中國人民銀行關(guān)于進(jìn)一步加強征信信息安全管理的通知
銀發(fā)〔2018〕102 號
中國人民銀行上??偛浚鞣中?、營業(yè)管理部,各省會(首府)城市中心支行,各副省級城市中心支行;國家開發(fā)銀行,各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行,中國郵政儲蓄銀行:
為貫徹落實黨的十九大精神和第五次全國金融工作會議精神,加強個人信息保護,做好新時代征信信息安全管理工作,切實保護信息主體合法權(quán)益,提升人民群眾在征信領(lǐng)域的幸福感和安全感,依據(jù)《征信業(yè)管理條例》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》(中國人民銀行令〔2005〕第 3 號發(fā)布)等法規(guī)規(guī)章的相關(guān)規(guī)定,現(xiàn)就進(jìn)一步加強金融信用信息基礎(chǔ)數(shù)據(jù)庫運行機構(gòu)和接入機構(gòu)(以下簡稱運行機構(gòu)和接入機構(gòu))征信信息安全管理有關(guān)事項通知如下:
一、切實增強征信信息安全管理意識,強化征信信息安全主體責(zé)任
運行機構(gòu)和接入機構(gòu)要清醒認(rèn)識當(dāng)前征信信息安全面臨的嚴(yán)峻形勢,切實增強征信信息安全管理意識。建立健全征信信息安全管理的體制和機制,成立征信信息安全工作領(lǐng)導(dǎo)小組,明確崗位職責(zé),強化征信信息安全主體責(zé)任,按照“分級管理、逐級負(fù)責(zé)”和“誰主管誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,明確領(lǐng)導(dǎo)層中分管征信工作的負(fù)責(zé)人為第一責(zé)任人,征信系統(tǒng)及相關(guān)信息系統(tǒng)的使用人為直接責(zé)任人,并明確第一責(zé)任人、直接責(zé)任人和其他相關(guān)人員的責(zé)任分工。
二、完善征信業(yè)務(wù)操控流程,不斷提高征信信息安全管理水平
運行機構(gòu)和接入機構(gòu)要切實加強對征信各級管理人員和從業(yè)人員的全員征信合規(guī)性教育培訓(xùn),圍繞征信信息安全管理,通過加強征信系統(tǒng)用戶管理、健全征信信息查詢管理、優(yōu)化自助查詢機管理、完善征信異常查詢監(jiān)控機制、妥善辦理異議與投訴等措施,完善征信業(yè)務(wù)操控流程,牢牢守住不發(fā)生征信信息安全風(fēng)險的底線。
(一)從嚴(yán)加強征信系統(tǒng)用戶管理。
運行機構(gòu)和接入機構(gòu)應(yīng)嚴(yán)格遵循相關(guān)規(guī)定辦理用戶的創(chuàng)建、停用和啟用,根據(jù)“最小授權(quán)”原則分配各類、各級用戶的權(quán)限,嚴(yán)格用戶權(quán)限設(shè)置,將用戶權(quán)限控制在業(yè)務(wù)需要的最小范圍內(nèi)。杜絕創(chuàng)建公共賬戶或者類公共賬戶,切實做到人戶統(tǒng)一、專人專用,及時停用和啟用用戶,實施用戶密碼動態(tài)管理。運行機構(gòu)和接入機構(gòu)應(yīng)不斷更新技術(shù)保障措施,加強對各級征信系統(tǒng)用戶運行情況的實時監(jiān)控。分級負(fù)責(zé),明確責(zé)任,技防和人防相結(jié)合,在制度措施保障上不留真空和死角。
運行機構(gòu)和接入機構(gòu)要健全征信信息查詢管理,嚴(yán)格授權(quán)查詢機制,未經(jīng)授權(quán)嚴(yán)禁查詢征信報告,規(guī)范內(nèi)部人員和國家機關(guān)查詢辦理流程,嚴(yán)禁未經(jīng)授權(quán)認(rèn)可的 APP 接入征信系統(tǒng)。從嚴(yán)管理批量數(shù)據(jù),按照合法、正當(dāng)、必要的原則,嚴(yán)格按流程和保密要求辦理批量數(shù)據(jù)的抽取、留存、流轉(zhuǎn)、應(yīng)用和銷毀,確保各環(huán)節(jié)數(shù)據(jù)安全。
運行機構(gòu)和接入機構(gòu)應(yīng)優(yōu)化自助查詢機用戶管理,明確自助查詢機用戶管理權(quán)限,及時停用或者刪除無效用戶;加強訪問控制,為自助查詢機單獨劃分網(wǎng)段,根據(jù)工作時間和查詢需要,合理設(shè)置自助查詢機自動關(guān)機時間;采購自助查詢機時,完善合同內(nèi)容,明確設(shè)備提供商的保密責(zé)任;健全自助查詢機物理設(shè)備管理,明確自助查詢機管理責(zé)任主體,對設(shè)備加強維護,按流程及時清理自助查詢機內(nèi)部存儲的征信信息。
(四)完善征信異常查詢監(jiān)控機制,妥善辦理異議與投訴。
運行機構(gòu)和接入機構(gòu)應(yīng)分級建立征信用戶查詢操作日核查機制,完善異常查詢監(jiān)控、處置與報告機制;不斷優(yōu)化和調(diào)整征信查詢?nèi)蘸瞬榕c實時監(jiān)控指標(biāo),不斷提高征信用戶自查與自控的能力。嚴(yán)格遵守異議處理時間,規(guī)范異議處理流程,按規(guī)定出具相關(guān)文書,做好異議申請、處理資料的保存、歸檔;強化投訴辦理,規(guī)范投訴流程,及時辦理信息主體投訴,提高信息主體的滿意度。以異議和投訴為重要線索,對可能涉及的征信信息安全風(fēng)險事件及時進(jìn)行全面排查,及時發(fā)現(xiàn)問題和排除隱患。
三、查漏補缺,補齊短板,完善征信內(nèi)控制度及問責(zé)制度
運行機構(gòu)和接入機構(gòu)應(yīng)結(jié)合自身實際對自身的征信內(nèi)控制度及問責(zé)制度進(jìn)行全面自建自查,查漏補缺,補齊短板,并重點從以下三個方面加以完善:
(一)建立征信內(nèi)控制度及問責(zé)制度的報備制度。
自本通知發(fā)布之日起,運行機構(gòu)和接入機構(gòu)應(yīng)在 30 個工作日內(nèi),向人民銀行報備經(jīng)本機構(gòu)法定代表人或者主要負(fù)責(zé)人簽字并加蓋公章的征信合規(guī)與信息安全內(nèi)控制度及問責(zé)制度。運行機構(gòu)及全國性接入機構(gòu)(名單見附件 1)的總行向人民銀行征信管理局報備,地方性接入機構(gòu)和全國性接入機構(gòu)的分支機構(gòu)向所在地人民銀行分支機構(gòu)報備。征信內(nèi)控制度及問責(zé)制度變更的,應(yīng)當(dāng)自變更之日起 10 日內(nèi)向人民銀行報備。
運行機構(gòu)和接入機構(gòu)應(yīng)按月定期向人民銀行報送異常查詢、違規(guī)查詢、非法提供、違規(guī)使用、信用報告泄漏等征信信息安全情況統(tǒng)計表(見附件 2)。未發(fā)生征信信息安全風(fēng)險事件的,應(yīng)采取零報告制度(即在表中填報“0”)。發(fā)生征信信息安全風(fēng)險事件的,應(yīng)立即上報相關(guān)情況。全國性接入機構(gòu)的總行應(yīng)于每月初 10日內(nèi)將上月情況報送人民銀行征信管理局;地方性接入機構(gòu)和全國性接入機構(gòu)的分支機構(gòu)應(yīng)于每月初 6 日內(nèi)將上月情況報所在地人民銀行分支機構(gòu);人民銀行副省級城市中心支行以上分支機構(gòu)應(yīng)于每月初 10 日內(nèi)將匯總的轄區(qū)內(nèi)上月情況(包括人民銀行分支機構(gòu)征信查詢點情況)報送征信管理局。
(三)建立征信合規(guī)與信息安全自查自糾制度及報告制度。
運行機構(gòu)和接入機構(gòu)應(yīng)建立分級監(jiān)控、專項核查的工作機制,按照征信內(nèi)控制度的規(guī)定,對日常監(jiān)測發(fā)現(xiàn)的風(fēng)險線索以及異常查詢線索,與對應(yīng)的信貸業(yè)務(wù)進(jìn)行逐筆核實,從授權(quán)、審核、查詢、使用、存儲等各環(huán)節(jié)梳理是否存在征信違規(guī)風(fēng)險隱患,不定期組織抽查,建立健全征信合規(guī)與信息安全自查自糾制度,并向人民銀行報備,報備流程參照征信內(nèi)控制度及問責(zé)制度的報備要求。按季度開展內(nèi)部征信合規(guī)和信息安全自查自糾,并將自查自糾情況向人民銀行書面報告,報告流程參照征信信息安全事件的報告要求。
四、提高技防能力,防范征信信息泄露風(fēng)險
運行機構(gòu)和接入機構(gòu)應(yīng)不斷優(yōu)化升級征信業(yè)務(wù)信息系統(tǒng),提升前置自控能力,推進(jìn)業(yè)務(wù)觸發(fā)式查詢,實現(xiàn)信用報告脫敏展示、結(jié)構(gòu)化展示和自動解讀,從嚴(yán)控制信用報告打印、下載,從查詢 、使用和存儲環(huán)節(jié)降低征信信息泄露風(fēng)險。
運行機構(gòu)、接入機構(gòu)和人民銀行分支機構(gòu)應(yīng)逐級建立征信信息安全事件應(yīng)急處置機制,成立由業(yè)務(wù)、技術(shù)、法律、宣傳等方面專業(yè)人員組成的應(yīng)急處置工作小組,制定應(yīng)急處置方案,并自本通知發(fā)布之日起 30 個工作日內(nèi)將應(yīng)急處置方案向人民銀行報備。報備流程參照征信內(nèi)控制度及問責(zé)制度的報備要求。
六、建立征信合規(guī)與信息安全年度考核評級制度
人民銀行建立接入機構(gòu)征信合規(guī)與信息安全年度考核評級制度(見附件 3)。對接入機構(gòu)的考核評級結(jié)果,將作為實施征信現(xiàn)場執(zhí)法檢查、中央銀行對金融機構(gòu)內(nèi)部評級、對征信查詢服務(wù)費用實行優(yōu)惠、調(diào)整對征信系統(tǒng)的查詢權(quán)限、確定金融機構(gòu)存款保險評級結(jié)果和核定金融機構(gòu)存款保險費率等的重要依據(jù)。
人民銀行圍繞上述政策措施的貫徹落實情況,針對運行機構(gòu)和接入機構(gòu)建立健全征信信息安全巡查制度,將巡查結(jié)論作為啟動執(zhí)法檢查程序等的重要依據(jù)。同時,建立征信信息安全巡查內(nèi)部通報制度(見附件 4)。
八、從嚴(yán)強化征信監(jiān)管,確保征信信息安全
人民銀行采取綜合措施,統(tǒng)籌推進(jìn)對運行機構(gòu)和接入機構(gòu)的征信監(jiān)管,防范征信信息泄露風(fēng)險,確保征信信息安全。
運行機構(gòu)和接入機構(gòu)報備的上述征信內(nèi)控制度及問責(zé)制度、征信合規(guī)與信息安全自查自糾制度、征信信息安全事件應(yīng)急處置方案,報告的征信信息安全事件、征信合規(guī)與信息安全自查自糾情況以及考核評級與巡查結(jié)論,均作為人民銀行非現(xiàn)場監(jiān)管的內(nèi)容。對非現(xiàn)場監(jiān)管涉及內(nèi)容的真實性,人民銀行將通過現(xiàn)場執(zhí)法檢查予以確認(rèn)。對存在未報、漏報、虛報、瞞報情況的機構(gòu),將重點開展現(xiàn)場執(zhí)法檢查。
(二)加大現(xiàn)場執(zhí)法檢查力度。
人民銀行隨機對接入機構(gòu)全員征信合規(guī)教育輪訓(xùn)情況、征信內(nèi)控問責(zé)情況以及征信法規(guī)制度遵守情況進(jìn)行現(xiàn)場執(zhí)法檢查,并將存在問題的機構(gòu)納入重點監(jiān)管對象。對涉嫌違法違規(guī)行為的機構(gòu)和人員,視情況采取監(jiān)管約談、責(zé)令限期整改、現(xiàn)場執(zhí)法檢查、在金融系統(tǒng)內(nèi)部予以通報、向干部管理部門和紀(jì)檢監(jiān)察部門通報等措施,并依法從嚴(yán)實施行政處罰,全方位正風(fēng)肅紀(jì),促使其依法依規(guī)履職。
對接入機構(gòu)的考核評級結(jié)果、巡查結(jié)論和現(xiàn)場執(zhí)法檢查結(jié)論,將作為確定金融機構(gòu)存款保險評級結(jié)果、核定金融機構(gòu)存款保險費率和征信服務(wù)收費優(yōu)惠與否等的重要依據(jù);對于問題嚴(yán)重的機構(gòu),人民銀行責(zé)成其調(diào)整其用戶管理權(quán)限,直至?xí)和槠涮峁┱餍挪樵兎?wù)。其他征信機構(gòu)、信用評級機構(gòu)及其接入機構(gòu)的征信信息安全管理,參照本通知執(zhí)行。請人民銀行副省級城市中心支行以上分支機構(gòu)將本通知轉(zhuǎn)發(fā)至轄區(qū)內(nèi)接入機構(gòu)、其他征信機構(gòu)和信用評級機構(gòu)。
3.金融信用信息基礎(chǔ)數(shù)據(jù)庫接入機構(gòu)征信合規(guī)與信息安全年度考核評級管理辦法