案例提供方:民生银行
《开放银行数据保护与合规研究报告》对数据共享使用合规性要求、操作流程和技术支持方案等进行了归纳总结,在共享个人金融信息时,要征得个人金融信息主体同意,履行告知义务。《个人金融信息保护规范》(JR-T 0171-2020)规定,在共享个人金融信息时,支付账号及其等效信息在共享和转让时,除法律法规和行业主管部门另有规定外,应使用支付标记化(按照 JR/T 0149-2016)技术进行脱敏处理(因业务需要无法使用支付标记化技术时,应进行加密),防范信息泄露风险。
2020 年新冠疫情的影响下,灵活用工市场规模出现了显著增长。灵活用工可以满足企业阶段性用工需求,降低企业用工成本和用工风险,提升企业的用工弹性,企业更倾向于雇佣灵活的工作人员来应对业务需求的波动和不确定性。同时,随着数字技术的发展,各种共享经济平台的出现也为灵活用工提供了更多机会和便利,推动了灵活用工市场的发展。
通过开放银行向具有委托代征资质的共享经济平台输出薪福通、借记卡申卡接口,通 过公私联动的一体化解决方案,为共享经济平台提供完善的金融服务。
为确保个人客户账户数据信息传输的合规性,在提供数据查询服务前,引导个人客户进行授权,取得客户明示同意,并针对输出的敏感信息进行标记化处理,实现在识别个人用户真实意愿的前提下保证共享经济平台机构和民生银行数据信息传输安全。
业务方案方面,民生银行薪福通作为对公结算类产品,为平台提供资金分账管理和劳务报酬发放能力,不同用工单位支付的用工款项,可以支付到对应的子账簿中,账务清晰明了。借记卡为平台上的个体劳动者提供用于接收劳务报酬的银行个人账户。
业务流程方面,个体劳动者在平台上可以申请借记卡,银行根据申请记录为个体劳动者寄发卡片,在个体劳动者进行临柜卡片激活后,引导个体劳动者选择是否授权平台获取其卡号信息用于劳动报酬的发放。若客户授权,则将标记化的卡号提供给平台,平台在为个体劳动者发放劳动报酬时,将标记化卡号提供给开放银行,开放银行对标记化卡号进行还原后,推送至薪福通产品系统进行后续业务处理。
(1)个人客户开卡后,引导客户在民生银行线上或线下渠道选择是否授权平台获取卡号 信息,民生银行存储授权标识。
(2)民生银行判断该客户是否已完成授权,确定已完成授权后,通知共享经济平台该用 户的标记化卡号信息。
(3)共享经济平台端发起个人客户卡信息查询,民生银行通过授权标识鉴权,鉴权通过 同步返回标记化卡号信息
敏感信息标记化由开放平台网关根据预定规则统一处理,对手机号、卡号、姓名等个人敏感信息进行掩码处理,对重要敏感字段采用加密处理,确保开放银行与接入方之 间无敏感信息明文传输。
a.提供国际和国密多种算法支持,哈希、掩码、加密等。
b.基于统一的密码服务平台安保系统提供的远程调用,支持多种加密算法的组合使用,包括但不限于 AES、RSA、SM2、SM4 等算法。
a.加密时,将当前时间拼接在目标字段的值后参与运算。
b.解密时,如果存在过期校验,在反标记化中根据时间做比较。
在本案例中授权机制及敏感信息的标记化处理,有效的保障了数据安全和用户隐私,满足了现有数据传输安全相关政策的要求。同时,在整体与共享经济平台交互和结果传递过程中均为报文加密传递,有效防止了共享平台和民生银行其他数据资产的泄露。在满足监管要求的前提下,实现了便捷、高效、安全的数据传输,实现了数据的高价值应用和流转。
精确应用授权机制及敏感信息标记化服务,为民生银行在共享经济领域提供了有力的支撑和赋能,帮助民生银行实现更便捷更高效更安全的用户体验。通过与持证机构合作,通过公私联动的方式,提高B端结算规模的同时,又可以开展C端批量获客。
《开放银行数据保护与合规实践案例报告》—中国银联技术管理委员会
