JR_T 0171-2020个人金融信息保护技术规范.pdf

ICS 35. 240. 40A 11JR中华人民共和国金融行业标准JR/T0171—2020个人金融信息保护技术规范Personal financial information protection technical specification2020-02-13发布2020-02-13实施中国人民银行发布 JR/T1：个人金融信息经围名化处理后所得的信息不属于个人金融信息注2:改写GB/T 35273—2017，定义3.13.3. 24去标识化de-identification通过对个人金融信息的技术处理，使其在不借助额外信息的情况下，无法识别个人金融信息主体的过程。注1：去标识化仍建立在个体基础之上，保留了个体颗粒度，采用假名、加密、加盐的哈希函数等技术手段菩代对个人金融信总的标识，注2:改写 GB/T 35273—2017，定义 3.14.3. 25删除delete在金融产品和服务所涉及的系统中去除个人金融信息的行为，使其保持不可被检索、访间的状态。注：改写GB/T 35273—2017，定义3.9.个人金融信息概述4.1个人金融信息内容个人金融信息包措账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息，具体如下：a)账户信息指账户及账户相关信息，包括但不限于支付账号、银行卡磁道数据（或芯片等效信息）、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。b)鉴别信息指用于验证主体是否具有访间或使用权限的信息，包括但不限于银行卡密码、预付卡支付密码：个人金融信息主体登承密码、账户查询密码、交易密码：卡片验证码（CVN和CVN2）、动态口令、短信验证码、密码提示间题答案等。c)金融交易信息指个人金融信息主体在交易过程中产生的各类信息，包括但不限于交易金额、支付记录、透支记录、交易日志、交易凭证：证券委托、成交、持仓信息：保单信息、理赔信息等。d)个人身份信息指个人基本信息、个人生物识别信息等：个人基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址，以及在提供产品和服务过程中收集的照片、音视频等信息：·个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板e)财产信息指金融业机构在提供金融产品和服务过程中，收集或生成的个人金融信息主体财产信息，包括但不限于个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金存缴金额等。f)借贷信息指个人金融信息主体在金融业机构发生借贷业务产生的信息，包括但不限于授信、信用卡和贷款的发放及还款、担保情况等。g)其他信息：5 JR/T原始数据进行处理、分析形成的，能够反映特定个人某些情况的信息，包括但不限于特定个人金融信息主体的消费意愿、支付习债和其他衍生信息：，在提供金融产品与服务过程中获取、保存的其他个人信息。4.2个人金融信息类别根据信息遭到未经授权的查若或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。具体如下：a)C3类别信息主要为用户鉴别信息。该类信息一且遭到未经授权的查看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成严重危害，包括但不限于：银行卡磁道数据（或芯片等效信息）、卡片验证码（CVN和CVN2）、卡片有效期、银行卡密码、网络支付交易密码：.账户（包括但不限于支付账号、证券账户、保险账户）登永密码、交易密码、查询密码：用于用户鉴别的个人生物识别信息。C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融信息主体的信息安全与财产安全造成一定危害，包括但不限于：支付账号及其等效信息，如支付账号、证件类识别标识与证件信息（身份证、护照等）、手机号码。账户（包括但不限于支付账号、证券账户，保险账户）登录的用户名。用户鉴别辅助信息，如动态口令、短信验证码、密码提示间题答案、动态声纹密码：若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别，则属于C3类别信息。借贷信息，用于金融产品与服务的关键信息，如交易信息（如交易指令、交易流水、证券委托、保险步（用于履行了解你的客户（KYC）要求，以及按行业主管部门存证、保全等需要，在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。其他能够识别出特定主体的信息，如家庭地址等。c)C1类别信息主要为机构内部的信息资产，主要指供金融业机构内部使用的个人金融信息。该类信息一且遭到未经投权的查若或未经投