《个人金融信息保护技术规范》解读
- 1. 个人金融信息保护 技术规范解读
- 2. 规范发布背景01规范内容解读02应对措施解读03目 录 CONTENTS
- 3. 规范发布背景PART 1
- 4. 010203GDPR严格的数据收集及应用要求四部门开展App违法违规收集使用个人信息专项治理 2019年1月发布《关于开展App违法违规收集使用个人信息 专项治理的公告》,组织开展App违法违规收集使用个人信 息专项治理。指出移动互联网应用程序(App)在使用、收 集个人信息时,存在App强制授权、过度索权、超范围收集 个人信息、违法违规使用个人信息等问题。立足国情形成个人金融信息保护制度体系背景:金融数据监管日趋严格保护公民免受隐私和数据泄露的影响是全球大势所趋,GDPR适 用范围不仅包括欧盟内的企业,也包括在欧盟营运以及搜集、处 理或利用欧盟公民个人信息的企业或组织等。《网络安全法》在法律层面明确了个人信息保护工作的 基本要求,人民银行于2016年正式发布了《中国人民银 行金融消费者权益保护实施办法》并组织金融机构开展 了一系列具体工作,大力推进金融消费者的个人信息保 护工作。
- 5. 相关法规时间监管文件发布机构2011年1月《中国人民银行关于银行业金融机构做好个人金融信 息保护工作的通知》中国人民银行2016年12月《中国人民银行金融消费者权益保护实施办法》中国人民银行2017年12月国家标准GB/T 35273-2017 《信息安全技术个人信息 安全规范》国家市场监督管理总局 国家标准化管理委员会2019年10月《个人金融信息(数据)保护试行办法(初稿)》中国人民银行2019年11月《关于增强个人信息保护意识依法开展业务的通知》中国互联网金融协会2020年3月国家标准GB/T 35273-2020《信息安全技术个人信息 安全规范》(2020年10月实行)国家市场监督管理总局 国家标准化管理委员会
- 6. 适用: 提供金融产品和服务的金融业机构非金融机构在《技术规范》适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查 工作提供参考。不仅包括了由国家金融管理部门监督管理的持牌金融机构,也包括了涉及个人金融信 息处理的相关机构。即金融产业链的相关机构均可能落入《技术规范》规制范围。 •商业银行、城市信用合作社、农村信用合作社、 邮政储汇机构、政策性银行; •证券公司、期货经纪公司、基金管理公司; •保险公司、保险资产管理公司; •信托投资公司、金融资产管理公司、财务公司、 金融租赁公司、汽车金融公司、货币经纪公司; •中国人民银行确定并公布的其他金融机构。 持牌金融机构•第三方支付机构; •提供代管银行账户、证券账户或其他资产等金 融服务的机构; •金融企业外包服务机构与外部合作机构; •大数据、金融科技类机构; •其他金融产业链相关机构;
- 7. 规范内容解读PART 2
- 8. 个人金融信息的定义GB/T 35273-2017 《信息安 全技术个人信息安全规范》
- 9. 个人金融信息的分类信息类别信息界定标准信息列举C3类主要为用户鉴别信息。该类信息一旦遭到 未经授权的查看或未经授权的变更,会对 个人金融信息主体的信息安全与财产安全 造成严重危害。• 银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡 密码、网络支付交易密码; • 账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码; • 用于用户鉴别的个人生物识别信息。C2类主要为可识别特定个人金融信息主体身份 与金融状况的个人金融信息,以及用于金 融产品与服务的关键信息。该类信息一旦 遭到未经授权的查看或未经授权的变更, 会对个人金融信息主体的信息安全与财产 安全造成一定危害。支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、手机号码。• 账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名。 • 用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码(若用 户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于C3类别信息)。 • 直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、 借贷信息。 • 用户金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险 理赔)等。• 用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。• 其他能够识别特定主体的信息,如家庭地址等。C1类主要为机构内部的信息资产,主要提供金• 账户开立时间、开户机构。融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权• 基于账户信息产生的支付标记信息。的变更,会对个人金融信息主体的信息安• C2和C3类别信息中未包含的其他个人金融信息。全与财产安全造成一定影响。
- 10. •安全准则 •安全策略 •访问控制 •安全监测与风险评估 •生命周期技术要求 •安全运行技术要求 •WEB应用安全要求 •客户端应用软件安全要求 •密码技术与密码产品要求安全基本原则权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与安全技术要求安全管理要求收集 传输 存储使用 删除 销毁
- 11. 安全技术要求生命周期环节描述要求解读收集对个人金融信息主体各类信息进 行获取和记录的过程敏感信息收集需拿到授权,同时具备可追溯性;引导用户输入(或 设置)银行卡密码、网络支付密码时,应采取展示屏蔽等措施防止 密码明文显示,C3信息收集过程中应加密。传输个人金融信息在终端设备、信息更加注重个人金融信息传输过程中的参与方(包括数据接收方)而系统内或信息系统间传递的过程不仅仅是传输方对于信息保密性、完整性和可用性的保证。存储个人金融信息在终端设备、信息不留存非本机构C3数据,需加密存储;及时清除数据或移交有关部系统内保存的过程门。使用对个人金融信息进行展示、共享 和转让、公开披露、委托处理、 加工处理等操作的过程应根据“业务需要”和“最小权限”原则,对个人金融信息的导出操 作进行细粒度的访问控制与全过程审计。应对外部嵌入或接入的自 动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开 展技术检测。删除使个人信息不可被检索、访问的删除后保持不可检索和访问; 个人金融信息主体要求删除信息时,过程金融业机构应依法予以响应。销毁对个人金融信息进行清除,使其不应采用不可恢复的方式(如消磁、焚烧、粉碎等)对介质进行销毁处理,确保介质中的个人金融信息不可再被恢复或者以其他方式加可恢复的过程以利用。
- 12. 安全技术要求环节C3类别信息C2类别信息解读收集不应委托或授权无金融业相关资质的机构收集。对部分金融科技公司、大数据公司的业务形态产生 巨大影响。对于C3类别信息,通过受理终端、客户端/明确了通过受理终端(智能柜员终端、POS终端应用软件、浏览器等方式收集时,应使用加等)、APP、浏览器等收集C3类别信息时应采取加密等技术措施保证数据的保密性,防止其被密措施。一般受理终端采用硬件加密机加密,客户未授权的第三方获取。端和浏览器一般通过密码控件实现。传输通过公共网络传输时,C2、C3类别信息应使用安全通道或数 据加密的方式进行传输,保障个人金融信息传输过程的安全。明确了传输C2、C3类别信息时应采用加密方式,建议采用通道加密和数据加密,通道加密比较常见 的是采用HTTPS,属于传输层的加密;数据加密是 对应用层的数据信息进行加密,一般通过调用加密算法实现,有部分金融机构采取自研的加密算法。存储不应留存非本机构的银行卡磁道数据(或芯 片等效信息)、银行卡有效期、卡片验证码 (CVN和CVN2)、银行卡密码、网络支付 密码等C3类别信息。/明确了C3类别的信息只能由账户管理机构留存,如 果其他机构确有必要留存,应获得个人信息主体和 账户管理机构的授权。
- 13. 安全技术要求环节C3类别信息C2类别信息解读使用• 处于未登陆状态时,不应展示。 • 处于已登陆状态时,除银行卡有效 期外,不应明文展示。/明确了在未登录的状态下,个人金融信息主体 相关的C3类别信息不能展示,处于登录状态时, 登录密码、交易密码、查询密码、银行卡密码 等C3类别的信息不能明文展示不应委托给第三方机构进行处理。用户鉴别辅助信明确了不能委托第三方机构处理卡片验证码、息,不应委托给卡片有效期、银行卡密码、网络支付交易密码、第三方机构进行登录密码、个人生物识别信息、动态口令、短处理。信验证码等C3以及C2类别信息中的用户鉴别辅助信息。应采取必要的技术手段和管理措施,确保在信息清洗和转 换过程中对信息进行保护,对C2和C3类别信息,应采取更 加严格的保护措施。对开放API或SDK技术实现银行与第三方之间数 据共享的合作形式有了明确的要求安全运行 技术要求• 应具备对网站页面篡改、网站页面源代码暴露、穷举登基础应用层安全防护能力 定期安全评估录尝试、重放攻击、SQL注入、跨站脚本攻击、钓鱼、木 马以及任意文件上传、下载等已知漏洞的防范能力。 • Web应用系统与组件上线前应进行安全评估。• 应具备对系统组件进行实时监测的能力,有效识别和组安全态势实时监测能力织来自内外部的非法访问。
- 14. 安全管理要求安全管理要求规则描述要求解读安全准则金融业机构应遵循合法、正当、必要的原则,向 个人金融信息主体明示收集与使用 个人金融 信息的目的、方式、范围和规则等,获得个人金 融信息主体的授权同意。有法可依,收集过程公开透明,遵循信息最小化,收集需 告知;原则上数据都要在境内存储、处理和分析;涉及到 国家安全等特殊场景时无需征得个人同意。安全策略制度体系的管理范畴应涵盖本机构、外包服务 机构与外部合作机构,并确保相关制度发布并传 达给本机构员工及外部合作方。应采取技术手 段对个人金融信息全生命周期进行安全风险识 别和管控,如恶意代码检测、异常流量监测、用 户行为分析等。制度体系需涵盖外包服务机构与外部合作机构;强调日志留存及通过技术手段进行全生命周期的风险识别和管控。安全检查和评估应每年至少开展一次对涉及收集、存储、传输 使用个人金融信息的信息系统进行安全检查或 安全评估; 对信息系统进行信息安全评估、漏 洞扫描和渗透测试,并及时采取补救措施;金融业机构 及合作第三方机构 每年至少开展一次评估;可自行评估,也可以委托外部评估机构安全事件处置制定预案、定期培训和 应急演练 事件发生时 及时感知、响应、通报、记录内容,分析原因 制定补救措施 事前、事中、事后一套完整的处置预案,同时需要定期演练
- 15. 应对措施解读PART 3
- 16. 业务影响解读持牌金融机构• 不能委托第三方机构处理C3以及C2类别信 息中的用户鉴别辅助信息。 • 终端不能存储支付敏感信息及个人生物识 别数据的样本数据、模板,仅能保存当前 交易所必需的要素,并在完成交易后清除。 • 定期安全评估。 • 增强对第三方合作机构的审计。非金融机构• 不允许无资质机构收集、存储、处理(支 付等特殊情况除外)个人金融信息; • C3类别的信息只能由账户管理机构留存 • 不应留存非本机构的数据,与金融机构合 作的各家大数据和金融科技公司来讲,信 息授权更加严格。
- 17. 企业应对建议环节应对建议金融信息内部筛查与分类识别自身日常经营过程中所涉及的个人金融信息,按照《规范中“C1、C2、C3”的级别进行数据等级划分,并尽可能使之与企业内部既存的数据资产分级得以衔接和协调,金融信息全生命周期安全评估评估个人金融信息的“收集、传输、存储、使用、删除、销毁等全生命周期个环节的安全状况,为后续合规奠定基础。值得注意的是,不仅应该关注个人金融信息在企业内部的流转,更要关注个人金融信息在企业与外部第三方之间的流转,以避免遭遇来自外部的传递式风险。建立金融信息全生命周期防护体系基于安全技术和安全管理两个维度建立金融信息全生命周期防护体系,包括对应安全产品的部署、设置相应的安全策略及制度,以及建立对于自动化工具应用的全流程管控制度,包括接入前的合规和技术评估、定期审计和应急处理机制等。
- 18. 个人金融信息防护体系收集 传输 存储 使用 删除 销毁数据加密 密码屏蔽 信息路径可追溯数据加密 身份认证 完整性校验存储加密 数据防泄漏介质销毁 环节数据清楚 不可恢复信息全周期追踪 删除后 不可被检索安全技术安全管理WEB & 终端安全评估 WEB应用防护 & 实时监控 威胁感知监控 日志审计、密码技术审查建立全生命周期防护体系信息监控审计 安全评估 安全工具审计现状梳理分类 设立安全管理体系框架 周期安全检查和评估 应急事件处置机制
- 19. 个人金融信息防护技术架构WEB应用防火墙 深度安全网关 上网行为管理系统 安全认证平台 身份认证平台安全评估系统 网站安全监测系统 网页防篡改系统 DDoS云防护解决方案伪装欺骗系统 主机安全管理平台 流量分析预警系统 安全实训平台渗透测试服务 移动安全服务 红蓝对抗服务 等保合规服务代码审计服务 基线检查服务 漏洞预警服务 应急响应服务
- 20. Thanks
该用户的其他文档
相关PPT