本报记者 李冰
8月9日,中国支付清算协会(以下简称“协会”)发布关于印发《个人支付信息保护指引》的通知。
“此次协会发布《个人支付信息保护指引》,一方面与时俱进完善支付领域的个人信息保护工作;另一方面能够为支付产业中的各市场机构提供行动指南,促使各支付机构根据文件内容不断细化个人支付信息保护工作内容,在合规框架下稳步前行。”易观分析金融行业高级咨询顾问苏筱芮对《证券日报》记者说道。
通知显示,中国支付清算协会组织对协会2016年发布的团体标准《个人信息保护技术指引》进行了修订,并更名为《个人支付信息保护指引》。自发布之日起实施,原《个人信息保护技术指引》废止。
从内容来看,《个人支付信息保护指引》提出了支付信息保护整体框架,细化了支付业务中个人信息的处理要求和相关机构的能力要求,并且明确给出了个人支付信息的范围定义,提出了个人支付信息保护的基本原则、安全框架、安全保护范围、业务主体及主要义务、组织建设、人员管理、终端和业务系统安全等内容。并针对不同业务场景提出了典型的保护要求。
经记者梳理,《个人支付信息保护指引》与此前2016年《个人信息保护技术指引》相比,除结构调整和编辑性改动外,主要变化内容包括,更改标准范围为个人支付信息,并给出个人支付信息的分类;提出了个人支付信息安全框架;明确了支付业务主体开展个人支付信息保护时的基本范围;针对性提出不同角色的支付业务主体的基本要求;提出了从业机构的管理要求;提出了从业机构的人员要求;提出了从业机构的系统要求;针对不同场景提出了个人信息保护的典型要求。
博通咨询金融行业资深分析师王蓬博对《证券日报》记者表示:“目前支付数据的规模、交互方式及发展情况已和2016年有所不同,可以看出,《个人支付信息保护指引》与时俱进的结合了目前支付业务参与主体和业务特点,提出了支付信息保护整体框架,为参与支付业务的机构提供指导。”
同时,《个人支付信息保护指引》明确,个人支付信息的使用、加工应严格限制其使用目的。原则上,个人支付信息不应提供给非业务相关方,个人支付信息不允许公开。支付业务主体因商户在对账等活动的需要向其提供个人支付信息的,应对个人支付信息进行必要的脱敏处理,并要求商户做好个人支付信息的保护工作;同时,个人支付信息的删除和销毁是防范支付信息泄露的重要手段。
支付业务主体的基本要求方面,要求收单机构应切实履行特约商户检查责任,严格规范与外包服务机构业务合作,不应将收单业务交易处理、资金结算、风险监测、受理终端主密钥生成和管理、差错和争议处理工作交由外包服务机构办理;不应将外包服务机构拓展为特约商户并接收其发送的银行卡交易信息。
在管理要求方面,明确制定个人支付信息保护风险管控机制,事前合规审查、事中监控跟踪、事后处置补救。在个人支付信息保护委员会的统一组织下,定期开展内部风险评估工作,定期面向金融消费者开展个人支付信息保护调研工作;同时,制定个人支付信息保护相关信息披露的管理发布制度,并鼓励积极主动面向社会、监管机构发布信息披露报告。