1月15日，中國人民銀行發布《個人征信電子授權安全技術指南》（JR/T 0299-2024）（以下簡稱“《指南》”），于當天實施。

據悉，在消費升級和金融科技共同推動下，金融機構線上個人信貸業務日益增長，線上渠道成為金融機構開展個人信貸業務的主要方式。金融機構辦理個人信貸業務時，一般要在取得個人信息主體授權同意后，查詢個人征信信息。線上信貸業務的發展凸顯了電子方式取得個人信息主體有效征信授權的重要性。

《指南》旨在解決金融機構取得個人征信電子授權過程中普遍存在的鑒別手段簡單、缺少安全可靠電子簽章、缺乏存證意識等突出問題，保障個人征信電子授權的真實性和有效性，促進線上信貸業務健康規范發展。

《指南》包括個人征信電子授權機制、線上有效鑒別個人身份、簽發數字證書、簽署有效征信授權電子協議、存證有效征信授權電子數據、數據安全、個人信息保護等內容。適用于金融領域涉及個人征信電子授權的業務。

個人征信電子授權機制

個人征信電子授權機制作用是由個人通過金融業務終端以電子簽名的方式對本人電子征信進行授權，允許金融業務系統查詢其個人征信信息。為確保個人征信電子授權的真實性、完整性、不可否認性，對線上有效鑒別個人身份、申請和簽發數字證書、簽署有效征信授權電子協議等過程進行存證。

金融機構采用上述機制，在有效授權內開展活動，其中涉及的個人征信電子授權基本系統組件包括：

個人征信電子授權機制的基本工作過程為：

1、金融機構C1（業務系統）對金融客戶開展身份鑒別，鑒別無誤后，C1（業務系統）向注冊機構C2（數字證書注冊系統）提交金融客戶數字證書申請信息。

2、注冊機構C2（數字證書注冊系統）受理來自C1（業務系統）的數字證書申請信息，并提交給電子認證機構的C3（CA系統）。

3、電子認證機構C3（CA系統）簽發數字證書，并將該證書交付給注冊機構的C2（數字證書注冊系統）。

4、注冊機構C2（數字證書注冊系統）接收數字證書并發放給金融客戶，根據數字證書存儲方案，選擇存儲在C4（業務終端系統）、C1（業務系統）或為C1（業務系統）提供簽名簽章服務的關聯系統中。

5、金融客戶使用C4（業務終端系統）協同C1（業務系統）簽署有效征信授權電子協議，并將簽署后的電子協議文件保存到C1（業務系統）或保存到為C1（業務系統）提供存儲服務的關聯系統中。

6、金融機構C1（業務系統）將身份鑒別過程和結果數據發送給電子數據存證服務提供者的C5（存證系統）進行存證。

7、注冊機構C2（數字證書注冊系統）將證書申請、發放過程和結果數據發送給電子數據存證服務提供者的C5（存證系統）進行存證。

8、金融機構C1（業務系統）統籌C4（業務終端系統）授權協議簽署過程和結果數據發送給電子數據存證服務提供者的C5（存證系統）進行存證。

線上有效鑒別個人身份

《指南》提到，鑒別原則為，金融機構宜以有效性為原則，充分鑒別個人身份，且僅采集身份鑒別所必需的最少信息，保護個人信息安全。

線上鑒別個人身份宜采取身份證鑒別和其他2種及以上成熟的身份鑒別措施對個人身份有效性進行鑒別。鑒別方式包括，身份證鑒別、其他經過實踐驗證有效且被廣為接受的身份鑒別措施比如生物特征、銀行卡、運營商實名驗證等。

而使用數字證書鑒別個人身份滿足這些條款的，不必進行上述方式的身份鑒別：一是使用網銀智能密碼鑰匙中存儲的電子認證機構數字證書，以及移動終端滿足GB/T 37092-2018中密碼模塊安全二級及以上規定的數字證書開展身份鑒別。二是驗證數字證書有效性和該數字證書產生的電子簽名有效性。

簽發數字證書

在簽發數字證書環節，關于電子認證機構、數字證書格式及名稱、個人身份鑒別、證書策略和認證業務說明、證書生命周期操作、數字證書存儲安全等方面，《指南》均提出了要求。

其中，在個人身份鑒別方面，電子認證機構簽發數字證書時，可自行或授權金融機構作為注冊機構執行個人身份鑒別工作、受理個人數字證書申請等。金融機構作為注冊機構宜與電子認證機構約定向個人履行有關申請數字證書的提示告知義務，例如金融機構明確告知授權個人數字證書申請與金融業務開展過程中的身份鑒別同時進行。雙方宜明確技術要求，金融機構采集和保存告知、開展有效身份鑒別的記錄材料。

最后，在簽署有效征信授權電子協議環節，《指南》對電子簽章生成流程、電子簽章驗證流程、時間戳、機密性等方面提出宜滿足的要求。

在存證有效征信授權電子數據環節，《指南》則對電子數據存證服務提供者、電子數據存證過程、電子數據存證范圍、出具有效征信授權佐證材料等方面提出要求。

責任編輯：韓希宇