本文来自微信公众号“安全学习那些事儿”。
2023年8月9日,中国支付清算协会(以下简称“协会”)发布关于印发《个人支付信息保护指引》的通知,称为适应国家法律法规最新要求,更好地服务行业发展,已组织对2016年发布的团体标准《个人信息保护技术指引》(PCAC/T 0001:2016)进行了修订,并更名为《个人支付信息保护指引》(以下简称《指引》)。(点击“阅读原文”查看全文)
根据《指引》,个人支付信息分类指个人参与支付活动中涉及的、能够被知晓和处理、与个人相关、能够单独或与其他信息结合识别该个人的任何信息。比如,账户信息指账户及账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。
《指引》主要内容包括编制原则、个人支付信息分类分级、支付业务主体的安全保护范围、支付业务主体的基本要求、支付业务主体的管理要求、支付业务主体的人员要求、支付业务主体的系统要求、不同业务场景的保护要求等等。
其中,在支付业务主体的基本要求方面,《指引》对收单机构、账户机构、清算机构及其它相关机构都作出了相应要求。比如,收单机构应根据特约商户受理银行卡交易的真实场景,按照相关清算机构和发卡银行的业务规则和管理要求,正确选用交易类型,准确标识交易信息并完整发送,确保交易信息的完整性、真实性和可追溯性。
收单机构还应切实履行特约商户检查责任,严格规范与外包服务机构业务合作,不应将收单业务交易处理、资金结算、风险监测、受理终端主密钥生成和管理、差错和争议处理工作交由外包服务机构办理;不应将外包服务机构拓展为特约商户并接收其发送的银行卡交易信息。
收单机构不应以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等信息,并应采取有效措施防止特约商户和外包服务机构存储此类信息。因特殊业务需要,收单机构确需存储的,应经持卡人本人及账户管理机构同意、确保存储的信息仅用于持卡人指定用途,并承担相应信息安全管理责任。
