一、《个人金融信息保护技术规范》出台的背景及行业规范

2019年 “暴力催收”等恶性事件的发生，导致互联网金融科技行业所涉及的数据违法犯罪行为不断暴露，公安部门加强了对涉及个人信息犯罪案件和互联网金融行业数据犯罪案件的执法力度。网信办、工信部、公安部、市场监管总局对违规采集使用个人信息的APP采取了一系列的整治行动，网络安全和数据合规法律问题受到前所未有的关注。

2017年6月1日起实施的《中华人民共和国网络安全法》（以下简称“《网络安全法》”），首次以法律形式确立了网络运行安全和网络信息安全的要求，明确了个人信息保护的规范。个人信息中的金融信息因与个人的资产状况、信用状况等密切相关而尤为特殊和重要，因而个人金融信息的保护需要专门推出针对金融领域个人信息保护的相关法律法规。

为落实《网络安全法》中关于个人信息的保护在金融领域的实施，进一步规范个人金融信息的收集、使用、披露等行为，推动个人金融信息保护立法，中国人民银行于2019年9月下发了《个人金融信息（数据）保护试行办法》（以下简称“《办法》”）初稿。2020年2月20日，全国金融标准化技术委员会发布了《个人金融信息保护技术规范》（JR/T 0171-2020）（下称“《规范》”）。本次《规范》的发布对个人金融信息保护具有重大意义。

二、个人金融信息的范围广泛而具体

《规范》明确个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息，具体如下：

a） 账户信息指账户及账户相关信息，包括但不限于支付账号、银行卡磁道数据（或芯片等效信息）、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息 产生的支付标记信息等。

b）鉴别信息指用于验证主体是否具有访问或使用权限的信息，包括但不限于银行卡密码、预付卡支付密码；个人金融信息主体登录密码、账户査询密码、交易密码；卡片验证码（CVN和CVN2）、动态口令、短信验证码、密码提示问题答案等。

c） 金融交易信息指个人金融信息主体在交易过程中产生的各类信息，包括但不限于交易金额、支付记录、透支记录、交易日志、交易凭证；证券委托、成交、持仓信息；保单信息、理赔信息等。

d）个人身份信息指个人基本信息、个人生物识别信息等：个人基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址，以及在提供产品和服务过程中收集的照片、音视频等信息；

个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。

e） 财产信息指金融业机构在提供金融产品和服务过程中，收集或生成的个人金融信息主体财产信 息，包括但不限于个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金存缴金额等。

f） 借贷信息指个人金融信息主体在金融业机构发生借贷业务产生的信息，包括但不限于授信、信用卡和贷款的发放及还款、担保情况等。

g） 其他信息：

对原始数据进行处理、分析形成的，能够反映特定个人某些情况的信息，包括但不限于特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息；

在提供金融产品与服务过程中获取、保存的其他个人信息。

三、对个人金融信息应根据敏感程度不同实施分级保护机制

《规范》将个人信息根据敏感程度及其可能产生的影响和危害性，将个人金融信息分为C3、C2和C1三个级别。

1、C3类个人金融信息：该类信息一旦遭到未经授权的查看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成严重危害。

2、C2类个人金融信息：为可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的査看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成一定危害。

3、C1类个人金融信息：主要为机构内部的信息资产，主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的査看或未经授权的变更，可能会对个人金融信息主体的信息安全与财产安全造成一定影响。

四、个人金融信息在整个数据生命周期中的保护要求

《规范》明确了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的合规要求和技术保障措施。

1、个人金融信息收集的合规要求

首先，明确了金融信息收集的资质要求。收集C3、C2类别金融信息的机构需要具有金融资质，金融科技公司得不具有金融资质的机构不得自行或受托收集C3、C2类别个人金融信息。

其次，遵循明示同意原则。在收集个人金融信息前，需要引导个人金融信息主体查阅隐私政策，并获得其明示同意后才能收集个人金融信息。

最后，明确了收集金融信息的技术措施要求。通过受理终端、客户端应用软件、浏览器等方式收集C3类金融信息，应使用加密等技术措施保证数据的保密性，防止其被未授权的第三方获取。在网络支付业务系统中，应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护，并采取有效措施防止合作机构获取、留存支付敏感信息。

2、个人金融信息传输的合规要求

首先，个人金融信息传输先要进行身份鉴别和认证，并采用安全通道、数据加密等安全控制措施。

其次，不同级别的个人金融信息采取相应的安全措施。通过公共网络传输时，C2、C3类别信息应使用加密通道或数据加密的方式进行传输，C3类别中的支付敏感信息，控制措施应符合有关行业技术标准与行业主管部门有关规定要求。

3、个人金融信息存储的合规要求

首先，根据个人金融信息的不同类别采取不同的安全储存保障手段。C3类别个人金融信息应采用加密措施确保数据存储的保密性。

其次，未取得个人金融信息主体及账户管理机构的授权，不得留存非本机构的C3类别信息。

再次，受理终端、个人终端及客户端应用软件，仅可保存完成当前交易所必需的基本信息要素，并在完成交易后及时予以清除。

4、个人金融信息使用的合规要求

首先，明确了金融信息展示的合规要求。业务办理与査询等功能的应用软件，通过界面展示的个人金融信息应采取信息屏蔽（或截词）等处理措施，处于未登录状态时，不应展示与个人金融信息主体相关的C3类别信息，处于己登录状态时，除银行卡有效期外，C3类别信息不应明文展示。

其次，确立了个人金融信息在共享和转让的过程中的技术要求。在共享和转让前，应开展个人金融信息安全影响评估和接收方信息安全保障能力评估，涉及支付账号及其等效信息的需要进行脱敏处理。

再次，明确了个人金融信息在公开披露、委托处理、加工处理、汇聚融合、开发测试等使用过程中的合规要求。

5、个人金融信息删除和销毁的合规要求

个人金融信息在删除过程中，应釆取技术手段使其保持不可被检索和访问。存储个人金融信息的介质如不再使用，应采用不可恢复的方式(如消磁、焚烧、粉碎等)进行销毁处理；如需继续使用，应通过多次覆写等方式安全地擦除个人金融信息，确保个人金融信息不可再被恢复或者以其他形式加以利用。

五、《规范》对涉及个人金融信息数据行业的影响

首先，执法部门将加大对涉及个人金融信息服务机构整治的执法力度。2009年下半年，网信办等部门已经对采集个人信息的APP进行了持续且严厉的整治行动。本次《规范》的出台进一步明确了对个人金融信息的规范要求和执法规范，执法部门将根据《规范》的要求，进一步实施针对金融机构及其信息处理的第三方服务机构的合规性整治行动。

其次，金融机构将开展一系列针对个人金融数据业务的合规工作。金融机构不仅需要考虑自身业务场景中个人金融数据的合规性，还需要重新梳理和规范与第三方数据处理机构（包括金融机构和非金融机构）合作的业务场景及数据处理的合规性，建立更为完善的个人金融信息保护的相关内部管理机制。

再次，金融科技公司需要重新评估业务的合规性，否则将面临2019年金融数据公司类似的刑事风险，涉及个人金融数据业务的金融科技公司可能会面临行业的重大调整。作为非金融机构，金融科技公司需要重新评估自身的数据安全能力以及刑事风险。