(資料圖)

8月9日，中國支付清算協(xié)會(huì)（以下簡稱“協(xié)會(huì)”）發(fā)布關(guān)于印發(fā)《個(gè)人支付信息保護(hù)指引》的通知。

“此次協(xié)會(huì)發(fā)布《個(gè)人支付信息保護(hù)指引》，一方面與時(shí)俱進(jìn)完善支付領(lǐng)域的個(gè)人信息保護(hù)工作；另一方面能夠?yàn)橹Ц懂a(chǎn)業(yè)中的各市場機(jī)構(gòu)提供行動(dòng)指南，促使各支付機(jī)構(gòu)根據(jù)文件內(nèi)容不斷細(xì)化個(gè)人支付信息保護(hù)工作內(nèi)容，在合規(guī)框架下穩(wěn)步前行?！币子^分析金融行業(yè)高級(jí)咨詢顧問蘇筱芮對(duì)《證券日?qǐng)?bào)》記者說道。

通知顯示，中國支付清算協(xié)會(huì)組織對(duì)協(xié)會(huì)2016年發(fā)布的團(tuán)體標(biāo)準(zhǔn)《個(gè)人信息保護(hù)技術(shù)指引》進(jìn)行了修訂，并更名為《個(gè)人支付信息保護(hù)指引》。自發(fā)布之日起實(shí)施，原《個(gè)人信息保護(hù)技術(shù)指引》廢止。

從內(nèi)容來看，《個(gè)人支付信息保護(hù)指引》提出了支付信息保護(hù)整體框架，細(xì)化了支付業(yè)務(wù)中個(gè)人信息的處理要求和相關(guān)機(jī)構(gòu)的能力要求，并且明確給出了個(gè)人支付信息的范圍定義，提出了個(gè)人支付信息保護(hù)的基本原則、安全框架、安全保護(hù)范圍、業(yè)務(wù)主體及主要義務(wù)、組織建設(shè)、人員管理、終端和業(yè)務(wù)系統(tǒng)安全等內(nèi)容。并針對(duì)不同業(yè)務(wù)場景提出了典型的保護(hù)要求。

經(jīng)記者梳理，《個(gè)人支付信息保護(hù)指引》與此前2016年《個(gè)人信息保護(hù)技術(shù)指引》相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要變化內(nèi)容包括，更改標(biāo)準(zhǔn)范圍為個(gè)人支付信息，并給出個(gè)人支付信息的分類；提出了個(gè)人支付信息安全框架；明確了支付業(yè)務(wù)主體開展個(gè)人支付信息保護(hù)時(shí)的基本范圍；針對(duì)性提出不同角色的支付業(yè)務(wù)主體的基本要求；提出了從業(yè)機(jī)構(gòu)的管理要求；提出了從業(yè)機(jī)構(gòu)的人員要求；提出了從業(yè)機(jī)構(gòu)的系統(tǒng)要求；針對(duì)不同場景提出了個(gè)人信息保護(hù)的典型要求。

博通咨詢金融行業(yè)資深分析師王蓬博對(duì)《證券日?qǐng)?bào)》記者表示：“目前支付數(shù)據(jù)的規(guī)模、交互方式及發(fā)展情況已和2016年有所不同，可以看出，《個(gè)人支付信息保護(hù)指引》與時(shí)俱進(jìn)的結(jié)合了目前支付業(yè)務(wù)參與主體和業(yè)務(wù)特點(diǎn)，提出了支付信息保護(hù)整體框架，為參與支付業(yè)務(wù)的機(jī)構(gòu)提供指導(dǎo)?！?/p>

同時(shí)，《個(gè)人支付信息保護(hù)指引》明確，個(gè)人支付信息的使用、加工應(yīng)嚴(yán)格限制其使用目的。原則上，個(gè)人支付信息不應(yīng)提供給非業(yè)務(wù)相關(guān)方，個(gè)人支付信息不允許公開。支付業(yè)務(wù)主體因商戶在對(duì)賬等活動(dòng)的需要向其提供個(gè)人支付信息的，應(yīng)對(duì)個(gè)人支付信息進(jìn)行必要的脫敏處理，并要求商戶做好個(gè)人支付信息的保護(hù)工作；同時(shí)，個(gè)人支付信息的刪除和銷毀是防范支付信息泄露的重要手段。

支付業(yè)務(wù)主體的基本要求方面，要求收單機(jī)構(gòu)應(yīng)切實(shí)履行特約商戶檢查責(zé)任，嚴(yán)格規(guī)范與外包服務(wù)機(jī)構(gòu)業(yè)務(wù)合作，不應(yīng)將收單業(yè)務(wù)交易處理、資金結(jié)算、風(fēng)險(xiǎn)監(jiān)測、受理終端主密鑰生成和管理、差錯(cuò)和爭議處理工作交由外包服務(wù)機(jī)構(gòu)辦理；不應(yīng)將外包服務(wù)機(jī)構(gòu)拓展為特約商戶并接收其發(fā)送的銀行卡交易信息。

在管理要求方面，明確制定個(gè)人支付信息保護(hù)風(fēng)險(xiǎn)管控機(jī)制，事前合規(guī)審查、事中監(jiān)控跟蹤、事后處置補(bǔ)救。在個(gè)人支付信息保護(hù)委員會(huì)的統(tǒng)一組織下，定期開展內(nèi)部風(fēng)險(xiǎn)評(píng)估工作，定期面向金融消費(fèi)者開展個(gè)人支付信息保護(hù)調(diào)研工作；同時(shí)，制定個(gè)人支付信息保護(hù)相關(guān)信息披露的管理發(fā)布制度，并鼓勵(lì)積極主動(dòng)面向社會(huì)、監(jiān)管機(jī)構(gòu)發(fā)布信息披露報(bào)告。