《網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)安全指南》對(duì)外征求意見 確立數(shù)據(jù)分級(jí)治理
發(fā)布時(shí)間::2021-05-12
近日��,《信息安全技術(shù)網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)安全指南》(下文簡稱“指南”)對(duì)外征求意見。指南規(guī)定了網(wǎng)絡(luò)支付服務(wù)可以收集�����、使用����、存儲(chǔ)����、共享、轉(zhuǎn)讓���、公開披露的數(shù)據(jù)種類�����、范圍��、方式��、條件等����,以及數(shù)據(jù)安全保護(hù)要求。
指南適用于網(wǎng)絡(luò)支付服務(wù)運(yùn)營者規(guī)范數(shù)據(jù)活動(dòng)����,也適用于主管監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)對(duì)網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)活動(dòng)進(jìn)行監(jiān)督�、管理��、評(píng)估時(shí)參考����。
網(wǎng)絡(luò)支付數(shù)據(jù)要分級(jí)分類保護(hù)
指南規(guī)定,網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)包括用戶數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)�����,其中用戶數(shù)據(jù)包括個(gè)人自然信息����、個(gè)人身份鑒別信息、個(gè)人資訊信息��、個(gè)人關(guān)系信息����、個(gè)人行為信息和個(gè)人標(biāo)簽信息等�����,業(yè)務(wù)數(shù)據(jù)包括賬戶信息���、商戶信息、簽約綁卡信息����、支付結(jié)算信息和經(jīng)營管理信息等。
根據(jù)網(wǎng)絡(luò)支付數(shù)據(jù)安全性遭受破壞后的影響對(duì)象和所造成的影響程度���,可以將網(wǎng)絡(luò)支付服務(wù)網(wǎng)絡(luò)數(shù)據(jù)分為四個(gè)安全級(jí)別�����,其對(duì)應(yīng)的安全要求逐級(jí)遞增�����,分別為第1級(jí)��、第2級(jí)���、第3級(jí)和第4級(jí)�。
其中���,第4級(jí)信息包括個(gè)人財(cái)產(chǎn)信息�、個(gè)人網(wǎng)絡(luò)身份鑒權(quán)信息�、個(gè)人生物特征信息、商戶身份鑒別信息等����,對(duì)應(yīng)到《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中�,基本涵蓋了C2、C3類個(gè)人金融信息�。
指南指出,數(shù)據(jù)對(duì)應(yīng)的四個(gè)安全級(jí)別在本部分場景下可能會(huì)有所調(diào)整���,比如兩個(gè)及以上無映射關(guān)系的數(shù)據(jù)項(xiàng)組成的���,數(shù)據(jù)級(jí)別不低于各數(shù)據(jù)項(xiàng)者,如3級(jí)數(shù)據(jù)與3級(jí)數(shù)據(jù)組成的數(shù)據(jù)可調(diào)整為4級(jí)�����;或者當(dāng)數(shù)據(jù)量級(jí)較大時(shí),低級(jí)別數(shù)據(jù)的等級(jí)可提升一級(jí)����,如2級(jí)數(shù)據(jù)的量級(jí)較大時(shí),可提高3級(jí)�����。
指南規(guī)定����,網(wǎng)絡(luò)支付服務(wù)運(yùn)營者應(yīng)識(shí)別數(shù)據(jù)活動(dòng)涉及的數(shù)據(jù),形成數(shù)據(jù)保護(hù)目錄���,并對(duì)網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)進(jìn)行分級(jí)分類保護(hù)�。
數(shù)據(jù)全生命周期保護(hù)
指南規(guī)定了網(wǎng)絡(luò)支付數(shù)據(jù)生命周期的安全原則�����、防護(hù)要求����,覆蓋數(shù)據(jù)采集、存儲(chǔ)�����、使用、交換等環(huán)節(jié)��。
在數(shù)據(jù)采集方面����,指南規(guī)定網(wǎng)絡(luò)支付服務(wù)運(yùn)營者收集個(gè)人信息應(yīng)遵守《信息安全技術(shù)個(gè)人信息安全規(guī)范》規(guī)定的要求,符合小��、必要原則���。
網(wǎng)絡(luò)支付服務(wù)運(yùn)營者收集收款方必要個(gè)人信息應(yīng)滿足反洗錢����、反作弊��、反欺詐等管理要求�����,范圍包括但不限于表1所列信息��。
按照小�、必要原則收集個(gè)人信息已經(jīng)成為了我國數(shù)據(jù)治理的基本原則之一,在網(wǎng)絡(luò)安全法���、個(gè)人金融信息保護(hù)技術(shù)規(guī)范���、金融數(shù)據(jù)分級(jí)指南、金融數(shù)據(jù)生命周期安全規(guī)范中都有體現(xiàn)��。
在數(shù)據(jù)使用方面���,指南規(guī)定網(wǎng)絡(luò)支付服務(wù)運(yùn)營者在數(shù)據(jù)展示時(shí)應(yīng)建立數(shù)據(jù)展示安全管控(如去標(biāo)識(shí)化)的管理規(guī)范和制度�,應(yīng)明確不同敏感級(jí)別數(shù)據(jù)的展示規(guī)則�、方法和使用限制。
在數(shù)據(jù)加工處理時(shí)����,網(wǎng)絡(luò)支付服務(wù)運(yùn)營者應(yīng)收集個(gè)人信息后,宜立即進(jìn)行去標(biāo)識(shí)化處理����,如將記錄個(gè)人支付賬戶及其關(guān)聯(lián)的銀行卡號(hào)等個(gè)人信息加密存儲(chǔ)在不同的數(shù)據(jù)表。
在數(shù)據(jù)共享方面�,指南規(guī)定網(wǎng)絡(luò)支付服務(wù)運(yùn)營者與第三方共享個(gè)人信息時(shí)應(yīng)對(duì)第三方服務(wù)商的數(shù)據(jù)安全保障能力進(jìn)行評(píng)估,以協(xié)議等方式約定雙方數(shù)據(jù)保護(hù)責(zé)任。
向第三方商戶提供號(hào)與相關(guān)支付信息的�����,應(yīng)在與第三方商戶的支付服務(wù)協(xié)議中約定個(gè)人信息處理規(guī)則與雙方數(shù)據(jù)保護(hù)責(zé)任��,同時(shí)要求第三方商戶不應(yīng)存儲(chǔ)用戶銀行卡的磁道信息或芯片信息���、驗(yàn)證碼���、有效期、口令等敏感信息����。
在數(shù)據(jù)存儲(chǔ)方面,指南規(guī)定網(wǎng)絡(luò)支付服務(wù)運(yùn)營者應(yīng)真實(shí)�、完整記錄付款方的網(wǎng)絡(luò)支付業(yè)務(wù)操作行為并保存少五年。
網(wǎng)絡(luò)支付服務(wù)平臺(tái)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的���,應(yīng)將在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)存儲(chǔ)在境內(nèi),且應(yīng)將身份鑒別類數(shù)據(jù)與基本信息類數(shù)據(jù)分開存儲(chǔ)���,應(yīng)將個(gè)人生物識(shí)別信息的原始信息和摘要分開存儲(chǔ)��。
指南強(qiáng)調(diào)�����,網(wǎng)絡(luò)支付服務(wù)運(yùn)營者不應(yīng)存儲(chǔ)用戶銀行卡的磁道信息或芯片信息�、驗(yàn)證碼、銀行卡密碼�����,不應(yīng)將網(wǎng)絡(luò)支付密碼保存在客戶端App中�����。
