手机网站
手机网站
近日,杜南记者从知情人士处获悉,金融行业标准《个人金融信息保护技术规范》(以下简称《规范》)已通过国家金融标准化技术委员会的审查,并已向各金融机构发布。《
准则》根据敏感性将个人财务信息分为三类,并要求金融机构不得通过默认授权、功能绑定等方式获取个人财务信息。他们也不应委托或授权没有相关金融资格的机构收集个人信息,如身份证号码和手机号码。
根据敏感性将个人财务信息分为三类
自去年以来,在制定个人财务信息保护条例的过程中不断采取相关行动。
去年上半年,《个人金融信息(数据)保护试点办法》被纳入央行2019年工作计划前不久,央行副行长朱公开表示,将研究和推进个人金融信息保护立法。杜南
记者了解到,去年10月,央行向部分银行下发了《个人金融信息(数据)保护试行办法》初稿,明确规定了金融机构与第三方之间的征信活动,加大了对非法收集和使用个人信用信息的处罚力度。
《规范》的发布规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期环节的安全要求,从安全技术和安全管理两个方面,对金融机构个人金融信息的保护提出了规范要求
根据《守则》,个人金融信息包括账户信息、身份信息、金融交易信息、个人身份信息、财产信息、贷款信息和反映特定个人金融信息主体某些情况的其他信息,还包括指纹和人脸等个人生物特征信息。根据
的公开数据,在《守则》之前和之后至少通过了三个版本最初的公开版本是《支付信息保护技术规范》,它将支付信息从低到高分为四类。
最新代码根据敏感度从高到低将个人财务信息分为C3、C2和C1三类
如银行卡追踪数据、账户交易密码、个人生物信息等。属于用户认证信息(C3),这是披露后最有害的。证书信息和交易流程属于能够识别个人身份和财务状况的信息(C2);开放时间属于组织内的信息资产(C1),危害最小。
不应该使用默认授权强制收集杜南个人信息保护研究中心发布的
个人信息安全报告2019显示,70%的移动金融应用权限不符合要求,超出范围申请手机权限的情况非常普遍,只有16%的应用通知了获取目的。
关于这一点,本准则认为“不得通过默认授权、功能绑定等方式进行欺骗、引诱或误导。强制个人金融信息主体提供个人金融信息”作为收集个人金融信息的基本规则之一,并要求金融机构不得隐瞒收集金融产品或服务提供的个人金融信息的功能
基于个人财务信息的特殊性和敏感性,本规范要求存储个人财务信息的介质应采用不可恢复的方法(如退磁、焚烧、粉碎等)进行销毁。)如果它们不再被使用。如果有必要继续使用,应通过多次覆盖和其他方法安全删除个人财务信息,以确保媒体中的个人财务信息不能被恢复或以其他形式使用。
此外,《条例》还提出了技术措施(如弹出窗口、在明显位置链接网址等。)来指导拥有财务信息的个人查阅隐私政策并获得他们的明确同意。
不应授权非合格机构收集手机号码
。去年下半年,上海、杭州等地的一些金融大数据公司受到调查,引发了一场行业风暴。一些金融行业内部人士表示,这些公司很可能与第三方公司非法使用爬虫数据和暴力收集有关。
在行业中,将收集服务外包给第三方公司是很常见的,也有许多大数据公司未经用户授权从非法渠道获取个人信息。这些不可避免地涉及用户个人信息
《规范》明确规定,金融行业不具备相关资质的机构不得接受委托或授权收集C3和C2的信息,如身份证号码、手机号码等能够识别特定个人身份的信息。
此外,C2类别信息中的C3类别信息和用户认证辅助信息不应被共享或转移
如果由于金融产品或服务的需要,将收集的个人金融信息委托给第三方,本准则指出,委托行为不应超出个人金融信息委托人的授权和同意范围,但应进行安全影响评估,以确保受托人具有足够的数据安全能力。
