| 控制总项 | 控制细项 | 合规文献要求 | 合规文献要求 | 合规文献要求 | 安全要求 | 评估方法 | 结果判定 | 现状记录 | 整改建议 |
| 1.数据采集 | 1.1 概述 | 数据采集是指金融业机构在提供金融产品和服务、开展经营管理等活动中,直接或间接从个人金融信息主体,以及企业客户、外部数据供应方等外部机构获取数据的过程。数据采集过程存在数据泄露、数据源伪造、特权账户滥用、数据篡改等安全风险。 | 6.1.1 收集 应根据信息类别确定个人金融信息收集方案。具体技术要求如下: a) 不应委托或授权无金融业相关资质的机构收集 C3、C2 类别信息。 | 5.1 收集个人信息的合法性 对个人信息控制者的要求包括: a) 不应以欺诈、诱骗、误导的方式收集个人信息; b) 不应隐瞒产品或服务所具有的收集个人信息的功能; c) 不应从非法渠道获取个人信息。 | |||||
| 1.2 外部机构采集数据 | 《JRT 0223—2021 金融数据安全 数据生命周期安全规范》 7.1.2 从外部机构采集数据 金融业机构从外部机构采集数据,安全要求如下: a) 应通过合同协议等方式,明确双方在数据安全方面的责任及义务,明确数据采集范围、频度、类型、用途等,确保外部机构数据的合法合规性和真实性,必要时提供相关个人金融信息主体的授权。 b) 从外部数据供应方处采集数据,应制定数据供应方约束机制,并明确数据源、数据采集范围和频度,并事前开展数据安全影响评估。 c) 采集的企业客户数据应与提供的金融产品或服务直接相关,并与合同协议条款、隐私政策中约定采集的内容保持一致,不应超范围采集数据。 d) 应明确数据采集过程中个人金融信息和重要数据的知悉范围和安全管控措施,确保采集数据的合规性、完整性和真实性。 e) 通过系统批量采集的数据应采用摘要、消息认证码、数字签名等密码技术确保采集过程数据的完整性。 f) 应对人工批量采集数据的环境进行安全管控,并通过人员权限管控、信息碎片化等方式,防止采集过程出现数据泄露。 g) 采集数据时,应对数据采集设备或系统的真实性进行验证。 h) 应对数据采集过程进行日志记录,并采取技术措施确保信息来源的可追溯性。 i) 采集 3 级及以上数据时,还应结合口令密码、设备指纹、设备物理位置、网络接入方式、设备风险情况等多种因素对数据采集设备或系统的真实性进行增强验证。 j) 采集 4 级数据时,还应满足: 1) 对采集全过程进行持续动态认证,确保数据采集设备或系统的真实性,必要时可实施阻断、二次认证等操作。 2) 对采集的数据进行数据加密。 3) 不应通过人工方式采集。 | 5.2 收集个人信息的最小必要 对个人信息控制者的要求包括: a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现; b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率; c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。 d) 收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意; e) 间接获取个人信息时: 1) 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性 进行确认; 2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用 目的,个人信息主体是否授权同意转让、共享、公开披露、删除等; 3) 如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的, 应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体 的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。 | 1、应通过合同协议等方式,明确双方在数据安全方面的责任及义务,明确数据采集的范围、频度、类型、用途等,确保外部机构数据的合法合规性和真实性,必要时提供相关个人金融信息主体的授权。 | 1.人员访谈 2.文档查验 3.旁站验证 | 1.查阅合同协议等约定条款,确认已书面明确双方数据保护责权划分,并确认外部机构已提供具有法律效力的数据来源合法合规性承诺证明。 2.查阅合同协议等约定条款,确认已书面明确数据采集的范围、频度、类型、用途、数据保护措施、数据使用期限及到期后数据处理方式。 3.访谈相关人员,确认本机构已明确在何种情况下,会要求外部机构提供个人金融信息主体授权。 4.查验并确认外部机构提供的个人金融信息主体授权方式、授权内容与实际数据采集实现情况完全一致。 结果评价: 符合:满足以上第1至4项。 基本符合:满足以上第1、2、4项。 不符合:不满足以上第1、2、4项中的一项或多项。 | ||||
| b) 应确保收集信息来源的可追溯性。 | 5.3 多项业务功能的自主选择 当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括: a) 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求; b) 应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息; c) 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途 径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息 控制者应停止该业务功能的个人信息收集活动; d) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意; e) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量; f) 不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强 制要求个人信息主体同意收集个人信息。 | 2、从外部数据供应方处采集数据,应制定数据供应方约束机制,并明确数据源、数据采集范围和频度,并事前开展数据安全影响评估。 | 1.人员访谈 2.文档查验 | 1.查阅数据安全相关制度,确认已明确数据供应方约束要求,并对数据源、数据采集范围和频度以及开展事前数据安全评估提出具体要求。 2.查阅并确认已制定数据安全影响评估的规范,并在规范中明确开展数据安全影响评估的启动条件、流程、内容、风险等级划分、风险级别与结论、改进建议、报告编制等。其中,评估内容包括外部数据及其数据源的真实性、合法性与正当性,采集的范围、频度、类型和用途合理性和必要性,安全保护措施 1.查阅数据安全相关制度,确认已明确数据供应方约束要求,并对数据源、数据采集范围和频度以及开展事前数据安全评估提出具体要求。 2.查阅并确认已制定数据安全影响评估的规范,并在规范中明确开展数据安全影响评估的启动条件、流程、内容、风险等级划分、风险级别与结论、改进建议、报告编制等。其中,评估内容包括外部数据及其数据源的真实性、合法性与正当性,采集的范围、频度、类型和用途合理性和必要性,安全保护措施 | |||||
| c) 应采取技术措施(如弹窗、明显位置 URL 链接等),引导个人金融信息主体查阅隐私政策,并获得其明示同意后,开展有关个人金融信息的收集活动。 | 5.4 收集个人信息时的授权同意 对个人信息控制者的要求包括: a) 收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意; 注1:如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过个人信息保护政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除个人信息保护政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响。 注2:符合5.3和 a)要求的实现方法,可参考附录C。 b) 收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示; c) 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意; 注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。 | 3、采集的企业客户数据应与提供的金融产品或服务直接相关,并与合同协议条款、隐私政策中约定采集的内容保持一致,不应超范围采集数据。 | 1.文档查验 2.旁站验证 | 1.查阅合同协议,确认已明确向企业客户提供的金融产品或服务具体内容。 2.查验并确认采集的企业客户数据均与所提供金融产品或服务直接相关。 3.查验并确认采集的企业客户数据与合同协议条款、隐私政策中约定采集的内容完全一致,未超范围采集数据。 结果评价: 符合:满足以上第1至3项。 不符合:不满足以上第1至3项中的一项或多项。 | |||||
| d) 对于 C3 类别信息,通过受理终端、客户端应用软件、浏览器等方式收集时,应使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取。 | 4、应明确数据采集过程中个人金 融信息和重要数据的知悉范围和安全管控措施,确保采集数据的合规性、完整性和真实性。 | 1.人员访谈 2.文档查验 3.旁站验证 | 1.查阅数据安全相关制度,确认已明确采集过程中个人金融信息和重要数据的知悉范围和安全管控措施。 2.访谈相关人员并查阅相关记录文档,确认采集的个人金融信息和重要数据的知悉范围与制度要求一致,不存在超知悉范围采集数据。 3.查验并确认数据采集过程中个人金融信息和重要数据的安全管控措施及其实际有效性。 结果评价: 符合:满足以上第1至3项。 不符合:不满足以上第1至3项中的一项或多项。 | ||||||
| 5、通过系统批量采集的数据应采 用摘要、消息认证码、数字签名等密码技术确保采集过程数据的完整性。 | 1.文档查验 2.配置核查 3.工具测试 4.旁站验证 | 1.查阅批量采集数据相关信息系统的设计和实施相关文档,确认已采取摘要、消息认证码、数字签名等密码技术保障采集过程数据的完整性。 2.查验并确认采集数据相关信息系统已采用摘要、消息认证码、数字签名等密码技术保障采集过程数据的完整性。 结果评价: 符合:满足以上第1至2项。 不符合:不满足以上第1至2项中的一项或多项。 | |||||||
| e) 通过受理终端、客户端应用软件与浏览器等方式引导用户输入(或设置)银行卡密码、网络支付密码时,应采取展示屏蔽等措施防止密码明文显示,其他密码类信息宜采取展示屏蔽措施。 | 6、应对人工批量采集数据的环境进行安全管控,并通过人员权限管控、信息碎片化等方式,防止采集过程出现数据泄露。 | 1.人员访谈 2.文档查验 3.配置核查 4.旁站验证 | 1.查阅数据安全相关制度,确认已对人工批量采集数据环境的数据防泄漏等安全管控做出相关规定。 2.查验并确认数据采集过程中已采用数据防泄露技术手段及对人工批量采集数据的环境已采用安全管控措施,并确认其与相关安全制度规定内容一致。 3.查验并确认人工批量采集数据环境安全管控措施的有效性。 4.查验人工批量采集数据的相关信息系统,确认已采用人员权 | ||||||
| 7、采集数据时,应对数据采集设备或系统的真实性进行验证。 | 1.文档查验 2.工具测试 3.旁站验证 | 1.查阅数据采集设备或信息系统的相关建设文档,确认该设备或信息系统具有身份识别、数字证书等鉴别技术,以确保设备或信息系统的真实性。 2.查验并确认采集设备或信息系统具有鉴别真实性的功能或技术。 结果评价: 符合:满足以上第1至2项。 不符合:不满足以上第1至2项中的一项或多项。 | |||||||
| f) 在网络支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效措施防止合作机构获取、留存支付敏感信息。 | 8、应对数据采集过程进行日志记录,并采取技术措施确保信息来源的可追溯性。 | 1.文档查验 2.工具测试 3.旁站验证 | 1.查验并确认数据采集设备或信息系统已具有日志记录的功能。 2.抽样查验数据采集过程的日志记录,确认已记录所采集数据的提供方、采集时间、采集方式等,确保采集数据的可追溯性。 结果评价: 符合:满足以上第1至2项。 不符合:不满足以上第1至2项中的一项或多项。 | ||||||
| g) 在停止提供金融产品或服务时,应及时停止继续收集个人金融信息的活动。 | 9、采集 3 级及以上数据时,还应结合口令密码、设备指纹、设备物理位置、网络接入方式、设备风险情况等多种因素对数据采集设备或系统的真实性进行增强验证。 | 1.文档查验 2.工具测试 3.旁站验证 | 1.查阅采集3级及以上数据的设备或信息系统的设计和实施相关文档,确认该设备或信息系统具有增强验证功能。 2.查验采集3级及以上数据的设备或信息系统,确认可进行增强验证。 结果评价: 符合:满足以上第1至2项。 不符合:不满足以上第1至2项中的一项或多项。 | ||||||
| 10、采集 4 级数据时,还应满足: 1)对采集全过程进行持续动态 认证,确保数据采集设备或系统 的真实性,必要时可实施阻断、二次认证等操作。 2)对采集的数据进行数据加密。 3)不应通过人工方式采集。 | 1.人员访谈 2.文档查验 3.工具测试 4.旁站验证 | 1.查阅采集4级数据的设备或信息系统的相关建设文档,确认具备在采集全过程进行持续动态认证的相关要求(防范因认证过期未及时断连、单次认证有效期限过长等验证机制自身脆弱性问题带来的数据安全风险),并已明确采集4级数据的加密方式。 2.查验并确认已明确采集4级数据时使用实时阻断和二次认证等操作的必要情形,并确认其操作有效性。 3.查验并确认采集4级数据的设备或信息系统对采集全过程可进行持续动态认证。 4.查验并确认数据采集设备或信息系统对采集的4级数据进行加密。 5.访谈相关人员,了解4级数据采集方式,确认未通过人工方式采集。 结果评价: 符合:满足以上第1至5项。 不符合:不满足以上第1至5项中的一项或多项。 | |||||||
| 1.3 从个人金融信息主体处采集数据 | 《JRT 0223—2021 金融数据安全 数据生命周期安全规范》 7.1.3 从个人金融信息主体处采集数据 金融业机构从个人金融信息主体处采集数据,安全要求如下: a) APP、WEB 等客户端相关业务完成后不应留存 3 级及以上数据,并及时对缓存进行清理。 b) 采集的个人金融信息应与提供的金融产品或服务直接相关,并与合同协议条款、隐私政策中约定采集的内容保持一致,不应超范围采集数据。 c) 通过纸质表单采集数据并转换为电子数据时,满足以下要求: 1) 对表单的保存、查阅、复制等操作进行严格审批授权,涉及 3 级及以上数据的操作,应进行专项审批,并对表单流转的全过程进行监控与审计。 2) 在纸质表单电子化的过程中,应采取技术措施对电子化过程中的数据完整性、保密性进行控制。 d) 数据采集过程应符合 1.1 中 d)~j)所述要求。 e) 金融业机构在停止其提供的金融产品或服务时,应立即停止数据收集活动及数据分析应用活动,相关国家及行业主管部门另有规定的按照相关规定执行 | 1、APP、WEB 等客户端相关业务完成后不应留存 3 级及以上数据,并及时对缓存进行清理。 | 1.文档查验 2.工具测试 3.旁站验证 | 1.查阅处理个人金融信息的APP、WEB等客户端相关建设文档,确认已明确不留存3级及以上数据的方案和及时清理缓存的方案。 2.查验并确认APP、WEB客户端在完成相关业务后未留存3级及以上数据,且在业务完成后能及时对缓存进行清理。 结果评价: 符合:满足以上第1至2项。 不符合:不满足以上第1至2项中的一项或多项。 | |||||
| 2、采集的个人金融信息应与提供的金融产品或服务直接相关,并与合同协议条款、隐私政策中约定采集的内容保持一致,不应超范围采集数据。 | 1.人员访谈 2.文档查验 3.旁站验证 | 1.查阅合同协议,确认已明确向个人金融信息主体提供的金融产品或服务具体内容。 2.查验并确认采集的个人金融信息与提供的金融产品或服务直接相关,未采集无关信息。 3.查验并确认采集的个人金融信息与合同协议条款、隐私政策中约定采集的内容完全一致,未超范围、过量采集数据。 4.查验提供的金融产品清单,识别涉及个人金融信息采集的产品,选择不低于十分之一的产品,对近180天内的个人金融信 息采集做抽样查验,确认不存在超范围、过量采集数据。 结果评价: 符合:满足以上第1至4项。 不符合:不满足以上第1至4项中的一项或多项。 | |||||||
| 3、通过纸质表单采集数据并转换为电子数据时,满足以下要求: 1)对表单的保存、查阅、复制等操作进行严格审批授权,涉及 3级及以上数据的操作,应进行专 项审批,并对表单流转的全过程进行监控与审计。 2)在纸质表单电子化的过程中,应采取技术措施对电子化过程中的数据完整性、保密性进行控制。 | 1.人员访谈 2.文档查验 3.旁站验证 | 1.查阅数据安全相关制度,确认已明确纸质表单管理机制,且机制设计合规。 2.查验并确认对纸质表单的保存、查阅、复制等操作均有审批记录,确认涉及3级及以上表单操作经由专人审批,且流转记录完整、审计记录合规。 3.查阅纸质表单电子化相关文档,确认存在保障数据完整性和保密性的技术措施和权限控制措施设计。 4.查验纸质表单电子化的权限控制情况,确认仅授权人员有电子化操作权限。 5.抽样查验并确认电子化后的数据类型、数据量、数据内容等与纸质表单数据完全一致。 结果评价: 符合:满足以上第1至5项。 不符合:不满足以上第1至5项中的一项或多项。 | |||||||
| 4、数据采集过程应符合表 1.2 第 4 至 10 项安全要求。 | 同 1.2中的4-10项 | 同 1.2中的4-10项 | |||||||
| 5、金融业机构在停止其提供的金融产品或服务时,应立即停止数据收集活动及数据分析应用活动,相关国家及行业主管部门另有规定的按照相关规定执行。 | 1.文档查验 2.旁站验证 | 1.查阅数据安全相关制度,确认已明确本机构在停止提供金融产品或服务时,立即停止数据收集活动及数据分析应用活动定 的相关规定。 2.查阅本机构停止其提供的金融产品或服务相关资料,确认其数据活动与相关数据安全制度规定的内容完全一致。 3.查阅合同协议条款,确认关于本机构在停止提供金融产品或服务时应立即停止数据收集活动及数据分析应用活动的约定 内容。 4.抽样查验相关系统日志,确认在停止对个人提供金融产品或服务后,立即采取措施停止数据收集活动及数据分析应用活 动,且此后未进行此产品和服务相关的任何数据活动。 结果评价: 符合:满足以上第1至4项。 不符合:不满足以上第1至4项中的一项或多项。 |
下载地址:https://t.zsxq.com/08Ni8tVX8