信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全學(xué)習(xí)那些事兒”。

2023年8月9日，中國(guó)支付清算協(xié)會(huì)(以下簡(jiǎn)稱“協(xié)會(huì)”)發(fā)布關(guān)于印發(fā)《個(gè)人支付信息保護(hù)指引》的通知，稱為適應(yīng)國(guó)家法律法規(guī)最新要求，更好地服務(wù)行業(yè)發(fā)展，已組織對(duì)2016年發(fā)布的團(tuán)體標(biāo)準(zhǔn)《個(gè)人信息保護(hù)技術(shù)指引》(PCAC/T 0001:2016)進(jìn)行了修訂，并更名為《個(gè)人支付信息保護(hù)指引》(以下簡(jiǎn)稱《指引》)。(點(diǎn)擊“閱讀原文”查看全文)

根據(jù)《指引》，個(gè)人支付信息分類指?jìng)€(gè)人參與支付活動(dòng)中涉及的、能夠被知曉和處理、與個(gè)人相關(guān)、能夠單獨(dú)或與其他信息結(jié)合識(shí)別該個(gè)人的任何信息。比如，賬戶信息指賬戶及賬戶相關(guān)信息，包括但不限于支付賬號(hào)、銀行卡磁道數(shù)據(jù)(或芯片等效信息)、銀行卡有效期、賬戶開立時(shí)間、開戶機(jī)構(gòu)、賬戶余額以及基于上述信息產(chǎn)生的支付標(biāo)記信息等。

《指引》主要內(nèi)容包括編制原則、個(gè)人支付信息分類分級(jí)、支付業(yè)務(wù)主體的安全保護(hù)范圍、支付業(yè)務(wù)主體的基本要求、支付業(yè)務(wù)主體的管理要求、支付業(yè)務(wù)主體的人員要求、支付業(yè)務(wù)主體的系統(tǒng)要求、不同業(yè)務(wù)場(chǎng)景的保護(hù)要求等等。

其中，在支付業(yè)務(wù)主體的基本要求方面，《指引》對(duì)收單機(jī)構(gòu)、賬戶機(jī)構(gòu)、清算機(jī)構(gòu)及其它相關(guān)機(jī)構(gòu)都作出了相應(yīng)要求。比如，收單機(jī)構(gòu)應(yīng)根據(jù)特約商戶受理銀行卡交易的真實(shí)場(chǎng)景，按照相關(guān)清算機(jī)構(gòu)和發(fā)卡銀行的業(yè)務(wù)規(guī)則和管理要求，正確選用交易類型，準(zhǔn)確標(biāo)識(shí)交易信息并完整發(fā)送，確保交易信息的完整性、真實(shí)性和可追溯性。

收單機(jī)構(gòu)還應(yīng)切實(shí)履行特約商戶檢查責(zé)任，嚴(yán)格規(guī)范與外包服務(wù)機(jī)構(gòu)業(yè)務(wù)合作，不應(yīng)將收單業(yè)務(wù)交易處理、資金結(jié)算、風(fēng)險(xiǎn)監(jiān)測(cè)、受理終端主密鑰生成和管理、差錯(cuò)和爭(zhēng)議處理工作交由外包服務(wù)機(jī)構(gòu)辦理;不應(yīng)將外包服務(wù)機(jī)構(gòu)拓展為特約商戶并接收其發(fā)送的銀行卡交易信息。

收單機(jī)構(gòu)不應(yīng)以任何形式存儲(chǔ)銀行卡磁道信息或芯片信息、卡片驗(yàn)證碼、卡片有效期、個(gè)人標(biāo)識(shí)碼等信息，并應(yīng)采取有效措施防止特約商戶和外包服務(wù)機(jī)構(gòu)存儲(chǔ)此類信息。因特殊業(yè)務(wù)需要，收單機(jī)構(gòu)確需存儲(chǔ)的，應(yīng)經(jīng)持卡人本人及賬戶管理機(jī)構(gòu)同意、確保存儲(chǔ)的信息僅用于持卡人指定用途，并承擔(dān)相應(yīng)信息安全管理責(zé)任。