□記者 許予朋
(相關(guān)資料圖)
8月9日,中國支付清算協(xié)會發(fā)布《個人支付信息保護指引》(以下簡稱《指引》)。據(jù)了解����,《指引》是在中國支付清算協(xié)會2016年發(fā)布的團體標準《個人信息保護技術(shù)指引》上修訂而成的��。與“初始版本”相比,《指引》明確了個人支付信息安全框架���,確定支付業(yè)務(wù)主體開展個人支付信息保護時的基本范圍��,并對從業(yè)機構(gòu)人員��、系統(tǒng)���、管理提出了更細致的要求。
《指引》明確���,個人支付信息的使用��、加工應(yīng)嚴格限制其使用目的�。原則上����,支付業(yè)務(wù)主體不應(yīng)在支付業(yè)務(wù)以外的情形下使用個人支付信息。個人支付信息不應(yīng)提供給非業(yè)務(wù)相關(guān)方����,個人支付信息不允許公開�����。
各支付業(yè)務(wù)主體應(yīng)建立信息保護組織架構(gòu)
在支付業(yè)務(wù)中���,個人支付信息需要在包括收單機構(gòu)�、賬戶機構(gòu)、清算機構(gòu)等在內(nèi)的不同支付業(yè)務(wù)主體之間流轉(zhuǎn)�。
對于支付業(yè)務(wù)主體,《指引》明確了個人支付信息保護需要覆蓋的范圍��,包括:直接收集���、存儲�����、處理和傳輸個人支付信息的系統(tǒng)組件���、人員和流程;可能不收集�����、存儲、處理或傳輸個人支付信息的系統(tǒng)組件����,但它們可以連接到相關(guān)系統(tǒng)組件,且連接后對其訪問行為沒有有效的控制和審計的系統(tǒng)組件�����、人員和流程����;可能影響個人支付信息處理環(huán)境安全的系統(tǒng)組件、人員和流程����。
對于人員、系統(tǒng)��、管理這三項個人支付信息安全中的關(guān)鍵要素���,《指引》也做出了具體規(guī)定�。
《指引》明確����,各支付業(yè)務(wù)主體應(yīng)建立個人支付信息保護組織架構(gòu)����,并提供必要資源�����,保障其獨立履行職責�����;應(yīng)根據(jù)自身業(yè)務(wù)特點合理設(shè)置人員崗位���,確保各崗位根據(jù)“業(yè)務(wù)必須”和“最小化”原則,嚴格控制訪問和使用支付信息��;宜根據(jù)不同場景設(shè)計個人支付信息保護策略����,建立個人支付信息保護基本要求,并在支付業(yè)務(wù)系統(tǒng)中正確���、有效實現(xiàn)�。
易觀分析金融行業(yè)高級咨詢顧問蘇筱芮向《中國銀行保險報》記者介紹,近年來��,信息安全與數(shù)據(jù)保護日益成為金融業(yè)的重要議題�����,支付行業(yè)作為金融行業(yè)中數(shù)據(jù)極為密集的細分行業(yè)���,擁有數(shù)以億計的個人用戶��,更需要加強對數(shù)據(jù)�����、信息的防護�����。
“目前支付業(yè)數(shù)據(jù)要素應(yīng)用已經(jīng)存在大量實踐����,但在管理制度方面還存在一定短板����?����!吨敢凡坏珜臉I(yè)機構(gòu)管理��、從業(yè)機構(gòu)的人員管理提出具體要求���,而且還細化了業(yè)務(wù)流程標準,對于督促支付領(lǐng)域市場機構(gòu)有序開展個人信息保護工作來說具有積極意義��?���!碧K筱芮說。
不得將交易處理�、資金結(jié)算等工作外包
具體到不同類型的支付業(yè)務(wù)主體��,《指引》分別對其應(yīng)如何管理交易信息做出了具體要求���。
對于收單機構(gòu)����,《指引》要求�����,收單機構(gòu)應(yīng)根據(jù)特約商戶受理銀行卡交易的真實場景,按照相關(guān)清算機構(gòu)和發(fā)卡銀行的業(yè)務(wù)規(guī)則和管理要求����,正確選用交易類型。同時����,收單機構(gòu)需準確標識交易信息并完整發(fā)送,確保交易信息的完整性��、真實性和可追溯性����。不應(yīng)將收單業(yè)務(wù)交易處理、資金結(jié)算����、風險監(jiān)測、受理終端主密鑰生成和管理����、差錯和爭議處理工作交由外包服務(wù)機構(gòu)辦理。不應(yīng)將外包服務(wù)機構(gòu)拓展為特約商戶并接收其發(fā)送的銀行卡交易信息��。
對于賬戶機構(gòu),《指引》提出����,賬戶機構(gòu)為客戶開立支付賬戶的,應(yīng)對客戶實行實名制管理����,登記并采取有效措施驗證客戶身份基本信息;應(yīng)建立客戶唯一識別編碼�,并在與客戶業(yè)務(wù)關(guān)系存續(xù)期間采取持續(xù)的身份識別措施,確保有效核實客戶身份及其真實意愿�����。
對于清算機構(gòu)�����,《指引》強調(diào)�����,清算機構(gòu)應(yīng)對從清算服務(wù)中獲取的身份信息�、賬戶信息�、交易信息以及其他相關(guān)信息等個人支付信息予以保密��;除法律法規(guī)另有規(guī)定外����,未經(jīng)用戶個人授權(quán)不應(yīng)對外提供����。
實際上,近年來針對收單機構(gòu)等支付業(yè)務(wù)主體的相關(guān)監(jiān)管正持續(xù)增強����。中國支付清算協(xié)會曾陸續(xù)出臺《收單外包服務(wù)機構(gòu)備案管理辦法(試行)》《收單外包服務(wù)機構(gòu)自律規(guī)范(試行)》《關(guān)于加強收單外包服務(wù)市場規(guī)范管理的意見》等文件,對收單外包機構(gòu)提出備案管理要求和常態(tài)量化管理細則����,對收單業(yè)務(wù)外包管理進行行業(yè)自律約束。
“后續(xù)���,建議收單機構(gòu)�����、賬戶機構(gòu)等支付業(yè)務(wù)主體根據(jù)協(xié)會要求逐條對標并及時查漏補缺�����,嚴密個人支付信息的防護網(wǎng)��,做好從業(yè)人員內(nèi)部管理����。”蘇筱芮表示��。
關(guān)鍵詞:
相關(guān)新聞