展示限制,在GB/T 35273—2017《信息安全技术 个人信息安全规范》7.2条中有相关说明:“涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息展示时,防止内部非授权人员以及个人信息主体之外的其他人员未经授权获取个人信息。”即要求通过界面展示个人信息时应进行信息的隐藏或者使非授权人员无法直接查看。这里涉及到几个层面:
一是所查看的界面包括系统界面(包括业务系统界面以及各显示终端界面,如平板、ATM机、柜员机、智能银行设备等)和纸质界面。这在银行领域来说,可能有不同的应用场景,在系统界面很好理解,个人客户在各种自操作界面,包括申请注册界面、变更个人信息界面、查看个人信息界面时,都会有必要显示个人信息,在涉及到转账、电子商务寄付等场景,还可能需要输入和确认对方的个人信息,甚至一些密码、口令、找回信息等,为了防止不必要的外部人员或者内部人员在不需要时,可以看到敏感信息从而窃取账号、账号相关重要信息或者口令。纸面一般是指柜员或者用户自己因客户需要,对一些信息需要导出、打印、复制、保存时,所得到的信息也应该是对展示的个人信息进行了限制的,而不是仅仅在当前界面上进行了屏蔽,甚至从服务器端就应当对信息进行了限制处理,而不是仅仅在客户终端才进行了信息的转化。在各种应用场景下,以各种形式可被观察到的个人信息,如果涉及敏感内容,能使个人信息(包括隐私信息、密码口令信息、不宜让人知晓的其它个人信息等)泄露,就应对个人信息内容进行展示的限制。
二是需要防范外部人员与内部管理人员。对个人信息的展示限制,防范的角度有两个,第一是个人客户在操作时,其身边的不怀好意的人员,可能使用肩窥、偷拍等方式记录敏感个人信息或密码,从而制作伪卡,盗取账户;另外一方面也是保护客户个人隐私,防范客户不想被观察到隐私信息的朋友、其它在场人员等,如不想被看到身份证信息、手机号等。第二个是防范银行内部人员,在其所负责业务范畴内不需要相应的个人信息时,限制展示客户信息,最大化的保护客户隐私,避免银行内部人员成为批量出卖个人信息的出口,封堵监管与违法的漏洞。如业务审批的账户,仅需要知道客户相关的征信记录、财产信息,并不需要知道客户本人是谁,仅需流水号或者个人信息的一部分进行核对确认就够用的情况下(如名字的最后一个字,身份证后四位等),这种情况下就可以对客户的个人信息进行隐藏或采取其它展示限制措施。
三是需要采取去标识化的处理措施。对信息的展示限制需要采取适合、合理的处理措施,我们既要照顾隐藏后的信息的“确认信息”的需要,也要确保被处理的信息不能暴露个人有价值的信息,同时也要因地制宜的根据限制的环境,进行针对性地处理,避免产生业务上的逻辑错误。比如,部分信息在进行展示限制时,可能需要加密或以星号代替,也有的可能需要部分信息隐藏,那么隐藏信息到底隐藏多少呢?那就得根据业务具体场景来看,就拿简单的身份证信息隐藏来说,有时候,你输入的身份证信息虽然不必要全文展示,但是有实际的核对身份证信息的必要,那么我们隐藏的信息就不能要保留部分能确定唯一性或者不容易产生重复的项,我们知道身份证前6位是籍贯信息,这6个数字隐藏就没有什么价值,同一个籍贯的人员这串数值都是一样的,没有区分度,出生年月日一般来说重复性就比较小了,身份证最后四位的数值也基本是唯一性的,因此,在需要初步核对信息的时候,要采取处理措施至少保留这两者其中之一能显示。同时我们也考虑到出生日期有被作为密码的一部分的习惯或者泄露个人隐私,一般情况下可以的话应当隐藏。我们在实际情况中见到过这样的逻辑错误情况:在一个界面有多处个人信息的展示,为了合规需要,系统开发人员设计时把身份证的出生年月日隐藏了,但是很可惜的是,紧接着的一项账户信息就是出生日期。这就相当于没有隐藏,拼接出来又能得到身份证号信息。
那么一般来说,我们对数据进行展示限制时,应当考虑哪些方面,遵守哪些原则呢?
(一)合规的原则
进行展示限制处理时一定要满足国家法律法规要求,遵循监管需要,尤其是遵从个人信息保护相关技术规范和标准的要求,并与法律合规部等部门配合,持续跟进相关法律法规和标准规范。
(二)满足业务规则原则
什么时候需要进行展示限制,限制某个部分,或采用何种方法进行限制,一定要与业务场景相匹配,不能脱离业务的需要,或者违背业务的规则,在保障业务便利、用户使用友好、提升业务效率的前提下,尽量保障个人信息的安全,灵活的采取合理、有效、适当的措施进行处理。
(三)信息保密性原则
展示限制的最大作用是保证个人信息或敏感信息不被泄露,要根据信息泄露的可能性和危害程度,确定个人信息泄露的风险等级,再结合实际需要,确定展示限制方案。
(四)持续改进原则
在完成去展示限制工作后须进行评估和定期重评估,对照工作目标,评估工作效果(包括重标识、追踪风险和评估处置有效性)与效率,持续改进方法、技术和工具。并就相关工作进行文档记录。
以下选取几种重要的展示限制的方式,针对不同场景,来说明一般情况下如何对常用个人信息进行展示限制:
1. 姓名的展示限制
姓名是常用的身份标识,作为银行身份验证重要的四要素信息之一,除了身份标识作用,也是身份鉴别的重要要素之一。在不必要的情况下,可以将姓名的部分信息进行隐藏或者处理,比如通过泛化编码,使用“姓+称谓”的方式来代替全名,如张先生、王女士等,这样适合在通知或者登录信息的时候使用。也可以直接将比较容易重复的姓隐藏,保留重复率较低的名字的最后一个字显示,如用户“*明”。
2. 身份证号的展示限制
身份证号也是常用的身份标识符号,也属于四要素信息的一部分,身份证号标准的编码规则来源于GB 11643—1999《公民身份号码》制定的编码规则,其结构分为地址码、出生日期码、顺序码和校验码,常见的展示限制一般是除末四位外全文隐藏(即********0315),此种情形一般适用于需要隐藏出生年月日但又需要核对确认信息的情况;或部分信息屏蔽,比如仅隐藏出生年月日,此种情况适用于需要保密出生日期但允许对出生日期按年代作统计分析等场景下使用,比如业务场景下的大数据分析。
3. 银行卡号的展示限制
银行卡号在很多应用中和个人身份密切关联,是一种常用的标识符,也属于银行四要素信息的一部分。银行卡号是有专门的编码规则的,其顺序为发卡行标识代码、自定义位和校验码。常见的展示限制方法一般是采取部分屏蔽措施,由于仅知道发卡行或者末四位就能让客户自己核对是哪张卡,保证了信息核对和确认的需要,但中间的部分信息可以进行隐藏,避免了整张卡号信息被泄露。
4. 地址的展示限制
地址是属于比较敏感的个人信息,涉及到个人隐私,因此比较重要,一般情况下不对业务人员开放,也应尽量被非业务使用必须的人能访问,以避免被扩散造成隐私泄露或者被违法售卖。一般对地址信息可能会展示到某县某乡/镇,对具体街道、门牌号等信息会进行隐藏。或者也可能全文屏蔽。
5. 电话号码的展示限制
一般情况下,对手机号码采取的展示限制措施包括全文隐藏以及4~7位隐藏的方式,考虑到手机号码不具有编号规则,手机号码目前基本各位数字都没有太多实际含义,前三位数字可能代替运营商,但将来也会模糊这个概念,允许电话号码更换运营商,因此,按照通用习惯,一般隐藏11位数字中的4~7位。
隆峰,信息安全从业13年,专注并擅长金融行业、央企的信息安全规划、信息安全管理体系咨询、等级保护、个人信息保护咨询等方向,目前参与过8家大型央企总部级信息安全咨询项目,主导实施过30多家金融机构的咨询、测评项目,在国家级期刊发表论文2篇,出版金融行业信息安全相关专著2本,参与制定金融行业信息安全标准3项。
声明:本文来自中金网安,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。