2018-06-13
《關于進一步加強征信信息安全管理的通知》
中國人民銀行上海總部,各分行、營業管理部,各省會(首府)城市中心支行,各副省級城市中心支行;國家開發銀行,各政策性銀行、國有商業銀行、股份制商業銀行,中國郵政儲蓄銀行:
為貫徹落實黨的十九大精神和第五次全國金融工作會議精神,加強個人信息保護,做好新時代征信信息安全管理工作,切實保護信息主體合法權益,提升人民群眾在征信領域的幸福感和安全感,依據《征信業管理條例》、《個人信用信息基礎數據庫管理暫行辦法》(中國人民銀行令〔2005〕第3號發布)等法規規章的相關規定,現就進一步加強金融信用信息基礎數據庫運行機構和接入機構(以下簡稱運行機構和接入機構)征信信息安全管理有關事項通知如下:
一、切實增強征信信息安全管理意識,強化征信信息安全主體責任
運行機構和接入機構要清醒認識當前征信信息安全面臨的嚴峻形勢,切實增強征信信息安全管理意識。建立健全征信信息安全管理的體制和機制,成立征信信息安全工作領導小組,明確崗位職責,強化征信信息安全主體責任,按照“分級管理、逐級負責”和“誰主管誰負責、誰使用誰負責”的原則,明確領導層中分管征信工作的負責人為第一責任人,征信系統及相關信息系統的使用人為直接責任人,并明確第一責任人、直接責任人和其他相關人員的責任分工。
二、完善征信業務操控流程,不斷提高征信信息安全管理水平
運行機構和接入機構要切實加強對征信各級管理人員和從業人員的全員征信合規性教育培訓,圍繞征信信息安全管理,通過加強征信系統用戶管理、健全征信信息查詢管理、優化自助查詢機管理、完善征信異常查詢監控機制、妥善辦理異議與投訴等措施,完善征信業務操控流程,牢牢守住不發生征信信息安全風險的底線。
(一)從嚴加強征信系統用戶管理。
運行機構和接入機構應嚴格遵循相關規定辦理用戶的創建、停用和啟用,根據“最小授權”原則分配各類、各級用戶的權限,嚴格用戶權限設置,將用戶權限控制在業務需要的最小范圍內。杜絕創建公共賬戶或者類公共賬戶,切實做到人戶統一、專人專用,及時停用和啟用用戶,實施用戶密碼動態管理。
運行機構和接入機構應不斷更新技術保障措施,加強對各級征信系統用戶運行情況的實時監控。分級負責,明確責任,技防和人防相結合,在制度措施保障上不留真空和死角。
(二)健全征信信息查詢管理。
運行機構和接入機構要健全征信信息查詢管理,嚴格授權查詢機制,未經授權嚴禁查詢征信報告,規范內部人員和國家機關查詢辦理流程,嚴禁未經授權認可的APP接入征信系統。從嚴管理批量數據,按照合法、正當、必要的原則,嚴格按流程和保密要求辦理批量數據的抽取、留存、流轉、應用和銷毀,確保各環節數據安全。
(三)優化自助查詢機管理。
運行機構和接入機構應優化自助查詢機用戶管理,明確自助查詢機用戶管理權限,及時停用或者刪除無效用戶;加強訪問控制,為自助查詢機單獨劃分網段,根據工作時間和查詢需要,合理設置自助查詢機自動關機時間;采購自助查詢機時,完善合同內容,明確設備提供商的保密責任;健全自助查詢機物理設備管理,明確自助查詢機管理責任主體,對設備加強維護,按流程及時清理自助查詢機內部存儲的征信信息。
(四)完善征信異常查詢監控機制,妥善辦理異議與投訴。運行機構和接入機構應分級建立征信用戶查詢操作日核查機制,完善異常查詢監控、處置與報告機制;不斷優化和調整征信查詢日核查與實時監控指標,不斷提高征信用戶自查與自控的能力。嚴格遵守異議處理時間,規范異議處理流程,按規定出具相關文書,做好異議申請、處理資料的保存、歸檔;強化投訴辦理,規范投訴流程,及時辦理信息主體投訴,提高信息主體的滿意度。以異議和投訴為重要線索,對可能涉及的征信信息安全風險事件及時進行全面排查,及時發現問題和排除隱患。
三、查漏補缺,補齊短板,完善征信內控制度及問責制度
運行機構和接入機構應結合自身實際對自身的征信內控制度及問責制度進行全面自建自查,查漏補缺,補齊短板,并重點從以下三個方面加以完善:
(一)建立征信內控制度及問責制度的報備制度。
自本通知發布之日起,運行機構和接入機構應在30個工作日內,向人民銀行報備經本機構法定代表人或者主要負責人簽字并加蓋公章的征信合規與信息安全內控制度及問責制度。運行機構及全國性接入機構(名單見附件1)的總行向人民銀行征信管理局報備,地方性接入機構和全國性接入機構的分支機構向所在地人民銀行分支機構報備。征信內控制度及問責制度變更的,應當自變更之日起10日內向人民銀行報備。
(二)建立征信信息安全情況報告制度。
運行機構和接入機構應按月定期向人民銀行報送異常查詢、違規查詢、非法提供、違規使用、信用報告泄漏等征信信息安全情況統計表(見附件2)。未發生征信信息安全風險事件的,應采取零報告制度(即在表中填報“0”)。發生征信信息安全風險事件的,應立即上報相關情況。全國性接入機構的總行應于每月初10日內將上月情況報送人民銀行征信管理局;地方性接入機構和全國性接入機構的分支機構應于每月初6日內將上月情況報所在地人民銀行分支機構;人民銀行副省級城市中心支行以上分支機構應于每月初10日內將匯總的轄區內上月情況(包括人民銀行分支機構征信查詢點情況)報送征信管理局。
(三)建立征信合規與信息安全自查自糾制度及報告制度。
運行機構和接入機構應建立分級監控、專項核查的工作機制,按照征信內控制度的規定,對日常監測發現的風險線索以及異常查詢線索,與對應的信貸業務進行逐筆核實,從授權、審核、查詢、使用、存儲等各環節梳理是否存在征信違規風險隱患,不定期組織抽查,建立健全征信合規與信息安全自查自糾制度,并向人民銀行報備,報備流程參照征信內控制度及問責制度的報備要求。按季度開展內部征信合規和信息安全自查自糾,并將自查自糾情況向人民銀行書面報告,報告流程參照征信信息安全事件的報告要求。
四、提高技防能力,防范征信信息泄露風險
運行機構和接入機構應不斷優化升級征信業務信息系統,提升前置自控能力,推進業務觸發式查詢,實現信用報告脫敏展示、結構化展示和自動解讀,從嚴控制信用報告打印、下載,從查詢、使用和存儲環節降低征信信息泄露風險。
五、建立征信信息安全事件應急處置機制
運行機構、接入機構和人民銀行分支機構應逐級建立征信信息安全事件應急處置機制,成立由業務、技術、法律、宣傳等方面專業人員組成的應急處置工作小組,制定應急處置方案,并自本通知發布之日起30個工作日內將應急處置方案向人民銀行報備。報備流程參照征信內控制度及問責制度的報備要求。
六、建立征信合規與信息安全年度考核評級制度
人民銀行建立接入機構征信合規與信息安全年度考核評級制度(見附件3)。對接入機構的考核評級結果,將作為實施征信現場執法檢查、中央銀行對金融機構內部評級、對征信查詢服務費用實行優惠、調整對征信系統的查詢權限、確定金融機構存款保險評級結果和核定金融機構存款保險費率等的重要依據。
七、建立征信信息安全巡查制度
人民銀行圍繞上述政策措施的貫徹落實情況,針對運行機構和接入機構建立健全征信信息安全巡查制度,將巡查結論作為啟動執法檢查程序等的重要依據。同時,建立征信信息安全巡查內部通報制度(見附件4)。
八、從嚴強化征信監管,確保征信信息安全
人民銀行采取綜合措施,統籌推進對運行機構和接入機構的征信監管,防范征信信息泄露風險,確保征信信息安全。
(一)強化非現場監管。
運行機構和接入機構報備的上述征信內控制度及問責制度、征信合規與信息安全自查自糾制度、征信信息安全事件應急處置方案,報告的征信信息安全事件、征信合規與信息安全自查自糾情況以及考核評級與巡查結論,均作為人民銀行非現場監管的內容。對非現場監管涉及內容的真實性,人民銀行將通過現場執法檢查予以確認。對存在未報、漏報、虛報、瞞報情況的機構,將重點開展現場執法檢查。
(二)加大現場執法檢查力度。
人民銀行隨機對接入機構全員征信合規教育輪訓情況、征信內控問責情況以及征信法規制度遵守情況進行現場執法檢查,并將存在問題的機構納入重點監管對象。對涉嫌違法違規行為的機構和人員,視情況采取監管約談、責令限期整改、現場執法檢查、在金融系統內部予以通報、向干部管理部門和紀檢監察部門通報等措施,并依法從嚴實施行政處罰,全方位正風肅紀,促使其依法依規履職。
(三)加大違法違規成本。
對接入機構的考核評級結果、巡查結論和現場執法檢查結論,將作為確定金融機構存款保險評級結果、核定金融機構存款保險費率和征信服務收費優惠與否等的重要依據;對于問題嚴重的機構,人民銀行責成其調整其用戶管理權限,直至暫停為其提供征信查詢服務。其他征信機構、信用評級機構及其接入機構的征信信息安全管理,參照本通知執行。請人民銀行副省級城市中心支行以上分支機構將本通知轉發至轄區內接入機構、其他征信機構和信用評級機構。