1月15日，中国人民银行发布《个人征信电子授权安全技术指南》（JR/T 0299-2024）（以下简称“《指南》”），于当天实施。

据悉，在消费升级和金融科技共同推动下，金融机构线上个人信贷业务日益增长，线上渠道成为金融机构开展个人信贷业务的主要方式。金融机构办理个人信贷业务时，一般要在取得个人信息主体授权同意后，查询个人征信信息。线上信贷业务的发展凸显了电子方式取得个人信息主体有效征信授权的重要性。

《指南》旨在解决金融机构取得个人征信电子授权过程中普遍存在的鉴别手段简单、缺少安全可靠电子签章、缺乏存证意识等突出问题，保障个人征信电子授权的真实性和有效性，促进线上信贷业务健康规范发展。

《指南》包括个人征信电子授权机制、线上有效鉴别个人身份、签发数字证书、签署有效征信授权电子协议、存证有效征信授权电子数据、数据安全、个人信息保护等内容。适用于金融领域涉及个人征信电子授权的业务。

个人征信电子授权机制

个人征信电子授权机制作用是由个人通过金融业务终端以电子签名的方式对本人电子征信进行授权，允许金融业务系统查询其个人征信信息。为确保个人征信电子授权的真实性、完整性、不可否认性，对线上有效鉴别个人身份、申请和签发数字证书、签署有效征信授权电子协议等过程进行存证。

金融机构采用上述机制，在有效授权内开展活动，其中涉及的个人征信电子授权基本系统组件包括：

个人征信电子授权机制的基本工作过程为：

1、金融机构C1（业务系统）对金融客户开展身份鉴别，鉴别无误后，C1（业务系统）向注册机构C2（数字证书注册系统）提交金融客户数字证书申请信息。

2、注册机构C2（数字证书注册系统）受理来自C1（业务系统）的数字证书申请信息，并提交给电子认证机构的C3（CA系统）。

3、电子认证机构C3（CA系统）签发数字证书，并将该证书交付给注册机构的C2（数字证书注册系统）。

4、注册机构C2（数字证书注册系统）接收数字证书并发放给金融客户，根据数字证书存储方案，选择存储在C4（业务终端系统）、C1（业务系统）或为C1（业务系统）提供签名签章服务的关联系统中。

5、金融客户使用C4（业务终端系统）协同C1（业务系统）签署有效征信授权电子协议，并将签署后的电子协议文件保存到C1（业务系统）或保存到为C1（业务系统）提供存储服务的关联系统中。

6、金融机构C1（业务系统）将身份鉴别过程和结果数据发送给电子数据存证服务提供者的C5（存证系统）进行存证。

7、注册机构C2（数字证书注册系统）将证书申请、发放过程和结果数据发送给电子数据存证服务提供者的C5（存证系统）进行存证。

8、金融机构C1（业务系统）统筹C4（业务终端系统）授权协议签署过程和结果数据发送给电子数据存证服务提供者的C5（存证系统）进行存证。

线上有效鉴别个人身份

《指南》提到，鉴别原则为，金融机构宜以有效性为原则，充分鉴别个人身份，且仅采集身份鉴别所必需的最少信息，保护个人信息安全。

线上鉴别个人身份宜采取身份证鉴别和其他2种及以上成熟的身份鉴别措施对个人身份有效性进行鉴别。鉴别方式包括，身份证鉴别、其他经过实践验证有效且被广为接受的身份鉴别措施比如生物特征、银行卡、运营商实名验证等。

而使用数字证书鉴别个人身份满足这些条款的，不必进行上述方式的身份鉴别：一是使用网银智能密码钥匙中存储的电子认证机构数字证书，以及移动终端满足GB/T 37092-2018中密码模块安全二级及以上规定的数字证书开展身份鉴别。二是验证数字证书有效性和该数字证书产生的电子签名有效性。

签发数字证书

在签发数字证书环节，关于电子认证机构、数字证书格式及名称、个人身份鉴别、证书策略和认证业务说明、证书生命周期操作、数字证书存储安全等方面，《指南》均提出了要求。

其中，在个人身份鉴别方面，电子认证机构签发数字证书时，可自行或授权金融机构作为注册机构执行个人身份鉴别工作、受理个人数字证书申请等。金融机构作为注册机构宜与电子认证机构约定向个人履行有关申请数字证书的提示告知义务，例如金融机构明确告知授权个人数字证书申请与金融业务开展过程中的身份鉴别同时进行。双方宜明确技术要求，金融机构采集和保存告知、开展有效身份鉴别的记录材料。

最后，在签署有效征信授权电子协议环节，《指南》对电子签章生成流程、电子签章验证流程、时间戳、机密性等方面提出宜满足的要求。

在存证有效征信授权电子数据环节，《指南》则对电子数据存证服务提供者、电子数据存证过程、电子数据存证范围、出具有效征信授权佐证材料等方面提出要求。

责任编辑：韩希宇