1 ICS 35.240.40 A 11 JR 中华人民共和国金融行业标准 JR/T 0098.8—2012 中国金融移动支付 检测规范 第8部分：个人信息保护 China financial mobile payment —Test specifications — Part 8: Personal information protection 2012 - 12 - 12 发布 2012 - 12-12 实施 中国人民银行 发布 JR/T 0098.8—2012 I 目 次 前言 .............................................................................................................................. ...................................... II 引言 .............................................................................................................................. .................................... III 1 范 围 .............................................................................................................................. ................................ 1 2 术语和定义 .............................................................................................................................. .................... 1 3 基本要求 .............................................................................................................................. ........................ 2 4 检测细则 .............................................................................................................................. ........................ 7 附录 A（规范性附录） 操作规程 .............................................................................................................. 10 附录 B（规范性附录） 判定准则 ............................................................................................................... 11 JR/T 0098.8—2012 II 前 言 《中国金融移动支付 检测规范》标准由以下 8部分构成： ——第1部分：移动终端非接触式接口； ——第2部分：安全芯片； ——第3部分：客户端软件； ——第4部分：安全单元（ SE）应用管理终端； ——第5部分：安全单元（ SE）嵌入式软件安全； ——第6部分：业务系统； ——第7部分：可信服务管理系统； ——第8部分：个人信息保护。 本部分为该标准的第 8部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（ SAC/TC180 ）归口。 本部分负责起草单位：中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司。 本部分参加起草单位：北京银联金卡科技有限公司（银行卡检测中心）、中金国盛认证中心、工业 和信息化部计算机与微电子发展研究中心（中国软件评测中心）、上海市信息安全测评认证中心、信息产业信息安全测评中心、北京软件产品质量检测检验中心、中钞信用卡产业发展有限公司、上海华虹集成电路有限责任公司、上海复旦微电子股份有限公司、东信和平智能卡股份有限公司、大唐微电子技术有限公司、武汉天喻信息产业股份有限公司、恩智浦半导体有限公司。 本部分主要起草人：李晓枫、陆书春、潘润红、杜宁、李兴锋、张雯华、刘力慷、刘志刚、聂丽琴、 李晓、尚可、郭栋、熊文韬、宋铮、李宏达、王冠华、胡一鸣、张晓、平庆瑞、张志茂、陈君、彭美玲、李微、陈吉、程恒。 JR/T 0098.8—2012 III 引 言 随着移动支付新业务、新产品、新管理模式的不断涌现，以客户需求为主导的移动支付业务出现了 不断交融和细化的趋势， 不同机构之间的信息交换和信息共享变得越来越频繁。 其中，个人信息在社会、 经济活动中的地位日益凸显。与此同时，滥用个人信息的现象随之出现，给人民切身利益带来了危害。合理使用和有效保护个人信息已成为金融行业广泛关注的热点问题。 为了保护个人信息，促进个人信息的合理利用，在收集、分析和评估个人信息保护措施的基础上， 制定本检测规范。 JR/T 0098.8—2012 1 中国金融移动支付 检测规范 第 8部分：个人信息保护 1 范围 本部分规定了移动支付个人信息保护的内部管理、组织管理、访问控制和个人信息生命周期管理 4 个方面的基本要求以及检测细则。 本部分适用于指导检测机构制定移动支付个人信息保护检测方案和执行检测， 同时可用于指导个人 信息管理机构制造相关产品和建设业务系统。 2 术语和定义 下列术语和定义适用于本文件。 2.1 个人信息 personal information 信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机 数据。 本部分所涉及个人信息，包括以下部分： a) 个人身份信息：包括个人姓名、性别、国籍、民族、证件种类号码及有效期限、职业、联系方 式、婚姻状况、家庭状况、住所或工作单位地址及照片等； b) 个人认证信息：包括在金融机构、支付机构留存的登录密码、交易密码、取款密码等； c) 个人账户信息：包括账号、账户开立时间、开户机构、账户余额、账户交易情况等； d) 个人信用信息：包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映 其信用状况的其他信息； e) 个人交易信息：包括金融机构、支付机构等在支付、结算等业务过程中获取、传输、保存的个 人信息等； f) 衍生信息：包括个人消费习惯等对原始信息进行处理、分析所形成的反映特定个人某些情况的 信息； g) 在与个人建立业务关系过程中获取、保存的其他个人信息。 2.2 敏感个人信息 sensitive personal information 一旦遭到泄露或修改，会对标识的个人信息主体造成损失或不良影响的个人信息。本部分所涉及的 敏感个人信息，包括以下部分： a) 个人身份信息：包括证件种类号码及有效期限、联系方式等； b) 个人认证信息：包括在金融机构、支付机构留存的登录密码、交易密码、取款密码，以及预留 用于找回密码的问题信息、特征码等； c) 其他敏感个人信息：在与个人建立业务关系过程中获取、保存的其他敏感个人信息，例如个人 信用信息。 JR/T 0098.8—2012 2 2.3 一般个人信息 general personal information 个人信息中除去敏感个人信息剩余的部分。 2.4 个人信息主体 personal information subject 个人信息指向的自然人。 2.5 个人信息管理者 personal information controller 决定个人信息处理的目的和方式，实际控制个人信息并利用信息系统处理个人信息的组织和机构。 3 基本要求 3.1 个人信息管理机构内部管理要求 3.1.1 个人信息安全管理规定 应建立个人信息安全管理规定。 根据个人信息安全管理规定，提出本单位个人信息保护管理工作原则，建立内部组织管理架构，明 确个人信息保护管理总体要求，并根据本单位个人信息保护管理的实际情况修订或调整有关制度。 3.1.2 个人信息安全管理操作流程 应建立个人信息安全管理操作流程。 对个人信息的访问、存储、使用、传输、加密、销毁等环节提出具体工作要求，明确各岗位在个人 信息保护管理方面的工作内容。 3.1.3 个人信息安全管理权限及责任 应严格控制个人信息保护的权限管理， 确保以下