中國支付清算協會發布《個人信息保護技術指引》

    慧聰消防網訊    2016中國消防安全產業大會(CFIC2016)註冊報名    消防十大品牌、卓越消防產品和傑出領袖角逐 

中國支付清算協會發布《個人信息保護技術指引》

    中國支付清算協會標準

    PCAC/T0001:2016

    個人信息保護技術指引

    2016-7-1發布2016-7-1實施

    中國支付清算協會技術標準工作委員會發布

    目錄

    前言..................................................I

    1、範圍.................................................1

    2、術語和定義..........................................1

    3、個人信息分類.........................................2

    4、採集.................................................3

    5、存儲.................................................3

    6、傳輸.................................................3

    7、使用.................................................4

    8、轉移................................................4

    9、銷毀................................................5

    10、管理要求..........................................5

    11、密碼算法..........................................5

    參考文獻.............................................6

    前言

    本規範由中國支付清算協會提出。

    本規範由中國支付清算協會技術標準工作委員會歸口。

    本規範主要起草單位為中國支付清算協會會員單位及行業相關機構，包括：中國支付清算協會秘書處、中國銀行股份有限公司、恆豐銀行股份有限公司、中國電信天翼電子商務有限公司、支付寶（中國）網絡技術有限公司、財付通支付科技有限公司、聯動優勢電子商務有限公司、上海匯付數據服務有限公司、北京中金國盛認證有限公司、中國金融認證中心。

    本規範主要起草人：蔡洪波、馬國光、邢桂偉、於沛、曲龍濤、王照文、王興明、方海峰、冷雪霏、劉勝、李升、楊碩、馬鳴、高強裔、白陽、高卓、相海飛。

    本規範為首次發布。

    1、範圍

    本規範給出了信息系統處理個人信息的範圍定義，界定了個人信息主體的權利，提出了系統處理個人信息的原則和個人信息的採集、展示、存儲、傳輸、使用等行為要求。相關的法律、行政法規及標準規範中已規定個人信息處理有關事項的，從其規定。

    本規範用於指導本協會會員單位利用信息系統處理個人信息的服務與活動。

    2、術語和定義

    下列術語和定義適用於本文件。

    2.1個人信息personalinformation

    可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。個人信息可以分為個人敏感信息和個人非敏感信息。

    2.2個人信息主體subjectofpersonalinformation

    2.3個人信息指向的自然人。

    個人信息管理者administratorofpersonalinformation

    決定個人信息處理的目的和方式，實際控制個人信息並利用信息系統處理個人信息的組織和機構。

    2.4個人信息獲得者receiverofpersonalinformation

    從信息系統獲取個人信息的個人、組織和機構，依據個人信息主體的意願對獲得的個人信息進行處理。

    2.5個人敏感信息personalsensitiveinformation

    一旦遭到洩露或修改，會對標識的個人信息主體造成不良影響的個人信息。各機構個人敏感信息的具體內容根據接受服務的個人信息主體意願和各自業務特點確定。例如個人敏感信息可以包括身份證號碼、手機號碼、指紋等。

    2.6個人信息處理personalinformationhandling

    處置個人信息的行為，包括採集、展示、存儲、傳輸、使用、轉移、銷毀。

    2.7個人信息轉移personalinformationtransferring

    將包括個人信息提供給個人信息獲得者的行為，如向公眾公開、向第三方披露、由於委託他人加工而將個人信息複製到其他信息系統等。

    2.8個人信息脫敏personalinformationmasking

    將個人信息中的敏感信息通過脫敏規則進行數據的變形，實現敏感隱私數據的可靠保護。

    又稱數據漂白、數據去隱私化或數據變形。

    2.9信息系統informationsystem

    由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規劃對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。

    2.10鹽值salt

    防止攻擊者利用碰撞攻擊獲得信息明文而在明文哈希過程中添加的額外的隨機值。

    3個人信息分類

    3.1個人信息種類

    能夠被知曉和處理、與個人相關、能夠單獨或與其他信息結合識別該個人的任何信息：

    （一）個人身份標識與鑑別信息，包括靜態密碼、動態密碼、密保問題答案、數字證書、生物特徵信息等；

    （二）個人身份信息，包括個人姓名、性別、國籍、民族、身份證件種類號碼及有效期限、職業、聯繫方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等；

    （三）個人財產信息，包括個人收入狀況、擁有的不動產狀況、擁有的車輛狀況、納稅額、公積金繳存金額等；

    （四）個人帳戶信息，包括銀行業金融機構開立帳號、銀行卡有效期、卡片驗證碼（CVN\CVN2\CAV\CVV2\CVC\CID）、非銀行支付機構的支付帳戶、帳戶開立時間、開戶行、開戶機構、帳戶餘額等；

    （五）個人信用信息，包括信用卡還款情況、貸款償還情況以及個人在經濟活動中形成的，能夠反映其信用狀況的其他信息；

    （六）個人金融交易信息，包括銀行業金融機構在支付結算、理財、保險箱等中間業務過程中獲取、保存、留存的個人信息和客戶在通過銀行業金融機構或非銀行支付機構與保險公司、證券公司、基金公司、期貨公司等第三方機構發生業務關係時產生的個人信息等；

    （七）衍生信息，包括個人消費習慣、投資意願等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息；

    （八）在與個人建立業務關係過程中獲取、保存的其他個人信息。

    3.2個人信息分級

    本規範依據個人信息價值和安全風險的不同，劃分四個等級，分別是：高敏感、中敏感、低敏感、非敏感，針對個人信息保護程度、影響程度不同，將個人信息進行特殊標註，採取必要的管理措施和技術手段，保護個人信息安全，防止未經授權檢索、洩露、損毀和篡改。

    ——高敏感級別：重要個人信息，洩露後可能致使個人資產受到嚴重損失；

    ——中敏感級別：一般個人信息，洩露後可能致使個人資產受到損失；

    ——低敏感級別：其他個人信息，洩露後可能致使個人資產受到影響；

    ——非敏感級別：公開後對個人無影響的信息。

    個人敏感信息包括高敏感、中敏感、低敏感級別個人信息，各機構應根據自身業務、安全管理要求和客戶服務要求確定。

    本標準的應用者可根據實際使用需要作出另外方式的分類，但分類的實質性內容與本標準不一致的應對分類依據進行說明。

    4、採集

    個人信息採集應具遵循最小化原則，採集的個人信息不應超出其相關業務經營活動所必要的信息範圍。

    個人信息採集應遵循告知原則，採集方應通過明示的事前約定、事中提醒等方式告知被採集方個人信息採集範圍、個人信息的使用者及個人信息的使用方式。

    個人信息使用者的變動應徵得用戶同意。

    採集方應採取有效技術措施，以使得個人信息的機密性、完整性控制與本機構的風險偏好一致。

    ——對於線下採集（如填單）數據的要對承載介質的進行保護，防範非授權人員獲得可恢復信息的數據片段。

    ——對於線上採集數據的，需要對個人信息進行保護，並對不同敏感級別的數據採取不同的安全控制措施。

    ——對於通過腳本自動獲取或通過瀏覽器插件自動獲得的高敏感、中敏感級別個人信息數據，需要防範數據被其他程序讀取、篡改或恢復明文。

    在任何情況下，個人信息獲得者不得通過非法途徑獲取信息，例如不得從無個人信息採集資質的個人信息獲得者購買個人信息，不得通過非法手段採集信息等。

    5、存儲

    各機構應採取必要的手段和措施，在物理上保護個人信息存儲的場所和存儲介質不被非法訪問及人為破壞，也必須在物理上控制各種可能引起數據丟失的環境因素，包括但不限於溫度、溼度、電磁等因素。

    對個人信息的儲存介質，要有完善的訪問控制機制，在作業系統、網絡、應用以及資料庫層面都要有適當的訪問控制。

    應採取有效技術措施，以使得個人信息存儲時的機密性、完整性和可用性控制與本機構的風險偏好一致。

    個人信息存儲應按照個人信息敏感等級，採取不同的加密方式。

    ——對於高敏感級別個人信息，應使用不可逆密碼算法加密存儲，使用密碼算法時宜加入鹽值保證算法結果安全。

    ——對於中敏感級別個人信息宜採用加密存儲。

    ——對於低敏感級別、以及非敏感的個人信息可進行加密存儲。

    6、傳輸

    對訪問個人敏感信息的通道宜進行限制和區分，配置嚴格的訪問控制規則，明確個人信息傳輸的控制策略。

    對個人敏感信息的網絡傳輸應符合國家與行業相關標準要求，以確保個人敏感信息傳輸的機密性、完整性和真實性。

    信息系統應採用時間戳、挑戰與應答等保護機制防止第三方通過重放攻擊獲取個人敏感信息。

    對於包含高敏感級別個人信息的應在傳輸過程中採取應用層加密措施，以保證數據的機密性。

    7、使用

    應根據「業務需要」和「最小授權」原則，嚴格控制訪問、展示及使用個人信息。

    ——對信息系統中的個人信息的訪問及使用應進行權限控制；

    ——使用者應只能訪問其開展業務所必需的個人信息，以防止未經授權擅自對個人信息進行查看、篡改或破壞；

    ——應嚴格限制對存儲高敏感、中敏感等級個人信息介質的訪問，包括電子介質和非電子介質；

    ——應對高敏感、中敏感等級信息的可疑操作進行定期審計；宜以實時監控的方式對高敏感、中敏感等級信息的可疑操作進行實時控制。

    個人信息的展示規則，包括了個人信息以任何形式出現時的展示要求，如網頁頁面、日誌、文件記錄、圖像等。

    個人信息展示應遵循最小化原則、授權原則、不被批量獲取原則進行保護。

    對用戶密碼、卡片驗證碼等高敏感級別個人信息不允許在任何場景明文展示。

    用戶登錄信息系統時，信息系統可展示用戶中敏感、低敏感級別個人信息。

    ——對銀行卡號、身份證號碼等個人信息宜進行脫敏後展示，經過二次認證後可明文展示；

    ——用戶銀行卡號可按照至多前6位後4位原則進行展示，宜按照僅顯示後4位原則進行展示，或者進行脫敏後展示；

    ——用戶身份證號可按照至多前5位後3位原則進行展示，宜按照前1位後1位原則進行展示，或者進行脫敏後展示。

    用戶未登錄信息系統時，信息系統不應展示任何個人敏感信息。

    用戶有權對其個人信息進行授權展示機構對個人信息的使用應嚴格在授權使用範圍內，在開發、測試等非業務環境使用時應進行脫敏處理後使用，或在與真實生產環境同等安全防護級別下進行使用。

    對於涉及到高敏感、中敏感等級信息的通訊行為、過程（如關鍵交易）及使用行為應進行記錄，記錄內容應包括但不限於時間、源地址、用戶、行為類型、對象、行為結果（是否成功）等。

    ——記錄應妥善保管，以防止使用者未經授權擅自對記錄進行刪除、修改。

    8、轉移

    向其他組織機構或個人轉移個人信息時，個人信息管理者應確保：

    ——未經個人信息主體的明示同意或法律法規明確規定、或未經主管部門同意，個人信息管理者不得將個人信息轉移給境外的個人信息獲得者，包括位於境外的個人、境外註冊的組織或機構或將主機託管在境外的組織機構；

    ——在轉移過程前，應確保個人信息接收方能夠按照本指導性技術文件的要求接收、處理、存儲、使用個人信息，並明確該組織和機構的個人信息保護責任；

    ——在轉移過程前，應向個人信息主體說明轉移的目的、轉移的對象、轉移的具體信息；

    ——在轉移過程中，不違背所告知的轉移目的，或超出告知的轉移範圍；

    ——在轉移過程中，應保證個人信息不被個人信息獲得者之外的任何第三方所獲得或篡改；

    ——應明確轉移過程中及轉移完成後發生個人信息洩露事件時，轉移方與接收方的責任歸屬；

    ——個人信息管理者不得非法出售或者非法向他人提供個人信息。

    9、銷毀

    採集、使用、存儲個人信息的機構註銷時，應按主管部門相關規定對個人信息進行處理；

    個人信息如有需要配合司法機關協助調查的，其生命周期應按相關法律規定執行。

    存儲有個人敏感信息的存儲介質在被移出機構時，應對個人敏感信息進行銷毀。應確保介質所用存儲容器的安全性，防止存儲介質被銷毀前，個人敏感信息被任何人獲取。

    ——對存儲高敏感級別個人信息的介質銷毀時，應採用不可恢復的技術手段，如物理粉碎、焚毀；

    ——對存儲中敏感級別個人信息的介質銷毀時，應採用難恢復的技術手段，如消磁、多次擦寫；

    ——對存儲低敏感級別個人信息的介質銷毀時，宜採用難恢復的技術手段；

    ——對存儲非敏感級別個人信息的介質銷毀時，可採用可恢復的技術手段；

    ——應做好相應的銷毀操作記錄，記錄內容應包括但不限於銷毀時間、銷毀原因、銷毀方式、介質類型、介質名稱、執行人、監督人等。

    10、管理要求

    各機構應設若干專職崗位負責個人信息的保護工作，其工作內容應包括但不限於：

    ——制定供本機構使用的個人信息保護制度，對個人信息處理流程進行把關，針對機構內崗位的工作性質分配個人信息操作權限及明確安全責任。

    ——了解個人信息保護的相關技術，在技術上審核解決方案，確保其滿足個人信息保護的需求。

    ——明確對違反機構內部個人信息管理制度造成危害的行為的處罰規則。

    ——開展機構內個人信息保護的宣傳和培訓工作，其培訓材料和頻率應滿足本機構個人信息保護的需求，保證每年不少於一次。

    ——應制定個人信息保護政策，並在採集個人信息前對用戶進行明示、告知。

    ——對機構內的個人信息保護工作進行監督和指導，定期對個人信息的使用範圍和操作方式進行檢查，配合審計工作人員對工作進行定期審計。

    各機構宜對個人信息保護工作進行審計，並作為其整改或改進的材料依據。

    各機構應制定個人信息洩露事件處理和響應機制，事件發生時應立即採取處置措施，防止信息擴散，保存有關記錄，並及時向有關主管部門報告。

    11、密碼算法

    個人信息保護使用的密碼算法應符合國家密碼管理部門相關要求，並使用國家密碼管理部門公布的商用密碼產品目錄的密碼產品。

    密碼算法使用的密鑰在產生、交換、使用、存儲、更新和銷毀過程中應符合國家密碼管理部門相關要求，以確保密鑰的安全。

    參考文獻

    GB/T31186.1-2014銀行客戶基本信息描述規範第1部分:描述模型

    GB/T31186.2-2014銀行客戶基本信息描述規範第2部分:名稱

    GB/T31186.3-2014銀行客戶基本信息描述規範第3部分：識別標識

    GB/T31186.4-2014銀行客戶基本信息描述規範第4部分：地址

    GB/T31186.5-2014銀行客戶基本信息描述規範第5部分：電話號碼

    GB/T20269-2006信息安全技術信息系統安全管理要求

    GB/T25069-2010信息安全技術術語

    GB/Z20986-2007信息安全技術信息安全事件分類分級指南

    GB/Z28828-2012信息安全技術公共及商用服務信息系統個人信息保護指南

    JR/T0098.8-2012中國金融行動支付檢測規範第8部分：個人信息保護《人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》（銀髮〔2011〕17號）

責任編輯：王真真