北京商報訊（記者 廖蒙）圍繞支付領(lǐng)域的個人信息保護，又添新指引。8 月 9 日，據(jù)中國支付清算協(xié)會（以下簡稱 " 協(xié)會 "）官網(wǎng)，協(xié)會審議發(fā)布《個人支付信息保護指引》（以下簡稱《指引》），自發(fā)布之日起實施。協(xié)會此前于 2016 年發(fā)布的《個人信息保護技術(shù)指引》也正式宣告廢止。

從內(nèi)容來看，《指引》提出了支付信息保護整體框架，細化了支付業(yè)務(wù)中個人信息的處理要求和相關(guān)機構(gòu)的能力要求，并且明確給出了個人支付信息的范圍定義，提出了個人支付信息保護的基本原則、安全框架、安全保護范圍、業(yè)務(wù)主體及主要義務(wù)、組織建設(shè)、人員管理、終端和業(yè)務(wù)系統(tǒng)安全等內(nèi)容。

《指引》明確，支付業(yè)務(wù)主體是指從事支付業(yè)務(wù)、處理個人支付信息的服務(wù)機構(gòu)，包含收單機構(gòu)、賬戶機構(gòu)、清算機構(gòu)和其它相關(guān)機構(gòu)。個人支付信息則包括個人參與支付活動中涉及的、能夠被知曉和處理、與個人相關(guān)、能夠單獨或與其他信息結(jié)合識別該個人的任何信息。

(相關(guān)資料圖)

《指引》提出，原則上，個人支付信息不應(yīng)提供給非業(yè)務(wù)相關(guān)方，個人支付信息不允許公開。支付業(yè)務(wù)主體因商戶對賬等活動，需要向其提供個人支付信息的，應(yīng)對個人支付信息進行必要的脫敏處理，并要求商戶做好個人支付信息的保護工作。

對于支付領(lǐng)域這一最新的個人信息保護要求，易觀分析金融行業(yè)高級咨詢顧問蘇筱芮表示，此次協(xié)會發(fā)布《指引》，一方面能夠與時俱進完善支付領(lǐng)域的個人信息保護工作，另一方面也能夠為支付產(chǎn)業(yè)中的各市場機構(gòu)提供行動指南，促使各支付機構(gòu)根據(jù)文件內(nèi)容不斷細化個人支付信息保護工作內(nèi)容，在合規(guī)框架下穩(wěn)步前行。

北京商報記者梳理發(fā)現(xiàn)，針對支付領(lǐng)域不同類型機構(gòu)、不同業(yè)務(wù)場景的信息保護，以及支付機構(gòu)每一崗位的員工設(shè)置與管理，《指引》也給出了更為細化的、明確的規(guī)范標準。

例如，支付機構(gòu)各崗位必須根據(jù) " 業(yè)務(wù)必須 " 和 " 最小化 " 原則，嚴格控制訪問和使用支付信息，任何人都只能訪問其開展業(yè)務(wù)所必需的支付信息，且只能夠獲得訪問支付信息所必要的最小權(quán)限。

在機構(gòu)規(guī)范方面，《指引》要求，收單機構(gòu)應(yīng)切實履行特約商戶檢查責任，嚴格規(guī)范與外包服務(wù)機構(gòu)業(yè)務(wù)合作，不應(yīng)將收單業(yè)務(wù)交易處理、資金結(jié)算、風險監(jiān)測、受理終端主密鑰生成和管理、差錯和爭議處理工作交由外包服務(wù)機構(gòu)辦理；不應(yīng)將外包服務(wù)機構(gòu)拓展為特約商戶并接收其發(fā)送的銀行卡交易信息。

同時，收單機構(gòu)應(yīng)根據(jù)特約商戶受理銀行卡交易的真實場景，按照相關(guān)清算機構(gòu)和發(fā)卡銀行的業(yè)務(wù)規(guī)則和管理要求，正確選用交易類型，準確標識交易信息并完整發(fā)送，確保交易信息的完整性、真實性和可追溯性。

清算機構(gòu)則應(yīng)對從清算服務(wù)中獲取的身份信息、賬戶信息、交易信息以及其他相關(guān)信息等個人支付信息予以保密。在處理用戶個人授權(quán)的個人支付信息時，應(yīng)通過業(yè)務(wù)規(guī)則及協(xié)議等有效措施，要求發(fā)卡機構(gòu)或收單機構(gòu)為所獲得的個人支付信息保密。

近年來，信息安全與數(shù)據(jù)保護日益成為金融業(yè)的重要議題，越來越多的金融機構(gòu)參與到個人隱私信息保護中來。蘇筱芮指出，支付行業(yè)作為金融行業(yè)中數(shù)據(jù)極為密集的細分行業(yè)，擁有數(shù)以億計的個人用戶，因此更需要加強對數(shù)據(jù)、對信息的防護。目前支付業(yè)數(shù)據(jù)要素應(yīng)用已經(jīng)存在大量實踐，但在管理制度方面還存在一定短板。

" 而此次《指引》不但對從業(yè)機構(gòu)管理、從業(yè)機構(gòu)的人員管理提出具體要求，而且還細化了業(yè)務(wù)流程標準，對于督促支付領(lǐng)域市場機構(gòu)有序開展個人信息保護工作來說具有積極意義。" 蘇筱芮指出，" 后續(xù)，建議從業(yè)機構(gòu)根據(jù)協(xié)會要求逐條對標并及時查漏補缺，嚴密個人支付信息的防護網(wǎng)，做好從業(yè)人員內(nèi)部管理。"