JR/T 0171-2020
标准分类号
标准ICS号:
信息技术、办公机械设备>>信息技术应用>>35.240.40信息技术在银行中的应用
中标分类号:综合>>经济、文化>>A11金融、保险
关联标准
出版信息
出版社:中国标准出版社
标准价格:0.0
相关单位信息
起草人:李伟、李兴锋、张宏基、关晓辉、刘雨露等
起草单位:中国人民银行科技司、中国人民银行郑州中心支行、北京银联金卡科技有限公司等
归口单位:全国金融标准化技术委员会(SAC/TC 180)
提出单位:中国人民银行
发布部门:中国人民银行
主管部门:中国人民银行
标准简介
标准号:JR/T 0171-2020
标准名称:个人金融信息保护技术规范
英文名称:Personal financial information protection technical specification
标准格式:PDF
发布时间:2020-02-13
实施时间:2020-02-13
标准大小:1.03M
标准介绍:本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融凤险。为加强个人金融信息安全管理,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法杈益,维护金融市场稳定,编制本标准。
本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
本标准按照GB/T 1.1—2009给出的规则起草。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC 180)归口。
本标准起草单位:中国人民银行科技司、中国人民银行郑州中心支行、北京银联金卡科技有限公司、 中国银行股份有限公司、中国银联股份有限公司、网联清算有限公司、浙江蚂蚁小微金融服务集团股份 有限公司、拉卡拉支付股份有限公司、中国金融电子化公司、中国人民银行武汉分行、中国工商银行股 份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、中国平安保险(集团)股份有 限公司、北京中金国盛认证有限公司、北京软件产品质量检测检验中心、中金金融认证中心有限公司、 信息产业信息安全测评中心、华泰证券股份有限公司、中国人民保险集团股份有限公司、财付通支付科 技有限公司、中国支付清算协会、中国互联网金融协会、建信金融科技有限责任公司。
本标准主要起草人:李伟、李兴锋、张宏基、关晓辉、刘雨露、汤沁莹、郭琳诤、赵战勇、熊继承、 渠韶光、孟飞宇、高强裔、陈聪、居崑、陈雪秀、公丽丽、徐艳姣、牛小伟、王欢、展昭、强群力、郭 林、杨萌、陈俊、李意、冯坚坚、唐凌、黄本涛、魏猛、刘琼瑶、赵旭、孙垚、周利华、母延燕、王家 炜、张扬、蔡嘉勇、刘洋、孙鹏亮、聂丽琴、刘力慷、牛跃华、陈伟、王秀君、任凤丽、谢宗晓、董亚 南、张旭刚、刘健、董晶晶、张嵩、于晓雪、吴永强、陆家有、石竹君、于沛、侯晓晨、田然、王泽航、 何伟明、梁伟韬。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 25069-2010 信息安全技术 术语
GB/T 31186.2-2014 银行客户基本信息描述规范 第2部分:名称
GB/T 31186.3-2014 银行客户基本信息描述规范 第3部分:识别标识
GB/T 35273-2017 信息安全技术 个人信息安全规范
JR/T 0068-2020 网上银行系统信息安全通用规范
JR/T 0071 金融行业信息系统信息安全等级保护实施指引
JR/T 0092-2019 移动金融客户端应用软件安全管理规范
JR/T 0149-2016 中国金融移动支付 支付标记化技术规范
JR/T 0167-2018 云计算技术金融应用规范 安全技术要求
标准内容
ICS35.240.40
iiikAacJouakAa
中华人民共和国金融行业标准 JR/T 0171—2020
个人金融信息保护技术规范
Personal financial informationprotection technical specification2020-02-13发布
中国人民银行
2020-02-13实施
iiiKAa~cJouaKAa-
引言:
iiiKAa~cJouaKAa-
规范性引用文件
术语和定义
4个人金融信息概述
5安全基本原则.
6安全技术要求
安全管理要求
附录A(资料性附录)
参考文献
信息屏蔽
JR/T0171-2020
JR/T0171-2020
iiiKAa~cJouaKAa
本标准按照GB/T1.1一2009给出的规则起草本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)归口。本标准起草单位:中国人民银行科技司、中国人民银行郑州中心支行、北京银联金卡科技有限公司、中国银行股份有限公司、中国银联股份有限公司、网联清算有限公司、浙江蚂蚁小微金融服务集团股份有限公司、拉卡拉支付股份有限公司、中国金融电子化公司、中国人民银行武汉分行、中国工商银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、中国平安保险(集团)股份有限公司、北京中金国盛认证有限公司、北京软件产品质量检测检验中心、中金金融认证中心有限公司、信息产业信息安全测评中心、华泰证券股份有限公司、中国人民保险集团股份有限公司、财付通支付科技有限公司、中国支付清算协会、中国互联网金融协会、建信金融科技有限责任公司。本标准主要起草人:李伟、李兴锋、张宏基、关晓辉、刘雨露、汤沁瑾、郭琳净、赵战勇、熊继承、渠韶光、孟飞宇、高强裔、陈聪、居、陈雪秀、公丽丽、徐艳姣、牛小伟、王欢、展昭、强群力、郭林、杨萌、陈俊、李意、冯坚坚、唐凌、黄本涛、魏猛、刘琼瑶、赵旭、孙圭、周利华、母延燕、王家炜、张扬、蔡嘉勇、刘洋、孙鹏亮、聂丽琴、刘力慷、牛跃华、陈伟、王秀君、任凤丽、谢宗晓、董亚南、张旭刚、刘健、董晶晶、张嵩、于晓雪、吴永强、陆家有、石竹君、于沛、侯晓晨、田然、王泽航、何伟明、梁伟韬。
iiiKAacJouakAa
JR/T 01712020
个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。为加强个人金融信息安全管理,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,维护金融市场稳定,编制本标准。
iiiKAa~cJouaKAa=
行业标准信息服务平台
1范围
iiiKAa~cJouaKAa=
个人金融信息保护技术规范
JR/T0171-2020
本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T25069—2010信息安全技术术语GB/T31186.2—2014银行客户基本信息描述规范第2部分:名称GB/T31186.3—2014银行客户基本信息描述规范第3部分:识别标识GB/T35273一2017信息安全技术个人信息安全规范JR/T0068一2020网上银行系统信息安全通用规范金融行业信息系统信息安全等级保护实施指引JR/T0071
JR/T0092一2019移动金融客户端应用软件安全管理规范JR/T0149一2016中国金融移动支付支付标记化技术规范JR/T0167一2018云计算技术金融应用规范安全技术要求3术语和定义
GB/T25069—2010、GB/T35273--2017界定的以及下列术语和定义适用于本文件。准荐
financial industryinstitutions金融业机构
本标准中的金融业机构是指由国家金融管理部门监督管理的牌金融机构,以及涉及个人金融信息安
处理的相关机构。
个人金融信息personalfinancialinformation金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,注1:本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。注2:改写GB/T35273—2017,定义3.1。1
JR/T0171-2020
iiiKAacJouaKAa=
支付敏感信息paymentsensitiveinformation支付信息中涉及支付主体隐私和身份识别的重要信息。注:支付敏感信息包括但不限于银行卡磁道数据或芯片等效信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等用于支付鉴权的个人金融信息。3.4
个人金融信息主体personalfinancialinformation subject个人金融信息所标识的自然人。注:改写GB/T35273—2017,定义3.3。3.5
personalfinancial informationcontroller个人金融信息控制者
有权决定个人金融信息处理目的、方式等的机构。注:改写GB/T35273—2017,定义3.4。3.6
收集collect
获得个人金融信息的控制权的行为。注1:收集行为包括由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人金融信息等行为。注2:如金融产品或服务提供者提供工具供个人金融信息主体使用,提供者不对个人金融信息进行访问的,则不属准信息服务平点
于本标准所称的收集。例如手机银行客户端应用软件在终端获取用户指纹特征信息用于本地鉴权后,指纹特征信息不回传至提供者,则不属于用户指纹特征信息的收集行为。注3:改写GB/T35273—2017,定义3.5。3.7
publicdisclosur
公开披露
[GB/T35273—2017,定义3.10]】3.8
转让 transfer of control
将个人金融信息控制权由一个控制者向另一个控制者转移注:改写GB/T35273—2017,定义3.11。3.9
共享sharing
个人金融信息控制者向其他控制者提供个人金融信息,且双方分别对个人金融信息拥有独立控制权的过程。
注:改写GB/T35273—2017,定义3.12。2
iiiKAa~cJouaKAa=
JR/T0171-2020
个人金融信息安全影响评估personalfinancialinformation security impact assessment针对个人金融信息处理活动,检验其合法合规程度,判断其对个人金融信息主体合法权益造成损害的各种风险,以及评估用于保护个人金融信息主体的各项措施有效性的过程。注:改写GB/T35273—2017,定义3.8。3.11
支付账号paymentaccount
具有金融交易功能的银行账户、非银行支付机构支付账户及银行卡卡号。注:改写JR/T0149—2016,定义3.1。3.12
支付标记paymenttoken(Token)作为支付账号等原始交易要素的替代值,用于完成特定场景支付交易。[JR/T0149—2016,定义3.2]
磁道数据trackdata
磁、二磁和三磁定义的必备或可选的数据元,注:磁道数据可以在物理卡的磁条上,也可以被包含在集成电路或者其他媒介上。[JR/T0061—2011,定义3.20]
card verification number;cvN卡片验证码
对磁条信息合法性进行验证的代码。中
[JR/T0061—2011定义8.7]
卡片验证码2cardverifica+icnnumber2;cvN2在邮购或电话订购等非面对面交易中对良行卡卡片合法性进行验证的代码。中
[JR/T0061—2011,定义8.8]
基于时间、事件等方式动态生成的一次性口令。[GM/Z0001—2013,定义2.15]
短信动态密码SMSdynamiccode
短信验证码SMS code
后台系统以手机短信形式发送到用户绑定手机上的随机数,用户通过回复该随机数进行身份认证。[JR/T0088.1—2012,定义2.44]3
JR/T0171-2020
iiiKAacJouaKAa=
客户法定名称customerslegalname在法律上认可的客户名称。
注1:客户法定名称一般记录在国家授权部门颁发给客户的证件上,本标准客户主要指自然人客户,注2:改写GB/T31186.2—2014,定义3.23.19
证件类识别标识legal discriminatingID由国家法定有权部门颁发,能够唯一确定客户的且具有法律效力的标识。注1:证件类识别标识是外源性数据。外源性数据意味着数据的使用者不是数据的所有者,数据在产生、变更、废止后可能不为数据的使用者所知悉。注2:本标准的使用者因本身业务需求而产生的内部证件类标识,不应在使用者外部使用,也不具有法律效力。注3:改写GB/T31186.3—2014,定义3.23.20
未经授权的查看unauthorizedreading未得到信息的所有者或有权授权人授权对信息的查看。注1:未经授权的查看可能是善意的,也可能是恶意的:信息处理者无意泄露的未经授权的查看为信息泄露事件攻击者通过使相关安全措施无效的措施有意获取的未经授权的查看为信息窃取事件。注2:非法查看是对未经授权的查看的一种不严谨但在特定的语境下并无二义性的提法。3.21
未经授权的变更unauthorized altering未得到信息的所有者或有权授权人授权对信息的变更。注1:未经授权的变更典型地分为未经授权的增加(即增加全新的内容)、未经授权的更改(即修改现有的内容)或未经授权的删除(即删除原有的内容)三种情况,也可能是三种情况的组合。注2:未经授权的变更可能是善意的,也可能是恶意的;往往表现为信息篡改事件、信息假冒事件、信息丢失事件等。
你准信息
注3:非法变更是对未经授权的变更的一种不严谨但在特定的语境下并无二义性的提法。3.22
explicit consent
明示同意
个人金融信息主体通过书面声明或主动作出肯定性动作对其人金融信息进行特定处理作出明确授权的行为。
注1:肯定性动作包括个人金融信息主体主动作出声明(电子或纸质形式)、主动选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。注2:改写GB/T35273—2017,定义3.6。3.23
匿名化anonymization
通过对个人金融信息的技术处理,使得个人金融信息主体无法被识别,且处理后的信息不能被复原的过程。
iiiKAa~cJouaKAa=
注1:个人金融信息经匿名化处理后所得的信息不属于个人金融信息,注2:改写GB/T35273—2017,定义3.13。3.24
去标识化de-identification
JR/T0171-2020
通过对个人金融信息的技术处理,使其在不借助额外信息的情况下,无法识别个人金融信息主体的过程。
注1:去标识化仍建立在个体基础之上,保留了个体颗粒度,采用假名、加密、加盐的哈希函数等技术手段替代对个人金融信息的标识。
注2:改写GB/T35273—2017,定义3.14。3.25
删除delete
在金融产品和服务所涉及的系统中去除个人金融信息的行为,使其保持不可被检索、访问的状态。注:改写GB/T35273—2017,定义3.9。4个人金融信息概述
4.1个人金融信息内容
个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息,具体如下:a)账户信息指账户及账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。
鉴别信息指用于验证主体是否具有访问或使用权限的信息,包括但不限于银行卡密码、预付卡b)
支付密码:个金融信息主体登录密码、账户查询密码、交易密码:卡片验证码(CVN和CVN2)、动态口令、短信验证码、密码提示问题答案等。c)
金融交易信息指个账全融信息主体在交易过程中产生的各类信息,包括但不限于交易金额、支付记录、透支记录、交易志、交易凭证:证券委托、成交、持仓信息:保单信息、理赔信息等。
d)个人身份信息指个人基本信息、个人生物识别信息等:·个人基本信息包括但不限于客户法定名称、丝别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信、手机号码、固定电话号码、电子邮箱、工作及家庭地址,以及在提供产品和服务过程中收集的片、音视频等信息;个人生物识别信息包括但不限于指纹、人脸、虹膜、耳实、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。财产信息指金融业机构在提供金融产品和服务过程中,收集或生成的个人金信息主体财产信e)
息,包括但不限于个人收入状况、拥有的不动产状况、拥有的车辆状况、纳额、公积金存缴金额等。
借贷信息指个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于授信、信f)
用卡和贷款的发放及还款、担保情况等。g)其他信息:
JR/T0171-2020
iiiKAacJouaKAa=
·对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息,包括但不限于特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息;。在提供金融产品与服务过程中获取、保存的其他个人信息。4.2个人金融信息类别
根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。具体如下:a)C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害,包括但不限于:银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡·
密码、网络支付交易密码
账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码;·
·用于用户鉴别的个人生物识别信息。b)C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害,包括但不限于:支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、手机号码。
账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名。·
用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码:若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于C3类别信息。直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息。
用于金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险·
理赔)等。
·用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。·其他能够识别出特定主体的信息,如家庭地址等。c)C1类别信息主要为机内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响,包括但不限账户开立时间、开户机构:wwW.bzxz.Net
·基于账户信息产生的支付标记信息;C2和C3类别信息中未包含的其他个人金融信息!个人金融信息主体因业务需要(如贷款)主动提供的有关家庭成员信息如身份证号码、手机号码、财产信息等),应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高款整程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。4.3个人金融信息生命周期
个人金融信息生命周期指对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程,各环节描述如下:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。