官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
JR/T0171-2020《个人金融信息保护技术规范》(简称“《规范》”)于2月13日正式实施。相关金融机构关注度很高,究其原因是《规范》非常具体、明确的对个人金融信息保护提出了要求。规范在个人金融信息内容、类别做出了明确的定义,并科学的把个人金融信息生命周期明确划分为收集、传输、使用、存储、共享、删除、销毁六大过程。金融机构在个人金融信息保护工作的实际执行和数据治理过程中,有了更加明确的依据,围绕六大过程分别从安全技术要求和安全管理要求两方面展开建设指导。
1、监管合规不断加强
金融与信息科技的不断融合,个人信息在新的金融产业链中的应用场景和流转范围逐步突破传统认知,如何在金融业新业态下保护消费者的个人金融信息引发立法和执法部门的关注。此前,监管部门不仅出台一系列的政策新规,还从不同维度开展多项治理活动。监管机构陆续发布了《APP违法违规收集使用个人信息自评估指南》、《工信部337号文》、《银发237号文》、《APP违法违规收集使用个人信息行为认定方法》等,引起了大量用户对个人信息安全保护的重视,对于金融机构来说《规范》是对《银发237号文》更好的延续和诠释。
2、移动安全建设五大要点
金融机构在个人金融信息保护方面的合规建设迫在眉睫,金融机构在个人金融信息保护过程中将面临新的挑战,务必要对现有业务流程进行合规评估,对现有的数据保护技术优化更新。爱加密个人信息安全专家对《规范》进行深入的研究和分析,根据企业自身技术专长从移动安全的视角给予解读。
1、战略优先:金融机构需尽快适应《规范》要求,优化组织机构、设置相关岗位;
2、制度先行:个人金融信息全生命周期安全管理体系建立,包括制度的制定、配套文件的修订;
3、夯实技术:升级个人金融信息保护技术的工具库、知识库,形成适应企业战略和业务的个人金融信息全生命周期安全技术规范,涵盖设计、开发、测试等环节的个人金融信息保护技术梳理。
4、安全评估:金融机构要更加重视内外结合的安全评估方式,形成企业个人金融信息安全检查、安全评估、安全整改机制。
5、安全运维:更加充分的保障个人金融信息相关的网络安全运行保障,涵盖个人金融信息的存储、共享、删除、销毁等重要环节。
3、移动客户端数据安全是关键
个人金融信息安全建设的主战场之一在移动端,中国移动支付已经全面进入移动终端时代,手机App成为了主要支付工具。近几年的发展中,智能手机和App的发展速度之快超越了监管的发展,因此出现了很多问题,比如App自身合规风险、App破解攻击、代码注入攻击、仿冒App、APP数据存储风险、APP数据传输风险、SDK安全风险等。
App相关问题发展到了不容忽视的阶段,而此次《规范》的发布同样对移动客户端数据安全提出了要求,涉及到数据采集、储存、使用等多个方面;《规范》中与移动客户端应用软件直接相关的条款并未做太多列举,但是《规范》中的技术要求和安全要求几乎都适用于移动客户端应用软件,比如数据采集安全准则、去标识化等等要求。《规范》明确规定了客户端应用软件及应用软件开发工具包应符合相关技术标准并在上线前进行安全评估。
如《规范》6.2.3:客户端应用软件安全要求:与个人金融信息相关的客户端应用软件及应用软件工具包(SDK)应符合JR/T 0092-2019、JR/T 0068-2020客户端应用软件有关安全技术要求,并在上线前进行安全评估。
金融支付App备案工作在央行下发237号文后开始启动,《规范》的发布将进一步加强客户端安全的重要性。《规范》专门针对软件开发包(SDK)做出了要求,并同步出台了专项的规范JR T 0185-2020《商业银行应用程序接口安全管理规范》,几份重要规范的密集发布将帮助业内痛点问题有效改善。
4、个人金融信息收集方式、安全策略解读
此外,爱加密还对个人金融信息收集的方式以及安全策略进行了详尽的解读,如下:
个人金融信息收集的方式包括但不限于通过柜面、信息系统、金融自助设备、受理终端、客户端应用软件等渠道获取。金融业机构应遵循合法、正当、必要的原则,向个人金融信息主体明示收集与使用个人金融信息的目的、方式、范围和规则等,获得个人金融信息主体的授权同意,并满足以下要求)收集个人金融信息的基本规则如下:
| a) | 收集个人金融信息的基本规则如下: ·不应欺诈、诱骗,或以默认授权、功能捆绑等方式误导强迫个人金融信息主体提供个人金融信息; ·不应隐瞒金融产品或服务所具有的收集个人金融信息的功能; ·不应通过非法渠道间接获取个人金融信息; ·不应收集法律法规与行业主管部门有关规定明令禁止收集的个人金融信息。 |
|---|---|
| 解读 | 1、查看隐私政策所述的业务功能及收集的个人金融信息,验证是否存在单独以改善服务质量、改善程序功能、提高用户体验、定向个性化推送、研发新产品为目的收集用户个人信息的情形; 2.、试用App,验证App是否存在以默认授权、功能捆绑等方式强迫、误导个人信息主体同意其收集个人信息; 3、试用App,当App提示需要相关权限或需要提供个人信息时,判断该个人信息是否已在隐私政策中告知; 4、试用App是否收集隐私政策中未告知的个人信息; 5、查看隐私政策并试用App,核查App是否收集了相关法律法规禁止收集的个人信息。 |
| b) | 收集个人金融信息应遵循最小化要求,收集个人金融信息的目的应与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联。直接关联是指无该个人金融信息参与无法实现前述目的。 |
| 解读 | 1、查看收集的个人信息的类型与产品或服务的业务功能的关联性,根据《基本业务功能与必要信息规范》判断是否具有直接关联。 2、通过配置等方式不提供相关信息或权限,查看业务功能是否正常。 |
| c) | 收集个人金融信息时授权同意的具体要求如下 ·收集个人金融信息前,应向个人金融信息主体明确告知金融产品或服务需收集的个人金融信息类别,以及收集、使用个人金融信息的规则(如:收集和使用个人金融信息的目的、收集方式、自身的数据安全能力、对外共享、转让、公开披露的规则、投诉与申诉的渠道及响应时限等),并获得个人金融信息主体的明示同意。 ·间接获取个人金融信息时,应要求个人金融信息提供方说明个人金融信息来源,并对其个人金融信息来源的合法性进行确认;应了解个人金融信息提供方已获得的授权内容,包括使用目的,个人金融信息主体是否授权同意转让、共享、公开披露等情况:因业务需要金融业机构确需超出原授权范围处理个人金融的,应在使用个人金融信息前,征得个人金融信息主体的明示同意。 |
| 解读 | 1、试用App,查看隐私政策中是否明确告知收集个人金融信息的功能业务及对应个人金融信息类别; 2、进入应用功能界面,验证用户能否自主选择特定业务功能的开启,如通过主动点击、勾选、填写等方式。 |
| d) | 以下情形收集使用个人金融信息无需征得个人金融信息主体的授权同意: ·与履行国家法律法规及行业主管部门有关规定的义务相关的; ·与国家安全、国防安全直接相关的; ·与公共安全、公共卫生、重大公共利益直接相关的; ·与犯罪侦查、起诉、审判和判决执行等直接相关的; ·出于维护个人金融信息主体或其他主体的生命、财产等重大合法权益但又很难得到本人同意; ·个人金融信息主体自行向社会公众公开的; ·根据个人金融信息主体要求签订和履行合同所必需的; ·从合法公开披露的信息中收集个人金融信息的,如合法的新闻报道、政府信息公开等渠道; ·用于维护所提供的金融产品或服务的安全稳定运行所必需的,例如识别、处置金融产品或服务中的欺诈或被盗用等; |
| 解读 | 1、查看隐私政策是否告知了“征得授权同意的例外”; 2、查看“征得授权同意的例外”中是否包含不合理的例外情形。 |
安全策略
金融业机构应建立个人金融信息保护制度体系,明确工作职责,规范工作流程。制度体系的管理范俦应涵盖本机构、外包服务机构与外部合作机构,并确保相关制度发布并传达给本机构员工及外部合作方。相关制度应至少包括个人金融信息保护管理规定、日常管理及操作流程、外包服务机构与外部合作机构管理、内外部检查及监督机制、应急处理流程和预案。具体要求如下:
| a) | 制定个人金融信息保护管理规定,提出本机构个人金融信息保护工作方针、目标和原则。 |
|---|---|
| 解读 | 查阅个人金融信息控制者,是否制定个人金融信息保护管理规定; |
| b) | 开展个人金融信息分类分级管理。应针对不同类别和敏感程度的个人金融信息,实施相应的安全策略和保障措施。 |
| 解读 | 询问个人金融信息控制者,是否开展个人金融信息分类分级管理。 |
| c) | 建立日常管理及操作流程。应对个人金融信息的收集、传输、存储、使用、删除、销毁等环节提出具体保护要求,制定个人金融信息时效性管理规程,确保符合法律法规和行业主管部门有关规定。 |
| 解读 | 询问个人金融信息控制者,是否建立日常管理及操作流程。 |
| d) | 建立信息系统分级授权管理机制。应在不影响履行反洗钱等法定义务的前提下,制定本机构人员个人金融信息调取权限与使用范围,并制定专门的授权审批流程。 |
| 解读 | 询问个人金融信息控制者,是否建立信息系统分级授权管理机制。 |
| e) | 建立个人金融信息脱敏(如屏蔽、去标识、匿名化等)管理规范和制度,应明确不同敏感级别个人金融信息脱敏规则、脱敏方法和脱敏数据的使用限制。 |
| 解读 | 询问个人金融信息控制者,是否建立个人金融信息脱敏(如屏蔽、去标识、匿名化等)管理规范和制度。 |
| f) | 依据国家与行业有关标准,建立个人金融信息安全影响评估制度,应定期(至少每年一次)开展个人金融信息安全影响评估。 |
| 解读 | 询问个人金融信息控制者,是否建立个人金融信息安全影响评估制度。 |
| g) | 建立外包服务机构与外部合作机构管理制度,包括但不限于: ·应对个人金融信息生命周期过程中相关的外包服务机构与外部合作机构进行审查与评估评估其个人金融信息的保护能力是否达到国家、行业主管部门与金融业机构的要求;应通过协议或合同的方式,约束外包服务机构与外部合作机构不应留存C2、C3类别信息;对于C2类别信息中的支付账号等信息,若因清分清算、差错处理等业务需要确需留存,金融业机构应明确其保密义务与保密责任,并应根据安全要求落实安全控制措施,并将有关资料留档备査;对可能访问个人金融信息的外包服务机构、外部合作机构及其人员,金融业机构应要求外包服务机构与外部合作机构向有关人员传达个人金融信息保护安全要求,与其签署保密协议,并对协议履行情况进行监督。 ·不应将存储个人金融信息的数据库交由外部合作机构运维。 ·应定期对外包服务机构与外部合作机构的个人金融信息保护措施落实情况进行确认,确认的方式包括但不限于外部信息安全评估、现场检查等。 ·国家法律法规与行业主管部门另有规定的,按照相关要求执。 |
| 解读 | 询问个人金融信息控制者,是否建立外包服务机构与外部合作机构管理制度。 |
| h) | 建立个人金融信息安全检査及监督机制。应建立个人金融信息安全日常检査机制和工作流程定期评估个人金融信息管理方面存在的不足,及时调整检查机制和工作流程。 |
| 解读 | 询问个人金融信息控制者,是否建立个人金融信息安全检査及监督机制。 |
| i) | 应将个人金融信息泄露等相关事件处理纳入机构信息安全事件应急处置工作机制,制定专门的流程和预案。定期评估应急处理流程和预案,及时保障、有效应对个人金融信息安全事件,降低安全事件造成的损失及不利影响。 |
| 解读 | 询问个人金融信息控制者,是否将个人金融信息泄露等相关事件处理纳入机构信息安全事件应急处置工作机制,制定专门的流程和预案。 |
| j) | 建立个人金融信息投诉与申诉处理程序,明确投诉与申诉受理部门、处理程序,对个人金融信息主体要求更正或删除金融业机构收集其个人金融信息的情况,应受理、核实,并依据国家与行业主管部门要求予以处理。 |
| 解读 | 询问个人金融信息控制者,是否建立个人金融信息投诉与申诉处理程序。 |
| k) | 明确个人金融信息共享、存储、使用和销毁的期限,具备个人金融信息存储时效性的控制能力。 |
| 解读 | 询问个人金融信息控制者,是否明确个人金融信息共享、存储、使用和销毁的期限。 |
此次《规范》对个人信息按照敏感程度进行了清晰的界定,分别从高到低分为C3、C2、C1三个类别:
《规范》体系完整,规范细致,在流程上涵盖了个人金融信息全生命周期,也对金融机构的合作伙伴进行规制。合规从来都不是一蹴而就,但合规是金融机构平稳发展的基石之一。由于新冠疫情的影响,目前很多金融机构的运营能力未完全开启,企业可以利用此段时间加强自身内功的修炼,安全建设重心可侧重于个人金融信息安全的研究和建设。
爱加密将不断创新、优化,更加积极的参与到金融行业的合规建设,加强金融机构对消费者的个人金融信息的安全保护,防范各类金融交易风险,切实维护金融稳定,保护金融消费者合法权益。
- 0 文章数
- 0 关注者