本報記者 李冰

    8月9日，中國支付清算協會（以下簡稱“協會”）發布關于印發《個人支付信息保護指引》的通知。

    “此次協會發布《個人支付信息保護指引》，一方面與時俱進完善支付領域的個人信息保護工作；另一方面能夠為支付產業中的各市場機構提供行動指南，促使各支付機構根據文件內容不斷細化個人支付信息保護工作內容，在合規框架下穩步前行。”易觀分析金融行業高級咨詢顧問蘇筱芮對《證券日報》記者說道。

    通知顯示，中國支付清算協會組織對協會2016年發布的團體標準《個人信息保護技術指引》進行了修訂，并更名為《個人支付信息保護指引》。自發布之日起實施，原《個人信息保護技術指引》廢止。

    從內容來看，《個人支付信息保護指引》提出了支付信息保護整體框架，細化了支付業務中個人信息的處理要求和相關機構的能力要求，并且明確給出了個人支付信息的范圍定義，提出了個人支付信息保護的基本原則、安全框架、安全保護范圍、業務主體及主要義務、組織建設、人員管理、終端和業務系統安全等內容。并針對不同業務場景提出了典型的保護要求。

    經記者梳理，《個人支付信息保護指引》與此前2016年《個人信息保護技術指引》相比，除結構調整和編輯性改動外，主要變化內容包括，更改標準范圍為個人支付信息，并給出個人支付信息的分類；提出了個人支付信息安全框架；明確了支付業務主體開展個人支付信息保護時的基本范圍；針對性提出不同角色的支付業務主體的基本要求；提出了從業機構的管理要求；提出了從業機構的人員要求；提出了從業機構的系統要求；針對不同場景提出了個人信息保護的典型要求。

    博通咨詢金融行業資深分析師王蓬博對《證券日報》記者表示：“目前支付數據的規模、交互方式及發展情況已和2016年有所不同，可以看出，《個人支付信息保護指引》與時俱進的結合了目前支付業務參與主體和業務特點，提出了支付信息保護整體框架，為參與支付業務的機構提供指導。”

    同時，《個人支付信息保護指引》明確，個人支付信息的使用、加工應嚴格限制其使用目的。原則上，個人支付信息不應提供給非業務相關方，個人支付信息不允許公開。支付業務主體因商戶在對賬等活動的需要向其提供個人支付信息的，應對個人支付信息進行必要的脫敏處理，并要求商戶做好個人支付信息的保護工作；同時，個人支付信息的刪除和銷毀是防范支付信息泄露的重要手段。

    支付業務主體的基本要求方面，要求收單機構應切實履行特約商戶檢查責任，嚴格規范與外包服務機構業務合作，不應將收單業務交易處理、資金結算、風險監測、受理終端主密鑰生成和管理、差錯和爭議處理工作交由外包服務機構辦理；不應將外包服務機構拓展為特約商戶并接收其發送的銀行卡交易信息。

    在管理要求方面，明確制定個人支付信息保護風險管控機制，事前合規審查、事中監控跟蹤、事后處置補救。在個人支付信息保護委員會的統一組織下，定期開展內部風險評估工作，定期面向金融消費者開展個人支付信息保護調研工作；同時，制定個人支付信息保護相關信息披露的管理發布制度，并鼓勵積極主動面向社會、監管機構發布信息披露報告。