近日，金標委發布《支付信息保護技術規范》（送審稿），該規范根據敏感程度對支付信息進行等級劃分，按敏感程度從低到高分為C1、C2、C3、C4四個類別。

　　《支付信息保護技術規范》規定了支付信息在收集、傳輸、存儲、使用、銷毀等生命周期各環節的技術保護要求及安全策略、訪問控制、安全運行、監測評估等保障性要求。同時，將支付信息在信息收集、保存、使用、委托處理、共享與轉讓、公開披露、事件處置等行為準則納入信息生命周期管理技術要求與安全保障性要求中，從技術、行為、保障三個層面對個人金融信息提出技術類規范要求。

　　規范適用于為金融消費者提供金融產品和服務的相關機構，從事支付業務活動或涉及支付信息處理的相關機構，開展支付等金融業務信息安全相關檢測和認證的機構可參照執行。

　　支付信息分四等級

　　《支付信息保護技術規范》將支付信息按敏感程度從低到高分為C1、C2、C3、C4四個類別，兩種或兩種以上的低類別信息經過組合、關聯和分析后可能產生高敏感程度的信息。

　　1、C4類別主要為于金融交易的用戶鑒別與授權信息。該類信息一旦遭到未經授權的查看或未經授權的變更，會對支付等金融消費主體的個人信息安全與財產安全造成嚴重危害。如交易密碼。

　　2、C3類別主要為在金融業務中收集、存儲的，可識別特定自然人身份與金融狀況的個人金融信息，以及金融消費者用于支付等金融業務的關鍵信息。該類信息一旦遭到未經授權的查看或未經授權的變更，會對支付等金融消費主體的個人信息安全與財產安全造成一定危害。如支付賬號、身份證號。

　　3、C2類別信息主要為機構內部的信息資產，主要指供內部使用但不能對外公開的個人金融信息，以及與個人金融安全保護相關的信息系統安全功能數據。該類信息一旦遭到未授權查看或變更，可能會對支付等金融消費主體的個人信息安全與財產安全造成危害。如開戶銀行及時間，交易流水。

　　4、C1類別信息是指機構在特定條件下可以對外公開或披露的個人金融信息，以及支付等金融服務機構有關信息。這類信息泄露不會對機構或他人造成任何影響，如金融機構名稱、金融機構營業網點地址；支付機構名稱、辦公地址；商戶名稱等公開信息。

　　值得一提的是，規范要求金融機構在履行“反洗錢”等法定義務時，個人金融信息的等級應不低于C2。

　　在信息的收集方面，《支付信息保護技術規范》要求，金融機構不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集支付信息。

　　1、應合法收集支付信息；

　　2、應依據最小化原則，收集與為金融消費者提供的金融產品或服務有直接關聯的支付信息，不得收集與業務無關的支付信息；

　　3、收集信息時，應獲得個人金融主體的明示同意，其中14歲未成年以下應由監護人明示同意；

　　4、當金融機構通過格式條款取得支付信息書面（包括電子化的協議）明示同意時，應在條款中明確該授權（或者同意）所適用的向他人（包含第三方機構）提供支付信息的范圍和具體情況，并在協議的醒目位置使用通俗易懂的語言明確向金融消費者提示該授權（或者同意）的可能后果；

　　5、金融機構不得以概括授權的方式，索取與其為個人信息主體提供的金融產品和服務不直接相關的支付信息。

　　業務外包和被收購，支付信息保護有要求

　　在支付行業，業務外包模式被普遍應用，《支付信息保護技術規范》對支付信息的委托處理進行了細化要求，這將影響外包機構的相關業務，要求金融機構需要對外包機構進行評估、監督并保存相關信息處理記錄。特別需要注意的是，規范要求上述C4、C3類支付敏感信息，不得委托外包機構進行數據處理。若因業務需要留存C3類信息，應報行業主管部門備案；

　　在信息的共享與轉讓方面，規范要求金融機構原則上不得共享、轉讓其收集的支付信息。金融機構非因收購、兼并、重組等原因，確需共享、轉讓支付信息時，應充分重視信息安全風險，并遵守相關原則。由于市場趨于薄利化、政策監管趨嚴，支付機構的收購、兼并、重組時常發生，規范為企業變動之后的支付信息的處理問題提供了參考。

　　相關原則包括：

　　1、應事先開展全面的個人信息安全影響評估，并依據評估結果采取有效的保護個人信息主體的措施；

　　2、向個人信息主體告知共享、轉讓支付信息的目的、數據接收方的身份和數據安全保護能力，并事先征得個人信息主體明示同意。共享、轉讓經去標識化處理的支付信息，且確保數據接收方無法重新識別個人信息主體的除外；

　　3、準確記錄和保存支付信息的共享、轉讓情況，包括共享與轉讓的日期、規模、目的，以及數據接收方基本情況與使用意圖等；

　　4、金融機構應幫助個人信息主體了解數據接收方對支付信息的存儲、使用等情況，包括個人信息主體的權利，例如訪問、更正、刪除、注銷賬戶等；

　　5、除卡片有效期外的C4類信息，以及C3類信息中的用戶鑒別輔助信息不得共享、轉讓。

　　當因收購、兼并、重組等情況，對個人信息主體提供金融產品或服務的金融機構主體變更而發生支付信息共享、轉讓時，金融機構應：

　　a) 將其提供的金融產品或服務移交至其他金融機構的情況，以向金融消費者逐一傳達（或公告）的方式通知個人信息主體；

　　b) 承接其金融產品或服務的金融機構，應對其承接運營的金融產品或服務繼續履行支付信息保護責任；如變更其在收購、兼并重組過程中獲取的支付信息使用目的，應重新獲得個人信息主體明示同意（或授權）。

　　此外，當出現國家安全、公共安全、刑偵等重大事件時，金融機構共享、轉讓支付信息無需事先征得個人信息主體的授權同意。

　　在支付信息生命周期保護技術要求上，規范分別對收集、傳輸、存儲、使用、銷毀等步驟有詳細的要求?！　?/p> 1024你懂的国产日韩欧美_亚洲欧美色一区二区三区_久久五月丁香合缴情网_99爱之精品网站

責任編輯：韓希宇