解读央行个人金融信息保护技术规范
JR/T0171-2020《个人金融信息保护技术规范》(简称“《规范》”)于2月13日正式实施。相关金融机构关注度很高,究其原因是《规范》非常具体、明确的对个人金融信息保护提出了要求。规范在个人金融信息内容、类别做出了明确的定义,并科学的把个人金融信息生命周期明确划分为收集、传输、使用、存储、删除、销毁六大过程。金融机构在个人金融信息保护工作的实际执行和数据治理过程中,有了更加明确的依据,围绕六大过程分别从安全技术要求和安全管理要求两方面展开建设指导。
1、监管合规不断加强
金融与信息科技的不断融合,个人信息在新的金融产业链中的应用场景和流转范围逐步突破传统认知,如何在金融业新业态下保护消费者的个人金融信息引发立法和执法部门的关注。此前,监管部门不仅出台一系列的政策新规,还从不同维度开展多项治理活动。监管机构陆续发布了《APP违法违规收集使用个人信息自评估指南》、《工信部337号文》、《银发237号文》、《APP违法违规收集使用个人信息行为认定方法》等,引起了大量用户对个人信息安全保护的重视,对于金融机构来说《规范》是对《银发237号文》更好的延续和诠释。
2、移动安全建设五大要点
金融机构在个人金融信息保护方面的合规建设迫在眉睫,金融机构在个人金融信息保护过程中将面临新的挑战,务必要对现有业务流程进行合规评估,对现有的数据保护技术优化更新。爱加密个人信息安全专家对《规范》进行深入的研究和分析,根据企业自身技术专长从移动安全的视角给予解读。
- 战略优先:金融机构需尽快适应《规范》要求,优化组织机构、设置相关岗位;
- 制度先行:个人金融信息全生命周期安全管理体系建立,包括制度的制定、配套文件的修订;
- 夯实技术:升级个人金融信息保护技术的工具库、知识库,形成适应企业战略和业务的个人金融信息全生命周期安全技术规范,涵盖设计、开发、测试等环节的个人金融信息保护技术梳理。
- 安全评估:金融机构要更加重视内外结合的安全评估方式,形成企业个人金融信息安全检查、安全评估、安全整改机制。
- 安全运维:更加充分的保障个人金融信息相关的网络安全运行保障,涵盖个人金融信息的存储、共享、删除、销毁等重要环节。
3、移动客户端数据安全是关键
个人金融信息安全建设的主战场之一在移动端,中国移动支付已经全面进入移动终端时代,手机App成为了主要支付工具。近几年的发展中,智能手机和App的发展速度之快超越了监管的发展,因此出现了很多问题,比如App自身合规风险、App破解攻击、代码注入攻击、仿冒App、APP数据存储风险、APP数据传输风险、SDK安全风险等。
App相关问题发展到了不容忽视的阶段,而此次《规范》的发布同样对移动客户端数据安全提出了要求,涉及到数据采集、储存、使用等多个方面;《规范》中与移动客户端应用软件直接相关的条款并未做太多列举,但是《规范》中的技术要求和安全要求几乎都适用于移动客户端应用软件,比如数据采集安全准则、去标识化等等要求。《规范》明确规定了客户端应用软件及应用软件开发工具包应符合相关技术标准并在上线前进行安全评估。
如《规范》6.2.3:客户端应用软件安全要求:与个人金融信息相关的客户端应用软件及应用软件工具包(SDK)应符合JR/T 0092-2019、JR/T 0068-2020客户端应用软件有关安全技术要求,并在上线前进行安全评估。
金融支付App备案工作在央行下发237号文后开始启动,《规范》的发布将进一步加强客户端安全的重要性。《规范》专门针对软件开发包(SDK)做出了要求,并同步出台了专项的规范JR T 0185-2020《商业银行应用程序接口安全管理规范》,几份重要规范的密集发布将帮助业内痛点问题有效改善。
4、个人金融信息收集方式、安全策略解读
此外,爱加密还对个人金融信息收集的方式以及安全策略进行了详尽的解读,如下:
01收集
个人金融信息收集的方式包括但不限于通过柜面、信息系统、金融自助设备、受理终端、客户端应用软件等渠道获取。金融业机构应遵循合法、正当、必要的原则,向个人金融信息主体明示收集与使用个人金融信息的目的、方式、范围和规则等,获得个人金融信息主体的授权同意,并满足以下要求)收集个人金融信息的基本规则如下:
02安全策略
金融业机构应建立个人金融信息保护制度体系,明确工作职责,规范工作流程。制度体系的管理范俦应涵盖本机构、外包服务机构与外部合作机构,并确保相关制度发布并传达给本机构员工及外部合作方。相关制度应至少包括个人金融信息保护管理规定、日常管理及操作流程、外包服务机构与外部合作机构管理、内外部检查及监督机制、应急处理流程和预案。具体要求如下:
此次《规范》对个人信息按照敏感程度进行了清晰的界定,分别从高到低分为C3、C2、C1三个类别:
《规范》体系完整,规范细致,在流程上涵盖了个人金融信息全生命周期,也对金融机构的合作伙伴进行规制。合规从来都不是一蹴而就,但合规是金融机构平稳发展的基石之一。由于新冠疫情的影响,目前很多金融机构的运营能力未完全开启,企业可以利用此段时间加强自身内功的修炼,安全建设重心可侧重于个人金融信息安全的研究和建设。