中国支付清算协会8月9日发布关于印发《个人支付信息保护指引》的通知。《指引》明确,个人支付信息的使用、加工应严格限制其使用目的。原则上,支付业务主体不应在支付业务以外的情形下使用个人支付信息。
从内容来看,《指引》提出了支付信息保护整体框架,细化了支付业务中个人信息的处理要求和相关机构的能力要求,并且明确给出了个人支付信息的范围定义,提出了个人支付信息保护的基本原则、安全框架、安全保护范围、业务主体及主要义务、组织建设、人员管理、终端和业务系统安全等内容。
《指引》明确,支付业务主体是指从事支付业务、处理个人支付信息的服务机构,包含收单机构、账户机构、清算机构和其它相关机构。个人支付信息则包括个人参与支付活动中涉及的、能够被知晓和处理、与个人相关、能够单独或与其他信息结合识别该个人的任何信息。
《指引》提出,原则上,个人支付信息不应提供给非业务相关方,个人支付信息不允许公开。支付业务主体因商户对账等活动,需要向其提供个人支付信息的,应对个人支付信息进行必要的脱敏处理,并要求商户做好个人支付信息的保护工作。
对于支付领域这一最新的个人信息保护要求,易观分析金融行业高级咨询顾问苏筱芮表示,此次协会发布《指引》,一方面能够与时俱进完善支付领域的个人信息保护工作,另一方面也能够为支付产业中的各市场机构提供行动指南,促使各支付机构根据文件内容不断细化个人支付信息保护工作内容,在合规框架下稳步前行。
北京商报记者梳理发现,针对支付领域不同类型机构、不同业务场景的信息保护,以及支付机构每一岗位的员工设置与管理,《指引》也给出了更为细化的、明确的规范标准。
例如,支付机构各岗位必须根据“业务必须”和“最小化”原则,严格控制访问和使用支付信息,任何人都只能访问其开展业务所必需的支付信息,且只能够获得访问支付信息所必要的最小权限。
在机构规范方面,《指引》要求,收单机构应切实履行特约商户检查责任,严格规范与外包服务机构业务合作,不应将收单业务交易处理、资金结算、风险监测、受理终端主密钥生成和管理、差错和争议处理工作交由外包服务机构办理;不应将外包服务机构拓展为特约商户并接收其发送的银行卡交易信息。
同时,收单机构应根据特约商户受理银行卡交易的真实场景,按照相关清算机构和发卡银行的业务规则和管理要求,正确选用交易类型,准确标识交易信息并完整发送,确保交易信息的完整性、真实性和可追溯性。
清算机构则应对从清算服务中获取的身份信息、账户信息、交易信息以及其他相关信息等个人支付信息予以保密。在处理用户个人授权的个人支付信息时,应通过业务规则及协议等有效措施,要求发卡机构或收单机构为所获得的个人支付信息保密。
近年来,信息安全与数据保护日益成为金融业的重要议题,越来越多的金融机构参与到个人隐私信息保护中来。苏筱芮指出,支付行业作为金融行业中数据极为密集的细分行业,拥有数以亿计的个人用户,因此更需要加强对数据、对信息的防护。目前支付业数据要素应用已经存在大量实践,但在管理制度方面还存在一定短板。
“而此次《指引》不但对从业机构管理、从业机构的人员管理提出具体要求,而且还细化了业务流程标准,对于督促支付领域市场机构有序开展个人信息保护工作来说具有积极意义。”苏筱芮指出,“后续,建议从业机构根据协会要求逐条对标并及时查漏补缺,严密个人支付信息的防护网,做好从业人员内部管理。”
来源:北京商报