個人支付信息保護新規(guī):明確安全框架及安全保護范圍
人民網(wǎng)北京8月15日電 (黃盛)據(jù)中國支付清算協(xié)會消息���,為適應(yīng)國家法律法規(guī)最新要求�,更好地服務(wù)行業(yè)發(fā)展,日前中國支付清算協(xié)會對2016年發(fā)布的團體標(biāo)準(zhǔn)《個人信息保護技術(shù)指引》進行了修訂��,并更名為《個人支付信息保護指引》(以下簡稱《指引》)����。《指引》用于指導(dǎo)中國支付清算協(xié)會會員單位信息系統(tǒng)處理個人支付信息的服務(wù)與活動��。
(資料圖)
據(jù)介紹����,《指引》規(guī)范了個人支付信息的定義及范圍,提出了個人支付信息保護的基本原則���、安全框架、安全保護范圍��、業(yè)務(wù)主體及主要義務(wù)����、組織建設(shè)、人員管理、終端和業(yè)務(wù)系統(tǒng)安全等內(nèi)容����,并針對不同業(yè)務(wù)場景提出了典型的保護要求。
明確個人支付信息分類及安全框架
具體來看���,《指引》明確個人支付信息的分類——是指個人參與支付活動中涉及的��、能夠被知曉和處理��、與個人相關(guān)����、能夠單獨或與其他信息結(jié)合識別該個人的任何信息���,包括賬戶信息����、鑒別信息���、支付交易信息�����、個人身份信息�,除此之外還包括特定個人支付信息主體的消費意愿、支付習(xí)慣和其他衍生信息以及在提供支付服務(wù)過程中獲取���、加工�����、保存的其他個人信息���。
此外,《指引》在個人支付信息安全框架中提出了三項要素��,分別為支付業(yè)務(wù)主體�����、業(yè)務(wù)場景和支付技術(shù)�����。支付主體宜按照處理支付信息的主要類別開展信息保護工作����,甄別各類支付業(yè)務(wù)主體的主要職責(zé),確定自身的安全保護范圍�,并按照基本要求、管理要求�、人員要求、系統(tǒng)要求等不同的維度建立個人支付信息保護能力��;在業(yè)務(wù)場景中個人支付信息保護需要實現(xiàn)場景的全覆蓋��,根據(jù)支付服務(wù)參與角色的不同���,需要考慮用戶場景�����、業(yè)務(wù)運營場景�����、系統(tǒng)運維場景的數(shù)據(jù)保護�;支付技術(shù)宜根據(jù)支付技術(shù)的不同設(shè)定具體的個人支付信息保護要求����,包括網(wǎng)絡(luò)支付、移動支付�����、銀行卡收單等不同的技術(shù)模式。
個人支付信息安全框架����。 來源:《個人支付信息保護指引》
對于支付業(yè)務(wù)主體,《指引》表示��,個人支付信息保護需要覆蓋以下三類范圍:直接收集�、存儲、處理和傳輸個人支付信息的系統(tǒng)組件���、人員和流程�����;可能不收集�����、存儲�����、處理或傳輸個人支付信息的系統(tǒng)組件��,但它們可以連接到存儲�、處理或傳輸個人支付信息的系統(tǒng)組件���,且連接后對其訪問行為沒有有效的控制和審計的系統(tǒng)組件����、人員和流程�����;可能影響個人支付信息處理環(huán)境安全的系統(tǒng)組件�、人員和流程。
明確從業(yè)機構(gòu)及其人員的管理要求
《指引》對從業(yè)機構(gòu)的組織架構(gòu)���、個人支付信息保護負(fù)責(zé)人�����、管理制度和崗位設(shè)置分別提出了針對不同支付業(yè)務(wù)主題的管理要求����。
在組織架構(gòu)方面����,從業(yè)機構(gòu)應(yīng)建立個人支付信息保護的組織架構(gòu)����,并提供必要的資源����,保障其獨立履行職責(zé);在個人支付信息保護方面�����,負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個人信息保護專業(yè)知識的人員擔(dān)任���,參與有關(guān)個人信息處理活動的重要決策���;在管理制度方面,應(yīng)將個人支付信息保護納入到企業(yè)全面風(fēng)險管理和內(nèi)部控制流程中�����,建立適合機構(gòu)條件的決策機制��,制定有效的決策流程;在崗位設(shè)置方面����,各支付業(yè)務(wù)主體應(yīng)根據(jù)自身業(yè)務(wù)特點合理設(shè)置人員崗位,明確機構(gòu)各層級內(nèi)設(shè)部門與相關(guān)崗位個人支付信息保護職責(zé)與總體要求�。
此外�����,《指引》對從業(yè)機構(gòu)的人員錄用���、培訓(xùn)�����、轉(zhuǎn)崗或離職以及違規(guī)人員管理等方面提出了明確的要求�,支付業(yè)務(wù)從業(yè)機構(gòu)在人員錄用時需要進行必要的背景調(diào)查���,確保員工未參與過危害持卡人支付信息安全或其他信息泄漏事件��,并且簽署保密協(xié)議和信息安全責(zé)任承諾書��;在員工培訓(xùn)方面�����,員工上崗前應(yīng)及時安排其參加支付信息安全培訓(xùn)�,并至少每年開展一次支付信息安全相關(guān)的培訓(xùn)或宣貫,提升員工的支付信息安全防護意識和技能��;在員工轉(zhuǎn)崗或離職時應(yīng)立即變更����、凍結(jié)或刪除離崗員工對支付信息所有訪問權(quán)限,立即取回相關(guān)身份證件����、鑰匙等物品以及機構(gòu)提供的軟硬件設(shè)備,同時應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)��,并要求其履行保密義務(wù)�;在違規(guī)人員管理方面,應(yīng)對違反支付信息安全管理規(guī)定并造成 C2���、C3 類支付信息泄漏事件的員工進行處罰���,情節(jié)嚴(yán)重的應(yīng)向相關(guān)監(jiān)管部門報送違規(guī)員工個人信息并標(biāo)明報送原因,涉嫌違法犯罪的���,應(yīng)及時報告公安機關(guān)�����。
《指引》還要求�����,支付業(yè)務(wù)主體宜根據(jù)不同場景設(shè)計個人支付信息的保護策略��,建立個人支付信息保護基本要求���,并在支付業(yè)務(wù)系統(tǒng)中正確、有效實現(xiàn)��。例如���,用戶支付場景的信息保護至少包含用戶注冊��、用戶信息變更���、用戶登錄、支付�、交易查詢、用戶注銷等;運營場景信息保護主要包含運營人員進行信息查詢���、修改�����、刪除等操作��;運維場景信息保護主要關(guān)注數(shù)據(jù)庫����、日志等信息的保護��。(實習(xí)生王鼎倫對此文亦有貢獻)
關(guān)鍵詞:
