为规范金融业机构个人金融信息保护工作,提升金融数据风险防控能力,央行和全国金融标准化技术委员会近期发布了《个人金融信息保护技术规范》。《规范》对于金融机构保障客户个人金融信息安全都提了哪些要求,今天就让小编给大家做个解读!
1
小H
小G,我有个朋友遇上麻烦事了!他最近因为手头紧,在一个叫“XX贷”的APP上借钱,结果每当他缺钱的时候,都会收到大量其他借贷APP的短信广告!
这些非法借贷平台对于客户的个人信息可能是共享的,所以你朋友在A平台缺钱时,B平台就会找上门了。你朋友都给平台提供了哪些个人信息?
小G
小H
被要求提供了多项注册用信息,比如:身份证拍照上传,对着镜头点头、眨眼进行验证,绑定手机号和银行卡,还要填写家庭地址、家人和朋友的电话等。
你朋友可能已经泄露了多项重要的个人信息!最近中国人民银行发布了《个人金融信息保护技术规范》,就跟你朋友遇到的这个麻烦事息息相关,我来给你普及一下,也请你转告你朋友,在现在这个高度信息化时代,一定要增强个人信息安全意识、提高个人防护能力。
小G
2
小H
《规范》主要讲了哪些内容?
从效力上看,《规范》属于推荐性行业标准,规范了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,适用于提供金融产品和服务的金融业机构,也为安全评估机构开展安全检查与评估工作提供了参考。
小G
3
小H
那什么是个人金融信息呢?
上次小编已经给大家介绍了哪些信息属于个人信息。个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面扩展与细化。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。
小G
小H
所以金融机构需要对收集到的个人金融信息负责。
没错,但是前提是必须要挑选有资质、有技术实力、守法合规且对个人信息保护高度重视的金融机构提供金融服务,你朋友使用的借贷APP都是一些非法的、没有运营资质的平台,个人信息提供给他们是非常危险的。
小G
4
小H
我明白了。那请问《规范》对于金融机构个人金融信息保护都提出了哪些要求?
《规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,金融机构应参照《规范》第4.2条对个人金融信息进行分级分类并分级保护这些数据的安全。其中安全级别最高的是C3类信息,一旦遭到未经授权的查看或变更,会对个人金融信息主体的信息安全与财产安全造成严重危害。
小G
5
小H
哪些信息属于C3类信息?
C3类别信息一般指用户鉴别信息,比如:登录密码、交易密码、查询密码、个人生物识别信息等。
小G
小H
那我朋友注册非法APP时进行人脸验证,岂不是可能已经暴露了自己的C3类信息!!
的确,后果很严重!脸部特征、指纹、虹膜、声音、基因、步态、笔迹等可识别自然人的生理特性与行为特征的信息,被称为个人生物识别信息。生物识别信息与数字密码一样,具有可复制的特性,一旦被非法收集、泄露或者买卖,不仅会对自然人的人身财产安全产生威胁或现实损害,而且无法以像更换手机号码、修改银行密码等方式来预防后续损害的发生!
小G
6
小H
那C2和C1类信息呢?
C2类别信息是可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或变更,会对个人金融信息主体的信息安全与财产安全造成一定危害,比如:证件信息(身份证、护照等)、手机号码、家庭地址、支付账号、借贷信息等。
小G
C1类别信息主要指供金融业机构内部使用的个人金融信息,该类信息一旦遭到未经授权的查看或变更可能会对个人金融主体的信息安全与财产安全造成一定影响,比如:账户开立时间、开户机构等。
小G
小H
哎,那我朋友的C2信息也暴露了……
是的。所以,在当下个人信息非法采集、买卖活动猖獗的环境下,我们一定要审慎选择金融服务机构。
小G
7
小H
小G,你前面说到金融机构应对数据的整个生命周期负责,这个生命周期是指什么?
个人金融信息的生命周期包括收集、传输、存储、使用、删除和销毁六个环节。金融机构围绕着数据的生命周期对数据进行保护,每一环节都有对应的安全技术要求和管理要求。
小G
8
小H
我最关心的是数据的使用,可以讲讲金融机构在使用个人金融信息时都有哪些安全技术要求吗?
数据的使用分为信息展示、委托处理、加工处理、共享转让、公开披露、汇聚融合和开发测试七个方面。比如说信息展示,就以银行APP为例,除银行卡有效期外,不明文展示C3类信息;展示页面有信息屏蔽处理,你的全名、资产和负债等C2类信息都要被屏蔽,需要由你自行选择才能查看……
小G
9
小H
那金融机构从业人员是否可以看到这些数据?
《规范》对金融机构应用软件的后台管理与业务支撑系统也有相应要求,比如:后台系统对支付账号、客户法定名称、支付预留手机号码、证件类或其他类识别标识信息等展示宜进行屏蔽处理,如需完整展示,应做好此类信息管理,采取有效措施防范未经授权的拷贝;后台系统不应具备开放式查询能力,应严格限制批量查询;对于确有明文查看需要的业务场景可以保留明文查看权限,后台系统应对所有查询操作进行细粒度的授权与行为审计。
小G
10
小H
那安全管理要求呢?
《规范》要求金融机构通过建立个人金融信息保护制度体系,完善组织架构、岗位设置、人员管理、访问控制、安全监测、风险评估与安全事件处理等一系列安全管理措施来保障客户数据安全。
小G
11
小H
怪不得有人说《规范》是目前出台的最严谨、细致的数据管理条例。
除了以上这些,《规范》还明确不应以默认授权方式强制收集、不应授权无资质机构收集C3、C2类别信息,比如身份证号、手机号码等可识别特定个人身份的信息,C3 类别信息以及 C2 类别信息中的用户鉴别辅助信息不应共享、转让等……
小G
12
小H
这样我就放心了!
在金融业虚拟化和网络化程度不断提升的现代社会,个人金融信息安全既是个人财产安全的基础,也关系着整个金融系统的稳定及国家安全。维护个人金融信息安全,人人有责!
小G
小H
我明白了!我一定要在朋友圈广而告之,今后要选择正规金融机构从事金融活动,同时,还要加强学习、增强防范意识,这样才能确保自己的个人金融信息等隐私信息不受侵害。
1
END
1
光大证券法律合规部出品
