ICS 35.240.40 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0171—2020 个人金融信息保护技术规范 Personal financial information protection technical specification 2020 - 02 - 13 发布 2020 - 02 - 13 实施 中国人民银行 发 布 JR/T 0171—2020 目 次 前言..................................................................................................................................................................... II 引言................................................................................................................................................................... III 1 范围................................................................................................................................................................. 1 2 规范性引用文件............................................................................................................................................. 1 3 术语和定义..................................................................................................................................................... 1 4 个人金融信息概述......................................................................................................................................... 5 5 安全基本原则................................................................................................................................................. 7 6 安全技术要求................................................................................................................................................. 7 7 安全管理要求............................................................................................................................................... 12 附录 A（资料性附录） 信息屏蔽..................................................................................................................18 参考文献............................................................................................................................................................. 20 I JR/T 0171—2020 前 言 本标准按照GB/T 1.1—2009给出的规则起草。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会（SAC/TC 180）归口。 本标准起草单位：中国人民银行科技司、中国人民银行郑州中心支行、北京银联金卡科技有限公司、 中国银行股份有限公司、中国银联股份有限公司、网联清算有限公司、浙江蚂蚁小微金融服务集团股份 有限公司、拉卡拉支付股份有限公司、中国金融电子化公司、中国人民银行武汉分行、中国工商银行股 份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、中国平安保险（集团）股份有 限公司、北京中金国盛认证有限公司、北京软件产品质量检测检验中心、中金金融认证中心有限公司、 信息产业信息安全测评中心、华泰证券股份有限公司、中国人民保险集团股份有限公司、财付通支付科 技有限公司、中国支付清算协会、中国互联网金融协会、建信金融科技有限责任公司。 本标准主要起草人：李伟、李兴锋、张宏基、关晓辉、刘雨露、汤沁、郭琳诤、赵战勇、熊继承、 渠韶光、孟飞宇、高强裔、陈聪、居崑、陈雪秀、公丽丽、徐艳姣、牛小伟、王欢、展昭、强群力、郭 林、杨萌、陈俊、李意、冯坚坚、唐凌、黄本涛、魏猛、刘琼瑶、赵旭、孙垚、周利华、母延燕、王家 炜、张扬、蔡嘉勇、刘洋、孙鹏亮、聂丽琴、刘力慷、牛跃华、陈伟、王秀君、任凤丽、谢宗晓、董亚 南、张旭刚、刘健、董晶晶、张嵩、于晓雪、吴永强、陆家有、石竹君、于沛、侯晓晨、田然、王泽航、 何伟明、梁伟韬。 II JR/T 0171—2020 引 言 个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财 产信息、借贷信息等方面的扩展与细化，是金融业机构在提供金融产品和服务的过程中积累的重要基础 数据，也是个人隐私的重要内容。个人金融信息一旦泄露，不但会直接侵害个人金融信息主体的合法权 益、影响金融业机构的正常运营，甚至可能会带来系统性金融风险。为加强个人金融信息安全管理，指 导各相关机构规范处理个人金融信息，最大程度保障个人金融信息主体合法权益，维护金融市场稳定， 编制本标准。 III JR/T 0171—2020 个人金融信息保护技术规范 1 范围 本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护 要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。 本标准适用于提供金融产品和服务的金融业机构，并为安全评估机构开展安全检查与评估工作提供 参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T 25069—2010 信息安全技术 术语 GB/T 31186.2—2014 银行客户基本信息描述规范 第2部分：名称 GB/T 31186.3—2014 银行客户基本信息描述规范 第3部分：识别标识 GB/T 35273—2017 信息安全技术 个人信息安全规范 JR/T 0068—2020 网上银行系统信息安全通用规范 JR/T 0071 金融行业信息系统信息安全等级保护实施指引 JR/T 0092—2019 移动金融客户端应用软件安全管理规范 JR/T 0149—2016 中国金融移动支付 支付标记化技术规范 JR/T 0167—2018 云计算技术金融应用规范 安全技术要求 3 术语和定义 GB/T 25069—2010、GB/T 35273—2017界定的以及下列术语和定义适用于本文件。 3.1 金融业机构 financial industry institutions 本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息 处理的相关机构。 3.2 个人金融信息 personal financial information 金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。 注 1：本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及 其他反映特定个人某些情况的信息。 注 2：改写 GB/T 35273—2017，定义 3.1。 1 JR/T 0171—2020 3.3 支付敏感信息 payment sensitive information 支付信息中涉及支付主体隐私和身份识别的重要信息。 注：支付敏感信息包括但不限于银行卡磁道数据或芯片等效信息、卡片验证码、卡片有效期、银行卡密码、网络支 付交易密码等用于支付鉴权的个人金融信息。 3.4 个人金融信息主体 personal financial information subject 个人金融信息所标识的自然人。 注：改写GB/T 35273—2017，定义3.3。 3.5 个人金融信息控制者 personal financial information controller 有权决定个人金融信息处理目的、方式等的机构。 注：改写GB/T 35273—2017，定义3.4。 3.6 收集 collect 获得个人金融信息的控制权的行为。 注 1：收集行为包括由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等 自动采集行为，以及通过共享、转让、搜集公开信息等间接获取个人金融信息等行为。 注 2：如金融产品或服务提供者提供工具供个人金融信息主体使用，提供者不对个人金融信息进行访问的，则不属 于本标准所称的收集。例如手机银行客户端应用软件在终端获取用户指纹特征信息用于本地鉴权后，指纹特 征信息不回传至提供者，则不属于用户指纹特征信息的收集行为。 注 3：改写 GB/T 35273—2017，定义 3.5。 3.7 公开披露 public