个人金融信息保护规范(2026年)

个人金融信息保护规范(2026年)第一章总则1.1立法目的为在数字化、智能化、开放化交织的金融生态中，确立个人金融信息全生命周期保护底线，平衡金融创新与隐私安全，促进数据要素合规流通，特制定本规范。1.2适用范围本规范适用于在中华人民共和国境内依法开展业务、面向境内自然人提供金融产品或服务的所有持牌金融机构、金融科技公司、数据服务商、外包商及其境外关联实体。1.3核心定义术语定义备注个人金融信息（PFI）能够单独或与其他信息结合识别特定自然人身份、反映其财产状况、交易行为、信用表现、风险偏好、资产负债及衍生标签的数据集合。含匿名化后仍可间接识别的数据。敏感子集（SPFI）包含账户密码、生物特征、交易明细、征信评分、负债金额、投资仓位、保险理赔记录、纳税识别号等一旦泄露即可能对人身财产造成重大损害的数据。适用更严格管控。处理者决定PFI处理目的与方式的法人或非法人组织。含联合处理场景。受托方依合同接受处理者委托，在约定范围内实施PFI处理活动的主体。需备案。数据主体PFI指向的自然人。含已故自然人相关继承权益人。1.4基本原则a.最小必要：收集类型、数量、精度、频度以实现业务功能所必需为上限。b.分层同意：区分基础业务、增值业务、营销推送、数据出境等场景，逐级获取明示同意。c.全链可控：采集、传输、存储、使用、共享、删除、销毁各环节同步设计技术与管理措施。d.风险外溢责任：处理者对其生态合作方引发的二次泄露承担连带举证与赔偿义务。e.算法透明：对基于PFI的自动化决策，提供可解释接口与人工复核通道。第二章组织治理2.1最高管理层责任董事会或执行合伙人应将PFI保护纳入公司级风险矩阵，每年至少听取一次专项报告，对重大数据事件负最终责任。2.2数据保护官（DPO）指标要求任职资格通过国家金融数据保护能力考试，具备法律、安全、业务复合背景，无重大违纪记录。汇报路径双线汇报至首席风险官与监事会，确保独立性。资源保障拥有对违规业务“一票否决”权，预算占比不低于科技投入的3%。2.3跨部门协调机制建立“1+4”工作组：法律合规、信息安全、业务流程、审计内控、用户体验五方协同；重大决策需DPO会签。2.4考核与问责将PFI泄露事件、用户投诉率、合规审计缺陷纳入高管KPI；对隐瞒不报或虚假申报的，适用“熔断条款”：暂停新业务审批一年，并限制年度薪酬。第三章数据分级与生命周期映射3.1分级模型采用“三维四等”模型：维度A：识别度（直接、间接、不可识别）维度B：敏感度（高、中、低）维度C：业务时效（实时、近线、离线、归档）综合划定四级：L1公开、L2内部、L3机密、L4绝密。3.2生命周期映射表生命周期L1公开L2内部L3机密L4绝密采集公开渠道可爬用户输入+弹窗提示加密通道+双因子硬件加密机+专线传输HTTPSTLS1.3+证书固定双向mTLS+国密量子密钥分发存储对象存储数据库TDE分片加密+HSM离线冷存+三权分立使用日志脱敏动态脱敏+行列级权限可信执行环境多方安全计算共享API网关限流合同+API级审计联邦学习不可出域删除标记删除安全擦除覆写7次物理粉碎第四章收集与告知4.1前端交互规范a.首次启动App时，以浮层卡片一次性告知核心字段、保存期限、共享对象、投诉渠道；卡片停留时长≥8秒，禁止“一键同意”。b.调用麦克风、摄像头、通讯录、剪切板、加速度传感器等可能间接推断金融行为的权限，需单独弹窗说明使用场景，用户可拒绝且不影响基础账户开立。4.2静默后台限制除反欺诈、账务提醒两类场景外，后台运行时不得持续采集位置、设备指纹；确需采集的，每24小时重新获取一次明示同意。4.3营销隔离墙营销线索数据与风控数据物理隔离，营销团队不得访问SPFI；如需联合建模，须通过隐私求交（PSI）技术，确保交集外的原始数据不可见。第五章使用与自动化决策5.1模型开发合规流程阶段控制点输出物数据准备最小采样、标签脱敏脱敏报告特征工程禁用敏感枚举、种族、宗教、健康特征黑名单训练差分隐私ε≤1隐私预算台账验证公平性测试，FPR差异<5%公平性报告上线影子模式运行30天回滚方案5.2高风险决策人工复核对授信额度降低≥50%、保单拒赔、证券平仓建议三类结果，系统必须提供“一键人工复核”入口，复核人员可在不接触原始PFI情况下，通过可视化解释面板完成决策修正。5.3算法日志留存记录模型版本、输入字段哈希、输出分数、决策路径、用户申诉记录，保存期限不少于决策生效后五年，确保可追溯、可复现、可审计。第六章共享与跨境6.1共享白名单制度建立动态白名单，纳入共享方名称、共享字段、共享目的、数据retention、责任保险额度；每季度由DPOoffice公示更新，接受社会监督。6.2跨境流动路径路径条件评估机构绿色通道境外母公司已纳入充分性认定名单，且仅传输去标识化统计级数据人民银行省级分支机构标准合同传输SPFI≤1万人，且通过数据出境安全评估国家网信部门负面清单含生物特征、征信原始分、证券持仓明细原则上禁止出境6.3境外司法请求响应收到境外执法、司法机构调取PFI请求时，须先报经省级以上金融主管与国家安全部门审批；未经批准不得直接提供原始数据，可依法提供经去标识化且经司法协助程序后的摘要信息。第七章权利响应与争议解决7.1权利清单权利响应时限免费次数/年例外情形查询5个工作日不限涉及他人隐私更正3个工作日不限需权威证明删除7个工作日不限法定义务保留携带15个工作日2次商业秘密限制处理立即生效不限反欺诈调查期7.2线上自动化工具提供“个人金融信息一站式管家”小程序，用户可实时查看字段级共享图谱、一键关闭非必要共享、下载JSON格式数据包，下载通道采用分段加密，有效期24小时。7.3争议调解中心由行业协会、消费者保护组织、司法机关共同设立“金融隐私争议调解中心”，实行“先调解后诉讼”模式，调解期限不超过30日；对达成调解协议的，法院可出具司法确认，具备强制执行力。第八章安全技术基线8.1密码与密钥a.对称加密：AES-256-GCM，密钥托管于国密HSM，轮换周期≤90天。b.非对称加密：RSA≥3072位或SM2，私钥离线分片，多签阈值2/3。c.密钥生命周期：含生成、分发、使用、备份、归档、销毁六阶段，每阶段双人操作、双人审核。8.2零信任架构所有微服务默认拒绝，基于身份、设备、行为、位置、时间五维动态评估；对访问SPFI的API实施每请求鉴权，Token有效期≤10分钟。8.3隐私计算技术适用场景性能基线联邦学习联合风控建模训练时间增加≤30%多方安全计算跨境联合对账单次计算延迟≤800ms差分隐私公开数据发布准确率损失≤2%同态加密云端密文统计吞吐下降≤5倍8.4日志与监测采集范围涵盖操作系统、数据库、中间件、业务应用、容器、API六层；日志留存180天，关键字段脱敏后上传至行业安全运营中心（FSOC），实现跨机构威胁情报共享。第九章外包与供应链9.1尽调清单项目评分权重及格线安全认证ISO27001、27701、27799必须全部持有保险覆盖网络安全责任险≥5000万元事件披露近三年数据事件≤1起重大审计报告SOC2TypeII无重大缺陷9.2合同必备条款a.数据处理目的、范围、期限、返还与销毁方式；b.次级外包需书面同意；c.发生泄露时24小时内通知，72小时内提供事件报告；d.违约金不低于合同金额30%，且不影响数据主体索赔权。9.3持续监督每年至少一次现场穿透测试，对外包系统执行漏洞扫描、配置基线核查、代码审计；对高风险的运维外包，实施“双人双岗”远程屏幕录像，录像保存三年。第十章未成年人与特殊群体10.1未成年人识别通过身份证有效期、运营商实名信息、人脸年龄估计三重交叉，识别未满18周岁用户；识别后自动切换至“青少年模式”，关闭营销推送、降低授信额度、限制高风险投资品类。10.2监护人网关未成年人开户、申请信贷、购买保险金额≥1万元时，须跳转至监护人实名验证环节，采用“活体检测+公安网核查”确认监护人身份，并生成带时间戳的监护人授权PDF，保存至成年后备查。10.3银发群体关怀对65岁以上用户，系统默认关闭指纹、人脸快捷支付，优先推荐线下网点服务；客服热线自动识别年龄后，跳过语音导航，直接转接人工坐席。第十一章事件应急与通报11.1分级响应级别判定标准响应时限监管通报特别重大SPFI≥500万条30分钟1小时内重大SPFI≥100万条1小时2小时内较大SPFI≥10万条2小时6小时内一般其他4小时24小时内11.2用户告知事件确认后，以App弹窗、短信、邮件、官网公告四通道同步告知；告知内容含事件概要、可能影响、已采取措施、用户自助防护建议、投诉渠道，禁止使用技术性模糊措辞。11.3事后复盘72小时内完成技术取证、日志固化、攻击链还原；7日内提交《根因分析与整改报告》，包含技术短板、流程缺陷、人员责任、改进里程碑；对连续两次发生重大事件的机构，实施行业通报并暂停新产品备案六个月。第十二章审计与评估12.1内部审计审计部每年至少开展一次专项审计，覆盖PFI收集、使用、共享、删除全流程；审计样本量不低于全年业务量的0.5%，且覆盖所有涉及SPFI的系统。12.2外部评估每两年聘请具备国家认可资质的第三方机构，开展数据保护影响评估（DPIA）；评估报告向监管部门备案，并向社会公开摘要，接受舆论监督。12.3审计整改闭环对发现的缺陷，按照“高、中、低”三级分类，高风险30日内、中风险90日内、低风险180日内完成整改；整改完成率纳入高管绩效，未达90%即触发问责。第十三章法律责任与赔偿13.1行政责任违反本规范的，由人民银行、银保监会、证监会、国家网信办依据职责分工责令改正，给予警告，并处上一年度营业额1%—5%罚款；情节特别严重的，责令停业整顿、吊销许可证。13.2民事赔偿数据主体因PFI泄露遭受损失的，可主张实际损失、维权费用、精神损害赔偿；处理者无法证明无过错的，适用过错推定，先行垫付损失，再向责任方追偿。13.3集体诉讼对同一事件受影响用户≥1000人的，可由消费者保护组织、检察机关提起民事公益诉讼，主张惩罚性赔偿，赔偿金纳入国家金融消费者保护基金，用于行业风险补偿与安全教育。第十四章附则14.1过渡条款本