2020年2月13日，中国人民银行发布实施金融行业标准《个人金融信息保护技术规范》（JR/T 0171-2020）（以下简称《个人金融信息保护规范》）。《个人金融信息保护规范》为金融行业推荐性标准，以《信息安全技术个人信息安全规范》（GB/T-2017）等国家标准为基础，对个人金融信息的保护作出了详细规定，提出了个人金融信息全生命周期的安全技术和安全管理要求。虽然这项行业标准不具备强制执行效力，但在实践中仍然值得金融机构参考和执行。下面简单概括一下该标准的主要内容：

一、适用主体范围

《个人金融信息保护规范》适用于提供金融产品和服务的金融机构，具体为受国家金融管理部门监管的持牌金融机构，以及涉及个人金融信息处理的相关机构。

2.哪些个人金融信息受到监管？

根据《个人金融信息保护规范》，个人金融信息是指通过提供金融产品和服务或者其他渠道获取、处理和存储的个人信息，包括账户信息、身份识别信息、金融交易信息、个人身份信息、财产信息、贷款信息以及反映特定个人特定情况的其他信息。

个人金融信息按照敏感度由高到低分为C3、C2、C1三个等级。以下简单概括上述行业标准对不同等级所设定的类别、范围及要求：

类别

范围

要求

C3：主要是用户身份识别信息

Ÿ 银行卡磁道数据（或芯片等效信息）、卡验证码、卡有效期、银行卡密码、网上支付交易密码

Ÿ 账户（包括但不限于支付账户、证券账户、保险账户）登陆密码、交易密码、查询密码

Ÿ 用于用户身份验证的个人生物特征信息

Ÿ 不得共享或转让

Ÿ 不应公开披露

Ÿ 不得委托或授权不具备金融行业相关资质的机构代收

Ÿ 应采用弹窗等技术手段引导个人阅读隐私政策，并在获得明确同意后收集信息

Ÿ 通过受理终端、客户端软件、浏览器等方式采集数据时，应采用加密等技术确保数据保密性，防止未经授权的一方获取。

Ÿ 在公众网络上传输时应采用加密通道或数据加密方法，支付敏感信息应符合行业技术标准及行业监管部门的规范。

Ÿ 通过受理终端、客户端应用软件、浏览器引导输入或设置银行卡密码、支付密码时，应避免密码明文显示。

Ÿ 不应委托第三方机构（包括外包服务机构、外部合作机构）处理

Ÿ 在国内储存、加工、分析以及向境外供应必须符合相关规定。

Ÿ 委托处理的信息应通过去标识化等方式进行脱敏处理

Ÿ 对受托行为进行安全影响评估

Ÿ 第三方机构监管

加密存储

Ÿ 不留存非本机构的C3类信息（如需留存，需取得个人金融信息主体同意+账户管理机构授权）

Ÿ 保存有C3信息的物理设备或介质必须经过批准和授权后才能移入或移出机房受控区域。

Ÿ 除银行卡有效期外，不得显示任何信息

C2：能够识别特定个人金融信息主体身份及财务状况的个人金融信息

Ÿ 支付账号及等同信息，包括***、护照、手机号码等。

Ÿ 账户登录用户名

Ÿ 用户认证辅助信息，如动态密码、短信验证码、密码提示问题答案、动态声纹密码，（若与账号结合直接完成用户认证，则属于C3类）

Ÿ 直接反映信息主体财务状况的信息，如个人财产信息（包括网络支付账户余额）、贷款信息

Ÿ 金融产品和服务的关键信息，如交易指令、交易流程、证券委托、保险理赔等。

Ÿ 为KYC、主管部门证据保存及留存等目的收集的信息主体的照片、视频信息等。

Ÿ 其他可识别信息：如家庭住址

Ÿ 不得委托或授权不具备金融行业相关资质的机构代收

Ÿ 应采用弹窗等技术手段引导个人阅读隐私政策，并在获得明确同意后收集信息

Ÿ 在公共网络上传输时，使用加密通道或数据加密方法

Ÿ 用户身份识别辅助信息不得共享、转让、公开披露或委托第三方（包括外包服务机构、外部合作机构）处理

Ÿ 对受托行为进行安全影响评估

Ÿ 第三方机构监管

Ÿ 在国内储存、加工、分析以及向境外供应必须符合相关规定。

Ÿ 委托处理的信息应通过去标识化等方式进行脱敏处理

Ÿ 保留有C2级信息的物理设备或介质在移入或移出计算机房控制区域前必须经过批准和授权。

C1：主要是组织内部的信息资产，主要是内部使用的个人财务信息

Ÿ 开户时间及开户机构

Ÿ 根据账户信息生成的支付标签信息

Ÿ 其他未纳入C3、C2类别的个人财务信息

Ÿ 应采用弹窗等技术手段引导个人阅读隐私政策，并在获得明确同意后收集信息

Ÿ 在国内储存、加工、分析以及向境外供应必须符合相关规定。

Ÿ 委托处理的信息应通过去标识化等方式进行脱敏处理

Ÿ 对受托行为进行安全影响评估

Ÿ 第三方机构监管

我们建议金融机构按照行业标准对业务中涉及的个人金融信息进行分类定级，并按照行业标准落实个人金融信息采集、处理、委托处理等全生命周期的安全要求。同时需要注意的是，《个人金融信息保护规范》第4.2条指出，同一信息在不同的业务场景中可能属于不同的类别，应根据具体的业务场景及其在其中的作用识别信息类别，并实施有针对性的保护。

三、与第三方机构合作范围

1.可委托处理信息的第三方机构范围：

在委托第三方处理相应个人金融信息时，应当进行个人金融信息安全影响评估，确保受托方具备足够的数据安全能力，评估其个人金融信息保护能力是否满足国家、行业监管机构和金融机构的要求，不满足相应要求的第三方机构将不会被选用。

此外，如上文第二部分所概述，委托或授权具有金融业相关资质的机构收取

C3 和 C2 类别信息。

2. 您无法委托第三方处理/维护信息的情况：

a) C3类别信息及C2中的用户识别辅助信息不应委托第三方处理；

b) 个人金融信息在未采取去标识化等方式的情况下不得交给第三方处理；

c) 存储个人财务信息的数据库不应由外部组织运营和维护。

四、第三方机构监督管理

1.金融机构建立第三方机构管理体系

管理制度规定了第三方机构的范围（或限制）、委托处理的信息范围（或限制要求）、第三方机构应当满足的条件、与第三方机构签订的合同条款和条件的主要内容、对第三方机构的监督检查等。

此外，《个人金融信息保护规范》对第三方机构处理个人金融信息提出了以下要求，我们建议金融机构将这些要求纳入第三方机构管理内部制度，并融入与第三方机构的业务合同中：

a) 第三方机构根据金融机构的要求处理个人金融信息，因特殊原因第三方机构未能按照要求处理个人金融信息，或无法提供足够的信息安全防护，或发生安全事件时，第三方机构应及时告知、配合金融机构开展信息安全评估，并采取补救措施，保障个人金融信息安全，必要时终止处理个人金融信息；

b) 未经书面授权，第三方机构不得委托他人处理个人金融信息；

c)协助响应个人金融信息主体的请求；

d) 在委托 / 外包关系终止时，其处理的个人金融信息应按照金融机构的要求销毁并按照约定承担保密责任；

e)准确记录和保存个人金融信息委托处理的情况。

此外，《个人金融信息保护规范》第7.3条关于访问权限控制的规定，对建立内部工作流程和制度具有参考价值，金融机构可参考并融入内部数据访问、流转制度和流程中。

2. 通过合同约束第三方组织

除了上述管理制度中涉及第三方机构的管理要求可以纳入合同之外，《个人金融信息保护规范》还明确要求包括以下条款：

a) 第三方机构不得留存C3、C2类信息；

a)约定因清算、差错处理等需要保留C2类支付账户信息时第三方机构的保密义务和责任；

b) 对于可能接触个人金融信息的第三方机构及其人员，金融机构要求第三方机构建立个人金融信息保护的安全要求，与其人员签署保密协议，并有权监督协议的执行情况；

同意金融机构有权定期确认第三方机构个人金融信息措施落实情况，包括进行外部信息安全评估、现场检查等。

5. 个人财务数据的汇总和整合

汇总、融合后的数据不应超出个人金融信息采集声明的使用范围，如因业务需要超出范围使用的，应再次取得个人金融信息主体同意。对融合后的数据，应根据使用类别和目的，进行个人金融信息安全影响评估，并采取有效的技术防护措施。

六、个人财务信息的删除与销毁

1. 删除

《个人金融信息保护规范》第6.1.5条对“删除”的定义是：采取技术手段将个人金融信息从涉及金融产品和服务的系统中删除，使其无法被检索和访问，这与《信息安全技术个人信息安全规范》（GB/T ——2017）相一致。据此，当个人金融信息主体请求删除其个人金融信息时，金融机构应按照法律法规或行业监管部门的规定以及与个人金融信息主体的约定予以处理。

《个人金融信息保护规范》第7.1.2条规定，个人金融信息的保存应当遵守国家法律法规和行业监管部门的规定，并满足个人金融信息主体实现授权使用目的所必需的最短时间要求。在此期限之后，应当对收集的个人金融信息进行删除（或匿名化处理）。

2. 破坏

《个人金融信息保护规范》第7.2.1g条规定，金融机构应当在合同中约定外包服务机构、外部合作机构不得留存C3、C2类信息。由此可见，第三方机构需要在约定的情形下销毁此类信息。此外，《个人金融信息保护规范》第7.1.3c条规定，金融机构解除与第三方机构的委托关系或者终止对外服务后，第三方机构应当根据金融机构的要求销毁其已处理的个人金融信息。因此，金融机构可以在合同中与第三方机构明确约定当时需要销毁的信息范围以及相关的具体义务。

七、个人金融信息出境

1.在中国境内提供金融产品或服务过程中收集和产生的个人金融信息应当在中国境内存储、处理和分析。

境内存储要求在部门规范性文件《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》和现行实施的《中国人民银行金融消费者权益保护实施办法》中均有规定：境内收集的个人金融信息的存储、处理和分析应当在境内进行。除法律法规和中国人民银行另有规定外，银行业金融机构不得将境内个人金融信息向境外提供。

因此，金融机构需要通过合同等方式要求并采取措施，确保委托的第三方机构在境内存储个人金融信息并进行监管。

2. 在某些情况下，可以在海外提供

根据《网络安全法》，金融业信息系统属于关键信息基础设施，关键基础设施业务产生和收集的重要数据和个人信息存储在境内，因业务原因确需向境外提供的，应当按照国家互联网信息办公室会同国务院有关部门规定的方式进行安全评估。法律、行政法规另有规定的，从其规定。

与部门规范性文件《中国人民银行金融消费者权益保护实施办法》相一致，《个人金融信息保护规范》仅允许因业务需要向特定境外机构提供个人金融信息，即总行、母公司或分公司、子公司以及完成业务所必需的其他关联机构。

此外，行业标准在数据出境条件方面与《中国人民银行金融消费者权益保护实施办法》基本一致：取得个人金融信息主体的明确同意、与境外机构签署协议、现场核查等，明确并监督境外机构切实履行个人金融信息保密义务，在向境外机构提供个人金融信息前，按照国家和行业制定的方法和标准对个人金融信息出境进行安全评估，并扩展至包括监督境外关联机构删除数据、配合案件调查等义务。

我们建议，现阶段，金融机构在向境外机构提供个人金融信息时，除了参考《个人金融信息保护规范》更新合同条款和义务外，还应关注《个人信息和重要数据出境安全评估办法（征求意见稿）》、《个人信息出境安全评估办法（征求意见稿）》等相关立法的状态，及时调整合同条款。

8.员工管理

《个人金融信息保护规范》对涉及个人金融信息人员的安全管理要求作出了指导，金融机构可参考并纳入内部数据合规制度：

a) 在聘用员工前进行必要的尽职调查，并与接触个人金融信息的员工签署保密协议，或在劳动合同中加入保密条款；

b) 定期进行培训并保存记录；

c) 当相关员工调动至其他岗位时，应立即调整个人金融信息访问和使用的权限设置；

d) 在与相关雇员的雇佣关系终止时，立即终止并撤销对个人金融信息的访问权；

e) 在岗位设置上，系统开发人员、测试人员和运维人员不应互相***；

f) 至少每年一次或者隐私政策发生重大变化时对处理个人金融信息的相关人员进行培训和考核；

g) 员工保密期限不限于其履行与个人金融信息相关职责期间。

因此，金融机构人力资源部门与科技部门需保持密切配合，在员工调动或离职时，及时分配或终止相关系统的访问和处理权限。相关员工的保密义务范围应涵盖其在履行职责过程中获取或暴露的个人金融信息，保密义务期限应延伸而不限于前述岗位任职期间。

此外，《个人金融信息保护规范》第7.2.2节详细描述了个人金融信息保护负责人员和机构的职责，对于各企业单位在实践中确立数据合规负责机构的职责，包括DPO（JD）的职责，具有重要的参考价值。

实践中，《信息安全技术个人信息安全规范》被相关执法部门作为执法参考，相关规定如2020年2月4日《中央网络安全和信息化委员会办公室关于做好个人信息保护利用大数据支持联防联控工作的通知》等，对个人信息收集范围直接引用了《信息安全技术个人信息安全规范》。因此，本文所述的银行业推荐性标准细化了个人金融信息全生命周期的安全技术和安全管理要求，也可作为相关主管部门执法时的参考。

《个人金融信息保护条例》第3.1条。

《个人金融信息保护规范》第3.2条。

《个人金融信息保护规范》第4.2条对个人金融信息进行了分类，需要注意的是，根据《规范》，两种或两种以上低敏感度类别的信息经过合并、关联、分析等处理后，可能生成高敏感度信息。

具体内容请参阅《个人金融信息保护规范》第6.1条。

《个人金融信息保护条例》第7.2.1g）条。

参见《网络安全法》第三十一条、第三十一条。

《个人金融信息保护规范》第7.2.3条。