近日，南都记者从知情人士处获悉，金融行业标准《个人金融信息保护技术规范》（下称《规范》）已经通过全国金融标准化技术委员会审查，向各金融业机构发布。

《规范》将个人金融信息按照敏感程度分为三大类，并要求金融业机构不应以默认授权、功能捆绑等方式强制获取个人金融信息，也不应委托或授权无金融业相关资质的机构收集身份证号、手机号等个人信息。

个人金融信息按敏感程度分为三类

自去年以来，个人金融信息保护法规制定的相关动作不断。

去年上半年，《个人金融信息（数据）保护试行办法》被列入央行2019年工作计划。不久后央行副行长朱鹤新公开表示，要研究推动个人金融信息保护立法。

南都记者了解到，去年10月，央行向部分银行下发《个人金融信息（数据）保护试行办法》初稿，对金融机构与第三方之间征信业务活动等作出明确规定，加大了对违规采集、使用个人征信信息的惩处力度。

此次发布的《规范》则规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对金融业机构的个人金融信息保护提出了规范性要求。

根据《规范》，个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息，指纹、人脸等个人生物识别信息也被涵盖在内。

公开资料显示，《规范》前后经过了至少三个版本。最初的公开版本为《支付信息保护技术规范》，文中将支付信息按敏感程度从低到高分为四个类别。

最新的《规范》则将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。

比如银行卡磁道数据、账户交易密码、个人生物识别信息等属于用户鉴别信息（C3），泄露后造成的危害最大；证件信息、交易流水属于可识别个人身份与金融状况的信息（C2）；开户时间则属于机构内部的信息资产（C1），危害性最小。

不应以默认授权等方式强制收集信息

南都个人信息保护研究中心发布的《2019个人信息安全报告》显示，七成移动金融类App权限获取合规度不及格，超范围申请手机权限的情况十分普遍，且只有16%的App告知了获取目的。

对此，《规范》将“不应欺诈、诱骗，或以默认授权、功能捆绑等方式误导强迫个人金融信息主体提供个人金融信息”作为收集个人金融信息的基本规则之一，并要求金融业机构不应隐瞒金融产品或服务所具有的收集个人金融信息的功能。

基于个人金融信息的特殊性和敏感性，《规范》要求，存储个人金融信息的介质如不再使用，应采用不可恢复的方式(如消磁、焚烧、粉碎等)进行销毁处理；如需继续使用，应通过多次覆写等方式安全地擦除个人金融信息，确保介质中的个人金融信息不可再被恢复或者以其他形式加以利用。

此外，《规范》还提出，应采取技术措施(如弹窗、明显位置URL链接等)，引导个人金融信息主体查阅隐私政策并获得其明示同意。


不应授权无资质机构收集手机号等信息

去年下半年，上海、杭州等地多家金融大数据公司被查，掀起行业风暴。据多位金融行业的知情人士透露，这些公司被查很可能与违规使用爬虫数据以及第三方公司暴力催收有关。

在行业内，把催收业务外包给第三方公司的做法司空见惯，未经用户授权从非法渠道爬取个人信息的大数据公司也比比皆是，这些都不可避免地涉及到用户个人信息。

《规范》明确，不应委托或授权无金融业相关资质的机构收集C3、C2类别信息，比如身份证号、手机号码等可识别特定个人身份的信息。

另外，C3 类别信息以及 C2 类别信息中的用户鉴别辅助信息不应共享、转让。

如果因金融产品或服务的需要，将收集的个人金融信息委托给第三方机构，《规范》指出，委托行为不应超出已征得个人金融信息主体授权同意的范围，而应对委托行为进行安全影响评估，确保受委托者具备足够的数据安全能力。

采写：南都记者蒋琳

编辑：尤一炜

对这篇文章有想法？跟我聊聊吧

蒋琳

尤一炜