2020年2月13日,中国人民銀行は「個人金融ドラクエ 11 カジノ保護に関する技術仕様」を発行しました (JR/T 0171—2020、以下と呼びます“《ドラクエ 11 カジノ》”),「仕様書」は同日発効。「基準」は中国人民銀行によって提案された,国家金融標準化技術委員会によって管理されています,多数の金融業界関連の組織や部門が起草作業に参加。近年,中国人民銀行とその他の規制当局は、売買目的で個人金融ドラクエ 11 カジノを違法に漏洩する取り組みを強化し続けている、銀行カード詐欺、通信詐欺やその他の違法行為と闘う取り組み,同時に、個人金融ドラクエ 11 カジノ保護システムに関する研究を強化する。「仕様」のリリースは標準を第一にします、テクノロジーが第一,安全の基本原則に従ってください、安全技術要件、セキュリティ管理要件のフレームワーク,個人財務ドラクエ 11 カジノの収集に関する規制、送信、ストレージ、使用、削除、破壊を含むライフサイクルのあらゆる側面に対する安全保護要件。
「仕様」は本質的に推奨規格ですが,しかし、個人金融ドラクエ 11 カジノ保護アーキテクチャを構築する上で金融機関にとってその重要性は自明です,関連部門が将来、関連する法律や法執行機関を施行するための重要な参考資料ともなります。したがって,金融業界機関およびその他の関連機関は、「仕様書」の基準に従って適時にコンプライアンス準備を行うことが推奨されます。
1. ドラクエ 11 カジノ監督規制
個人金融情報保護の分野,我が国はまだ特別法や行政規制を制定していません。全体,ドラクエ 11 カジノに関連する特に対象を絞った規制は、主に中国銀行と両セッションによって策定されたさまざまな規範文書に記載されています,詳細は次の表に記載されています:
さらに,国家標準化管理委員会と連携する関係当局、国家金融標準化委員会およびその他の部門の指導の下で開発されたドラクエ 11 カジノ保護に関する国家基準、業界標準およびその他の技術ガイダンス文書,実際の関連機関に多くの参考ドラクエ 11 カジノや参考ドラクエ 11 カジノも提供します,そのような文書には、「金融業界におけるドラクエ 11 カジノシステムのドラクエ 11 カジノセキュリティ レベル保護に関する実装ガイドライン」(JR/T 0071-2012) が含まれますが、これに限定されません、「ドラクエ 11 カジノセキュリティ技術公共および商業サービスドラクエ 11 カジノシステム個人ドラクエ 11 カジノ保護ガイドライン」(GB/Z 28828—2012)、「ドラクエ 11 カジノセキュリティ技術 - ドラクエ 11 カジノ技術製品サプライヤーのためのセキュリティ行動規範」(GB/T 32921-2016) など。
今回公開された「仕様書」,策定プロセスでも参照されます、現在の規制規則とガイダンス文書の一部を引用,同時に、金融業界の特性と、近年金融分野で開発されている新技術や新モデルを組み合わせています,ドラクエ 11 カジノを特に対象とした我が国初の業界標準となる。
2.ドラクエ 11 カジノの主な内容
(1) 適用範囲
「仕様」はドラクエ 11 カジノ商品やサービスを提供するドラクエ 11 カジノ業界機関に明確に適用されます,安全性評価機関が安全性検査と評価作業を実施するための参考資料を提供します。
法第 3 条による.1条,金融機関には 2 つのタイプがあります。1 つは国家財政管理部門によって監督および管理される認可を受けた金融機関を指します,もう一方は、個人金融ドラクエ 11 カジノの処理に関与する関連機関を指します。法第 3 条による.2 アイテム,個人金融ドラクエ 11 カジノとは、金融商品やサービスの提供、またはその他のチャネルを通じて金融機関が取得したドラクエ 11 カジノを指します、処理および保管される個人ドラクエ 11 カジノ。
上記から分かるように,ドラクエ 11 カジノの適用範囲には主に 2 つのカテゴリが含まれます:
伝統的な意味での認可を受けたドラクエ 11 カジノ機関,たとえば、銀行、都市信用組合、地方信用協同組合、証券会社、保険会社、ドラクエ 11 カジノ資産管理会社、ファイナンスリース会社等;
金融商品やサービスの提供、またはその他のチャネルを通じて取得されたその他のもの、個人ドラクエ 11 カジノを処理および保管する組織,例: 第三者決済機関、認可金融機関などにドラクエ 11 カジノ技術サービスを提供するアウトソーシングサービス代理店または外部協力代理店。
(2)個人金融ドラクエ 11 カジノの機密管理
「基準」には個人財務ドラクエ 11 カジノの内容も記載されています,アカウントドラクエ 11 カジノを含める、識別ドラクエ 11 カジノ、金融取引ドラクエ 11 カジノ、個人を特定できるドラクエ 11 カジノ、物件ドラクエ 11 カジノ、貸出ドラクエ 11 カジノ,「特定の個人金融ドラクエ 11 カジノ主体の特定の状況を反映するその他のドラクエ 11 カジノ」をカバーとして使用する。
ドラクエ 11 カジノの不正な閲覧または不正な変更によって引き起こされる影響と損害,「基準」では個人金融ドラクエ 11 カジノを機密性の高い順に C3 に分類しています、C2、C1 3 カテゴリ,そして、さまざまな保護要件を提案します,大まかな概要を次の表に示します。
「仕様書」でも次のことが強調されています,2 つ以上の低機密カテゴリドラクエ 11 カジノが結合されている、相関と分析により機密性の高いドラクエ 11 カジノが得られる可能性があります。異なるサービス シナリオでは、同じドラクエ 11 カジノが異なるカテゴリに存在する場合があります,ドラクエ 11 カジノのカテゴリは、サービス シナリオとその中のドラクエ 11 カジノの役割に基づいて特定される必要があります,そして的を絞った保護措置を実施する。
三、ライフサイクルのあらゆる側面におけるドラクエ 11 カジノ要件
法第 4 条による.第 3 条の規定,個人財務情報のライフサイクルとは、個人財務情報の収集を指します、送信、ストレージ、使用、削除、破壊およびその他の処理の全プロセス。「仕様」で要求される基本的な安全原則は次のとおりです,金融機関は GB/T 35273-2017 (つまり、ドラクエ 11 カジノ) の要件に準拠する必要があります。,現在 GB/T 35273-2020 に置き換えられています),「権利と責任の統一」、明確な目的、同意するを選択、少なくとも十分、オープンかつ透明、安全を確保してください、被験者参加の原則,個人金融情報のライフサイクル全体をカバーするセキュリティ保護戦略を設計および実装。
「仕様」には安全技術要件と安全管理要件の両方が含まれています,ライフサイクルのあらゆる側面におけるドラクエ 11 カジノ規範的要件の提案。いくつかの主要なリンクに含まれる要件を次のように簡単に思い出させます:
1.個人財務ドラクエ 11 カジノの委託収集および委託処理
実際には,金融機関は個人金融ドラクエ 11 カジノの収集と処理を第三者に委託します,たとえば、回収サービスを第三者に委託する,より一般的なビジネス上の取り決めです,近年、さまざまな違反の危険が生じやすい地域でもあります。「仕様」は明確です,金融業界の資格を持たない機関は、C3 の収集を委託または認可されるべきではありません、C2 カテゴリドラクエ 11 カジノ,例: ID 番号、携帯電話番号およびその他の特定の個人を識別できるドラクエ 11 カジノ。可視,「仕様書」では、この種の取り決めに対するより高度なコンプライアンス監督要件が提示されています。
最初,「仕様」の要件,金融機関は、金融業界の資格を持たない機関に C3 の収集を委託または認可してはなりません、C2 カテゴリドラクエ 11 カジノ。この規制は、現在の一部のアウトソーシング ビジネス モデルに影響を及ぼします。ただし,「仕様書」では「金融業界関連資格」の具体的な意味が明確に説明されていない,したがって,関連ドラクエ 11 カジノの収集を金融機関から委託できる第三者機関はどれですか,さらに詳しくはまだ不明。
2番目,収集した個人金融ドラクエ 11 カジノの処理を第三者(委託サービス機関や外部協力機関を含む)に委託する金融機関の行為について,「仕様」では、特定の技術要件も提示されています,主に以下が含まれます:
委託行為は、個人金融ドラクエ 11 カジノ主体から認可・同意を得る範囲を超えてはならず、または「仕様書」に定める認可・同意の例外規定に従うものであってはなりません;
C3 および C2 カテゴリドラクエ 11 カジノ内のユーザー識別補助ドラクエ 11 カジノの処理要求,第三者に処理を委託すべきではありません;
委託されたドラクエ 11 カジノに匿名化と非感作を採用する,暗号だけを使用すべきではありません;
委託されたアクションに対してドラクエ 11 カジノュリティ影響評価を実施する必要があります,クライアントに十分なデータ ドラクエ 11 カジノュリティ機能があり、適切なドラクエ 11 カジノュリティ保護手段が提供されていることを確認します;
三者機関およびその他の委託先は監督されるべきである,契約上の義務の設定と安全検査と評価を含む;
外部に埋め込まれた、または接続された自動化ツールの技術検査を実施する必要があります,そして監査してください。
上記の関連要件に従って受託処理作業を実行することに加えて,ドラクエ 11 カジノでは、第三者機関などの受託者に対して追加の要件も求めています,おおよそ次のものが含まれます:
個人金融ドラクエ 11 カジノは金融機関の要件に従って厳密に処理される必要があります,特別な理由により個人財務ドラクエ 11 カジノを必要に応じて処理できない場合,金融機関には速やかに通知する必要があります,ドラクエ 11 カジノセキュリティ評価にも協力します、是正措置を講じる,必要に応じてドラクエ 11 カジノ処理を終了;
書面による許可がない場合,受託者は個人金融ドラクエ 11 カジノを他の機関に再び委託してはなりません;
個人金融ドラクエ 11 カジノ主体からの要求への対応を支援する必要があります。
処理中に十分なレベルのドラクエ 11 カジノセキュリティ保護を提供できない場合、またはセキュリティ インシデントが発生した場合,金融機関には速やかに通知する必要があります、捜査に協力する、是正措置を講じる,必要に応じてドラクエ 11 カジノ処理を終了;
委託関係が終了した場合(またはアウトソーシングサービス終了後)、ドラクエ 11 カジノは金融業界機関の要求に従って破棄され、交渉期間内に秘密保持責任が負われるものとします;
個人財務ドラクエ 11 カジノの委託処理は正確に記録され、保存される必要があります。
セキュリティ ポリシーについて,「仕様書」は、金融業界機関にアウトソーシングサービス機関および外部協力機関の管理システムを確立することを義務付けています,そして具体的な要件を提案します。たとえば,これらの機関が C2 を保持しないように合意または契約に拘束されることを要求、C3 タイプドラクエ 11 カジノ,個人の財務ドラクエ 11 カジノを保存するデータベースは、外部パートナーによって運用および保守されてはなりません,アウトソーシング サービス組織および外部パートナー組織に対して外部ドラクエ 11 カジノセキュリティ評価を定期的に実施する、現場検査,など。
2. 個人金融ドラクエ 11 カジノ保護システムを確立する
「仕様書」では、個人金融ドラクエ 11 カジノ保護システム構築のためのより詳細な要件を4つの側面から提示。
安全システムの確立と解除に関して,「仕様」では、関連システムに少なくともドラクエ 11 カジノと管理に関する規定を含めることを要求しています、日常の管理および運用手順、アウトソーシングサービス代理店および外部協力代理店の管理、内部および外部の検査および監督メカニズム、緊急時の対応手順と計画。
組織構造と役職設定に関して,「仕様」では、ドラクエ 11 カジノの責任者およびドラクエ 11 カジノを担当する機関の設置が義務付けられています,そして彼らの職務責任を明確にします,組織の内部事情の監督を含むがこれに限定されない,この機関と外部パートナーの個人金融情報のセキュリティ管理、個人金融情報のセキュリティ影響評価を組織する,個人金融情報保護のための対策と提案を提案。
人事管理において,「仕様書」の要件には主に以下が含まれます: 従業員を雇用する前に必要な身元調査を実施する必要がある,個人の財務ドラクエ 11 カジノにアクセスできるすべての従業員と関連する機密保持契約に署名する;社内外のトレーニングと教育活動を定期的に実施する,関連する記録を保管する;職員がそのポストから異動する場合,関連する個人の個人財務ドラクエ 11 カジノへのアクセスを調整し、直ちに完了する必要があります、同等の権限を使用した構成。従業員が労働契約を終了する場合,個人金融ドラクエ 11 カジノへのアクセスを直ちに終了し、取り消す必要があります,また、関連ドラクエ 11 カジノに関する機密保持義務を引き続き履行すると明示的に述べました;システム開発者、システム テスターと運用保守担当者は互いに兼任してはなりません;専門的なトレーニングと評価を定期的に実施する。
アクセス制御の観点から,「仕様書」では個人財務ドラクエ 11 カジノのアクセス制御管理の強化も求められています,さらに具体的な要件を提案します。
3. 財務データのエクスポート
「金融ドラクエ 11 カジノ技術仕様書」公布前,個人金融データの輸出に関する規定は、主に「サイバーセキュリティ法」、「個人金融ドラクエ 11 カジノを保護するための銀行金融機関に関する中国人民銀行の通知」、および「中国人民銀行の実施措置」に記載されています。金融消費者の権利と利益の保護のため」規範文書を待っています。さらに,まだ策定中のいくつかの規範文書と国家基準,「個人ドラクエ 11 カジノおよび重要なデータの海外移転の安全性評価の措置(意見募集草案)」、「個人ドラクエ 11 カジノ移転の安全性評価の措置(意見募集草案)」、「ドラクエ 11 カジノセキュリティ技術データ移転安全性評価ガイドライン(コメント草案)」など,さらに対象を絞った要件も提案する。
「仕様」の要件,中華人民共和国の領域内で金融商品またはサービスを提供する過程で収集および生成される個人金融ドラクエ 11 カジノ,国内で保管する必要があります、処理と分析。ビジネス上の必要のため,海外機関(本社を含む)への報告は本当に必要です、親会社または支店、事業を遂行するために必要な子会社およびその他の関連機関) は個人財務ドラクエ 11 カジノを提供します,特定の要件は次のとおりです:
国内の法律と規制、および業界当局の関連規制を遵守する必要があります;
個人財務ドラクエ 11 カジノの主体から明示的な同意を得る必要があります。
国に基づく必要があります、関連する業界部門が策定した方法と基準に基づいて個人金融ドラクエ 11 カジノの国境を越えたセキュリティ評価を実施する,海外機関のデータ セキュリティ保護能力が国家レベルに達するようにする、関連業界部門および金融機関のセキュリティ要件;
海外の機関と協定を結ぶべき、現場検証とその他の方法,海外機関による個人金融ドラクエ 11 カジノの機密保持の効果的な実施を明確にし、監督する、データの削除、訴訟支援などの責任と義務。
注目すべき点,「金融機関の本人確認及び本人確認ドラクエ 11 カジノ及び取引記録の保存に関する管理措置」による,マネーロンダリング対策とテロ資金供与対策の分野では、金融機関は取得した顧客の身元データと取引ドラクエ 11 カジノを保存することが義務付けられています,「仕様書」に記載されている個人財務ドラクエ 11 カジノと重複があります。したがって,特定の状況下で関連機関が海外で提供する、関連ドラクエ 11 カジノを送信する場合,ドラクエ 11 カジノの保存と管理に関して、マネーロンダリング防止やテロ資金供与防止などの他の関連規制の要件を満たすことにも注意を払う必要があります。
3. 概要と展望
仕様のリリース直後,国家市場規制総局、国家標準化管理委員会は、2020 年 3 月 6 日にドラクエ 11 カジノ(GB/T 35273-2020) の新バージョンを正式にリリースしました。,以下「個人情報セキュリティ仕様書」といいます),2020 年 10 月 1 日から実装予定。前述したとおり,「仕様書」は、金融機関に「個人情報セキュリティ仕様書」の要件を遵守することを明確に要求しています。つまり、「個人情報セキュリティ仕様書」は基本原則です,「仕様」は個人の金融情報を保護するために策定された特別な基準です。見えるよ,「仕様書」および「個人情報セキュリティ仕様書」の公開,個人金融情報を含む、我が国の個人情報セキュリティ保護基準の包括的なアップグレードを示す。
今後も金融テクノロジーの継続的な発展に伴い,ビジネス モデルの際限のない出現,関連産業の段階的な開放,個人金融ドラクエ 11 カジノ保護の分野には多くの課題があります。今年の 4 月 1 日,中国証券監督管理委員会は予定通り証券会社に対する外国人株式保有比率制限を解除,これは、我が国が近年金融業界の開放をさらに拡大してきた状況の縮図でもあります。同時に,従来の認可を受けた機関以外,関連当局も金融テクノロジーの監督を強化している,金融テクノロジー監督のための基本的なルール体系の改善,包括的かつ賢明な金融テクノロジー イノベーション規制ツールを作成する。したがって,個人金融ドラクエ 11 カジノ保護の分野,法規制や技術基準のタイムリーな更新に注意してください,法律に従って完全な社内システムを確立する,業務のあらゆる側面におけるコンプライアンス リスクを完全に理解し、管理する,国内外のあらゆる金融業界機関にとって不可欠。
北京 ICP 番号 05019364-1