2020年2月13日,《个人金融信息保护技术规范》(JR/T 0171—2020)(以下称“规范”)金融行业标准由中国人民银行正式发布。该规范规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。规范的发布实施有助于规范金融业机构个人金融信息保护工作,提升金融数据风险防控能力,促进我国金融市场的健康发展。
同时,有助于提高金融机构个人账户信息、银行卡信息安全管理水平,加大互联网交易风险防控力度,防范各类金融交易风险,切实维护金融稳定,保护金融消费者合法权益。其出台对金融业机构保护金融消费者个人信息提出了更高的要求,如何防止个人金融信息泄露的情况发生以及加强个人金融信息安全管理成为金融行业风险管理工作的重中之重。
此外,企业仍需着重关注规范所拟定的合规要求与既存合规义务的衔接,尤其是网络安全体系下的《网络安全法》、《个人信息安全规范》与《网络安全等级保护基本要求》等关于个人信息保护和网络运行安全的规定,以及金融监管体系下的央行17号文、《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》与《中国人民银行金融消费者权益保护实施办法》等关于个人金融信息保护的相关要求。
PwC规范的框架和主要内容个人金融信息内容01个人金融信息类别02安全运行技术要求04安全管理要求0503个人金融信息生命周期•账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息、其他信息根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程由高到低分为C3、C2、C1三个类别:•C3类别信息主要为用户鉴别信息;
•C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息;•C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。•生命周期指:收集、传输、存储、使用、删除、销毁等处理的整个过程,每个环节都有相对的技术要求。•网络安全要求•Web应用安全要求•客户端应用软件安全要求•密码技术与密码产品要求•安全准则•安全制度体系建立与发布•组织架构岗位设置•安全检查和评估、安全事件处置
