本報記者 李冰
8月9日�,中國支付清算協(xié)會(以下簡稱“協(xié)會”)發(fā)布關于印發(fā)《個人支付信息保護指引》的通知���。
“此次協(xié)會發(fā)布《個人支付信息保護指引》�����,一方面與時俱進完善支付領域的個人信息保護工作����;另一方面能夠為支付產(chǎn)業(yè)中的各市場機構提供行動指南,促使各支付機構根據(jù)文件內容不斷細化個人支付信息保護工作內容�,在合規(guī)框架下穩(wěn)步前行。”易觀分析金融行業(yè)高級咨詢顧問蘇筱芮對《證券日報》記者說道���。
通知顯示�����,中國支付清算協(xié)會組織對協(xié)會2016年發(fā)布的團體標準《個人信息保護技術指引》進行了修訂����,并更名為《個人支付信息保護指引》����。自發(fā)布之日起實施,原《個人信息保護技術指引》廢止�。
從內容來看����,《個人支付信息保護指引》提出了支付信息保護整體框架����,細化了支付業(yè)務中個人信息的處理要求和相關機構的能力要求,并且明確給出了個人支付信息的范圍定義���,提出了個人支付信息保護的基本原則、安全框架����、安全保護范圍、業(yè)務主體及主要義務��、組織建設����、人員管理、終端和業(yè)務系統(tǒng)安全等內容�����。并針對不同業(yè)務場景提出了典型的保護要求��。
經(jīng)記者梳理,《個人支付信息保護指引》與此前2016年《個人信息保護技術指引》相比�,除結構調整和編輯性改動外,主要變化內容包括�����,更改標準范圍為個人支付信息�����,并給出個人支付信息的分類��;提出了個人支付信息安全框架����;明確了支付業(yè)務主體開展個人支付信息保護時的基本范圍;針對性提出不同角色的支付業(yè)務主體的基本要求����;提出了從業(yè)機構的管理要求;提出了從業(yè)機構的人員要求����;提出了從業(yè)機構的系統(tǒng)要求;針對不同場景提出了個人信息保護的典型要求���。
博通咨詢金融行業(yè)資深分析師王蓬博對《證券日報》記者表示:“目前支付數(shù)據(jù)的規(guī)模����、交互方式及發(fā)展情況已和2016年有所不同,可以看出����,《個人支付信息保護指引》與時俱進的結合了目前支付業(yè)務參與主體和業(yè)務特點,提出了支付信息保護整體框架����,為參與支付業(yè)務的機構提供指導�����。”
同時���,《個人支付信息保護指引》明確��,個人支付信息的使用����、加工應嚴格限制其使用目的�。原則上����,個人支付信息不應提供給非業(yè)務相關方�,個人支付信息不允許公開。支付業(yè)務主體因商戶在對賬等活動的需要向其提供個人支付信息的���,應對個人支付信息進行必要的脫敏處理��,并要求商戶做好個人支付信息的保護工作�����;同時���,個人支付信息的刪除和銷毀是防范支付信息泄露的重要手段。
支付業(yè)務主體的基本要求方面����,要求收單機構應切實履行特約商戶檢查責任,嚴格規(guī)范與外包服務機構業(yè)務合作���,不應將收單業(yè)務交易處理���、資金結算�、風險監(jiān)測��、受理終端主密鑰生成和管理��、差錯和爭議處理工作交由外包服務機構辦理��;不應將外包服務機構拓展為特約商戶并接收其發(fā)送的銀行卡交易信息���。
在管理要求方面�����,明確制定個人支付信息保護風險管控機制���,事前合規(guī)審查����、事中監(jiān)控跟蹤、事后處置補救���。在個人支付信息保護委員會的統(tǒng)一組織下�,定期開展內部風險評估工作���,定期面向金融消費者開展個人支付信息保護調研工作���;同時����,制定個人支付信息保護相關信息披露的管理發(fā)布制度�,并鼓勵積極主動面向社會、監(jiān)管機構發(fā)布信息披露報告����。
京公網(wǎng)安備 11010202007567號京ICP備17054264號
