需的最短时间要求,超期后,应对收集的个人金融信息进行删除或匿名化处理。
使用1、原则上不应共享、转让、公开披露其收集的个人金融信息;
2、C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让及公开披露;
3、境内收集的个人金融信息应在境内存储、处理和分析
类别重点管理要求
安全制度体系建立与发布金融业机构应建立个人金融信息保护制度体系,明确工作职责,规范工作流程。
包含以下内容:
1、明确个人金融信息保护、目标和原则;
2、开展个人金融信息分类分级管理,针对不同级别的个人金融信息实施相应的安全策略和保障策略;
3、建立日常管理流程与个人金融信息的收集、传输、存储、使用、删除、销毁等环节提出具体保护要求;
4、建立信息系统分级授权管理机制;
5、建立个人金融信息脱敏管理规范和制度;
6、至少每年开展一次个人金融信息安全影响评估
组织架构
岗位设置
建立个人金融信息保护组织架构并明确其职责
人员管理1、背景调查、签署保密协议或者合同中设置保密条款;
2、定期开展意识教育服务;
3、岗位调动后的访问权限管理及保密管理;
4、开发测试及运维人员之间不应兼岗;
访问控制1、访问控制权限应根据“业务需要”及“最小权限”分配;
2、对存储个人信息的数据库及操作日志实施严格的用户授权及访问控制;
监控与审
计1、日志文件和匹配规则的数据应至少保存6个月;
2、定期对所有的系统组件日志进行审计‘
3、采取技术手段对个人金融信息安全全生命周期进行安全风险识别和管控,如恶意代码检测、异常流量检测、用户行为分析等。
安全检测
与
风险评估1、制定个人金融信息安全影响评估制度;
2、每年至少开展一次对涉及收集、存储、传输、使用个人金融信息的信息系统进行安全检查或安全评估;
3、对于个人金融信息中的支付信息部分,应采取自行评估或委托外部机构进行检查评估,金融业机构以及与其合作的第三方机构应每年开展一次支付信息安全规评估
4、对于个人金融信息泄露事件,应及时委托外部安全评估机构重新进行相关安全评估与检查活动,并将结果报送到行业主管部门。
全生命周期重点管理要求其他类重点管理要求
安全事件处置1、制定个人金融信息安全事件应急预案、明确处置流程及岗位职责;
2、定期组织个人金融信息系统保护应急预案的培训及演练工作;
3、发现因信息系统漏洞或造成个人金融信息泄露时,应立即采取有效测试防范风险扩大,并及时向国家及行业主管部门报告。