□记者 许予朋

8月9日，中国支付清算协会发布《个人支付信息保护指引》（以下简称《指引》）。据了解，《指引》是在中国支付清算协会2016年发布的团体标准《个人信息保护技术指引》上修订而成的。与“初始版本”相比，《指引》明确了个人支付信息安全框架，确定支付业务主体开展个人支付信息保护时的基本范围，并对从业机构人员、系统、管理提出了更细致的要求。

《指引》明确，个人支付信息的使用、加工应严格限制其使用目的。原则上，支付业务主体不应在支付业务以外的情形下使用个人支付信息。个人支付信息不应提供给非业务相关方，个人支付信息不允许公开。

【资料图】

各支付业务主体应建立信息保护组织架构

在支付业务中，个人支付信息需要在包括收单机构、账户机构、清算机构等在内的不同支付业务主体之间流转。

对于支付业务主体，《指引》明确了个人支付信息保护需要覆盖的范围，包括：直接收集、存储、处理和传输个人支付信息的系统组件、人员和流程；可能不收集、存储、处理或传输个人支付信息的系统组件，但它们可以连接到相关系统组件，且连接后对其访问行为没有有效的控制和审计的系统组件、人员和流程；可能影响个人支付信息处理环境安全的系统组件、人员和流程。

对于人员、系统、管理这三项个人支付信息安全中的关键要素，《指引》也做出了具体规定。

《指引》明确，各支付业务主体应建立个人支付信息保护组织架构，并提供必要资源，保障其独立履行职责；应根据自身业务特点合理设置人员岗位，确保各岗位根据“业务必须”和“最小化”原则，严格控制访问和使用支付信息；宜根据不同场景设计个人支付信息保护策略，建立个人支付信息保护基本要求，并在支付业务系统中正确、有效实现。

易观分析金融行业高级咨询顾问苏筱芮向《中国银行保险报》记者介绍，近年来，信息安全与数据保护日益成为金融业的重要议题，支付行业作为金融行业中数据极为密集的细分行业，拥有数以亿计的个人用户，更需要加强对数据、信息的防护。

“目前支付业数据要素应用已经存在大量实践，但在管理制度方面还存在一定短板。《指引》不但对从业机构管理、从业机构的人员管理提出具体要求，而且还细化了业务流程标准，对于督促支付领域市场机构有序开展个人信息保护工作来说具有积极意义。”苏筱芮说。

不得将交易处理、资金结算等工作外包

具体到不同类型的支付业务主体，《指引》分别对其应如何管理交易信息做出了具体要求。

对于收单机构，《指引》要求，收单机构应根据特约商户受理银行卡交易的真实场景，按照相关清算机构和发卡银行的业务规则和管理要求，正确选用交易类型。同时，收单机构需准确标识交易信息并完整发送，确保交易信息的完整性、真实性和可追溯性。不应将收单业务交易处理、资金结算、风险监测、受理终端主密钥生成和管理、差错和争议处理工作交由外包服务机构办理。不应将外包服务机构拓展为特约商户并接收其发送的银行卡交易信息。

对于账户机构，《指引》提出，账户机构为客户开立支付账户的，应对客户实行实名制管理，登记并采取有效措施验证客户身份基本信息；应建立客户唯一识别编码，并在与客户业务关系存续期间采取持续的身份识别措施，确保有效核实客户身份及其真实意愿。

对于清算机构，《指引》强调，清算机构应对从清算服务中获取的身份信息、账户信息、交易信息以及其他相关信息等个人支付信息予以保密；除法律法规另有规定外，未经用户个人授权不应对外提供。

实际上，近年来针对收单机构等支付业务主体的相关监管正持续增强。中国支付清算协会曾陆续出台《收单外包服务机构备案管理办法（试行）》《收单外包服务机构自律规范（试行）》《关于加强收单外包服务市场规范管理的意见》等文件，对收单外包机构提出备案管理要求和常态量化管理细则，对收单业务外包管理进行行业自律约束。

“后续，建议收单机构、账户机构等支付业务主体根据协会要求逐条对标并及时查漏补缺，严密个人支付信息的防护网，做好从业人员内部管理。”苏筱芮表示。

关键词：