央行发布《个人金融信息保护技术规范》,无资质不得收集手机号等信息

发布时间:2020-02-28

近日,全国金融标准化技术委员会(简称“金标委”)发布了《个人金融信息保护技术规范》(以下简称“《规范》”)。《规范》适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。

根据《规范》,个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。

个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。

因此,《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。


个人金融信息按敏感度分为三类

《规范》将个人金融信息由高到低分为C3、C2、C1三个类别,C3主要为各类账户密码,C2主要为账户、身份证信息、短信口令、KYC信息、住址等,C1主要为开户时间、支付标记信息等。

无资质不可收集C3、C2类别信息

在信息收集方面,《规范》要求“不应委托或授权无金融业相关资质的机构收集C3、C2类别信息”,这一条使得许多非持牌机构在金融信息的收集上异常被动。另外,C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让。

在信息传输方面,《规范》则要求“应建立相应的个人金融信息传输安全策略和规程,采用满足个人金融信息传输安全策略的安全 控制措施,如安全通道、数据加密等技术措施”,以此进一步保障个人金融信息传输过程的安全。

此外,针对安全运行要求中的Web应用安全,《规范》提出:

不应以默认授权方式强制收集

《规范》将“不应欺诈、诱骗,或以默认授权、功能捆绑等方式误导强迫个人金融信息主体提供个人金融信息”作为收集个人金融信息的基本规则之一,并要求金融业机构不应隐瞒金融产品或服务所具有的收集个人金融信息的功能。

个人信息的安全检查和评估

《规范》对金融业机构应对个人金融信息生命周期全过程进行的安全检査和评估提出了具体要求,比如每年进行一次的“对信息系统进行信息安全评估、漏洞扫描和渗透测试,并及时采取补救措施”。