中國(guó)人民銀行關(guān)于進(jìn)一步加強(qiáng)征信信息安全管理的通知

中國(guó)人民銀行上?？偛?，各分行、營(yíng)業(yè)管理部，各省會(huì)（首府）城市中心支行，各副省級(jí)城市中心支行；國(guó)家開發(fā)銀行，各政策性銀行、國(guó)有商業(yè)銀行、股份制商業(yè)銀行，中國(guó)郵政儲(chǔ)蓄銀行：

為貫徹落實(shí)黨的十九大精神和第五次全國(guó)金融工作會(huì)議精神，加強(qiáng)個(gè)人信息保護(hù)，做好新時(shí)代征信信息安全管理工作，切實(shí)保護(hù)信息主體合法權(quán)益，提升人民群眾在征信領(lǐng)域的幸福感和安全感，依據(jù)《征信業(yè)管理?xiàng)l例》、《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》（中國(guó)人民銀行令〔2005〕第 3 號(hào)發(fā)布）等法規(guī)規(guī)章的相關(guān)規(guī)定，現(xiàn)就進(jìn)一步加強(qiáng)金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)（以下簡(jiǎn)稱運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)）征信信息安全管理有關(guān)事項(xiàng)通知如下：

一、切實(shí)增強(qiáng)征信信息安全管理意識(shí)，強(qiáng)化征信信息安全主體責(zé)任

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)要清醒認(rèn)識(shí)當(dāng)前征信信息安全面臨的嚴(yán)峻形勢(shì)，切實(shí)增強(qiáng)征信信息安全管理意識(shí)。建立健全征信信息安全管理的體制和機(jī)制，成立征信信息安全工作領(lǐng)導(dǎo)小組，明確崗位職責(zé)，強(qiáng)化征信信息安全主體責(zé)任，按照“分級(jí)管理、逐級(jí)負(fù)責(zé)”和“誰主管誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，明確領(lǐng)導(dǎo)層中分管征信工作的負(fù)責(zé)人為第一責(zé)任人，征信系統(tǒng)及相關(guān)信息系統(tǒng)的使用人為直接責(zé)任人，并明確第一責(zé)任人、直接責(zé)任人和其他相關(guān)人員的責(zé)任分工。

二、完善征信業(yè)務(wù)操控流程，不斷提高征信信息安全管理水平

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)要切實(shí)加強(qiáng)對(duì)征信各級(jí)管理人員和從業(yè)人員的全員征信合規(guī)性教育培訓(xùn)，圍繞征信信息安全管理，通過加強(qiáng)征信系統(tǒng)用戶管理、健全征信信息查詢管理、優(yōu)化自助查詢機(jī)管理、完善征信異常查詢監(jiān)控機(jī)制、妥善辦理異議與投訴等措施，完善征信業(yè)務(wù)操控流程，牢牢守住不發(fā)生征信信息安全風(fēng)險(xiǎn)的底線。

（一）從嚴(yán)加強(qiáng)征信系統(tǒng)用戶管理。

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)嚴(yán)格遵循相關(guān)規(guī)定辦理用戶的創(chuàng)建、停用和啟用，根據(jù)“最小授權(quán)”原則分配各類、各級(jí)用戶的權(quán)限，嚴(yán)格用戶權(quán)限設(shè)置，將用戶權(quán)限控制在業(yè)務(wù)需要的最小范圍內(nèi)。杜絕創(chuàng)建公共賬戶或者類公共賬戶，切實(shí)做到人戶統(tǒng)一、專人專用，及時(shí)停用和啟用用戶，實(shí)施用戶密碼動(dòng)態(tài)管理。運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)不斷更新技術(shù)保障措施，加強(qiáng)對(duì)各級(jí)征信系統(tǒng)用戶運(yùn)行情況的實(shí)時(shí)監(jiān)控。分級(jí)負(fù)責(zé)，明確責(zé)任，技防和人防相結(jié)合，在制度措施保障上不留真空和死角。

（二）健全征信信息查詢管理。

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)要健全征信信息查詢管理，嚴(yán)格授權(quán)查詢機(jī)制，未經(jīng)授權(quán)嚴(yán)禁查詢征信報(bào)告，規(guī)范內(nèi)部人員和國(guó)家機(jī)關(guān)查詢辦理流程，嚴(yán)禁未經(jīng)授權(quán)認(rèn)可的 APP 接入征信系統(tǒng)。從嚴(yán)管理批量數(shù)據(jù)，按照合法、正當(dāng)、必要的原則，嚴(yán)格按流程和保密要求辦理批量數(shù)據(jù)的抽取、留存、流轉(zhuǎn)、應(yīng)用和銷毀，確保各環(huán)節(jié)數(shù)據(jù)安全。

（三）優(yōu)化自助查詢機(jī)管理。

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)優(yōu)化自助查詢機(jī)用戶管理，明確自助查詢機(jī)用戶管理權(quán)限，及時(shí)停用或者刪除無效用戶；加強(qiáng)訪問控制，為自助查詢機(jī)單獨(dú)劃分網(wǎng)段，根據(jù)工作時(shí)間和查詢需要，合理設(shè)置自助查詢機(jī)自動(dòng)關(guān)機(jī)時(shí)間；采購(gòu)自助查詢機(jī)時(shí)，完善合同內(nèi)容，明確設(shè)備提供商的保密責(zé)任；健全自助查詢機(jī)物理設(shè)備管理，明確自助查詢機(jī)管理責(zé)任主體，對(duì)設(shè)備加強(qiáng)維護(hù)，按流程及時(shí)清理自助查詢機(jī)內(nèi)部存儲(chǔ)的征信信息。

（四）完善征信異常查詢監(jiān)控機(jī)制，妥善辦理異議與投訴。

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)分級(jí)建立征信用戶查詢操作日核查機(jī)制，完善異常查詢監(jiān)控、處置與報(bào)告機(jī)制；不斷優(yōu)化和調(diào)整征信查詢?nèi)蘸瞬榕c實(shí)時(shí)監(jiān)控指標(biāo)，不斷提高征信用戶自查與自控的能力。嚴(yán)格遵守異議處理時(shí)間，規(guī)范異議處理流程，按規(guī)定出具相關(guān)文書，做好異議申請(qǐng)、處理資料的保存、歸檔；強(qiáng)化投訴辦理，規(guī)范投訴流程，及時(shí)辦理信息主體投訴，提高信息主體的滿意度。以異議和投訴為重要線索，對(duì)可能涉及的征信信息安全風(fēng)險(xiǎn)事件及時(shí)進(jìn)行全面排查，及時(shí)發(fā)現(xiàn)問題和排除隱患。

三、查漏補(bǔ)缺，補(bǔ)齊短板，完善征信內(nèi)控制度及問責(zé)制度

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)結(jié)合自身實(shí)際對(duì)自身的征信內(nèi)控制度及問責(zé)制度進(jìn)行全面自建自查，查漏補(bǔ)缺，補(bǔ)齊短板，并重點(diǎn)從以下三個(gè)方面加以完善：

（一）建立征信內(nèi)控制度及問責(zé)制度的報(bào)備制度。

自本通知發(fā)布之日起，運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)在 30 個(gè)工作日內(nèi)，向人民銀行報(bào)備經(jīng)本機(jī)構(gòu)法定代表人或者主要負(fù)責(zé)人簽字并加蓋公章的征信合規(guī)與信息安全內(nèi)控制度及問責(zé)制度。運(yùn)行機(jī)構(gòu)及全國(guó)性接入機(jī)構(gòu)（名單見附件 1）的總行向人民銀行征信管理局報(bào)備，地方性接入機(jī)構(gòu)和全國(guó)性接入機(jī)構(gòu)的分支機(jī)構(gòu)向所在地人民銀行分支機(jī)構(gòu)報(bào)備。征信內(nèi)控制度及問責(zé)制度變更的，應(yīng)當(dāng)自變更之日起 10 日內(nèi)向人民銀行報(bào)備。

（二）建立征信信息安全情況報(bào)告制度。

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)按月定期向人民銀行報(bào)送異常查詢、違規(guī)查詢、非法提供、違規(guī)使用、信用報(bào)告泄漏等征信信息安全情況統(tǒng)計(jì)表（見附件 2）。未發(fā)生征信信息安全風(fēng)險(xiǎn)事件的，應(yīng)采取零報(bào)告制度（即在表中填報(bào)“0”）。發(fā)生征信信息安全風(fēng)險(xiǎn)事件的，應(yīng)立即上報(bào)相關(guān)情況。全國(guó)性接入機(jī)構(gòu)的總行應(yīng)于每月初 10日內(nèi)將上月情況報(bào)送人民銀行征信管理局；地方性接入機(jī)構(gòu)和全國(guó)性接入機(jī)構(gòu)的分支機(jī)構(gòu)應(yīng)于每月初 6 日內(nèi)將上月情況報(bào)所在地人民銀行分支機(jī)構(gòu)；人民銀行副省級(jí)城市中心支行以上分支機(jī)構(gòu)應(yīng)于每月初 10 日內(nèi)將匯總的轄區(qū)內(nèi)上月情況（包括人民銀行分支機(jī)構(gòu)征信查詢點(diǎn)情況）報(bào)送征信管理局。

（三）建立征信合規(guī)與信息安全自查自糾制度及報(bào)告制度。

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)建立分級(jí)監(jiān)控、專項(xiàng)核查的工作機(jī)制，按照征信內(nèi)控制度的規(guī)定，對(duì)日常監(jiān)測(cè)發(fā)現(xiàn)的風(fēng)險(xiǎn)線索以及異常查詢線索，與對(duì)應(yīng)的信貸業(yè)務(wù)進(jìn)行逐筆核實(shí)，從授權(quán)、審核、查詢、使用、存儲(chǔ)等各環(huán)節(jié)梳理是否存在征信違規(guī)風(fēng)險(xiǎn)隱患，不定期組織抽查，建立健全征信合規(guī)與信息安全自查自糾制度，并向人民銀行報(bào)備，報(bào)備流程參照征信內(nèi)控制度及問責(zé)制度的報(bào)備要求。按季度開展內(nèi)部征信合規(guī)和信息安全自查自糾，并將自查自糾情況向人民銀行書面報(bào)告，報(bào)告流程參照征信信息安全事件的報(bào)告要求。

四、提高技防能力，防范征信信息泄露風(fēng)險(xiǎn)

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)不斷優(yōu)化升級(jí)征信業(yè)務(wù)信息系統(tǒng)，提升前置自控能力，推進(jìn)業(yè)務(wù)觸發(fā)式查詢，實(shí)現(xiàn)信用報(bào)告脫敏展示、結(jié)構(gòu)化展示和自動(dòng)解讀，從嚴(yán)控制信用報(bào)告打印、下載，從查詢 、使用和存儲(chǔ)環(huán)節(jié)降低征信信息泄露風(fēng)險(xiǎn)。

五、建立征信信息安全事件應(yīng)急處置機(jī)制

運(yùn)行機(jī)構(gòu)、接入機(jī)構(gòu)和人民銀行分支機(jī)構(gòu)應(yīng)逐級(jí)建立征信信息安全事件應(yīng)急處置機(jī)制，成立由業(yè)務(wù)、技術(shù)、法律、宣傳等方面專業(yè)人員組成的應(yīng)急處置工作小組，制定應(yīng)急處置方案，并自本通知發(fā)布之日起 30 個(gè)工作日內(nèi)將應(yīng)急處置方案向人民銀行報(bào)備。報(bào)備流程參照征信內(nèi)控制度及問責(zé)制度的報(bào)備要求。

六、建立征信合規(guī)與信息安全年度考核評(píng)級(jí)制度

人民銀行建立接入機(jī)構(gòu)征信合規(guī)與信息安全年度考核評(píng)級(jí)制度（見附件 3）。對(duì)接入機(jī)構(gòu)的考核評(píng)級(jí)結(jié)果，將作為實(shí)施征信現(xiàn)場(chǎng)執(zhí)法檢查、中央銀行對(duì)金融機(jī)構(gòu)內(nèi)部評(píng)級(jí)、對(duì)征信查詢服務(wù)費(fèi)用實(shí)行優(yōu)惠、調(diào)整對(duì)征信系統(tǒng)的查詢權(quán)限、確定金融機(jī)構(gòu)存款保險(xiǎn)評(píng)級(jí)結(jié)果和核定金融機(jī)構(gòu)存款保險(xiǎn)費(fèi)率等的重要依據(jù)。

七、建立征信信息安全巡查制度

人民銀行圍繞上述政策措施的貫徹落實(shí)情況，針對(duì)運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)建立健全征信信息安全巡查制度，將巡查結(jié)論作為啟動(dòng)執(zhí)法檢查程序等的重要依據(jù)。同時(shí)，建立征信信息安全巡查內(nèi)部通報(bào)制度（見附件 4）。

八、從嚴(yán)強(qiáng)化征信監(jiān)管，確保征信信息安全

人民銀行采取綜合措施，統(tǒng)籌推進(jìn)對(duì)運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)的征信監(jiān)管，防范征信信息泄露風(fēng)險(xiǎn)，確保征信信息安全。

（一）強(qiáng)化非現(xiàn)場(chǎng)監(jiān)管。

運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)報(bào)備的上述征信內(nèi)控制度及問責(zé)制度、征信合規(guī)與信息安全自查自糾制度、征信信息安全事件應(yīng)急處置方案，報(bào)告的征信信息安全事件、征信合規(guī)與信息安全自查自糾情況以及考核評(píng)級(jí)與巡查結(jié)論，均作為人民銀行非現(xiàn)場(chǎng)監(jiān)管的內(nèi)容。對(duì)非現(xiàn)場(chǎng)監(jiān)管涉及內(nèi)容的真實(shí)性，人民銀行將通過現(xiàn)場(chǎng)執(zhí)法檢查予以確認(rèn)。對(duì)存在未報(bào)、漏報(bào)、虛報(bào)、瞞報(bào)情況的機(jī)構(gòu)，將重點(diǎn)開展現(xiàn)場(chǎng)執(zhí)法檢查。

（二）加大現(xiàn)場(chǎng)執(zhí)法檢查力度。

人民銀行隨機(jī)對(duì)接入機(jī)構(gòu)全員征信合規(guī)教育輪訓(xùn)情況、征信內(nèi)控問責(zé)情況以及征信法規(guī)制度遵守情況進(jìn)行現(xiàn)場(chǎng)執(zhí)法檢查，并將存在問題的機(jī)構(gòu)納入重點(diǎn)監(jiān)管對(duì)象。對(duì)涉嫌違法違規(guī)行為的機(jī)構(gòu)和人員，視情況采取監(jiān)管約談、責(zé)令限期整改、現(xiàn)場(chǎng)執(zhí)法檢查、在金融系統(tǒng)內(nèi)部予以通報(bào)、向干部管理部門和紀(jì)檢監(jiān)察部門通報(bào)等措施，并依法從嚴(yán)實(shí)施行政處罰，全方位正風(fēng)肅紀(jì)，促使其依法依規(guī)履職。

（三）加大違法違規(guī)成本。

對(duì)接入機(jī)構(gòu)的考核評(píng)級(jí)結(jié)果、巡查結(jié)論和現(xiàn)場(chǎng)執(zhí)法檢查結(jié)論，將作為確定金融機(jī)構(gòu)存款保險(xiǎn)評(píng)級(jí)結(jié)果、核定金融機(jī)構(gòu)存款保險(xiǎn)費(fèi)率和征信服務(wù)收費(fèi)優(yōu)惠與否等的重要依據(jù)；對(duì)于問題嚴(yán)重的機(jī)構(gòu)，人民銀行責(zé)成其調(diào)整其用戶管理權(quán)限，直至?xí)和槠涮峁┱餍挪樵兎?wù)。其他征信機(jī)構(gòu)、信用評(píng)級(jí)機(jī)構(gòu)及其接入機(jī)構(gòu)的征信信息安全管理，參照本通知執(zhí)行。請(qǐng)人民銀行副省級(jí)城市中心支行以上分支機(jī)構(gòu)將本通知轉(zhuǎn)發(fā)至轄區(qū)內(nèi)接入機(jī)構(gòu)、其他征信機(jī)構(gòu)和信用評(píng)級(jí)機(jī)構(gòu)。

附件：1.全國(guó)性接入機(jī)構(gòu)名單

2.征信信息安全情況統(tǒng)計(jì)表

3．金融信用信息基礎(chǔ)數(shù)據(jù)庫接入機(jī)構(gòu)征信合規(guī)與信息安全年度考核評(píng)級(jí)管理辦法

4.征信信息安全巡查試行辦法

轉(zhuǎn)自中國(guó)人民銀行官網(wǎng)