ICS35.030 CCS L 80 GE 中华人民共和国国家标准 GB/T42015—2022 信息安全技术 网络支付服务数据 安全要求 Information security technologyData security requirements for internet payment services 2022-10-12发布 2023-05-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42015—2022 目 次 前言 范围 规范性引用文件 3 术语和定义 缩略语 概述 5.1 网络支付服务业务组成 5.2 网络支付服务数据范围 基本要求 6 数据收集 7.1 收集个人信息 7.2 App系统权限申请 7.3 告知同意 8 数据存储和传输 数据使用和加工 9 9.1 数据展示 9.2 数据访问 9.3 数据加工 10 数据提供和公开 10.1 数据提供 10.2 数据公开 数据删除 11 12 数据出境 13 个人信息主体权利 14 网络支付服务典型场景数据安全要求. 通过生物特征实现支付、身份认证 14.2 14.3 支付风险控制 14.4 支付口令安全 附录A（资料性） 网络支付服务数据处理活动及安全风险 附录B（资料性） 网络支付服务重要数据识别参考规则及数据分类示例 11 附录C（资料性) 网络支付服务常见扩展业务功能的个人信息收集范围及使用要求 . :12 附录D（资料性) 网络支付服务App相关系统权限申请范围及使用要求 参考文献 14 GB/T 42015—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任， 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：蚂蚁科技集团股份有限公司、中国电子技术标准化研究院、清华大学、中国网络安 全审查技术与认证中心、国家计算机网络应急技术处理协调中心、中电长城网际系统应用有限公司、 天翼电子商务有限公司、北京快手科技有限公司、马上消费金融股份有限公司、北京三快在线科技有限 公司、北京小米移动软件有限公司、苏宁易购集团股份有限公司、中国信息通信研究院、北京字节跳动科 技有限公司、北京小桔科技有限公司、深圳市腾讯计算机系统有限公司、中国移动通信集团有限公司、京 东科技控股股份有限公司、浙江大学。 本文件主要起草人：彭晋、上官晓丽、徐羽佳、王昕、白晓媛、胡影、周晨炜、落红卫、金涛、魏立茹、 李东南、李海英、李洁、宋铮、舒敏、王文磊、闵京华、张娜、刘源、焦伟、孟小楠、赵新强、黄馨蓓、甘俊杰、 蔡一鸣、于浩洋、李肤婧、王宇晓、宋文娣、冷杉、黄著馨、张秉晟、曹京、郑新雅、宋建、蒋尉、邱勤、胡铁、 武杨、蒋增增、蒋芳婕、李根。 1 GB/T42015—2022 信息安全技术网络支付服务数据 安全要求 1范围 本文件规定了网络支付服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的 安全要求。 本文件适用于网络支付服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对网络支 付服务数据处理活动进行监督、管理、评估提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T25069 信息安全技术术语 GB/T35273—20201 信息安全技术个人信息安全规范 GB/T 37988 信息安全技术数据安全能力成熟度模型 GB/T39335 信息安全技术个人信息安全影响评估指南 GB/T40660 信息安全技术生物特征识别信息保护基本要求 GB/T41391—20221 信息安全技术移动互联网应用（App)收集个人信息基本规范 GB/T 41479 信息安全技术网络数据处理安全规范 GB/T41819 信息安全技术人脸识别数据安全要求 3术语和定义 GB/T25069和GB/T35273一2020界定的以及下列术语和定义适用于本文件。 3.1 网络支付服务internetpaymentservice 收款方或付款方通过计算机、移动终端等电子设备，依托互联网远程传输支付指令完成直接或间接 货币资金转移的经营活动。 注1：不包括使用近场通信和专用网络完成的支付服务 注2：本文件所述网络支付服务仅限于非银行支付机构网络支付服务。 3.2 网络支付服务平台internetpaymentserviceplatform 通过互联网网络为收款方和付款方提供网络支付服务（3.1），同网络支付服务账务平台（3.3）交互 完成资金划拨的信息系统。 3.3 网络支付服务账务平台internetpaymentserviceaccountingplatform 为网络支付服务（3.1)提供账户管理、资金划拨、账务核算等服务的信息系统。 1 GB/T42015—2022 3.4 网络支付服务提供者internetpaymentserviceprovider 通过网络支付服务平台（3.2），提供网络支付服务（3.1)的组织。 3.5 网络支付服务数据internetpaymentservicedata 网络支付服务提供者（3.4)在开展网络支付服务过程中收集和产生的数据。 注：网络支付服务数据包括用户数据和业务数据，不包括网络支付服务提供者内部管理数据。 3.6 网络支付服务用户internetpayment serviceuser 使用网络支付服务（3.1)的个人或组织，包括收款方和付款方。 注：本文件中简称用户。 4缩略语 下列缩略语适用于本文件。 SDK：软件开发工具包（SoftwareDevelopmentKit) 5概述 5.1[ 网络支付服务业务组成 网络支付服务业务功能主要包括用户注册/登录、绑定银行卡、充值/提现、实名认证、生成支付订 单、支付和对账结算等。 网络支付服务的相关方包括收款方、付款方、网络支付服务平台和网络支付服务提供者。其中，网 络支付服务提供者运营网络支付服务平台，网络支付服务平台接收付款方的支付请求，将支付结果返回 收款方，并与网络支付服务账务平台安全交互实现账务处理、完成网络支付服务，如图1所示。 支付结果 收款方 安全交互 网络支付服务账务 网络支付服务平台 平台 支付请求 付款方 运 网络支付服务提供者 图1网络支付服务相关方示意图 网络支付服务主要业务流程、数据处理活动及安全风险见附录A。 5.2网络支付服务数据范围 网络支付服务数据包括用户数据和业务数据： a） 用户数据：网络支付服务提供者在提供网络支付服务过程中收集和产生的个人及组织用户数 据，如个人自然信息、个人身份鉴别信息等； b）业务数据：在网络支付服务业务开展过程中处理的用于保障业务正常运行的数据，如商户签约 信息、支付结算信息等。 2 GB/T 42015—2022 6基本要求 网络支付服务提供者数据安全的基本要求如下： a）数据处理活动应遵守GB/T41479中规定的要求； b）个人信息处理活动应遵守GB/T35273一2020中规定的要求，网络支付App个人信息收集活 动应遵守GB/T41391一2022中规定的要求； 应按照有关要求和标准进行数据分类分级保护，识别网络支付服务涉及的核心数据、重要数 c) 据、一般数据，对不同级别的数据采取不同的保护措施； 注1：国家建立数据分类分级保护制度，按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重 要程度，将数据分为核心数据、重要数据、一般数据 注2：附录B给出了网络支付服务重要数据识别参考规则及数据分类示例。 (P 应识别网络支付服务涉及的一般个人信息、敏感个人信息，对个人信息进行标识和分类管理； 应履行互联网平台运营者义务，如个人信息保护独立监督、制定公平公正的平台规则、隐私政 (a 策披露、平台内经营者管理、发布个人信息保护社会责任报告等； 网络支付服务提供者的数据安全能力应至少符合GB/T37988二级能力要求； g) 网络支付服务平台应符合国家网络安全等级保护相关标准要求； h) 应结合数据处理活动的实际情况，按照有关国家标准定期开展数据安全风险评估； 应在开展对个人权益有重大影响的个人信息处理活动前，按照GB/T39335进行个人信息保 护影响评估； 注3：对个人权益有重大影响的个人信息处理活动，包括但不限于处理敏感个人信息、利用个人信息进行自动 化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信 息等。 j）应按照有关国家标准，在网络支付平台规划建设时开展个人信息安全工程实践，同步规划、同 步建设、同步使用个人信息保护措施。 7数据收集 7.11 收集个人信息 网络支付服务提供者收集个人信息应在遵守GB/T35273一2020中5.1、5.2、5.3的要求基础上，遵 守以下要求： a）通过App收集必要个人信息应符合GB/T41391一2022中A.5的规定； b）扩展业务功能收集的个人信息均应由用户可选提供，且应限于实现处理目的的最小范围，常见 扩展业务功能收集的个人信息范围及使用要求见附录C； c) 应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付鉴权信息的输人进行安 全保护，并采取有效措施防止合作机构获取、留存。 注：支付鉴权信息包括但不限于网络支付交易口令、快捷支付口令、银行卡密码。 7.2App系统权限申请 网络支付服务App不应申请与App业务功能无关的系统权限，系统权限申请范围及使用