一、引言

个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化，是金融业机构在提供金融产品和服务的过程中积累的重要基础数据，也是个人隐私的重要内容。个人金融信息一旦泄露，不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营，甚至可能会带来系统性金融风险。为加强个人金融信息安全管理，指导各相关机构规范处理个人金融信息，最大程度保障个人金融信息主体合法权益，维护金融市场稳定，编制本标准。

二、范围

本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。

本标准适用于提供金融产品和服务的金融业机构，并为安全评估机构开展安全检查与评估工作提供参考。

三、适用机构

国家金融管理部门监督管理的持牌金融机构以及涉及个人金融信息处理的相关机构。

四、规范的主要内容：

1.个人金融信息

本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。

2.个人金融信息类别

根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。C1类别信息主要为机构内部的信息资产，主要指供金融业机构内部使用的个人金融信息。C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息。C3类别信息主要为用户鉴别信息。

3.个人金融信息生命周期

个人金融信息生命周期指对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程。

4.安全基本原则

金融业机构应遵循GB/T35273-2017的要求，以“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则，设计并实施覆盖个人金融信息全生命周期的安全保护策略。

5.安全运行技术要求

包括网络安全要求、Web应用安全要求、客户端应用软件安全要求、密码技术与密码产品要求。

6.安全管理要求

包括安全准则、安全策略、访问控制、安全监测与风险评估、安全事件处置。