个人支付信息保护新规：明确安全框架及安全保护范围

本文转自：人民网

人民网北京8月15日电 （黄盛）据中国支付清算协会消息，为适应国家法律法规最新要求，更好地服务行业发展，日前中国支付清算协会对2016年发布的团体标准《个人信息保护技术指引》进行了修订，并更名为《个人支付信息保护指引》（以下简称《指引》）。《指引》用于指导中国支付清算协会会员单位信息系统处理个人支付信息的服务与活动。

据介绍，《指引》规范了个人支付信息的定义及范围，提出了个人支付信息保护的基本原则、安全框架、安全保护范围、业务主体及主要义务、组织建设、人员管理、终端和业务系统安全等内容，并针对不同业务场景提出了典型的保护要求。

明确个人支付信息分类及安全框架

具体来看，《指引》明确个人支付信息的分类——是指个人参与支付活动中涉及的、能够被知晓和处理、与个人相关、能够单独或与其他信息结合识别该个人的任何信息，包括账户信息、鉴别信息、支付交易信息、个人身份信息，除此之外还包括特定个人支付信息主体的消费意愿、支付习惯和其他衍生信息以及在提供支付服务过程中获取、加工、保存的其他个人信息。

此外，《指引》在个人支付信息安全框架中提出了三项要素，分别为支付业务主体、业务场景和支付技术。支付主体宜按照处理支付信息的主要类别开展信息保护工作，甄别各类支付业务主体的主要职责，确定自身的安全保护范围，并按照基本要求、管理要求、人员要求、系统要求等不同的维度建立个人支付信息保护能力；在业务场景中个人支付信息保护需要实现场景的全覆盖，根据支付服务参与角色的不同，需要考虑用户场景、业务运营场景、系统运维场景的数据保护；支付技术宜根据支付技术的不同设定具体的个人支付信息保护要求，包括网络支付、移动支付、银行卡收单等不同的技术模式。

个人支付信息安全框架。 来源：《个人支付信息保护指引》

对于支付业务主体，《指引》表示，个人支付信息保护需要覆盖以下三类范围：直接收集、存储、处理和传输个人支付信息的系统组件、人员和流程；可能不收集、存储、处理或传输个人支付信息的系统组件，但它们可以连接到存储、处理或传输个人支付信息的系统组件，且连接后对其访问行为没有有效的控制和审计的系统组件、人员和流程；可能影响个人支付信息处理环境安全的系统组件、人员和流程。

明确从业机构及其人员的管理要求

《指引》对从业机构的组织架构、个人支付信息保护负责人、管理制度和岗位设置分别提出了针对不同支付业务主题的管理要求。

在组织架构方面，从业机构应建立个人支付信息保护的组织架构，并提供必要的资源，保障其独立履行职责；在个人支付信息保护方面，负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任，参与有关个人信息处理活动的重要决策；在管理制度方面，应将个人支付信息保护纳入到企业全面风险管理和内部控制流程中，建立适合机构条件的决策机制，制定有效的决策流程；在岗位设置方面，各支付业务主体应根据自身业务特点合理设置人员岗位，明确机构各层级内设部门与相关岗位个人支付信息保护职责与总体要求。

此外，《指引》对从业机构的人员录用、培训、转岗或离职以及违规人员管理等方面提出了明确的要求，支付业务从业机构在人员录用时需要进行必要的背景调查，确保员工未参与过危害持卡人支付信息安全或其他信息泄漏事件，并且签署保密协议和信息安全责任承诺书；在员工培训方面，员工上岗前应及时安排其参加支付信息安全培训，并至少每年开展一次支付信息安全相关的培训或宣贯，提升员工的支付信息安全防护意识和技能；在员工转岗或离职时应立即变更、冻结或删除离岗员工对支付信息所有访问权限，立即取回相关身份证件、钥匙等物品以及机构提供的软硬件设备，同时应办理严格的调离手续，并要求其履行保密义务；在违规人员管理方面，应对违反支付信息安全管理规定并造成 C2、C3 类支付信息泄漏事件的员工进行处罚，情节严重的应向相关监管部门报送违规员工个人信息并标明报送原因，涉嫌违法犯罪的，应及时报告公安机关。

《指引》还要求，支付业务主体宜根据不同场景设计个人支付信息的保护策略，建立个人支付信息保护基本要求，并在支付业务系统中正确、有效实现。例如，用户支付场景的信息保护至少包含用户注册、用户信息变更、用户登录、支付、交易查询、用户注销等；运营场景信息保护主要包含运营人员进行信息查询、修改、删除等操作；运维场景信息保护主要关注数据库、日志等信息的保护。（实习生王鼎伦对此文亦有贡献）