非银行支付机构信息科技风险管理指引







1 范围 本规范给出了信息系统处理个人信息的范围定义,界定了个人信息主体的权利,提出了系统处理个人信息的原则和个人信息的采集、展示、存储、传输、使用等行为要求。相关的法律、行政法规及标准规范中已规定个人信息处理有关事项的,从其规定。 本规范用于指导本协会会员单位利用信息系统处理个人信息的服务与活动。

2 术语和定义 下列术语和定义适用于本文件。

2.1. 个人信息personal information 可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定 自然人的计算机数据。个人信息可以分为个人敏感信息和个人非敏感信息。

2.2. 个人信息主体 subject of personal information

2.3. 个人信息指向的自然人。 个人信息管理者 administrator of personal information 决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组 织和机构。

2.4. 个人信息获得者 receiver of personal information 从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人 信息进行处理。

2.5. 个人敏感信息 personal sensitive information 一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各机构个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、指纹等。

2.6. 个人信息处理 personal information handling 处置个人信息的行为,包括采集、展示、存储、传输、使用、转移、销毁。

2.7. 个人信息转移personal information transferring 将包括个人信息提供给个人信息获得者的行为,如向公众公开、向第三方披露、由于委 托他人加工而将个人信息复制到其他信息系统等。

2.8. 个人信息脱敏personal information masking 将个人信息中的敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。 又称数据漂白、数据去隐私化或数据变形。

2.9. 信息系统 information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规 划对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.10. 盐值 salt 防止攻击者利用碰撞攻击获得信息明文而在明文哈希过程中添加的额外的随机值。

3 个人信息分类

3.1.个人信息种类 能够被知晓和处理、与个人相关、能够单独或与其他信息结合识别该个人的任何信息:

(一)个人身份标识与鉴别信息,包括静态密码、动态密码、密保问题答案、数字证书、生物特征信息等;

(二)个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等;

(三)个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;

(四)个人账户信息,包括银行业金融机构开立账号、银行卡有效期、卡片验证码 (CVN\CVN2\CAV\CVV2\CVC\CID)、非银行支付机构的支付账户、账户开立时间、开户行、开户机构、账户余额等;

(五)个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息;

(六)个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构或非银行支付机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;

(七)衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;

(八)在与个人建立业务关系过程中获取、保存的其他个人信息。

本条资讯由青岛银盛创新部整理,公司开展了青岛进口报关业务,可负责青岛海关清关

支付报关