lCS 35. 240. 40
A 11
J
中华人民共和国金融行业标准
JM 0171-2020
个人金融信息保护技术规范
Personal fmancial infOlmation protection technical specification
2020 - 02 -1 3 发布
2020 - 02 - 13 实施
中 国人民银 行
发布
JR/T 0171- 2020
目;欠
前言
… …. . . ..… …
....... … …… … . . . .……e …… … …… . . …....................... II
引言 .. . . . . .. . . . . . . . . .. . . . . .. . . .. . . . . . . . . .. . . . . .. . . .. . . . . . . . . .. . . . . .. …e ………. . . . .… … . . …… ………….............. 1 T.l
.……….
l 范围 @川川"川 川 川....川川 川.... . . . . . . ... . . . . •• . ... . . . . . . . ... 叮….………@川………@川………@川………@川………..……….υ…. .…. .……"川….们..……….
.………. .….υ….川@川………@川…..………..….
.…. .川.吁叮叩..……... ..….. ......…. •• . ... . . . . . . . .... . .………..... ...… l
2 规范性号 1m 文件.... . . . .• ... . . …… …. . . . . . ... . . . •••. ... . . . . . . . ... . . . ••• . ... . . ….... ... . . …… …. . . . . . ... . . . •••. ... . . . . . . .. 1
3 术语和定义 … … …M …
. . … … … … . .
… 山 ……... ... … . . … … … 1
4 个人金融信息概述.. . . ………. . . .川 ……… " ………… .. …………. . . ………. . . ..………… ......... . 5
5 安全基本原则 .. ....…
6 安全技术要求 "… … … ……· … ……….... … … …
... . . ••• . . .. . . . . . . . ...…..… ………… .7
7 安全 tn里要求 …· ……. . … …… ……. .… . . . . ……… …... ... . . . . . . . . . .. . .… … 12
附录 A (资 料性附录〉 信息屏蔽 .. . . . .. . . . . •. . . .. . . . . . . . …. . . .. …… … .. . . .. . . . .. . ….... . ….... . … .. ……· …......18
参考文献…..………………………………………… .
I
JR/T 0171-2020
目IJ
ï=i
本标准按照Gß/T 1. 1 -2009纷出的规则起草 。
本标准由中国人民银行提出。
本标准由全国余融标准化技术委员会 (Si\C/TC 180 ) 归 口。
本标准起草单位 : 中国人民银行科技司、中国人民银行郑州中 心支行、北京银联金卡科技有限公司 、
中阎银行股份有限公司 、 中国领I联股份有限公司 、 网耳~}高级有限公司 、 浙江蚂蚁小微金融服务集团股份
有限公 词 、 拉卡拉支付股份有限公 司 、中国金融、电子化公司、中国人民银行武汉分行、中因工商银行股
份有限公司 、 中国农业银行股份有限公司、中国建设银行股份有限公司 、中 国平安保险(集团〉股份有
限公司、北京中金困Jn~认i正有限公司、北京软件产品质是检测检验中心、中金金融认i正中心有限公司 、
信息产业信息安全测评中心、华泰ìif:券股份有限公 司 、中国人民保险集团股份有限公司、财付jlÏÌ支付科
技有限公司 、 中国支付 消算协会 、 中国互联网金融协会 、 建{吉金融科技有限资任公司。
lT
JR/ T 0171- 2020
号|
~
E司
个人金融信息是个 人信息在金融领域 围绕账户信息 、 鉴别信息 、 金融交易信息 、个人身份信息 、 财
产信息 、 借贷信息等方面 的扩展与 细化, 是金融业机构在提供金融产品和服务的过程中积累 的亟要基础
数据 , 也是个人 隐私的重要内容。 个人金融信息一旦池馁, 不但会直接侵害个人金融信息主体 的 合法权
讯 、 影响金融业机构 的正常运窍 , 甚至可能会带来系统性金融风险 。 为加强 个人金融信怠安全管颊 , 指
导各相关机构规范处理个人金融信息 , 最大程度保隙个人金融信息主体合法权益,维护' 金融市 场 稳定,
编制l 本标准。
Jl[
JR/T 0171- 2020
个人金融信息保护技术规范
1 范围
本标准规定了个人金融信息在收集、传输、存储 、 使用 、删除、 销毁等生命周期各环节的 安全防护
要求,从安全技术和 l 安全管现两 个方面 , 对个人余融、信息保护提出了规范性要求。
本标i1t适用于提供金融产品和服务的金融业机构 , 并为安全评估机构开展安全检查与评仿工作提供
参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的 。 凡是改日期的号i 闲文件 , 仅'/ì日期的版本运用 丁本文件。
儿是不放日 期 的引用文件,其最Wi版*(包指所有的修改单}适用于本文件。
GB/ T 22239-2019 信息安全技术 网络安全等级保护基本~求
Gß/ T 25069-20 1 0 信息安全技术术iE
Gß/ T 31186, 2-20 14 银衍客户基本信息描述规范 第2部分 · 名称
GB/ T 31 186, 3-20 11 银行客户基本信息指法规范 第 3部分 . 识别标识
Gß/ T 35273-20 17 信 息.安全技术 个人信息安全规范
.TR/ T 0068-2020 网上恨衍系统信息安全通用规范
.TR/ T 0071 金融行、IH言 息系统信息安全等级保护实施指引
JR/ T 0092-2019 移动余融、客户端应用软件安全管迎规范
JR/ T 0119- 2016 中国金融移动支付 支付标记化技术规范
JR/ T 0167-2018 云计算技术金融应用规泡 安全技术要求
3 术语和定义
GB/ T 25069一20 1 0、 Gß/T :35273-2017界 定 的以及下列术语和定义运用丁本文件。
3. 1
金融业机构 f i nanc ia l i ndustry institutions
本标准中的金融业机构是指由国家金融管理部门监督管理的持牌.金融机构,以及涉及个人余融、信息
处理的相关机向。
3. 2
个人金融信息 pe rsona l financ ia l informat ion
金品11业 机构通过提供金融产品和服务或者其他渠道获取 、 加工和1保存 的个人信息。
i主 1 : 水标准中的个人金融信息包括账户 信 息、鉴别信息、金融交易信息、个人身份信息、财产信息 、 借贷信息及
其他反映特定个人某些情况的信息.
注 2 : 改写 Gß/T 35273--2017. ~义 3. 1.
JR/ T 01 71 - 2020
3. 3
支付敏感信息 payment sens it i ve information
支付信息中涉及支付主体隐私利身份识别 的蠢要信息。
注: 支付敏感信息、包括但不限于银仔卡磁i草数据~)t;芯片等效信息、卡片验研.码、卡片有效j朗、银衍卡密码 、 网络交
付交易密码等刷子支付鉴权的个人金融信息.
个人金融信息主体 persona l f i nanc ia l infor mat ion sub ject
个人金融信息所标识 的 自然 人 。
j主· 仪写ω:/T 35273- 2017, ltr义3. 3.
个人金融信息控制者 per sona l f i nanc i al
i nformat ion contro l ler
有权决定个人金融信息处理目 的、 方式等的机构。
j主· 改写Gß/T 35273- 2017, ltr 义3.4
3. 4
3. 5
3. 6
收集 co ll ect
获得个 人金融信息的控制权的行为。
j主 1 : 收集行为包括由个人金融信息主体主动提供 、 通过与个人金融信息主体交豆豆且记录个人金融信息主体行为等
自动采集付J~. 以及通过共享 、 转让、搜集公开信息等l可接获取个人金融信息等行为.
注 2: 如金融产品!iJ(服务提供者提供工具供个人金融H吉思主体使用 , 提供销f-1~对个人金敝信息地行访问的 . 皿rJ -'1、属
于本标准所称的收集 . 例如手机银行客户瑞应用软件在终端获取用户 lli 纹特征信息用于本地接权后 , m纹j守
在E信息不囚传至提供者,则不属于用户指纹特翻信息的收集衍为。
注 3 : 改写 Gß/T 35273- 2017. æ义 3.5 0
3. 7
3. 8
公开披si
pub l ic d isclosure
向社会或不特定群体发布信息的行为 。
[ Gß/T 35273--2017, 定义 3. 10 ]
转 ì! transfer of contro l
将个人金融信息控制权由一个控制者向另一个控制者转移 的 过程。
注· 歧'号Gß/T 35273-2017 , 定义3. II 。
3. 9
共享 s har i n
个人金融信息控制者向其他校审IJ 者提供个 人金融信息 , .四双方分别对个 人金融信息拥有独立饺制权
的过程。
i主 改写Gß/T 35273-2017, 定义3. 12.
2
3.10
个人金融信息安全影响评估 persona l financ ia l i nf ormat ion secu r ity impact assessment
针对个人金融、信息处理活动 , j金验其合法合规程度 , 判断其对个人金敬信息主体合法权益造成。损害
的各种风险 ,以及评估用于保护个 人金融信息主 体的各项指施有效性的过程 。
JR/ T 0171- 2020
洼 , 改写ω/丁 35273-201 7 , 定义3. 8.
3, 11
支付账号 payment account
具有金融交易功能的银行账户、非银行支付机构支付账户及银行卡卡号 。
洼 , 改写JRlT 0149-20 16 , 定义3. 1.
3, 12
支付标ì~
payment t oken (Token)
作为支付账号等原始交易姿索 的 替代值,用于完成特定场景支付交易。
[JR/T 0 149--20 16, }主 义3, 2]
3, 13
磁道数据 track data
-~雄、 二 磁和三磁定义 的必备或可i寇的敛$唐元 .
;主 , 磁fE数扮i可以在物理卡的1滋条上 . 也可以被包含在集成电路或者其他跟介上 a
[JR/ T 00(\ 1--20 11 , 定义 3. 20]
3.14
卡片验证码 card ve r if i cat ion number; CVN
对磁条信息合法性进行验泌的代码 。
[JR/ T 0061--20 11 , 定义8. 7]
3.15
卡片验证码 2
card ve r i fication numbe r 2; CVN2
在 邮购或电话订购等非而对丽交易中对银行卡卡片合法性进行验证 的代码 。
[JR/ T 0061--20 11 , 定义8, 8]
3.16
动态口令 。ne-t ime-password (OTP) , dynam i c password
基于时阅、 事件等方式动态生成的 - 次性口令 。
[GM/ Z 0001--20 13, JE义2, 151
3.17
短信动态密码 SMS dynamic code
SMS code
短信验iiH马
后台系统以手机短信形式发送到j月1 户 绑定手机上 的随机数,用户通过回复该随机数jlH于身份认证 。
[JR/T 0088.1--20 12 . 定 义 2. 44]
3
JR/ T 0171 - 2020
3. 18
客户法定各称 custome r' s 1 ega 1 name
在法律上认可 的客户名称。
j主 1 : 客户法定名称-般记录征回家授权部门颁发给客户的证件上,本际t佳客户' 斗,ID!指自然人客户 。
注 2: 改写 GßIl 3 1186.2-20 1-1 . 定义 3. 2.
3. 19
证件类识别标识 lega l d i scr imi 阳 t i ng 10
由国家法定有权部 门 颁发 , 能够I唯一确定客户的启具有法律效力的标识.
j主 1: ìiE斜,突识m标识是外派性敛据。外激性。数据'i意l味着数财的攸附者不是数据的所有者 . 数榕在产生、变更、废
止后可能不为数据的使用高所知悉.
注 2 : 本标准的使用者因本身 收务衍求而产生的内部说钊类标识. -'1')虫在使用者外部使用 . 也不具有法律效力.
j主 3: 改写 GB/T 31186. :1-201 4 ,定义 3. 2.
3. 20
朱经授权的查看 unauthor i zed readi ng
米得到信息的所有者或有权授权人授权对信息的查肴 。
注 1 : 米经授权的资看可能是普葱的 , 也可能是恶忘的 : 信息处理者无意汹巍的未经授权的资者为信息泄露事件 :
攻击者通过侦栩实·安金捕施无效的!I~~面有意获取的米经授权的查看为信息衍取事件.
j主 2 : 非法盒看是对米经授权的聋肴的-;1\中不1'Y.i:'业i且在特定il(J ì哥城下:11:无二 义性的提法.
3. 21
未经授权的变更 unauthor ized a l ter i ng
禾得到信息 的 所有者或有权授权人授权对信息的交览。
i主 1 : 茸、经授权的变更典型地分为未经授权的增加( ~~增加l全新的内容〉 、未经J费4茸的ll!改(目R修改现有的内咨)
就未经授权的删除 ( Mll 删除原有的内容) 三种悄况,也可能是三'将B情况的ill合.
注 2: 未经投权的变更可能是静态的 , 也可能是越恋的 : 往往表视为倍息去Z改哥~f~ 、伯息假冒事仰、倍!且丢失尊件
哩~()
j主 3: 非法变更是对未经授仪的变更的一种不严谜但在特定的诏境下并无二义性的草草法.
3. 22
明示同意 exp l i c i t consent
个人金融信息主体通过书面声明或主动作出肯定性动作,对其个人金融信息进行特定处理作出明确
授权的行为。
i主 1 : 肯定性;;tJ作包据 个人金融信息主体主动作出声明〈 电子或纸质形式) 、 二运动勾远 、 ZEUJ ftfk ·· 同志 n " 注册 "
"发i萃" <<拨打"、主动填写成提供得 .
注 2: 改'在手 GB/T 35273-20 17. 定义 3. 6 .
3. 23
匿各 化 anonym i zat i on
通过对个人金融信息 的技术处础, 使得个人金融信息主体无法被识剔 , 且处J.lIl后的信息不能被复原
的i立程。
4