2月13日,全国金融标准化技术委员会(简称“金标委”)发布了《个人金融信息保护技术规范》(下称“《规范》”),《规范》引言中提到,个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。
据了解,《规范》将个人金融信息由高到低分为C3、C2、C1三个类别,C3主要为各类账户密码,C2主要为账户、身份证信息、短信口令、KYC信息、住址等,C1主要为开户时间、支付标记信息等。同时,《规范》还规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
针对金融业机构收集个人金融信息方面,《规范》将“不应欺诈、诱骗,或以默认授权、功能捆绑等方式误导强迫个人金融信息主体提供个人金融信息”作为收集个人金融信息的基本规则之一,并要求金融业机构不应隐瞒金融产品或服务所具有的收集个人金融信息的功能。
基于个人金融信息的特殊性和敏感性,《规范》要求,存储个人金融信息的介质如不再使用,应采用不可恢复的方式(如消磁、焚烧、粉碎等)进行销毁处理;如需继续使用,应通过多次覆写等方式安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或者以其他形式加以利用。
若存在金融业机构将用户个人信息外包第三方的情况,《规范》明确,不应委托或授权无金融业相关资质的机构收集C3、C2类别信息,比如身份证号、手机号码等可识别特定个人身份的信息。另外,C3 类别信息以及 C2 类别信息中的用户鉴别辅助信息不应共享、转让。
此外,《规范》还提出,应采取技术措施(如弹窗、明显位置URL链接等),引导个人金融信息主体查阅隐私政策并获得其明示同意。
