北京商報(bào)訊（記者 廖蒙）圍繞支付領(lǐng)域的個(gè)人信息保護(hù)，又添新指引。8 月 9 日，據(jù)中國(guó)支付清算協(xié)會(huì)（以下簡(jiǎn)稱 " 協(xié)會(huì) "）官網(wǎng)，協(xié)會(huì)審議發(fā)布《個(gè)人支付信息保護(hù)指引》（以下簡(jiǎn)稱《指引》），自發(fā)布之日起實(shí)施。協(xié)會(huì)此前于 2016 年發(fā)布的《個(gè)人信息保護(hù)技術(shù)指引》也正式宣告廢止。

從內(nèi)容來(lái)看，《指引》提出了支付信息保護(hù)整體框架，細(xì)化了支付業(yè)務(wù)中個(gè)人信息的處理要求和相關(guān)機(jī)構(gòu)的能力要求，并且明確給出了個(gè)人支付信息的范圍定義，提出了個(gè)人支付信息保護(hù)的基本原則、安全框架、安全保護(hù)范圍、業(yè)務(wù)主體及主要義務(wù)、組織建設(shè)、人員管理、終端和業(yè)務(wù)系統(tǒng)安全等內(nèi)容。

《指引》明確，支付業(yè)務(wù)主體是指從事支付業(yè)務(wù)、處理個(gè)人支付信息的服務(wù)機(jī)構(gòu)，包含收單機(jī)構(gòu)、賬戶機(jī)構(gòu)、清算機(jī)構(gòu)和其它相關(guān)機(jī)構(gòu)。個(gè)人支付信息則包括個(gè)人參與支付活動(dòng)中涉及的、能夠被知曉和處理、與個(gè)人相關(guān)、能夠單獨(dú)或與其他信息結(jié)合識(shí)別該個(gè)人的任何信息。

(相關(guān)資料圖)

《指引》提出，原則上，個(gè)人支付信息不應(yīng)提供給非業(yè)務(wù)相關(guān)方，個(gè)人支付信息不允許公開。支付業(yè)務(wù)主體因商戶對(duì)賬等活動(dòng)，需要向其提供個(gè)人支付信息的，應(yīng)對(duì)個(gè)人支付信息進(jìn)行必要的脫敏處理，并要求商戶做好個(gè)人支付信息的保護(hù)工作。

對(duì)于支付領(lǐng)域這一最新的個(gè)人信息保護(hù)要求，易觀分析金融行業(yè)高級(jí)咨詢顧問(wèn)蘇筱芮表示，此次協(xié)會(huì)發(fā)布《指引》，一方面能夠與時(shí)俱進(jìn)完善支付領(lǐng)域的個(gè)人信息保護(hù)工作，另一方面也能夠?yàn)橹Ц懂a(chǎn)業(yè)中的各市場(chǎng)機(jī)構(gòu)提供行動(dòng)指南，促使各支付機(jī)構(gòu)根據(jù)文件內(nèi)容不斷細(xì)化個(gè)人支付信息保護(hù)工作內(nèi)容，在合規(guī)框架下穩(wěn)步前行。

北京商報(bào)記者梳理發(fā)現(xiàn)，針對(duì)支付領(lǐng)域不同類型機(jī)構(gòu)、不同業(yè)務(wù)場(chǎng)景的信息保護(hù)，以及支付機(jī)構(gòu)每一崗位的員工設(shè)置與管理，《指引》也給出了更為細(xì)化的、明確的規(guī)范標(biāo)準(zhǔn)。

例如，支付機(jī)構(gòu)各崗位必須根據(jù) " 業(yè)務(wù)必須 " 和 " 最小化 " 原則，嚴(yán)格控制訪問(wèn)和使用支付信息，任何人都只能訪問(wèn)其開展業(yè)務(wù)所必需的支付信息，且只能夠獲得訪問(wèn)支付信息所必要的最小權(quán)限。

在機(jī)構(gòu)規(guī)范方面，《指引》要求，收單機(jī)構(gòu)應(yīng)切實(shí)履行特約商戶檢查責(zé)任，嚴(yán)格規(guī)范與外包服務(wù)機(jī)構(gòu)業(yè)務(wù)合作，不應(yīng)將收單業(yè)務(wù)交易處理、資金結(jié)算、風(fēng)險(xiǎn)監(jiān)測(cè)、受理終端主密鑰生成和管理、差錯(cuò)和爭(zhēng)議處理工作交由外包服務(wù)機(jī)構(gòu)辦理；不應(yīng)將外包服務(wù)機(jī)構(gòu)拓展為特約商戶并接收其發(fā)送的銀行卡交易信息。

同時(shí)，收單機(jī)構(gòu)應(yīng)根據(jù)特約商戶受理銀行卡交易的真實(shí)場(chǎng)景，按照相關(guān)清算機(jī)構(gòu)和發(fā)卡銀行的業(yè)務(wù)規(guī)則和管理要求，正確選用交易類型，準(zhǔn)確標(biāo)識(shí)交易信息并完整發(fā)送，確保交易信息的完整性、真實(shí)性和可追溯性。

清算機(jī)構(gòu)則應(yīng)對(duì)從清算服務(wù)中獲取的身份信息、賬戶信息、交易信息以及其他相關(guān)信息等個(gè)人支付信息予以保密。在處理用戶個(gè)人授權(quán)的個(gè)人支付信息時(shí)，應(yīng)通過(guò)業(yè)務(wù)規(guī)則及協(xié)議等有效措施，要求發(fā)卡機(jī)構(gòu)或收單機(jī)構(gòu)為所獲得的個(gè)人支付信息保密。

近年來(lái)，信息安全與數(shù)據(jù)保護(hù)日益成為金融業(yè)的重要議題，越來(lái)越多的金融機(jī)構(gòu)參與到個(gè)人隱私信息保護(hù)中來(lái)。蘇筱芮指出，支付行業(yè)作為金融行業(yè)中數(shù)據(jù)極為密集的細(xì)分行業(yè)，擁有數(shù)以億計(jì)的個(gè)人用戶，因此更需要加強(qiáng)對(duì)數(shù)據(jù)、對(duì)信息的防護(hù)。目前支付業(yè)數(shù)據(jù)要素應(yīng)用已經(jīng)存在大量實(shí)踐，但在管理制度方面還存在一定短板。

" 而此次《指引》不但對(duì)從業(yè)機(jī)構(gòu)管理、從業(yè)機(jī)構(gòu)的人員管理提出具體要求，而且還細(xì)化了業(yè)務(wù)流程標(biāo)準(zhǔn)，對(duì)于督促支付領(lǐng)域市場(chǎng)機(jī)構(gòu)有序開展個(gè)人信息保護(hù)工作來(lái)說(shuō)具有積極意義。" 蘇筱芮指出，" 后續(xù)，建議從業(yè)機(jī)構(gòu)根據(jù)協(xié)會(huì)要求逐條對(duì)標(biāo)并及時(shí)查漏補(bǔ)缺，嚴(yán)密個(gè)人支付信息的防護(hù)網(wǎng)，做好從業(yè)人員內(nèi)部管理。"