(资料图片)

8月9日，据中国支付清算协会（以下简称“协会”）官网，为适应国家法律法规最新要求，更好地服务行业发展，中国支付清算协会组织对协会2016年发布的团体标准《个人信息保护技术指引》进行了修订，并更名为《个人支付信息保护指引》（以下简称《指引》）。经中国支付清算协会第四届理事会第三次会议审议通过，现予以发布，自发布之日起实施，原《个人信息保护技术指引》废止。

据了解，《指引》结合支付业务的参与主体和业务特点，在符合国家及行业监管要求，遵循GB/T 35273、JR/T 0171等标准规范的基础上，提出了支付信息保护整体框架，细化了支付业务中个人信息的处理要求和相关机构的能力要求，为参与支付业务的机构提供指导，进一步规范个人支付信息处理活动。

《指引》给出了个人支付信息的范围定义，提出了个人支付信息保护的基本原则、安全框架、安全保护范围、业务主体及主要义务、组织建设、人员管理、终端和业务系统安全等内容，并针对不同业务场景提出了典型的保护要求。

图片来源：《指引》

其中，《指引》要求，收单机构应根据特约商户受理银行卡交易的真实场景，按照相关清算机构和发卡银行的业务规则和管理要求，正确选用交易类型，准确标识交易信息并完整发送，确保交易信息的完整性、真实性和可追溯性。

同时，收单机构应切实履行特约商户检查责任，严格规范与外包服务机构业务合作，不应将收单业务交易处理、资金结算、风险监测、受理终端主密钥生成和管理、差错和争议处理工作交由外包服务机构办理；不应将外包服务机构拓展为特约商户并接收其发送的银行卡交易信息。

处理个人支付信息必要的保护措施

图片来源：《指引》

此外，在账户机构方面，账户机构为客户开立支付账户的，应对客户实行实名制管理，登记并采取有效措施验证客户身份基本信息，按规定核对有效身份证件并留存有效身份证件复印件或者影印件，建立客户唯一识别编码，并在与客户业务关系存续期间采取持续的身份识别措施，确保有效核实客户身份及其真实意愿，不应开立匿名、假名支付账户。

清算机构则应对从清算服务中获取的身份信息、账户信息、交易信息以及其他相关信息等个人支付信息予以保密；除法律法规另有规定外，未经用户个人授权不应对外提供；清算机构处理用户个人授权的个人支付信息时，应通过业务规则及协议等有效措施，要求发卡机构或收单机构为所获得的个人支付信息保密。