中國支付清算協會關於印發《個人支付信息保護指引》的通知

個人支付信息分類指個人參與支付活動中涉及的、能夠被知曉和處理、與個人相關、能夠單獨或與其他信息結合識別該個人的任何信息。比如，賬戶信息指賬戶及賬戶相關信息，包括但不限於支付賬號、銀行卡磁道數據（或芯片等效信息）、銀行卡有效期、賬戶開立時間、開戶機構、賬戶餘額以及基於上述信息產生的支付標記信息等。

《指引》主要內容包括編製原則、個人支付信息分類分級、支付業務主體的安全保護範圍、支付業務主體的基本要求、支付業務主體的管理要求、支付業務主體的人員要求、支付業務主體的係統要求、不同業務場景的保護要求等等。

其中，在支付業務主體的基本要求方麵，《指引》對收單機構、賬戶機構、清算機構及其它相關機構都作出了相應要求。比如，收單機構應根據特約商戶受理銀行卡交易的真實場景，按照相關清算機構和發卡銀行的業務規則和管理要求，正確選用交易類型，準確標識交易信息並完整發送，確保交易信息的完整性、真實性和可追溯性。

收單機構還應切實履行特約商戶檢查責任，嚴格規範與外包服務機構業務合作，不應將收單業務交易處理、資金結算、風險監測、受理終端主密鑰生成和管理、差錯和爭議處理工作交由外包服務機構辦理；不應將外包服務機構拓展為特約商戶並接收其發送的銀行卡交易信息。

收單機構不應以任何形式存儲銀行卡磁道信息或芯片信息、卡片驗證碼、卡片有效期、個人標識碼等信息，並應采取有效措施防止特約商戶和外包服務機構存儲此類信息。因特殊業務需要，收單機構確需存儲的，應經持卡人本人及賬戶管理機構同意、確保存儲的信息僅用於持卡人指定用途，並承擔相應信息安全管理責任。

附件：中國支付清算協會關於印發《個人支付信息保護指引》的通知