JRT 0171-2020 个人金融信息保护技术规范.pptx

JR/T 0171-2020;前 言;JR/T 0171-2020;JR/T 0171-2020;支付敏感信息 payment sens i t i ve i nformat i on 支付信息中涉及支付主体隐私和身份识别的重要信息。 注：支付敏感信息包括但不限于银行卡破道数据或芯片等效信息、卡片验证码、卡片有效期、银行卡密码、网络支 付交易密码等用于支付鳖权的个人金融信息. 3.4 个人金融信息主体 personal financial information subject 个人金融信息所标识的自然人。 注：改写GB/T 35273—2017,定义3. 3. 3.5 个人金融信息控制者 personal f i nanc i a I i nf ormat i on control I er 有权决定个人金融信息处理目的、方式等的机构。 注：改写GB/T 35273—2017,定义3. 4. 3.6 收集 co 11 eot 获得个人金融信息的控制权的行为。 注1：收集行为包括由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等 自动采集行为，以及通过共享、转让、搜栗公开信息等冋接获取个人金融信息等行为? 注2：如金做产品或服务提供者提供工具供个人金融信息主体使用，提供者不対个人金融伯息进行访同的，则不届 于本标准所称的收集。例如手机银行客户端应用软件在终端获取用户指税特征信息用于本地鉴权后，指纹特 征信息不回传至提供者，则不属于用户指纹特征信息的收集行为. 注 3:改写 CB/T 35273—2017,定义 3.5. 3. 7 公开披露 publ ic disclosure 向社会或不特定群体发布信息的行为。 [GB/T 35273—2017,定义3.10] 3.8 转让 transfer of control 将个人金融信息控制权由一个控制者向另一个控制者转移的过程。 注：改写GB/T 35273—2017,定义3.11. 3.9 共享 sharing 个人金融信息控制者向其他控制者提供个人金融信息，且双方分别对个人金融信息拥有独立控制权 的过程。 注：改写GB/T 35273—2017.定义3.12.;3.10;客户法定名称customers legal;JR/T 0171-2020;? 对原始数据进行处理、分析形成的，能够反映特定个人某些情况的信息，包括但不限于特 定个人金融信息主体的消费意愿、支付习惯和其他衍生信息； ?在提供金融产品与服务过程中获取、保存的其他个人信息。 4.2个人金融信息类别 根据信息遭到未经授权的査看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程 度从高???低分为C3、C2, C1三个类别。具体如下： a） C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的査看或未经授权的变更，会 对个人金融信息主体的信息安全与财产安全造成严重危害，包括但不限于： ? 银行卡磁道数据（或芯片等效信息）、卡片验证码（CVN和CVN2）、卡片有效期、银行卡 密码、网络支付交易密码； ? 账户（包括但不限于支付账号、证券账户、保险账户）登录密码、交易密码、査询密码； ?用于用户樂别的个人生物识别信息。 b） C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于 金融产品与服务的关键信息。该类信息一旦遭到未经授权的査看或未经授权的变更，会对个人 金融信息主体的信息安全与财产安全造成一定危害，包括但不限于： ? 支付账号及其等效信息，如支付账号、证件类识别标识与证件信息（身份证、护照等）、 手机号码。 ? 账户（包括但不限于支付账号、证券账户、保险账户）登录的用户名- ?用户鉴别辅助信息，如动态口令、短信验证码、密码提示冋题答案、动态声纹密码；若用 户鉴别辅助信息与账号结合使用可直接完成用户鉴别，则属于C3类别信息。 ? 直接反映个人金融信息主体金融状况的信息，如个人财产信息（包括网络支付账号余额）、 借贷信息。 ? 用于金融产品与服务的关键信息，如交易信息（如交易指令、交易流水、证券委托、保险 理赔）等. ?用于履行了解你的客户（KYC）要求，以及按行业主管部门存证、保全等需要，在提供产 品和服务过程中收集的个人金融信息主体照片、音视频等影像信息? ?其他能够识别出特定主体的信息，如家庭地址等。 c） C1类别信息主要为机构内部的信息资产，主要指供金融业机构内部使用的个人金融信息-该 类信息一旦遭到未经授权的査看或未经授权的变更,可能会对个人金融信息主体的信息安全与 财产安全造成一定影响，包括但不限于： ? 账户开立时间、开户机构； ?基于账户信息产生的支付标记信息； ? C2和C3类别信息中未包含的其他个人金融信息. 个人金融信息主