中國人民銀行關(guān)于進一步加強征信信息安全管理的通知

中國人民銀行上海總部，各分行、營業(yè)管理部，各省會（首府）城市中心支行，各副省級城市中心支行；國家開發(fā)銀行，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行，中國郵政儲蓄銀行：

為貫徹落實黨的十九大精神和第五次全國金融工作會議精神，加強個人信息保護，做好新時代征信信息安全管理工作，切實保護信息主體合法權(quán)益，提升人民群眾在征信領(lǐng)域的幸福感和安全感，依據(jù)《征信業(yè)管理條例》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》（中國人民銀行令〔2005〕第 3 號發(fā)布）等法規(guī)規(guī)章的相關(guān)規(guī)定，現(xiàn)就進一步加強金融信用信息基礎(chǔ)數(shù)據(jù)庫運行機構(gòu)和接入機構(gòu)（以下簡稱運行機構(gòu)和接入機構(gòu)）征信信息安全管理有關(guān)事項通知如下：

一、切實增強征信信息安全管理意識，強化征信信息安全主體責(zé)任

運行機構(gòu)和接入機構(gòu)要清醒認識當前征信信息安全面臨的嚴峻形勢，切實增強征信信息安全管理意識。建立健全征信信息安全管理的體制和機制，成立征信信息安全工作領(lǐng)導(dǎo)小組，明確崗位職責(zé)，強化征信信息安全主體責(zé)任，按照“分級管理、逐級負責(zé)”和“誰主管誰負責(zé)、誰使用誰負責(zé)”的原則，明確領(lǐng)導(dǎo)層中分管征信工作的負責(zé)人為第一責(zé)任人，征信系統(tǒng)及相關(guān)信息系統(tǒng)的使用人為直接責(zé)任人，并明確第一責(zé)任人、直接責(zé)任人和其他相關(guān)人員的責(zé)任分工。

二、完善征信業(yè)務(wù)操控流程，不斷提高征信信息安全管理水平

運行機構(gòu)和接入機構(gòu)要切實加強對征信各級管理人員和從業(yè)人員的全員征信合規(guī)性教育培訓(xùn)，圍繞征信信息安全管理，通過加強征信系統(tǒng)用戶管理、健全征信信息查詢管理、優(yōu)化自助查詢機管理、完善征信異常查詢監(jiān)控機制、妥善辦理異議與投訴等措施，完善征信業(yè)務(wù)操控流程，牢牢守住不發(fā)生征信信息安全風(fēng)險的底線。

（一）從嚴加強征信系統(tǒng)用戶管理。

運行機構(gòu)和接入機構(gòu)應(yīng)嚴格遵循相關(guān)規(guī)定辦理用戶的創(chuàng)建、停用和啟用，根據(jù)“最小授權(quán)”原則分配各類、各級用戶的權(quán)限，嚴格用戶權(quán)限設(shè)置，將用戶權(quán)限控制在業(yè)務(wù)需要的最小范圍內(nèi)。杜絕創(chuàng)建公共賬戶或者類公共賬戶，切實做到人戶統(tǒng)一、專人專用，及時停用和啟用用戶，實施用戶密碼動態(tài)管理。運行機構(gòu)和接入機構(gòu)應(yīng)不斷更新技術(shù)保障措施，加強對各級征信系統(tǒng)用戶運行情況的實時監(jiān)控。分級負責(zé)，明確責(zé)任，技防和人防相結(jié)合，在制度措施保障上不留真空和死角。

（二）健全征信信息查詢管理。

運行機構(gòu)和接入機構(gòu)要健全征信信息查詢管理，嚴格授權(quán)查詢機制，未經(jīng)授權(quán)嚴禁查詢征信報告，規(guī)范內(nèi)部人員和國家機關(guān)查詢辦理流程，嚴禁未經(jīng)授權(quán)認可的 APP 接入征信系統(tǒng)。從嚴管理批量數(shù)據(jù)，按照合法、正當、必要的原則，嚴格按流程和保密要求辦理批量數(shù)據(jù)的抽取、留存、流轉(zhuǎn)、應(yīng)用和銷毀，確保各環(huán)節(jié)數(shù)據(jù)安全。

（三）優(yōu)化自助查詢機管理。

運行機構(gòu)和接入機構(gòu)應(yīng)優(yōu)化自助查詢機用戶管理，明確自助查詢機用戶管理權(quán)限，及時停用或者刪除無效用戶；加強訪問控制，為自助查詢機單獨劃分網(wǎng)段，根據(jù)工作時間和查詢需要，合理設(shè)置自助查詢機自動關(guān)機時間；采購自助查詢機時，完善合同內(nèi)容，明確設(shè)備提供商的保密責(zé)任；健全自助查詢機物理設(shè)備管理，明確自助查詢機管理責(zé)任主體，對設(shè)備加強維護，按流程及時清理自助查詢機內(nèi)部存儲的征信信息。

（四）完善征信異常查詢監(jiān)控機制，妥善辦理異議與投訴。

運行機構(gòu)和接入機構(gòu)應(yīng)分級建立征信用戶查詢操作日核查機制，完善異常查詢監(jiān)控、處置與報告機制；不斷優(yōu)化和調(diào)整征信查詢?nèi)蘸瞬榕c實時監(jiān)控指標，不斷提高征信用戶自查與自控的能力。嚴格遵守異議處理時間，規(guī)范異議處理流程，按規(guī)定出具相關(guān)文書，做好異議申請、處理資料的保存、歸檔；強化投訴辦理，規(guī)范投訴流程，及時辦理信息主體投訴，提高信息主體的滿意度。以異議和投訴為重要線索，對可能涉及的征信信息安全風(fēng)險事件及時進行全面排查，及時發(fā)現(xiàn)問題和排除隱患。

三、查漏補缺，補齊短板，完善征信內(nèi)控制度及問責(zé)制度

運行機構(gòu)和接入機構(gòu)應(yīng)結(jié)合自身實際對自身的征信內(nèi)控制度及問責(zé)制度進行全面自建自查，查漏補缺，補齊短板，并重點從以下三個方面加以完善：

（一）建立征信內(nèi)控制度及問責(zé)制度的報備制度。

自本通知發(fā)布之日起，運行機構(gòu)和接入機構(gòu)應(yīng)在 30 個工作日內(nèi)，向人民銀行報備經(jīng)本機構(gòu)法定代表人或者主要負責(zé)人簽字并加蓋公章的征信合規(guī)與信息安全內(nèi)控制度及問責(zé)制度。運行機構(gòu)及全國性接入機構(gòu)（名單見附件 1）的總行向人民銀行征信管理局報備，地方性接入機構(gòu)和全國性接入機構(gòu)的分支機構(gòu)向所在地人民銀行分支機構(gòu)報備。征信內(nèi)控制度及問責(zé)制度變更的，應(yīng)當自變更之日起 10 日內(nèi)向人民銀行報備。

（二）建立征信信息安全情況報告制度。

運行機構(gòu)和接入機構(gòu)應(yīng)按月定期向人民銀行報送異常查詢、違規(guī)查詢、非法提供、違規(guī)使用、信用報告泄漏等征信信息安全情況統(tǒng)計表（見附件 2）。未發(fā)生征信信息安全風(fēng)險事件的，應(yīng)采取零報告制度（即在表中填報“0”）。發(fā)生征信信息安全風(fēng)險事件的，應(yīng)立即上報相關(guān)情況。全國性接入機構(gòu)的總行應(yīng)于每月初 10日內(nèi)將上月情況報送人民銀行征信管理局；地方性接入機構(gòu)和全國性接入機構(gòu)的分支機構(gòu)應(yīng)于每月初 6 日內(nèi)將上月情況報所在地人民銀行分支機構(gòu)；人民銀行副省級城市中心支行以上分支機構(gòu)應(yīng)于每月初 10 日內(nèi)將匯總的轄區(qū)內(nèi)上月情況（包括人民銀行分支機構(gòu)征信查詢點情況）報送征信管理局。

（三）建立征信合規(guī)與信息安全自查自糾制度及報告制度。

運行機構(gòu)和接入機構(gòu)應(yīng)建立分級監(jiān)控、專項核查的工作機制，按照征信內(nèi)控制度的規(guī)定，對日常監(jiān)測發(fā)現(xiàn)的風(fēng)險線索以及異常查詢線索，與對應(yīng)的信貸業(yè)務(wù)進行逐筆核實，從授權(quán)、審核、查詢、使用、存儲等各環(huán)節(jié)梳理是否存在征信違規(guī)風(fēng)險隱患，不定期組織抽查，建立健全征信合規(guī)與信息安全自查自糾制度，并向人民銀行報備，報備流程參照征信內(nèi)控制度及問責(zé)制度的報備要求。按季度開展內(nèi)部征信合規(guī)和信息安全自查自糾，并將自查自糾情況向人民銀行書面報告，報告流程參照征信信息安全事件的報告要求。

四、提高技防能力，防范征信信息泄露風(fēng)險

運行機構(gòu)和接入機構(gòu)應(yīng)不斷優(yōu)化升級征信業(yè)務(wù)信息系統(tǒng)，提升前置自控能力，推進業(yè)務(wù)觸發(fā)式查詢，實現(xiàn)信用報告脫敏展示、結(jié)構(gòu)化展示和自動解讀，從嚴控制信用報告打印、下載，從查詢 、使用和存儲環(huán)節(jié)降低征信信息泄露風(fēng)險。

五、建立征信信息安全事件應(yīng)急處置機制

運行機構(gòu)、接入機構(gòu)和人民銀行分支機構(gòu)應(yīng)逐級建立征信信息安全事件應(yīng)急處置機制，成立由業(yè)務(wù)、技術(shù)、法律、宣傳等方面專業(yè)人員組成的應(yīng)急處置工作小組，制定應(yīng)急處置方案，并自本通知發(fā)布之日起 30 個工作日內(nèi)將應(yīng)急處置方案向人民銀行報備。報備流程參照征信內(nèi)控制度及問責(zé)制度的報備要求。

六、建立征信合規(guī)與信息安全年度考核評級制度

人民銀行建立接入機構(gòu)征信合規(guī)與信息安全年度考核評級制度（見附件 3）。對接入機構(gòu)的考核評級結(jié)果，將作為實施征信現(xiàn)場執(zhí)法檢查、中央銀行對金融機構(gòu)內(nèi)部評級、對征信查詢服務(wù)費用實行優(yōu)惠、調(diào)整對征信系統(tǒng)的查詢權(quán)限、確定金融機構(gòu)存款保險評級結(jié)果和核定金融機構(gòu)存款保險費率等的重要依據(jù)。

七、建立征信信息安全巡查制度

人民銀行圍繞上述政策措施的貫徹落實情況，針對運行機構(gòu)和接入機構(gòu)建立健全征信信息安全巡查制度，將巡查結(jié)論作為啟動執(zhí)法檢查程序等的重要依據(jù)。同時，建立征信信息安全巡查內(nèi)部通報制度（見附件 4）。

八、從嚴強化征信監(jiān)管，確保征信信息安全

人民銀行采取綜合措施，統(tǒng)籌推進對運行機構(gòu)和接入機構(gòu)的征信監(jiān)管，防范征信信息泄露風(fēng)險，確保征信信息安全。

（一）強化非現(xiàn)場監(jiān)管。

運行機構(gòu)和接入機構(gòu)報備的上述征信內(nèi)控制度及問責(zé)制度、征信合規(guī)與信息安全自查自糾制度、征信信息安全事件應(yīng)急處置方案，報告的征信信息安全事件、征信合規(guī)與信息安全自查自糾情況以及考核評級與巡查結(jié)論，均作為人民銀行非現(xiàn)場監(jiān)管的內(nèi)容。對非現(xiàn)場監(jiān)管涉及內(nèi)容的真實性，人民銀行將通過現(xiàn)場執(zhí)法檢查予以確認。對存在未報、漏報、虛報、瞞報情況的機構(gòu)，將重點開展現(xiàn)場執(zhí)法檢查。

（二）加大現(xiàn)場執(zhí)法檢查力度。

人民銀行隨機對接入機構(gòu)全員征信合規(guī)教育輪訓(xùn)情況、征信內(nèi)控問責(zé)情況以及征信法規(guī)制度遵守情況進行現(xiàn)場執(zhí)法檢查，并將存在問題的機構(gòu)納入重點監(jiān)管對象。對涉嫌違法違規(guī)行為的機構(gòu)和人員，視情況采取監(jiān)管約談、責(zé)令限期整改、現(xiàn)場執(zhí)法檢查、在金融系統(tǒng)內(nèi)部予以通報、向干部管理部門和紀檢監(jiān)察部門通報等措施，并依法從嚴實施行政處罰，全方位正風(fēng)肅紀，促使其依法依規(guī)履職。

（三）加大違法違規(guī)成本。

對接入機構(gòu)的考核評級結(jié)果、巡查結(jié)論和現(xiàn)場執(zhí)法檢查結(jié)論，將作為確定金融機構(gòu)存款保險評級結(jié)果、核定金融機構(gòu)存款保險費率和征信服務(wù)收費優(yōu)惠與否等的重要依據(jù)；對于問題嚴重的機構(gòu)，人民銀行責(zé)成其調(diào)整其用戶管理權(quán)限，直至?xí)和槠涮峁┱餍挪樵兎?wù)。其他征信機構(gòu)、信用評級機構(gòu)及其接入機構(gòu)的征信信息安全管理，參照本通知執(zhí)行。請人民銀行副省級城市中心支行以上分支機構(gòu)將本通知轉(zhuǎn)發(fā)至轄區(qū)內(nèi)接入機構(gòu)、其他征信機構(gòu)和信用評級機構(gòu)。

附件：1.全國性接入機構(gòu)名單

2.征信信息安全情況統(tǒng)計表

3．金融信用信息基礎(chǔ)數(shù)據(jù)庫接入機構(gòu)征信合規(guī)與信息安全年度考核評級管理辦法

4.征信信息安全巡查試行辦法

轉(zhuǎn)自中國人民銀行官網(wǎng)