北京商報訊(記者 廖蒙)圍繞支付領域的個人信息保護,又添新指引。8 月 9 日,據中國支付清算協會(以下簡稱 " 協會 ")官網,協會審議發布《個人支付信息保護指引》(以下簡稱《指引》),自發布之日起實施。協會此前于 2016 年發布的《個人信息保護技術指引》也正式宣告廢止。
從内容來看,《指引》提出了支付信息保護整體框架,細化了支付業務中個人信息的處理要求和相關機構的能力要求,并且明确給出了個人支付信息的範圍定義,提出了個人支付信息保護的基本原則、安全框架、安全保護範圍、業務主體及主要義務、組織建設、人員管理、終端和業務系統安全等内容。
《指引》明确,支付業務主體是指從事支付業務、處理個人支付信息的服務機構,包含收單機構、賬戶機構、清算機構和其它相關機構。個人支付信息則包括個人參與支付活動中涉及的、能夠被知曉和處理、與個人相關、能夠單獨或與其他信息結合識别該個人的任何信息。
《指引》提出,原則上,個人支付信息不應提供給非業務相關方,個人支付信息不允許公開。支付業務主體因商戶對賬等活動,需要向其提供個人支付信息的,應對個人支付信息進行必要的脫敏處理,并要求商戶做好個人支付信息的保護工作。
對于支付領域這一最新的個人信息保護要求,易觀分析金融行業高級咨詢顧問蘇筱芮表示,此次協會發布《指引》,一方面能夠與時俱進完善支付領域的個人信息保護工作,另一方面也能夠爲支付産業中的各市場機構提供行動指南,促使各支付機構根據文件内容不斷細化個人支付信息保護工作内容,在合規框架下穩步前行。
北京商報記者梳理發現,針對支付領域不同類型機構、不同業務場景的信息保護,以及支付機構每一崗位的員工設置與管理,《指引》也給出了更爲細化的、明确的規範标準。
例如,支付機構各崗位必須根據 " 業務必須 " 和 " 最小化 " 原則,嚴格控制訪問和使用支付信息,任何人都隻能訪問其開展業務所必需的支付信息,且隻能夠獲得訪問支付信息所必要的最小權限。
在機構規範方面,《指引》要求,收單機構應切實履行特約商戶檢查責任,嚴格規範與外包服務機構業務合作,不應将收單業務交易處理、資金結算、風險監測、受理終端主密鑰生成和管理、差錯和争議處理工作交由外包服務機構辦理;不應将外包服務機構拓展爲特約商戶并接收其發送的銀行卡交易信息。
同時,收單機構應根據特約商戶受理銀行卡交易的真實場景,按照相關清算機構和發卡銀行的業務規則和管理要求,正确選用交易類型,準确标識交易信息并完整發送,确保交易信息的完整性、真實性和可追溯性。
清算機構則應對從清算服務中獲取的身份信息、賬戶信息、交易信息以及其他相關信息等個人支付信息予以保密。在處理用戶個人授權的個人支付信息時,應通過業務規則及協議等有效措施,要求發卡機構或收單機構爲所獲得的個人支付信息保密。
近年來,信息安全與數據保護日益成爲金融業的重要議題,越來越多的金融機構參與到個人隐私信息保護中來。蘇筱芮指出,支付行業作爲金融行業中數據極爲密集的細分行業,擁有數以億計的個人用戶,因此更需要加強對數據、對信息的防護。目前支付業數據要素應用已經存在大量實踐,但在管理制度方面還存在一定短闆。
" 而此次《指引》不但對從業機構管理、從業機構的人員管理提出具體要求,而且還細化了業務流程标準,對于督促支付領域市場機構有序開展個人信息保護工作來說具有積極意義。" 蘇筱芮指出," 後續,建議從業機構根據協會要求逐條對标并及時查漏補缺,嚴密個人支付信息的防護網,做好從業人員内部管理。"
