中國(guó)人民銀行關(guān)于進(jìn)一步加強(qiáng)征信信息安全管理的通知
銀發(fā)〔2018〕102 號(hào)
中國(guó)人民銀行上海總部,各分行、營(yíng)業(yè)管理部,各省會(huì)(首府)城市中心支行,各副省級(jí)城市中心支行;國(guó)家開(kāi)發(fā)銀行,各政策性銀行、國(guó)有商業(yè)銀行、股份制商業(yè)銀行,中國(guó)郵政儲(chǔ)蓄銀行:
為貫徹落實(shí)黨的十九大精神和第五次全國(guó)金融工作會(huì)議精神,加強(qiáng)個(gè)人信息保護(hù),做好新時(shí)代征信信息安全管理工作,切實(shí)保護(hù)信息主體合法權(quán)益,提升人民群眾在征信領(lǐng)域的幸福感和安全感,依據(jù)《征信業(yè)管理?xiàng)l例》、《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫(kù)管理暫行辦法》(中國(guó)人民銀行令〔2005〕第 3 號(hào)發(fā)布)等法規(guī)規(guī)章的相關(guān)規(guī)定,現(xiàn)就進(jìn)一步加強(qiáng)金融信用信息基礎(chǔ)數(shù)據(jù)庫(kù)運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)(以下簡(jiǎn)稱(chēng)運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu))征信信息安全管理有關(guān)事項(xiàng)通知如下:
一、切實(shí)增強(qiáng)征信信息安全管理意識(shí),強(qiáng)化征信信息安全主體責(zé)任
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)要清醒認(rèn)識(shí)當(dāng)前征信信息安全面臨的嚴(yán)峻形勢(shì),切實(shí)增強(qiáng)征信信息安全管理意識(shí)。建立健全征信信息安全管理的體制和機(jī)制,成立征信信息安全工作領(lǐng)導(dǎo)小組,明確崗位職責(zé),強(qiáng)化征信信息安全主體責(zé)任,按照“分級(jí)管理、逐級(jí)負(fù)責(zé)”和“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,明確領(lǐng)導(dǎo)層中分管征信工作的負(fù)責(zé)人為第一責(zé)任人,征信系統(tǒng)及相關(guān)信息系統(tǒng)的使用人為直接責(zé)任人,并明確第一責(zé)任人、直接責(zé)任人和其他相關(guān)人員的責(zé)任分工。
二、完善征信業(yè)務(wù)操控流程,不斷提高征信信息安全管理水平
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)要切實(shí)加強(qiáng)對(duì)征信各級(jí)管理人員和從業(yè)人員的全員征信合規(guī)性教育培訓(xùn),圍繞征信信息安全管理,通過(guò)加強(qiáng)征信系統(tǒng)用戶(hù)管理、健全征信信息查詢(xún)管理、優(yōu)化自助查詢(xún)機(jī)管理、完善征信異常查詢(xún)監(jiān)控機(jī)制、妥善辦理異議與投訴等措施,完善征信業(yè)務(wù)操控流程,牢牢守住不發(fā)生征信信息安全風(fēng)險(xiǎn)的底線。
(一)從嚴(yán)加強(qiáng)征信系統(tǒng)用戶(hù)管理。
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)嚴(yán)格遵循相關(guān)規(guī)定辦理用戶(hù)的創(chuàng)建、停用和啟用,根據(jù)“最小授權(quán)”原則分配各類(lèi)、各級(jí)用戶(hù)的權(quán)限,嚴(yán)格用戶(hù)權(quán)限設(shè)置,將用戶(hù)權(quán)限控制在業(yè)務(wù)需要的最小范圍內(nèi)。杜絕創(chuàng)建公共賬戶(hù)或者類(lèi)公共賬戶(hù),切實(shí)做到人戶(hù)統(tǒng)一、專(zhuān)人專(zhuān)用,及時(shí)停用和啟用用戶(hù),實(shí)施用戶(hù)密碼動(dòng)態(tài)管理。運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)不斷更新技術(shù)保障措施,加強(qiáng)對(duì)各級(jí)征信系統(tǒng)用戶(hù)運(yùn)行情況的實(shí)時(shí)監(jiān)控。分級(jí)負(fù)責(zé),明確責(zé)任,技防和人防相結(jié)合,在制度措施保障上不留真空和死角。
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)要健全征信信息查詢(xún)管理,嚴(yán)格授權(quán)查詢(xún)機(jī)制,未經(jīng)授權(quán)嚴(yán)禁查詢(xún)征信報(bào)告,規(guī)范內(nèi)部人員和國(guó)家機(jī)關(guān)查詢(xún)辦理流程,嚴(yán)禁未經(jīng)授權(quán)認(rèn)可的 APP 接入征信系統(tǒng)。從嚴(yán)管理批量數(shù)據(jù),按照合法、正當(dāng)、必要的原則,嚴(yán)格按流程和保密要求辦理批量數(shù)據(jù)的抽取、留存、流轉(zhuǎn)、應(yīng)用和銷(xiāo)毀,確保各環(huán)節(jié)數(shù)據(jù)安全。
(三)優(yōu)化自助查詢(xún)機(jī)管理。
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)優(yōu)化自助查詢(xún)機(jī)用戶(hù)管理,明確自助查詢(xún)機(jī)用戶(hù)管理權(quán)限,及時(shí)停用或者刪除無(wú)效用戶(hù);加強(qiáng)訪問(wèn)控制,為自助查詢(xún)機(jī)單獨(dú)劃分網(wǎng)段,根據(jù)工作時(shí)間和查詢(xún)需要,合理設(shè)置自助查詢(xún)機(jī)自動(dòng)關(guān)機(jī)時(shí)間;采購(gòu)自助查詢(xún)機(jī)時(shí),完善合同內(nèi)容,明確設(shè)備提供商的保密責(zé)任;健全自助查詢(xún)機(jī)物理設(shè)備管理,明確自助查詢(xún)機(jī)管理責(zé)任主體,對(duì)設(shè)備加強(qiáng)維護(hù),按流程及時(shí)清理自助查詢(xún)機(jī)內(nèi)部存儲(chǔ)的征信信息。
(四)完善征信異常查詢(xún)監(jiān)控機(jī)制,妥善辦理異議與投訴。
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)分級(jí)建立征信用戶(hù)查詢(xún)操作日核查機(jī)制,完善異常查詢(xún)監(jiān)控、處置與報(bào)告機(jī)制;不斷優(yōu)化和調(diào)整征信查詢(xún)?nèi)蘸瞬榕c實(shí)時(shí)監(jiān)控指標(biāo),不斷提高征信用戶(hù)自查與自控的能力。嚴(yán)格遵守異議處理時(shí)間,規(guī)范異議處理流程,按規(guī)定出具相關(guān)文書(shū),做好異議申請(qǐng)、處理資料的保存、歸檔;強(qiáng)化投訴辦理,規(guī)范投訴流程,及時(shí)辦理信息主體投訴,提高信息主體的滿(mǎn)意度。以異議和投訴為重要線索,對(duì)可能涉及的征信信息安全風(fēng)險(xiǎn)事件及時(shí)進(jìn)行全面排查,及時(shí)發(fā)現(xiàn)問(wèn)題和排除隱患。
三、查漏補(bǔ)缺,補(bǔ)齊短板,完善征信內(nèi)控制度及問(wèn)責(zé)制度
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)結(jié)合自身實(shí)際對(duì)自身的征信內(nèi)控制度及問(wèn)責(zé)制度進(jìn)行全面自建自查,查漏補(bǔ)缺,補(bǔ)齊短板,并重點(diǎn)從以下三個(gè)方面加以完善:
(一)建立征信內(nèi)控制度及問(wèn)責(zé)制度的報(bào)備制度。
自本通知發(fā)布之日起,運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)在 30 個(gè)工作日內(nèi),向人民銀行報(bào)備經(jīng)本機(jī)構(gòu)法定代表人或者主要負(fù)責(zé)人簽字并加蓋公章的征信合規(guī)與信息安全內(nèi)控制度及問(wèn)責(zé)制度。運(yùn)行機(jī)構(gòu)及全國(guó)性接入機(jī)構(gòu)(名單見(jiàn)附件 1)的總行向人民銀行征信管理局報(bào)備,地方性接入機(jī)構(gòu)和全國(guó)性接入機(jī)構(gòu)的分支機(jī)構(gòu)向所在地人民銀行分支機(jī)構(gòu)報(bào)備。征信內(nèi)控制度及問(wèn)責(zé)制度變更的,應(yīng)當(dāng)自變更之日起 10 日內(nèi)向人民銀行報(bào)備。
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)按月定期向人民銀行報(bào)送異常查詢(xún)、違規(guī)查詢(xún)、非法提供、違規(guī)使用、信用報(bào)告泄漏等征信信息安全情況統(tǒng)計(jì)表(見(jiàn)附件 2)。未發(fā)生征信信息安全風(fēng)險(xiǎn)事件的,應(yīng)采取零報(bào)告制度(即在表中填報(bào)“0”)。發(fā)生征信信息安全風(fēng)險(xiǎn)事件的,應(yīng)立即上報(bào)相關(guān)情況。全國(guó)性接入機(jī)構(gòu)的總行應(yīng)于每月初 10日內(nèi)將上月情況報(bào)送人民銀行征信管理局;地方性接入機(jī)構(gòu)和全國(guó)性接入機(jī)構(gòu)的分支機(jī)構(gòu)應(yīng)于每月初 6 日內(nèi)將上月情況報(bào)所在地人民銀行分支機(jī)構(gòu);人民銀行副省級(jí)城市中心支行以上分支機(jī)構(gòu)應(yīng)于每月初 10 日內(nèi)將匯總的轄區(qū)內(nèi)上月情況(包括人民銀行分支機(jī)構(gòu)征信查詢(xún)點(diǎn)情況)報(bào)送征信管理局。
(三)建立征信合規(guī)與信息安全自查自糾制度及報(bào)告制度。
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)建立分級(jí)監(jiān)控、專(zhuān)項(xiàng)核查的工作機(jī)制,按照征信內(nèi)控制度的規(guī)定,對(duì)日常監(jiān)測(cè)發(fā)現(xiàn)的風(fēng)險(xiǎn)線索以及異常查詢(xún)線索,與對(duì)應(yīng)的信貸業(yè)務(wù)進(jìn)行逐筆核實(shí),從授權(quán)、審核、查詢(xún)、使用、存儲(chǔ)等各環(huán)節(jié)梳理是否存在征信違規(guī)風(fēng)險(xiǎn)隱患,不定期組織抽查,建立健全征信合規(guī)與信息安全自查自糾制度,并向人民銀行報(bào)備,報(bào)備流程參照征信內(nèi)控制度及問(wèn)責(zé)制度的報(bào)備要求。按季度開(kāi)展內(nèi)部征信合規(guī)和信息安全自查自糾,并將自查自糾情況向人民銀行書(shū)面報(bào)告,報(bào)告流程參照征信信息安全事件的報(bào)告要求。
四、提高技防能力,防范征信信息泄露風(fēng)險(xiǎn)
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)應(yīng)不斷優(yōu)化升級(jí)征信業(yè)務(wù)信息系統(tǒng),提升前置自控能力,推進(jìn)業(yè)務(wù)觸發(fā)式查詢(xún),實(shí)現(xiàn)信用報(bào)告脫敏展示、結(jié)構(gòu)化展示和自動(dòng)解讀,從嚴(yán)控制信用報(bào)告打印、下載,從查詢(xún) 、使用和存儲(chǔ)環(huán)節(jié)降低征信信息泄露風(fēng)險(xiǎn)。
五、建立征信信息安全事件應(yīng)急處置機(jī)制
運(yùn)行機(jī)構(gòu)、接入機(jī)構(gòu)和人民銀行分支機(jī)構(gòu)應(yīng)逐級(jí)建立征信信息安全事件應(yīng)急處置機(jī)制,成立由業(yè)務(wù)、技術(shù)、法律、宣傳等方面專(zhuān)業(yè)人員組成的應(yīng)急處置工作小組,制定應(yīng)急處置方案,并自本通知發(fā)布之日起 30 個(gè)工作日內(nèi)將應(yīng)急處置方案向人民銀行報(bào)備。報(bào)備流程參照征信內(nèi)控制度及問(wèn)責(zé)制度的報(bào)備要求。
六、建立征信合規(guī)與信息安全年度考核評(píng)級(jí)制度
人民銀行建立接入機(jī)構(gòu)征信合規(guī)與信息安全年度考核評(píng)級(jí)制度(見(jiàn)附件 3)。對(duì)接入機(jī)構(gòu)的考核評(píng)級(jí)結(jié)果,將作為實(shí)施征信現(xiàn)場(chǎng)執(zhí)法檢查、中央銀行對(duì)金融機(jī)構(gòu)內(nèi)部評(píng)級(jí)、對(duì)征信查詢(xún)服務(wù)費(fèi)用實(shí)行優(yōu)惠、調(diào)整對(duì)征信系統(tǒng)的查詢(xún)權(quán)限、確定金融機(jī)構(gòu)存款保險(xiǎn)評(píng)級(jí)結(jié)果和核定金融機(jī)構(gòu)存款保險(xiǎn)費(fèi)率等的重要依據(jù)。
人民銀行圍繞上述政策措施的貫徹落實(shí)情況,針對(duì)運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)建立健全征信信息安全巡查制度,將巡查結(jié)論作為啟動(dòng)執(zhí)法檢查程序等的重要依據(jù)。同時(shí),建立征信信息安全巡查內(nèi)部通報(bào)制度(見(jiàn)附件 4)。
八、從嚴(yán)強(qiáng)化征信監(jiān)管,確保征信信息安全
人民銀行采取綜合措施,統(tǒng)籌推進(jìn)對(duì)運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)的征信監(jiān)管,防范征信信息泄露風(fēng)險(xiǎn),確保征信信息安全。
(一)強(qiáng)化非現(xiàn)場(chǎng)監(jiān)管。
運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)報(bào)備的上述征信內(nèi)控制度及問(wèn)責(zé)制度、征信合規(guī)與信息安全自查自糾制度、征信信息安全事件應(yīng)急處置方案,報(bào)告的征信信息安全事件、征信合規(guī)與信息安全自查自糾情況以及考核評(píng)級(jí)與巡查結(jié)論,均作為人民銀行非現(xiàn)場(chǎng)監(jiān)管的內(nèi)容。對(duì)非現(xiàn)場(chǎng)監(jiān)管涉及內(nèi)容的真實(shí)性,人民銀行將通過(guò)現(xiàn)場(chǎng)執(zhí)法檢查予以確認(rèn)。對(duì)存在未報(bào)、漏報(bào)、虛報(bào)、瞞報(bào)情況的機(jī)構(gòu),將重點(diǎn)開(kāi)展現(xiàn)場(chǎng)執(zhí)法檢查。
(二)加大現(xiàn)場(chǎng)執(zhí)法檢查力度。
人民銀行隨機(jī)對(duì)接入機(jī)構(gòu)全員征信合規(guī)教育輪訓(xùn)情況、征信內(nèi)控問(wèn)責(zé)情況以及征信法規(guī)制度遵守情況進(jìn)行現(xiàn)場(chǎng)執(zhí)法檢查,并將存在問(wèn)題的機(jī)構(gòu)納入重點(diǎn)監(jiān)管對(duì)象。對(duì)涉嫌違法違規(guī)行為的機(jī)構(gòu)和人員,視情況采取監(jiān)管約談、責(zé)令限期整改、現(xiàn)場(chǎng)執(zhí)法檢查、在金融系統(tǒng)內(nèi)部予以通報(bào)、向干部管理部門(mén)和紀(jì)檢監(jiān)察部門(mén)通報(bào)等措施,并依法從嚴(yán)實(shí)施行政處罰,全方位正風(fēng)肅紀(jì),促使其依法依規(guī)履職。
對(duì)接入機(jī)構(gòu)的考核評(píng)級(jí)結(jié)果、巡查結(jié)論和現(xiàn)場(chǎng)執(zhí)法檢查結(jié)論,將作為確定金融機(jī)構(gòu)存款保險(xiǎn)評(píng)級(jí)結(jié)果、核定金融機(jī)構(gòu)存款保險(xiǎn)費(fèi)率和征信服務(wù)收費(fèi)優(yōu)惠與否等的重要依據(jù);對(duì)于問(wèn)題嚴(yán)重的機(jī)構(gòu),人民銀行責(zé)成其調(diào)整其用戶(hù)管理權(quán)限,直至?xí)和槠涮峁┱餍挪樵?xún)服務(wù)。其他征信機(jī)構(gòu)、信用評(píng)級(jí)機(jī)構(gòu)及其接入機(jī)構(gòu)的征信信息安全管理,參照本通知執(zhí)行。請(qǐng)人民銀行副省級(jí)城市中心支行以上分支機(jī)構(gòu)將本通知轉(zhuǎn)發(fā)至轄區(qū)內(nèi)接入機(jī)構(gòu)、其他征信機(jī)構(gòu)和信用評(píng)級(jí)機(jī)構(gòu)。
附件:1.全國(guó)性接入機(jī)構(gòu)名單
3.金融信用信息基礎(chǔ)數(shù)據(jù)庫(kù)接入機(jī)構(gòu)征信合規(guī)與信息安全年度考核評(píng)級(jí)管理辦法
轉(zhuǎn)自中國(guó)人民銀行官網(wǎng)