個(gè)人支付信息保護(hù)新規(guī)：明確安全框架及安全保護(hù)范圍

人民網(wǎng)北京8月15日電 （黃盛）據(jù)中國(guó)支付清算協(xié)會(huì)消息，為適應(yīng)國(guó)家法律法規(guī)最新要求，更好地服務(wù)行業(yè)發(fā)展，日前中國(guó)支付清算協(xié)會(huì)對(duì)2016年發(fā)布的團(tuán)體標(biāo)準(zhǔn)《個(gè)人信息保護(hù)技術(shù)指引》進(jìn)行了修訂，并更名為《個(gè)人支付信息保護(hù)指引》（以下簡(jiǎn)稱《指引》）。《指引》用于指導(dǎo)中國(guó)支付清算協(xié)會(huì)會(huì)員單位信息系統(tǒng)處理個(gè)人支付信息的服務(wù)與活動(dòng)。

據(jù)介紹，《指引》規(guī)范了個(gè)人支付信息的定義及范圍，提出了個(gè)人支付信息保護(hù)的基本原則、安全框架、安全保護(hù)范圍、業(yè)務(wù)主體及主要義務(wù)、組織建設(shè)、人員管理、終端和業(yè)務(wù)系統(tǒng)安全等內(nèi)容，并針對(duì)不同業(yè)務(wù)場(chǎng)景提出了典型的保護(hù)要求。

(資料圖片僅供參考)

明確個(gè)人支付信息分類及安全框架

具體來看，《指引》明確個(gè)人支付信息的分類——是指?jìng)€(gè)人參與支付活動(dòng)中涉及的、能夠被知曉和處理、與個(gè)人相關(guān)、能夠單獨(dú)或與其他信息結(jié)合識(shí)別該個(gè)人的任何信息，包括賬戶信息、鑒別信息、支付交易信息、個(gè)人身份信息，除此之外還包括特定個(gè)人支付信息主體的消費(fèi)意愿、支付習(xí)慣和其他衍生信息以及在提供支付服務(wù)過程中獲取、加工、保存的其他個(gè)人信息。

此外，《指引》在個(gè)人支付信息安全框架中提出了三項(xiàng)要素，分別為支付業(yè)務(wù)主體、業(yè)務(wù)場(chǎng)景和支付技術(shù)。支付主體宜按照處理支付信息的主要類別開展信息保護(hù)工作，甄別各類支付業(yè)務(wù)主體的主要職責(zé)，確定自身的安全保護(hù)范圍，并按照基本要求、管理要求、人員要求、系統(tǒng)要求等不同的維度建立個(gè)人支付信息保護(hù)能力；在業(yè)務(wù)場(chǎng)景中個(gè)人支付信息保護(hù)需要實(shí)現(xiàn)場(chǎng)景的全覆蓋，根據(jù)支付服務(wù)參與角色的不同，需要考慮用戶場(chǎng)景、業(yè)務(wù)運(yùn)營(yíng)場(chǎng)景、系統(tǒng)運(yùn)維場(chǎng)景的數(shù)據(jù)保護(hù)；支付技術(shù)宜根據(jù)支付技術(shù)的不同設(shè)定具體的個(gè)人支付信息保護(hù)要求，包括網(wǎng)絡(luò)支付、移動(dòng)支付、銀行卡收單等不同的技術(shù)模式。

個(gè)人支付信息安全框架。 來源：《個(gè)人支付信息保護(hù)指引》

對(duì)于支付業(yè)務(wù)主體，《指引》表示，個(gè)人支付信息保護(hù)需要覆蓋以下三類范圍：直接收集、存儲(chǔ)、處理和傳輸個(gè)人支付信息的系統(tǒng)組件、人員和流程；可能不收集、存儲(chǔ)、處理或傳輸個(gè)人支付信息的系統(tǒng)組件，但它們可以連接到存儲(chǔ)、處理或傳輸個(gè)人支付信息的系統(tǒng)組件，且連接后對(duì)其訪問行為沒有有效的控制和審計(jì)的系統(tǒng)組件、人員和流程；可能影響個(gè)人支付信息處理環(huán)境安全的系統(tǒng)組件、人員和流程。

明確從業(yè)機(jī)構(gòu)及其人員的管理要求

《指引》對(duì)從業(yè)機(jī)構(gòu)的組織架構(gòu)、個(gè)人支付信息保護(hù)負(fù)責(zé)人、管理制度和崗位設(shè)置分別提出了針對(duì)不同支付業(yè)務(wù)主題的管理要求。

在組織架構(gòu)方面，從業(yè)機(jī)構(gòu)應(yīng)建立個(gè)人支付信息保護(hù)的組織架構(gòu)，并提供必要的資源，保障其獨(dú)立履行職責(zé)；在個(gè)人支付信息保護(hù)方面，負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識(shí)的人員擔(dān)任，參與有關(guān)個(gè)人信息處理活動(dòng)的重要決策；在管理制度方面，應(yīng)將個(gè)人支付信息保護(hù)納入到企業(yè)全面風(fēng)險(xiǎn)管理和內(nèi)部控制流程中，建立適合機(jī)構(gòu)條件的決策機(jī)制，制定有效的決策流程；在崗位設(shè)置方面，各支付業(yè)務(wù)主體應(yīng)根據(jù)自身業(yè)務(wù)特點(diǎn)合理設(shè)置人員崗位，明確機(jī)構(gòu)各層級(jí)內(nèi)設(shè)部門與相關(guān)崗位個(gè)人支付信息保護(hù)職責(zé)與總體要求。

此外，《指引》對(duì)從業(yè)機(jī)構(gòu)的人員錄用、培訓(xùn)、轉(zhuǎn)崗或離職以及違規(guī)人員管理等方面提出了明確的要求，支付業(yè)務(wù)從業(yè)機(jī)構(gòu)在人員錄用時(shí)需要進(jìn)行必要的背景調(diào)查，確保員工未參與過危害持卡人支付信息安全或其他信息泄漏事件，并且簽署保密協(xié)議和信息安全責(zé)任承諾書；在員工培訓(xùn)方面，員工上崗前應(yīng)及時(shí)安排其參加支付信息安全培訓(xùn)，并至少每年開展一次支付信息安全相關(guān)的培訓(xùn)或宣貫，提升員工的支付信息安全防護(hù)意識(shí)和技能；在員工轉(zhuǎn)崗或離職時(shí)應(yīng)立即變更、凍結(jié)或刪除離崗員工對(duì)支付信息所有訪問權(quán)限，立即取回相關(guān)身份證件、鑰匙等物品以及機(jī)構(gòu)提供的軟硬件設(shè)備，同時(shí)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，并要求其履行保密義務(wù)；在違規(guī)人員管理方面，應(yīng)對(duì)違反支付信息安全管理規(guī)定并造成 C2、C3 類支付信息泄漏事件的員工進(jìn)行處罰，情節(jié)嚴(yán)重的應(yīng)向相關(guān)監(jiān)管部門報(bào)送違規(guī)員工個(gè)人信息并標(biāo)明報(bào)送原因，涉嫌違法犯罪的，應(yīng)及時(shí)報(bào)告公安機(jī)關(guān)。

《指引》還要求，支付業(yè)務(wù)主體宜根據(jù)不同場(chǎng)景設(shè)計(jì)個(gè)人支付信息的保護(hù)策略，建立個(gè)人支付信息保護(hù)基本要求，并在支付業(yè)務(wù)系統(tǒng)中正確、有效實(shí)現(xiàn)。例如，用戶支付場(chǎng)景的信息保護(hù)至少包含用戶注冊(cè)、用戶信息變更、用戶登錄、支付、交易查詢、用戶注銷等；運(yùn)營(yíng)場(chǎng)景信息保護(hù)主要包含運(yùn)營(yíng)人員進(jìn)行信息查詢、修改、刪除等操作；運(yùn)維場(chǎng)景信息保護(hù)主要關(guān)注數(shù)據(jù)庫(kù)、日志等信息的保護(hù)。（實(shí)習(xí)生王鼎倫對(duì)此文亦有貢獻(xiàn)）

關(guān)鍵詞：