《JR_T0299-2024个人征信电子授权安全技术指南.docx》由会员分享,可在线阅读,更多相关《JR_T0299-2024个人征信电子授权安全技术指南.docx(17页珍藏版)》请在优知文库上搜索。
1、ICS35.240.40CCSA11JR中华人民共和国金融行业标准JR/T02992024个人征信电子授权安全技术指南TechnicaIguideIinesforsecurityofelectronicauthorizationforpersonaIcreditinvestigation2024 - 01 - 15 实施2024-01-15发布中国人民银行目次前言II引言IlI1范围12规范性引用文件13术语和定义14个人征信电子授权机制25线上有效鉴别个人身份36签发数字证书47签署有效征信授权电子协议48存证有效征信授权电子数据59数据安全及个人信息保护5附录A(资料性)个人征信电子授权业
2、务报告6附录B(资料性)个人征信电子授权电子签章验证报告8附录C(资料性)个人征信电子授权电子数据验证报告10参考文献12.,4,A刖S本文件按照GB/T1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国人民银行征信管理局提出。本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:中国人民银行征信管理局,中国人民银行北京市分行、山东省分行,中金金融认证中心有限公司、中国银联股份有限公司、网联清算有限公司、中国邮政储蓄银行股份有限公司、重庆工商大学、山东财经大学
3、、北京国家金融科技认证中心有限公司、中国光大银行股份有限公司、中国工商银行股份有限公司、武汉仲裁委员会、广西北部湾银行股份有限公司、中国科学院信息工程研究所、蚂蚁科技集团股份有限公司、北京百度网讯科技有限公司、深圳市腾讯计算机系统有限公司、京东科技控股股份有限公司、梅赛德斯-奔驰汽车金融有限公司。本文件主要起草人:田地、杜静、常可、刘维特、曾志诚、林晓东、阚胜国、冯巍威、王秋香、马征、韩婷婷、朱钢、李达、李松涛、马春旺、谢宗晓、王自冲、隆峰、左小军、张诚、汤洋、郭林、廖渊、甄杰、董坤祥、李宽、史晨阳、夏雯君、武利娟、杨泽、母洪春、叶友、熊刚、李镇、夏蕨、陆碧波、彭晋、王海棠、李克鹏、陈明、孙中
4、伟、孙瑞。在消费升级和金融科技共同推动下,金融机构线上个人信贷业务日益增长,线上渠道成为金融机构开展个人信贷业务的主要方式。金融机构办理个人信贷业务时,一般要在取得个人信息主体授权同意后,查询个人征信信息。线上信贷业务的发展凸显了电子方式取得个人信息主体有效征信授权的重要性。为解决金融机构取得个人征信电子授权过程中普遍存在的鉴别手段简单、缺少安全可靠电子签章、缺乏存证意识等突出问题,保障个人征信电子授权的真实性和有效性,促进线上信贷业务健康规范发展,特制定本文件。个人征信电子授权安全技术指南1范围本文件提供了个人征信电子授权安全技术指南,包括个人征信电子授权机制、线上有效鉴别个人身份、签发数字
5、证书、签署有效征信授权电子协议、存证有效征信授权电子数据、数据安全、个人信息保护等内容。本文件适用于金融领域涉及个人征信电子授权的业务。示例:征信信息采集、报送、查询等。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 220812016GB/T 279132022GB/T 370922018GB/T 385402020GM/T 00152012JR/T 01182015JR/T 01712020JR/T 02232021SF/T 00
6、762020信息技术安全技术信息安全控制实践指南用于金融服务的公钥基础设施实施和策略框架信息安全技术密码模块安全要求信息安全技术安全电子签章密码技术规范基于SM2密码算法的数字证书格式规范金融电子认证规范个人金融信息保护技术规范金融数据安全数据生命周期安全规范电子数据存证技术规范3术语和定义下列术语和定义适用于本文件。1.1 1电子协议electronicagreement平等主体的自然人、法人、其他组织之间通过电子信息网络以电子的形式达成的设立、变更、终止民事权利义务关系的协议。来源:GB/T362982018,3.1,有修改1.2 2电子认证机构certificationauthority
7、;CA对数字证书进行全生命周期管理的实体。注:电子认证机构即证书认证机构。来源:JR/T01182015,3.21.3注册机构registrationauthority受理数字证书的申请、更新、恢复和注销等业务的实体。来源:JR/T01182015,3.31.4数字证书digitalcertificate由国家认可的,具有权威性、可信性和公正性的电子认证机构进行数字签名的一个可信的数字化文件。来源:GB/T205182018,3.7,有修改1.5电子签章electronicseaI使用电子印章签署电子文件的过程。来源:GB/T385402020,3.21.6时间戳timeStamP对时间和其他
8、待签名数据进行签名得到的数据。注:时间戳用于表明数据的时间属性。来源:GM/Z00012013,2.100,有修改1.7电子数据存证digitalevidencepreservation通过互联网向用户提供电子数据证据保管和验证的服务。来源:SF/T00762020,3.11.8电子数据存证服务提供者digitalevidencepreservationprovider提供电子数据存证服务的机构或组织。来源:SF/T00762020,3.24个人征信电子授权机制个人征信电子授权机制作用是由个人通过金融业务终端以电子签名的方式对本人电子征信进行授权,允许金融业务系统查询其个人征信信息。为确保个人
9、征信电子授权的真实性、完整性、不可否认性,对线上有效鉴别个人身份、申请和签发数字证书、签署有效征信授权电子协议等过程进行存证。金融机构采用上述机制,在有效授权内开展活动,其中涉及的个人征信电子授权基本系统组件如下表所示。表个人征信电子授权基本系统组件系统组件说明C1(业务系统)开展金融业务,调用其他组件实现个人征信电子授权机制的系统。C(数字证书注册系统)负责数字证书的申请、发放以及存储的系统。C(CA系统)负责受理证书申请,签发数字证书,并对数字证书全生命周期进行笆理的系统。C1(业务终端系统)承载金融业务,fjC,(业务系统)协同,金融客户使用C(业务终端系统)办理金融业务及执行个人征信电
10、子授权的客户端软件。C,(存证系统)负责电子证据数据存证,受理上述组件系统的电子数据,并履行存证流程的系统。个人征信电子授权机制如下图所示。电认机f证构金 融 机 构C1 (业务系统)Q数字证书注册系统)电F数 据存证 服务提 供者C5 (存证系统)mI融客户G业务终端系统)图个人征信电子授权机制个人征信电子授权机制的基本工作过程如下。a)步骤札:金融机构C(业务系统)对金融客户开展身份鉴别,鉴别无误后,C1(业务系统)向注册机构的(数字证书注册系统)提交金融客户数字证书申请信息。b)步骤此:注册机构Cd(数字证书注册系统)受理来自G(业务系统)的数字证书申请信息,并提交给电子认证机构的Cs(
11、CA系统)。c)步骤险:电子认证机构C3(CA系统)签发数字证书,并将该证书交付给注册机构的C2(数字证书注册系统)。d)步骤此:注册机构C,(数字证书注册系统)接收数字证书并发放给金融客户,根据数字证书存储方案,选择存储在Cl(业务终端系统)、C1(业务系统)或为&(业务系统)提供签名签章服务的关联系统中.e)步骤呱:金融客户使用C,(业务终端系统)协同Cl(业务系统)签署有效征信授权电子协议,并将签署后的电子协议文件保存到(业务系统)或保存到为。(业务系统)提供存储服务的关联系统中。f)步骤M6:金融机构3(业务系统)将身份鉴别过程和结果数据发送给电子数据存证服务提供者的Cs(存证系统)进
12、行存证。g)步骤此:注册机构C2(数字证书注册系统)将证书申请、发放过程和结果数据发送给电子数据存证服务提供者的C5(存证系统)进行存证。h)步骤瓦:金融机构加(业务系统)统筹Cq(业务终端系统)授权协议签署过程和结果数据发送给电子数据存证服务提供者的C.5(存证系统)进行存证。注:根据业务模型设计,步骤扎、步骤M、步骤乩能分阶段进行,也能在业务办结后统一进行。5线上有效鉴别个人身份5.1鉴别原则金融机构宜以有效性为原则,充分鉴别个人身份,同时,宜仅采集身份鉴别所必需的最少信息,保护个人信息安全。注:1.金融领域有权判定鉴别手段效力的机构通常为金融管理机构和司法机构。金融机构履行客户尽职调查、
13、身份鉴别义务时,必须按照法律、行政法规、部门规章的规定进行核查。2.有关法律、行政法规、部门规章规定了对于身份鉴别最少信息进行核查的内容,例如常见类型移动互联网应用程序必要个人信息范围规定(国信办秘字(2021)14号文印发),以保证个人信息采集的合法、正当、必要。5.2线上鉴别个人身份5 .2.1线上鉴别个人身份宜采取身份证鉴别和其他2种及以上成熟的身份鉴别措施对个人身份有效性进行鉴别。身份鉴别方式包括以下内容。a)身份证鉴别:联网核查公民身份信息,宜同步鉴别身份证件真伪。b)其他经过实践验证有效且被广为接受的身份鉴别措施。示例:生物特征、银行卡、运营商实名验证等技术较为成熟、应用较为广泛的
14、多种身份鉴别措施。6 .2.2使用数字证书鉴别个人身份满足以下条款的,不必进行上述方式的身份鉴别。a)使用网银智能密码钥匙中存储的电子认证机构数字证书,以及移动终端满足GB/T37092-2018中密码模块安全二级及以上规定的数字证书开展身份鉴别。b)验证数字证书有效性和该数字证书产生的电子签名有效性。6签发数字证书1.1 电子认证机构电子认证机构宜满足JR/T0118-2015中5.L1的内容。1.2 数字证书格式及名称数字证书格式及名称包括以下内容。a)对采用国家密码管理部门认可的国产密码算法数字证书宜符合GM/T00152012的相关内容。b)标识个人身份的数字证书(以下简称个人证书)命
15、名宜包括对应自然人名称信息。c)电子认证机构不宜将同一数字证书主体名称的证书签发给不同的用户。1.3 个人身份鉴别电子认证机构签发数字证书时,可自行或授权金融机构作为注册机构执行个人身份鉴别工作、受理个人数字证书申请等。金融机构作为注册机构宜与电子认证机构约定向个人履行有关申请数字证书的提示告知义务,例如金融机构明确告知授权个人数字证书申请与金融业务开展过程中的身份鉴别同时进行。双方宜明确技术要求,金融机构采集和保存告知、开展有效身份鉴别的记录材料。1.4 证书策略和认证业务说明电子认证机构宜对数字证书制定证书策略,并在认证业务说明中对有关内容予以阐述。证书策略和认证业务说明包括以下内容。a)证书策略宜满足GB/T279132022中6.1的内容。b)认证业务说明宜满足GB/T27913-2022中6.2的内容。1.5 证书生命周期操作证书生命周期管理涵盖证书签发
免费区 