《 个人信息保护技术指引》

 ——  中国支付清算协会技术标准工作委员会发布

本规范由中国支付清算协会提出。

本规范由中国支付清算协会技术标准工作委员会归口。

本规范主要起草单位为中国支付清算协会会员单位及行业相关机构，包括：中国支付清算协会秘书处、中国银行股份有限公司、恒丰银行股份有限公司、中国电信天翼电子商务有限公司、支付宝（中国）网络技术有限公司、财付通支付科技有限公司、联动优势电子商务有限公司、上海汇付数据服务有限公司、北京中金国盛认证有限公司、中国金融认证中心。

本规范为首次发布。

 1、范围

本规范给出了信息系统处理个人信息的范围定义，界定了个人信息主体的权利，提出了系统处理个人信息的原则和个人信息的采集、展示、存储、传输、使用等行为要求。相关的法律、行政法规及标准规范中已规定个人信息处理有关事项的，从其规定。

本规范用于指导本协会会员单位利用信息系统处理个人信息的服务与活动。

2、术语和定义

下列术语和定义适用于本文件。

2.1个人信息personalinformation

可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人非敏感信息。

2.2个人信息主体subjectofpersonalinformation

2.3个人信息指向的自然人。

个人信息管理者administratorofpersonalinformation

决定个人信息处理的目的和方式，实际控制个人信息并利用信息系统处理个人信息的组织和机构。

2.4个人信息获得者receiverofpersonalinformation

从信息系统获取个人信息的个人、组织和机构，依据个人信息主体的意愿对获得的个人信息进行处理。

2.5个人敏感信息personalsensitiveinformation

一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各机构个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、指纹等。

2.6个人信息处理personalinformationhandling

处置个人信息的行为，包括采集、展示、存储、传输、使用、转移、销毁。

2.7个人信息转移personalinformationtransferring

将包括个人信息提供给个人信息获得者的行为，如向公众公开、向第三方披露、由于委托他人加工而将个人信息复制到其他信息系统等。

2.8个人信息脱敏personalinformationmasking

将个人信息中的敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。

又称数据漂白、数据去隐私化或数据变形。

2.9信息系统informationsystem

由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规划对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.10盐值salt

防止攻击者利用碰撞攻击获得信息明文而在明文哈希过程中添加的额外的随机值。

3个人信息分类

3.1个人信息种类

能够被知晓和处理、与个人相关、能够单独或与其他信息结合识别该个人的任何信息：

（一）个人身份标识与鉴别信息，包括静态密码、动态密码、密保问题答案、数字证书、生物特征信息等；

（二）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等；

（三）个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等；

（四）个人账户信息，包括银行业金融机构开立账号、银行卡有效期、卡片验证码（CVN\CVN2\CAV\CVV2\CVC\CID）、非银行支付机构的支付账户、账户开立时间、开户行、开户机构、账户余额等；

（五）个人信用信息，包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息；

（六）个人金融交易信息，包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构或非银行支付机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等；

（七）衍生信息，包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息；

（八）在与个人建立业务关系过程中获取、保存的其他个人信息。

3.2个人信息分级

本规范依据个人信息价值和安全风险的不同，划分四个等级，分别是：高敏感、中敏感、低敏感、非敏感，针对个人信息保护程度、影响程度不同，将个人信息进行特殊标注，采取必要的管理措施和技术手段，保护个人信息安全，防止未经授权检索、泄露、损毁和篡改。

——高敏感级别：重要个人信息，泄露后可能致使个人资产受到严重损失；

——中敏感级别：一般个人信息，泄露后可能致使个人资产受到损失；

——低敏感级别：其他个人信息，泄露后可能致使个人资产受到影响；

——非敏感级别：公开后对个人无影响的信息。

个人敏感信息包括高敏感、中敏感、低敏感级别个人信息，各机构应根据自身业务、安全管理要求和客户服务要求确定。

本标准的应用者可根据实际使用需要作出另外方式的分类，但分类的实质性内容与本标准不一致的应对分类依据进行说明。

4、采集

个人信息采集应具遵循最小化原则，采集的个人信息不应超出其相关业务经营活动所必要的信息范围。

个人信息采集应遵循告知原则，采集方应通过明示的事前约定、事中提醒等方式告知被采集方个人信息采集范围、个人信息的使用者及个人信息的使用方式。

个人信息使用者的变动应征得用户同意。

采集方应采取有效技术措施，以使得个人信息的机密性、完整性控制与本机构的风险偏好一致。

——对于线下采集（如填单）数据的要对承载介质的进行保护，防范非授权人员获得可恢复信息的数据片段。

——对于线上采集数据的，需要对个人信息进行保护，并对不同敏感级别的数据采取不同的安全控制措施。

——对于通过脚本自动获取或通过浏览器插件自动获得的高敏感、中敏感级别个人信息数据，需要防范数据被其他程序读取、篡改或恢复明文。

在任何情况下，个人信息获得者不得通过非法途径获取信息，例如不得从无个人信息采集资质的个人信息获得者购买个人信息，不得通过非法手段采集信息等。

5、存储

各机构应采取必要的手段和措施，在物理上保护个人信息存储的场所和存储介质不被非法访问及人为破坏，也必须在物理上控制各种可能引起数据丢失的环境因素，包括但不限于温度、湿度、电磁等因素。

对个人信息的储存介质，要有完善的访问控制机制，在操作系统、网络、应用以及数据库层面都要有适当的访问控制。

应采取有效技术措施，以使得个人信息存储时的机密性、完整性和可用性控制与本机构的风险偏好一致。

个人信息存储应按照个人信息敏感等级，采取不同的加密方式。

——对于高敏感级别个人信息，应使用不可逆密码算法加密存储，使用密码算法时宜加入盐值保证算法结果安全。

——对于中敏感级别个人信息宜采用加密存储。

——对于低敏感级别、以及非敏感的个人信息可进行加密存储。

6、传输

对访问个人敏感信息的通道宜进行限制和区分，配置严格的访问控制规则，明确个人信息传输的控制策略。

对个人敏感信息的网络传输应符合国家与行业相关标准要求，以确保个人敏感信息传输的机密性、完整性和真实性。

信息系统应采用时间戳、挑战与应答等保护机制防止第三方通过重放攻击获取个人敏感信息。

对于包含高敏感级别个人信息的应在传输过程中采取应用层加密措施，以保证数据的机密性。

7、使用

应根据“业务需要”和“最小授权”原则，严格控制访问、展示及使用个人信息。

——对信息系统中的个人信息的访问及使用应进行权限控制；

——使用者应只能访问其开展业务所必需的个人信息，以防止未经授权擅自对个人信息进行查看、篡改或破坏；

——应严格限制对存储高敏感、中敏感等级个人信息介质的访问，包括电子介质和非电子介质；

——应对高敏感、中敏感等级信息的可疑操作进行定期审计；宜以实时监控的方式对高敏感、中敏感等级信息的可疑操作进行实时控制。

个人信息的展示规则，包括了个人信息以任何形式出现时的展示要求，如网页页面、日志、文件记录、图像等。

个人信息展示应遵循最小化原则、授权原则、不被批量获取原则进行保护。

对用户密码、卡片验证码等高敏感级别个人信息不允许在任何场景明文展示。

用户登录信息系统时，信息系统可展示用户中敏感、低敏感级别个人信息。

——对银行卡号、身份证号码等个人信息宜进行脱敏后展示，经过二次认证后可明文展示；

——用户银行卡号可按照至多前6位后4位原则进行展示，宜按照仅显示后4位原则进行展示，或者进行脱敏后展示；

——用户身份证号可按照至多前5位后3位原则进行展示，宜按照前1位后1位原则进行展示，或者进行脱敏后展示。

用户未登录信息系统时，信息系统不应展示任何个人敏感信息。

用户有权对其个人信息进行授权展示机构对个人信息的使用应严格在授权使用范围内，在开发、测试等非业务环境使用时应进行脱敏处理后使用，或在与真实生产环境同等安全防护级别下进行使用。

对于涉及到高敏感、中敏感等级信息的通讯行为、过程（如关键交易）及使用行为应进行记录，记录内容应包括但不限于时间、源地址、用户、行为类型、对象、行为结果（是否成功）等。

——记录应妥善保管，以防止使用者未经授权擅自对记录进行删除、修改。

8、转移

向其他组织机构或个人转移个人信息时，个人信息管理者应确保：

——未经个人信息主体的明示同意或法律法规明确规定、或未经主管部门同意，个人信息管理者不得将个人信息转移给境外的个人信息获得者，包括位于境外的个人、境外注册的组织或机构或将主机托管在境外的组织机构；

——在转移过程前，应确保个人信息接收方能够按照本指导性技术文件的要求接收、处理、存储、使用个人信息，并明确该组织和机构的个人信息保护责任；

——在转移过程前，应向个人信息主体说明转移的目的、转移的对象、转移的具体信息；

——在转移过程中，不违背所告知的转移目的，或超出告知的转移范围；

——在转移过程中，应保证个人信息不被个人信息获得者之外的任何第三方所获得或篡改；

——应明确转移过程中及转移完成后发生个人信息泄露事件时，转移方与接收方的责任归属；

——个人信息管理者不得非法出售或者非法向他人提供个人信息。

9、销毁

采集、使用、存储个人信息的机构注销时，应按主管部门相关规定对个人信息进行处理；

个人信息如有需要配合司法机关协助调查的，其生命周期应按相关法律规定执行。

存储有个人敏感信息的存储介质在被移出机构时，应对个人敏感信息进行销毁。应确保介质所用存储容器的安全性，防止存储介质被销毁前，个人敏感信息被任何人获取。

——对存储高敏感级别个人信息的介质销毁时，应采用不可恢复的技术手段，如物理粉碎、焚毁；

——对存储中敏感级别个人信息的介质销毁时，应采用难恢复的技术手段，如消磁、多次擦写；

——对存储低敏感级别个人信息的介质销毁时，宜采用难恢复的技术手段；

——对存储非敏感级别个人信息的介质销毁时，可采用可恢复的技术手段；

——应做好相应的销毁操作记录，记录内容应包括但不限于销毁时间、销毁原因、销毁方式、介质类型、介质名称、执行人、监督人等。

10、管理要求

各机构应设若干专职岗位负责个人信息的保护工作，其工作内容应包括但不限于：

——制定供本机构使用的个人信息保护制度，对个人信息处理流程进行把关，针对机构内岗位的工作性质分配个人信息操作权限及明确安全责任。

——了解个人信息保护的相关技术，在技术上审核解决方案，确保其满足个人信息保护的需求。

——明确对违反机构内部个人信息管理制度造成危害的行为的处罚规则。

——开展机构内个人信息保护的宣传和培训工作，其培训材料和频率应满足本机构个人信息保护的需求，保证每年不少于一次。

——应制定个人信息保护政策，并在采集个人信息前对用户进行明示、告知。

——对机构内的个人信息保护工作进行监督和指导，定期对个人信息的使用范围和操作方式进行检查，配合审计工作人员对工作进行定期审计。

各机构宜对个人信息保护工作进行审计，并作为其整改或改进的材料依据。

各机构应制定个人信息泄露事件处理和响应机制，事件发生时应立即采取处置措施，防止信息扩散，保存有关记录，并及时向有关主管部门报告。

11、密码算法

个人信息保护使用的密码算法应符合国家密码管理部门相关要求，并使用国家密码管理部门公布的商用密码产品目录的密码产品。

密码算法使用的密钥在产生、交换、使用、存储、更新和销毁过程中应符合国家密码管理部门相关要求，以确保密钥的安全。