中国支付清算协会印发《个人支付信息保护指引》

CTOnews.com 8 月 9 日消息，个人支付信息是指在支付服务过程中获取、加工和保存的个人信息。

据中国支付清算协会，为适应国家法律法规最新要求，更好地服务行业发展，中国支付清算协会组织对协会 2016 年发布的团体标准《个人信息保护技术指引》（PCAC / T 0001:2016）进行了修订，并更名为《个人支付信息保护指引》。

该文件自发布之日起实施，原《个人信息保护技术指引》废止。

个人支付信息分类

个人参与支付活动中涉及的、能够被知晓和处理、与个人相关、能够单独或与其他信息结合识别该个人的任何信息：

a) 账户信息指账户及账户相关信息，包括但不限于支付账号、银行卡磁道数据（或芯片等效信息）、银行卡有效期、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等；

b) 鉴别信息指用于验证主体是否具有访问或使用权限的信息，包括但不限于银行卡密码、预付卡支付密码；个人支付信息主体登录密码、账户查询密码、交易密码；卡片验证码（CVN 和 CVN2）、动态口令、短信验证码、密码提示问题答案等；

c) 支付交易信息指个人支付信息主体在交易过程中产生的各类信息，包括但不限于交易金额、支付记录、透支记录、交易日志、交易凭证；

d) 个人身份信息指个人基本信息、个人生物识别信息等：

个人基本信息包括但不限于客户法定名称、身份证和护照等证件类信息、联系方式（如手机号码、固定电话号码、电子邮箱），以及在提供产品和服务过程中收集的照片、音视频等信息；

CTOnews.com注：个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。

e) 其他信息：

对原始数据进行处理、分析形成的，能够反映特定个人某些情况的信息，包括但不限于特定个人支付信息主体的消费意愿、支付习惯和其他衍生信息；

在提供支付服务过程中获取、加工、保存的其他个人信息。

个人支付信息安全框架

个人支付信息在支付业务中，需要在不同支付业务主体之间流转。个人支付信息的生命周期与支付业务主体、业务场景、支付技术的选择有密切关系。因此，在本支付框架中提出 3 项要素：

a) 支付业务主体：宜按照处理支付信息的主要类别开展信息保护工作，甄别各类支付业务主体的主要职责，确定自身的安全保护范围，并按照基本要求、管理要求、人员要求、系统要求等不同的维度建立个人支付信息保护能力；

b) 业务场景：个人支付信息保护需要实现场景的全覆盖。根据支付服务参与角色的不同，至少需要考虑用户场景、业务运营场景、系统运维场景的数据保护；

c) 支付技术：宜根据支付技术的不同设定具体的个人支付信息保护要求，包括网络支付、移动支付、银行卡收单等不同的技术模式。

个人支付信息的生命周期包括收集、传输、存储、使用、加工、提供、公开、删除、销毁等。

a) 收集是个人支付信息中外源性信息的主要来源。通过移动 App 等智能终端进行信息采集时，宜符合 GB / T 41391-2022 的要求；通过其他非信息化系统收集个人信息时，遵循 GB / T35273-2020、JR / T 0171-2020 中信息收集的基本原则，特别需要注意纸质文件扫描或通过 OCR 等方式转化为电子数据的过程；

b) 个人支付信息在不同参与主体之间传输时，宜采用加密通道、数据加密的方式保障数据安全性；

c) 不同参与主体需根据业务角色确定数据存储的必要性，原则上，不应存储非本机构的 C3 类个人支付信息；

d) 个人支付信息的使用、加工应严格限制其使用目的。原则上，支付业务主体不应在支付业务以外的情形下使用个人支付信息；

e) 原则上，个人支付信息不应提供给非业务相关方，个人支付信息不允许公开。支付业务主体因商户在对账等活动的需要向其提供个人支付信息的，应对个人支付信息进行必要的脱敏处理，并要求商户做好个人支付信息的保护工作；

f) 个人支付信息的删除和销毁是防范支付信息泄露的重要手段。在个人支付信息不再需要使用时，可采取删除、销毁措施进行处理；

g) 涉及个人支付信息出境，应满足《个人信息保护法》、《数据出境安全评估办法》等法律法规的要求，符合规定的个人信息出境行为需要事前完成国家网信办组织的出境评估工作，跨境交易行为可能涉及个人金融信息出境，依规需要完成出境评估。