ICS35.240.40 CCSA11 JR 中华人民共和国金融行业标准 JR/T0299—2024 个人征信电子授权安全技术指南 Technicalguidelinesforsecurityofelectronicauthorizationfor personalcreditinvestigation 2024-01-15发布 2024-01-15实施 中国人民银行 发布JR/T0299—2024 I目次 前言..................................................................................II 引言.................................................................................III 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4个人征信电子授权机制.................................................................2 5线上有效鉴别个人身份.................................................................3 6签发数字证书.........................................................................4 7签署有效征信授权电子协议.............................................................4 8存证有效征信授权电子数据.............................................................5 9数据安全及个人信息保护...............................................................5 附录A（资料性）个人征信电子授权业务报告................................................6 附录B（资料性）个人征信电子授权电子签章验证报告........................................8 附录C（资料性）个人征信电子授权电子数据验证报告.......................................10 参考文献..............................................................................12JR/T0299—2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国人民银行征信管理局提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国人民银行征信管理局，中国人民银行北京市分行、山东省分行，中金金融认 证中心有限公司、中国银联股份有限公司、网联清算有限公司、中国邮政储蓄银行股份有限公司、重庆 工商大学、山东财经大学、北京国家金融科技认证中心有限公司、中国光大银行股份有限公司、中国工 商银行股份有限公司、武汉仲裁委员会、广西北部湾银行股份有限公司、中国科学院信息工程研究所、 蚂蚁科技集团股份有限公司、北京百度网讯科技有限公司、深圳市腾讯计算机系统有限公司、京东科技 控股股份有限公司、梅赛德斯-奔驰汽车金融有限公司。 本文件主要起草人：田地、杜静、常可、刘维特、曾志诚、林晓东、阚胜国、冯巍威、王秋香、马 征、韩婷婷、朱钢、李达、李松涛、马春旺、谢宗晓、王自冲、隆峰、左小军、张诚、汤洋、郭林、廖 渊、甄杰、董坤祥、李宽、史晨阳、夏雯君、武利娟、杨泽、母洪春、叶友、熊刚、李镇、夏葳、陆碧 波、彭晋、王海棠、李克鹏、陈明、孙中伟、孙瑞。JR/T0299—2024 III引言 在消费升级和金融科技共同推动下，金融机构线上个人信贷业务日益增长，线上渠道成为金融机构 开展个人信贷业务的主要方式。金融机构办理个人信贷业务时，一般要在取得个人信息主体授权同意后， 查询个人征信信息。线上信贷业务的发展凸显了电子方式取得个人信息主体有效征信授权的重要性。 为解决金融机构取得个人征信电子授权过程中普遍存在的鉴别手段简单、缺少安全可靠电子签章、 缺乏存证意识等突出问题，保障个人征信电子授权的真实性和有效性，促进线上信贷业务健康规范发展， 特制定本文件。JR/T0299—2024 1个人征信电子授权安全技术指南 1范围 本文件提供了个人征信电子授权安全技术指南，包括个人征信电子授权机制、线上有效鉴别个人身 份、签发数字证书、签署有效征信授权电子协议、存证有效征信授权电子数据、数据安全、个人信息保 护等内容。 本文件适用于金融领域涉及个人征信电子授权的业务。 示例：征信信息采集、报送、查询等。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T22081—2016信息技术安全技术信息安全控制实践指南 GB/T27913—2022用于金融服务的公钥基础设施实施和策略框架 GB/T37092—2018信息安全技术密码模块安全要求 GB/T38540—2020信息安全技术安全电子签章密码技术规范 GM/T0015—2012基于SM2密码算法的数字证书格式规范 JR/T0118—2015金融电子认证规范 JR/T0171—2020个人金融信息保护技术规范 JR/T0223—2021金融数据安全数据生命周期安全规范 SF/T0076—2020电子数据存证技术规范 3术语和定义 下列术语和定义适用于本文件。 3.1 电子协议electronicagreement 平等主体的自然人、法人、其他组织之间通过电子信息网络以电子的形式达成的设立、变更、终止 民事权利义务关系的协议。 [来源：GB/T36298—2018，3.1，有修改] 3.2 电子认证机构certificationauthority；CA 对数字证书进行全生命周期管理的实体。 注：电子认证机构即证书认证机构。 [来源：JR/T0118—2015，3.2] 3.3 注册机构registrationauthority 受理数字证书的申请、更新、恢复和注销等业务的实体。JR/T0299—2024 2[来源：JR/T0118—2015，3.3] 3.4 数字证书digitalcertificate 由国家认可的，具有权威性、可信性和公正性的电子认证机构进行数字签名的一个可信的数字化文 件。 [来源：GB/T20518—2018，3.7，有修改] 3.5 电子签章electronicseal 使用电子印章签署电子文件的过程。 [来源：GB/T38540—2020，3.2] 3.6 时间戳timestamp 对时间和其他待签名数据进行签名得到的数据。 注：时间戳用于表明数据的时间属性。 [来源：GM/Z0001—2013，2.100，有修改] 3.7 电子数据存证digitalevidencepreservation 通过互联网向用户提供电子数据证据保管和验证的服务。 [来源：SF/T0076—2020，3.1] 3.8 电子数据存证服务提供者digitalevidencepreservationprovider 提供电子数据存证服务的机构或组织。 [来源：SF/T0076—2020，3.2] 4个人征信电子授权机制 个人征信电子授权机制作用是由个人通过金融业务终端以电子签名的方式对本人电子征信进行授 权，允许金融业务系统查询其个人征信信息。为确保个人征信电子授权的真实性、完整性、不可否认性， 对线上有效鉴别个人身份、申请和签发数字证书、签署有效征信授权电子协议等过程进行存证。金融机 构采用上述机制，在有效授权内开展活动，其中涉及的个人征信电子授权基本系统组件如下表所示。 表个人征信电子授权基本系统组件 系统组件 说明 C1（业务系统） 开展金融业务，调用其他组件实现个人征信电子授权机制的系统。 C2（数字证书注册系统）负责数字证书的申请、发放以及存储的系统。 C3（CA系统） 负责受理证书申请，签发数字证书，并对数字证书全生命周期进行管理的系统。 C4（业务终端系统）承载金融业务，与C1（业务系统）协同，金融客户使用C4（业务终端系统）办理金 融业务及执行个人征信电子授权的客户端软件。 C5（存证系统） 负责电子证据数据存证，受理上述组件系统的电子数据，并履行存证流程的系统。