中国支付清算协会标准 PCAC/T 0001: 2016 个人信息保护技术 指引 2016-7-1 发布 2016-7-1 实施 中国支付清算协会技术标准工作委员会 发布 全国团体标准信息平台 目 录 前 言 ................................................................................................................................................ I 1 范围 ........................................................................................................................................... 1 2 术语和定义 ............................................................................................................................... 1 3 个人信息分类 ............................................................................................................................ 2 4 采集 ........................................................................................................................................... 3 5 存储 ........................................................................................................................................... 3 6 传输 ........................................................................................................................................... 3 7 使用 ........................................................................................................................................... 4 8 转移 ........................................................................................................................................... 4 9 销毁 ........................................................................................................................................... 5 10 管理要求 ............................................................................................................................... 5 11 密码算法 ............................................................................................................................... 5 参考文献 ........................................................................................................................................... 6 全国团体标准信息平台 I 前 言 本规范由中国支付清算协会提出。 本规范由中国支付清算协会技术标准工作委员会归口。 本规范主要起草单位 为中国支付清算协会 会员单位及行业相关 机构，包括：中国支付清 算协会秘书处、中国银行股份有限公司、 恒丰银行股份有限公司、 中国电信天翼电子商务有 限公司、支付宝（中国）网络技术有限公司、 财付通支付科技有限公司 、联动优势 电子商务 有限公司、 上海汇付数据服务有限公司、 北京中金国盛认证有限公司、 中国金融认证中心 。 本规范主要起草人： 蔡洪波、马国光、邢桂伟、 于沛、曲龙涛、 王照文、王兴明、方海 峰、冷雪霏、刘胜、 李升、杨硕、马鸣、高强裔、白阳、高卓、相海飞。 本规范为首次发布。 全国团体标准信息平台 1 1 范围 本规范给出了信息系统处理个人信息的范围定义 ，界定了 个人信息主体的权利， 提出了 系统处理个人信息的原则 和个人信息的采集、 展示、存储、 传输、使用等行为要求。相关的 法律、行政法规 及标准规范 中已规定个人信息处理有关事项的，从其规定。 本规范用于指导本协会会员单位 利用信息系统处理个人信息的服务与活动。 2 术语和定义 下列术语和定义适用于本文件。 2.1. 个人信息 personal information 可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定 自然人的计算机数据。个人信息可以分为个人敏感信息和个人 非敏感信息。 2.2. 个人信息主体 subject of personal information 2.3. 个人信息指向的自然人。 个人信息管理者 administrator of personal information 决定个人信息处理的目的和方式， 实际控制个人信息并利用信息系统处理个人信息的组 织和机构。 2.4. 个人信息获得者 receiver of personal information 从信息系统获取个人信息的个人、组织和机构， 依据个人信息主体的意愿对获得的个人 信息进行处理。 2.5. 个人敏感信息 personal sensitive information 一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各机构 个人 敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。 例如个人敏感 信息可以包括身份证号码、手机号码、指纹等。 2.6. 个人信息处理 personal information handling 处置个人信息的行为，包括采集 、展示、 存储、传输、使用、转移、销毁。 2.7. 个人信息转移 personal information transferring 将包括个人信息提供给个人信息获得者的行为，如向公众公开、向 第三方披露、由于委 托他人加工 而将个人信息复制到其他信息系统等。 2.8. 个人信息脱敏 personal information masking 将个人信息中的敏感信息通过脱敏规则进行数据的变形， 实现敏感隐私数据的可靠保护。 又称数据漂白、数据去隐私化或数据变形。 2.9. 信息系统 information system 全国团体标准信息平台 2 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规 划对信息进行采集、加工、存储、传输、检索等处理的人机系统。 2.10. 盐值 salt 防止攻击者利用碰撞攻击获得信息明文而 在明文哈希过程中添加的额外的随机值。 3 个人信息 分类 3.1.个人信息种类 能够被知晓和处理、与个人相关、能够单独或与其他信息结合识别该个人的任何信息： （一）个人身份标识与鉴别 信息， 包括 静态密码、 动态密码 、密保问题答案、 数字证书、 生物特征信息等 ； （二）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期 限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等； （三）个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税 额、公积金缴存金额等； （四）个人账户信息，包括 银行业金融机构开立账号 、银行卡有效期、 卡片验证码 （CVN\CVN2\CAV\CVV2\CVC\CID）、 非银行支付机构 的支付账户、账户开立时间