《关于进一步加强征信信息安全管理的通知》
中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;国家开发银行,各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行:
为贯彻落实党的十九大精神和第五次全国金融工作会议精神,加强个人信息保护,做好新时代征信信息安全管理工作,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感,依据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号发布)等法规规章的相关规定,现就进一步加强金融信用信息基础数据库运行机构和接入机构(以下简称运行机构和接入机构)征信信息安全管理有关事项通知如下:
一、切实增强征信信息安全管理意识,强化征信信息安全主体责任
运行机构和接入机构要清醒认识当前征信信息安全面临的严峻形势,切实增强征信信息安全管理意识。建立健全征信信息安全管理的体制和机制,成立征信信息安全工作领导小组,明确岗位职责,强化征信信息安全主体责任,按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则,明确领导层中分管征信工作的负责人为第一责任人,征信系统及相关信息系统的使用人为直接责任人,并明确第一责任人、直接责任人和其他相关人员的责任分工。
二、完善征信业务操控流程,不断提高征信信息安全管理水平
运行机构和接入机构要切实加强对征信各级管理人员和从业人员的全员征信合规性教育培训,围绕征信信息安全管理,通过加强征信系统用户管理、健全征信信息查询管理、优化自助查询机管理、完善征信异常查询监控机制、妥善办理异议与投诉等措施,完善征信业务操控流程,牢牢守住不发生征信信息安全风险的底线。
(一)从严加强征信系统用户管理。
运行机构和接入机构应严格遵循相关规定办理用户的创建、停用和启用,根据“最小授权”原则分配各类、各级用户的权限,严格用户权限设置,将用户权限控制在业务需要的最小范围内。杜绝创建公共账户或者类公共账户,切实做到人户统一、专人专用,及时停用和启用用户,实施用户密码动态管理。
运行机构和接入机构应不断更新技术保障措施,加强对各级征信系统用户运行情况的实时监控。分级负责,明确责任,技防和人防相结合,在制度措施保障上不留真空和死角。
(二)健全征信信息查询管理。
运行机构和接入机构要健全征信信息查询管理,严格授权查询机制,未经授权严禁查询征信报告,规范内部人员和国家机关查询办理流程,严禁未经授权认可的APP接入征信系统。从严管理批量数据,按照合法、正当、必要的原则,严格按流程和保密要求办理批量数据的抽取、留存、流转、应用和销毁,确保各环节数据安全。
(三)优化自助查询机管理。
运行机构和接入机构应优化自助查询机用户管理,明确自助查询机用户管理权限,及时停用或者删除无效用户;加强访问控制,为自助查询机单独划分网段,根据工作时间和查询需要,合理设置自助查询机自动关机时间;采购自助查询机时,完善合同内容,明确设备提供商的保密责任;健全自助查询机物理设备管理,明确自助查询机管理责任主体,对设备加强维护,按流程及时清理自助查询机内部存储的征信信息。
(四)完善征信异常查询监控机制,妥善办理异议与投诉。运行机构和接入机构应分级建立征信用户查询操作日核查机制,完善异常查询监控、处置与报告机制;不断优化和调整征信查询日核查与实时监控指标,不断提高征信用户自查与自控的能力。严格遵守异议处理时间,规范异议处理流程,按规定出具相关文书,做好异议申请、处理资料的保存、归档;强化投诉办理,规范投诉流程,及时办理信息主体投诉,提高信息主体的满意度。以异议和投诉为重要线索,对可能涉及的征信信息安全风险事件及时进行全面排查,及时发现问题和排除隐患。
三、查漏补缺,补齐短板,完善征信内控制度及问责制度
运行机构和接入机构应结合自身实际对自身的征信内控制度及问责制度进行全面自建自查,查漏补缺,补齐短板,并重点从以下三个方面加以完善:
(一)建立征信内控制度及问责制度的报备制度。
自本通知发布之日起,运行机构和接入机构应在30个工作日内,向人民银行报备经本机构法定代表人或者主要负责人签字并加盖公章的征信合规与信息安全内控制度及问责制度。运行机构及全国性接入机构(名单见附件1)的总行向人民银行征信管理局报备,地方性接入机构和全国性接入机构的分支机构向所在地人民银行分支机构报备。征信内控制度及问责制度变更的,应当自变更之日起10日内向人民银行报备。
(二)建立征信信息安全情况报告制度。
运行机构和接入机构应按月定期向人民银行报送异常查询、违规查询、非法提供、违规使用、信用报告泄漏等征信信息安全情况统计表(见附件2)。未发生征信信息安全风险事件的,应采取零报告制度(即在表中填报“0”)。发生征信信息安全风险事件的,应立即上报相关情况。全国性接入机构的总行应于每月初10日内将上月情况报送人民银行征信管理局;地方性接入机构和全国性接入机构的分支机构应于每月初6日内将上月情况报所在地人民银行分支机构;人民银行副省级城市中心支行以上分支机构应于每月初10日内将汇总的辖区内上月情况(包括人民银行分支机构征信查询点情况)报送征信管理局。
(三)建立征信合规与信息安全自查自纠制度及报告制度。
运行机构和接入机构应建立分级监控、专项核查的工作机制,按照征信内控制度的规定,对日常监测发现的风险线索以及异常查询线索,与对应的信贷业务进行逐笔核实,从授权、审核、查询、使用、存储等各环节梳理是否存在征信违规风险隐患,不定期组织抽查,建立健全征信合规与信息安全自查自纠制度,并向人民银行报备,报备流程参照征信内控制度及问责制度的报备要求。按季度开展内部征信合规和信息安全自查自纠,并将自查自纠情况向人民银行书面报告,报告流程参照征信信息安全事件的报告要求。
四、提高技防能力,防范征信信息泄露风险
运行机构和接入机构应不断优化升级征信业务信息系统,提升前置自控能力,推进业务触发式查询,实现信用报告脱敏展示、结构化展示和自动解读,从严控制信用报告打印、下载,从查询、使用和存储环节降低征信信息泄露风险。
五、建立征信信息安全事件应急处置机制
运行机构、接入机构和人民银行分支机构应逐级建立征信信息安全事件应急处置机制,成立由业务、技术、法律、宣传等方面专业人员组成的应急处置工作小组,制定应急处置方案,并自本通知发布之日起30个工作日内将应急处置方案向人民银行报备。报备流程参照征信内控制度及问责制度的报备要求。
六、建立征信合规与信息安全年度考核评级制度
人民银行建立接入机构征信合规与信息安全年度考核评级制度(见附件3)。对接入机构的考核评级结果,将作为实施征信现场执法检查、中央银行对金融机构内部评级、对征信查询服务费用实行优惠、调整对征信系统的查询权限、确定金融机构存款保险评级结果和核定金融机构存款保险费率等的重要依据。
七、建立征信信息安全巡查制度
人民银行围绕上述政策措施的贯彻落实情况,针对运行机构和接入机构建立健全征信信息安全巡查制度,将巡查结论作为启动执法检查程序等的重要依据。同时,建立征信信息安全巡查内部通报制度(见附件4)。
八、从严强化征信监管,确保征信信息安全
人民银行采取综合措施,统筹推进对运行机构和接入机构的征信监管,防范征信信息泄露风险,确保征信信息安全。
(一)强化非现场监管。
运行机构和接入机构报备的上述征信内控制度及问责制度、征信合规与信息安全自查自纠制度、征信信息安全事件应急处置方案,报告的征信信息安全事件、征信合规与信息安全自查自纠情况以及考核评级与巡查结论,均作为人民银行非现场监管的内容。对非现场监管涉及内容的真实性,人民银行将通过现场执法检查予以确认。对存在未报、漏报、虚报、瞒报情况的机构,将重点开展现场执法检查。
(二)加大现场执法检查力度。
人民银行随机对接入机构全员征信合规教育轮训情况、征信内控问责情况以及征信法规制度遵守情况进行现场执法检查,并将存在问题的机构纳入重点监管对象。对涉嫌违法违规行为的机构和人员,视情况采取监管约谈、责令限期整改、现场执法检查、在金融系统内部予以通报、向干部管理部门和纪检监察部门通报等措施,并依法从严实施行政处罚,全方位正风肃纪,促使其依法依规履职。
(三)加大违法违规成本。
对接入机构的考核评级结果、巡查结论和现场执法检查结论,将作为确定金融机构存款保险评级结果、核定金融机构存款保险费率和征信服务收费优惠与否等的重要依据;对于问题严重的机构,人民银行责成其调整其用户管理权限,直至暂停为其提供征信查询服务。其他征信机构、信用评级机构及其接入机构的征信信息安全管理,参照本通知执行。请人民银行副省级城市中心支行以上分支机构将本通知转发至辖区内接入机构、其他征信机构和信用评级机构。
中国人民银行|2018/08/01