央⾏南京分⾏:《接⼊机构征信合规与信息安全管理暂⾏办法》
中国⼈民银⾏南京分⾏关于印发《接⼊机构征信合规与信息安全管理暂⾏办法》的通知(南银发〔2018〕130号)
为提⾼征信业务⾏为的规范性,加强征信信息安全管理,防范征信信息泄露风险,⼈民银⾏南京分⾏研究制定了《接⼊机构征信合规与信息安全管理暂⾏办法》,现印发给你们,请遵照执⾏。
请⼈民银⾏南京分⾏营业管理部、江苏省各市中⼼⽀⾏将本办法转发⾄辖区所有接⼊机构。
附件:接⼊机构征信合规与信息安全管理暂⾏办法
中国⼈民银⾏南京分⾏
2018年12⽉17⽇附件
接⼊机构征信合规与信息安全管理暂⾏办法
第⼀章总则
第⼀条为提⾼征信业务⾏为的规范性,加强征信信息安全管理,防范征信信息泄露风险,根据《征信业
管理条例》(中华⼈民共和国国务院令第631号)、《个⼈信⽤信息基础数据库管理暂⾏办法》(中国⼈民银⾏令〔2005〕第3号)、《⾦融信⽤信息基础数据库⽤户管理规范》(JR/T 0115-2014)、《中国⼈民银⾏关于加强征信合规管理⼯作的通知》(银发〔2016〕300号)、《中国⼈民银⾏⾦融消费者权益保护实施办法》(银发〔2016〕314号)、《中国⼈民银⾏关于进⼀步加强征信信息安全管理的通知》(银发〔2018〕102号)、《中国⼈民银⾏办公厅关于加强征信系统查询⽤户信息管理的通知》(银办发〔2017〕164号)等法规、规章、规范及制度⽂件,制定本办法。
第⼆条本办法适⽤于江苏省辖内⾦融信⽤信息基础数据库接⼊机构。
接⼊机构是指向⾦融信⽤信息基础数据库提供信息或从⾦融信⽤信息基础数据库获取信息的机构,包括银⾏业⾦融机构和信托公司、财务公司、⾦融租赁公司、消费⾦融公司、证券公司、保险公司、资产管理公司等⾮银⾏⾦融机构,⼩额贷款公司、融资性担保公司、融资租赁公司、商业保理公司、住房公积⾦管理中⼼等⾮⾦融机构,以及⼈民银⾏同意接⼊的其他机构。
本办法所称征信⽤户指接⼊机构在⾦融信⽤信息基础数据库中设置的⽤户,包括管理员⽤户、数据上报⽤户、信息查询⽤户和异议处理⽤户。征信查询管理系统⽤户及其他系统中涉及征信信息查询使⽤⾏为的⽤户视同⾦融信⽤信息基础数据库⽤户管理。
中国人民银行安全控件下载安装
第三条本办法所称征信信息指接⼊机构向⾦融信⽤信息基础数据库报送或获取的个⼈和企业信⽤信息。
第四条本办法所称征信查询管理系统指设置在⾦融信⽤信息基础数据库前端的具有⽤户管理、查询监测及预警等功能的系统。征信查询管理系统应包括但不限于以下功能:
(⼀)⽤户及查询⾏为隔离。通过将征信查询管理系统⽤户与⾦融信⽤信息基础数据库⽤户进⾏映射,间接访问⾦融信⽤信息基础数据库,对外屏蔽数据库实际⽤户和密码,实现查询⽤户、查询⾏为与⾦融信⽤信息基础数据库的隔离,避免⾦融信⽤信息基础数据库⽤户和密码的外泄或者盗⽤,并彻底防堵外单位征信⽤户的借道查询问题;
(⼆)如实记录查询⽇志。征信查询管理系统后台⾃动记录⽤户名称、被查询对象、查询⽤途、查询时间及计算机⽹络地址,使得各项操作有记录、可定位、可追溯;
(三)锁定查询⾏为。应采取绑定IP地址或MAC地址等⽅式,确保征信⽤户的操作⾏为受限制、责任可落实;
(四)⽀持查询前合规复核。⽀持发起查询前对授权合规的复核;
(五)监测、预警、阻断查询风险。能够根据本机构情况设置查询风险监测阈值,发现异常查询⾏为能及时定位⽤户、
(五)监测、预警、阻断查询风险。能够根据本机构情况设置查询风险监测阈值,发现异常查询⾏为能及时定位⽤户、进⾏预警,并阻断违规查询;
(六)授权档案电⼦化管理。能够实现查询授权档案的电⼦化管理,⽀持对查询授权合规性的后续随机复核。
第⼆章 数据采集及报送
第五条 接⼊机构采集个⼈信息应当经信息主体本⼈同意,并遵循合法、合理、必要原则,按照法律法规要求和业务需要采集。不得采取不正当⽅式采集信息,不得以概括授权的⽅式采集与业务⽆关的个⼈信息。
第六条 在向⾦融信⽤信息基础数据库提供信息前,接⼊机构应采⽤格式合同条款或授权书形式取得信息主体的书⾯同意。授权条款或授权书的内容应当具备被授权⼈(即接⼊机构)、信息提供对象(即⾦融信⽤信息基础数据库)、所提供信息种类、授权⽇期等要素。对要素的表述应当明确具体,不得出现宽泛、模糊的表述,不得排除信息主体权利或加重信息主体责任。
第七条 采⽤格式合同条款取得信息主体信息报送授权的,应采取加粗、斜体或下划线等⾜以引起信息主体注意的提⽰强调授权内容,并规范使⽤“⾦融信⽤信息基础数据库”称谓。
第⼋条 接⼊机构应按照相关接⼝规范,及时、准确、完整地向⾦融信⽤信息基础数据库报送数据,不得迟报、漏报、瞒报、错报。对于尚没有接⼝规范的创新业务,应及时向⼈民银⾏征信中⼼报告。
第九条 新申请接⼊⾦融信⽤信息基础数据库的机构,应对接⼊前发⽣的、接⼊时尚未结清的业务所涉及的企业、个⼈信息进⾏逐笔核实,确保在获得信息主体书⾯同意后,再将此类信息报送⾄⾦融信⽤信息基础数据库。
第⼗条 接⼊机构应建⽴个⼈不良信息告知制度,明确个⼈信息报送前告知的内容、频率等,确保在个⼈不良信息产⽣后、报送⾦融信⽤信息基础数据库前,以短信、电⼦邮件、信函或者电话等形式告知信息主体本⼈。告知内容应包括“X 年X⽉X⽇XX业务逾期XX⾦额产⽣了不良信息,将向⾦融信⽤信息基础数据库提供”等表述。不得以提⽰还款短信或缺少“将上报⾦融信⽤信息基础数据库”表述的催收短信代替个⼈不良信息告知。
第⼗⼀条 接⼊机构要提⽰信息主体完整填写地址、电话号码、电⼦邮箱等联系⽅式,并在相关事项发⽣变更后,及时通知接⼊机构更新。在信息主体预留的地址、电话号码、电⼦邮箱等联系⽅式正确,或联系⽅式发⽣变动后已及时通知接⼊机构更新的情况下,因接⼊机构过失导致个⼈不良信息提供前未事先告知信息主体的,接⼊机构应承担相应责任。
第⼗⼆条 接⼊机构通过短信、电⼦邮件、信函或者电话等⽅式履⾏个⼈不良信息提供事先告知义务
的,应妥善保管相关的证明材料。
第三章 ⽤户管理
第⼗三条 接⼊机构要按照《个⼈信⽤信息基础数据库管理暂⾏办法》(中国⼈民银⾏令〔2005〕第3号,⾮银⾏接⼊机构应参照执⾏)和《⾦融信⽤信息基础数据库⽤户管理规范》(JR/T0115-2014),建⽴完善⽤户管理制度,明确管理员⽤户、数据上报⽤户、信息查询⽤户及异议处理⽤户的职责及操作规程。
第⼗四条接⼊机构创建、停⽤、重新启⽤征信⽤户,修改所创建⽤户的基本信息、增加或删除⽤户权限的,应有内部审批流程。未按内部审批流程履⾏审批⼿续的,管理员不得擅⾃进⾏相关⽤户管理操作。
第⼗五条接⼊机构要结合实际业务需要,根据权限分配最⼩化、监督制约、责任落实和信息安全保护等原则,严格控制征信⽤户数量,并将⽤户权限控制在业务需要范围内。
第⼗六条 接⼊机构征信⽤户应由经过征信业务培训、熟悉征信法规、规章、规范及制度的正式员⼯担任。
接⼊机构要组织⼈员参加所在地⼈民银⾏举办的征信业务考试。考试不合格的⼈员要参加补考或下⼀
次考试;连续两次考试不合格的⼈员,建议接⼊机构不安排其从事征信相关⼯作岗位。
第⼗七条接⼊机构的管理员⽤户、数据上报⽤户和信息查询⽤户不得互相兼职。各类⽤户要做到⼈户统⼀、专⼈专⽤和实名制,不得设置公共⽤户或者类公共⽤户。征信查询管理系统绑定的⾦融信⽤信息基础数据库统⼀查询⽤户,也应指定专⼈负责管理,并定期对该⽤户的查询情况进⾏复核。
第⼗⼋条征信⽤户调离或长期不在征信岗位的,应先⾏启动相关内部审批流程予以停⽤。严禁后续⼈员或临时代岗⼈员继续使⽤原岗位⼈员的⽤户。
第⼗九条 接⼊机构不得为第三⽅机构开设查询⽤户,不得将征信⽤户名和密码提供或出借给其他机构使⽤,不得为其他机构查询征信信息提供场地、⽹络、技术等便利。
第⼆⼗条接⼊机构征信⽤户要按⽉修改⽤户密码,密码设置应符合复杂性规定(包含⼤⼩写字母和数字,且长度不少于8位字符),不得使⽤系统初始密码。管理员⽤户的密码须封存交部门负责⼈保管。
第⼆⼗⼀条接⼊机构应完善系统登录⽅式,采取动态密码、完善静态密码编制规则、密码和登录⽤户相分离、⽤户和IP 地址相关联等⼀种或者⼏种组合措施,有效杜绝盗⽤⽤户登录现象。应不断更新技术保障措施,加强对各级征信⽤户运⾏情况的实时监控,并记录⽤户登录⽇志、查询⾏为。
第⼆⼗⼆条接⼊机构应汇总⾦融信⽤信息基础数据库⽤户和征信查询管理系统⽤户情况,于年初20⽇
内向所在地⼈民银⾏备案;征信⽤户发⽣变动的,应当于变动后2个⼯作⽇内向所在地⼈民银⾏变更备案(⽤户备案表见附件1)。
第⼆⼗三条接⼊机构征信⽤户因违法提供或出售⽤户名、密码,或因⽤户名、密码、查得的征信信息保管不善造成信息泄露的,应承担相应法律责任,同时接⼊机构应将其调离征信岗位。
第四章查询管理
第⼆⼗四条接⼊机构应健全征信信息查询管理制度,完善查询操作规程,采取补充⾯签照⽚、查询授权资料复核或者业务触发式查询等⽅式,确保在真实业务背景下、获得信息主体书⾯同意后,合法合规进⾏查询。严禁⽆授权查询、先查询后取得授权、超出授权期限查询、⽆业务背景查询、代理第三⽅查询等违规⾏为。
第⼆⼗五条 接⼊机构应采⽤格式合同条款或授权书形式取得信息主体查询信息的书⾯同意。授权条款或授权书内容应当具备被授权⼈、信息提供者、授权事项及⽤途、授权⽇期、授权期限等要素(必备要素见附件2)。要素表述应当明确具体,不得出现宽泛、模糊的表述,不得排除信息主体权利或加重信息主体责任。
采⽤格式合同条款取得信息主体信息查询授权的,应按照本办法第七条执⾏。
第⼆⼗六条 接⼊机构应要求信息主体完整、准确地填写征信授权书或格式合同授权条款各要素;应要求信息主体按照实际业务正确填写或选择查询原因;信息主体为个⼈的,应要求其如实签署姓名及授权⽇期;信息主体为企业的,应加盖授权⼈法⼈公章或由法定代表⼈签字,并签署授权⽇期,不得空缺。个⼈信息主体的约定⽤途应当明确、具体,不得宽泛、模糊或空缺,也不得超出接⼊机构业务办理的合理需要。
第⼆⼗七条接⼊机构对已发放的企业或个⼈信贷业务进⾏贷后风险管理⽽查询信⽤报告的,应事先确认有对应授信业务且授权书未超过有效期限。以⼈⼯发起查询的,应根据内部审批制度,在取得部门主管授权后查询;以系统⾃动触发查询的,应按照机构内部征信信息安全领导⼩组批准的触发规则设计程序,由系统发起查询。贷后管理查询征信信息的时间及频率不得超出实际业务需要。
第⼆⼗⼋条接⼊机构应当上线征信查询管理系统或在现有管理系统中实现征信查询管理系统的功能,对直接登录⾦融信⽤信息基础数据库的查询⾏为进⾏严格控制。
应采取查询⽤机专机专⽤、查询前核实⽤户⾝份、对查询⾏为进⾏视频监控、查询⾏为痕迹留存等⼀种或者⼏种组合措施,保证查询⾏为的安全合规。对查询⽤机连接互联⽹、安装第三⽅软件和数据向外转移进⾏严格管控。
第⼆⼗九条接⼊机构应当建⽴完善查询登记制度,以⼈⼯或电⼦形式对查询时间、被查询⼈姓名(企
业名称)、被查询⼈⾝份证号码(中征码或企业统⼀社会信⽤代码等)、查询原因、查询员姓名等要素进⾏记录(附件3)。
第三⼗条接⼊机构应结合本机构业务实际,合理设置睡眠户重启、征信查询⼯作时间段、查询阈值、跨地域查询、⽆授权查询、查询原因异常、重复查询等异常查询条件,及时发现和阻断异常查询⾏为。
第五章 信息使⽤
第三⼗⼀条接⼊机构应按照信息主体约定的⽤途使⽤个⼈信息,且该⽤途不得超出接⼊机构业务的合理范围。
第三⼗⼆条 接⼊机构及其相关⼯作⼈员应当对业务过程中获取、知悉的征信信息予以保密。
第三⼗三条 接⼊机构应不断优化升级征信业务信息系统,实现信⽤报告脱敏展⽰、结构化展⽰和⾃动解读。
第三⼗四条 未经信息主体书⾯同意不得对外提供个⼈征信信息。接⼊机构与第三⽅机构合作,确实需要向第三⽅提供个⼈征信信息的,应与第三⽅签署保密协议,在保证个⼈信息主体充分知晓对外提供的对象、可能产⽣的不良后果、获得个⼈信息主体书⾯授权的前提下,尽可能以结构化展⽰的形式
进⾏提供。
第三⼗五条 杜绝在与外部⽹络相连接的机器上设置查询功能,从严控制信⽤报告打印、下载、复制及截屏,确保征信信息的查询、使⽤、转移限制在本机构内部⽹络中,严禁⾮法对外提供或集团内共享。
第六章互联⽹业务的征信管理
第三⼗六条 接⼊机构通过互联⽹渠道办理业务同时获取信息主体电⼦征信授权的,应将征信信息报送和查询授权书嵌⼊业务申请界⾯,并采⽤强制展⽰⽅式,提⽰信息主体阅读授权书内容,确保信息主体充分知悉授权对象、⽤途等事项及可能的后果。
第三⼗七条 接⼊机构应采取四要素认证、活体识别等多重技术措施,对互联⽹客户进⾏⾝份认证,确保⾝份及授权的真实性。⾝份认证措施应具备合法性、可证实性、可追溯性及法律效⼒,避免⽹络欺诈导致的未经授权查询风险。
第三⼗⼋条 接⼊机构应按照《电⼦签名法》的要求获取合法的信息主体电⼦征信授权书。
第三⼗九条 接⼊机构对信息主体每次线上授权均要保存独⽴的电⼦授权书存证。应妥善保存信息主体⾝份证照⽚、签名、授权时间、约定⽤途等证据,确保上述要素不被篡改,从⽽确保授权⽂件的真
实性、完整性、可证实、可追溯和法律效⼒。
第四⼗条 接⼊机构与第三⽅机构开展互联⽹业务合作的,应与合作⽅明确约定⾝份识别、授权明⽰等环节中的责任与义务,并对第三⽅机构获取授权的情况进⾏定期监测,要求其及时转交相关书⾯授权予以存档。如与第三⽅业务合作中出现投诉、欺诈等情况的,接⼊机构应及时与第三⽅机构厘清责任,并向所在地⼈民银⾏分⽀机构报告。
第四⼗⼀条 采⽤计算机程序⾃动发起查询的接⼊机构,应优化征信查询逻辑和前置条件,即应在完成⾝份识别、授权验证、反欺诈、业务区分、内部模型验证等环节后发起征信查询;在查询量较⼤时段要监测查询⾏为,避免在短时间内重复、⾼频查询。接⼊机构开展可能导致征信查询量激增的业务时,应提前向所在地⼈民银⾏分⽀机构报告。
第四⼗⼆条 系统后台应⾃动保存被查询⼈姓名、⾝份证件号码、统⼀查询⽤户名、查询操作员(如有,应细化到具体部门、分⽀机构)、查询原因、查询机构号、授权书编号、授权时间等操作⽇志,确保每笔查询⾏为有记录、可定位、可追溯。
第七章 异议处理和投诉核查
第四⼗三条 接⼊机构应参照《⾦融信⽤信息基础数据库企业及个⼈征信异议处理规程》(银征信中
⼼〔2013〕97号)分别制定企业和个⼈征信异议处理⼯作流程,确定异议处理部门和⼈员,并在每年初20⽇内或发⽣变动后2个⼯作⽇内及时向所在地⼈民银⾏报备。
第四⼗四条 接⼊机构⾃⾏受理征信异议的,应要求信息主体填写“异议申请表”(附件4、6),获取查询其征信信息的授权。
第四⼗五条 接⼊机构在⾃⾏受理异议或接到征信中⼼异议信息核查通知后应⽴即启动核查程序,并针对不同的核查结果进⾏相应处理:异议信息存在错误、遗漏的,应在回复核查结果的同时向征信中⼼报送更正信息;异议信息不存在错误、遗漏,或不能确认的,应如实回复核查情况。
第四⼗六条 接⼊机构⾃⾏受理征信异议的,应在接收异议信息之⽇起20⽇内出具异议回复函(附件5、7),将核查和处理结果书⾯告知异议申请⼈。配合征信中⼼开展异议核查的,应在接到个⼈异议信息核查通知起10⽇内、接到企业异议信息核查通知起12⽇内完成对异议信息的核查和回复。
第四⼗七条 接⼊机构⾃⾏受理征信异议的,应将异议申请表、申请⼈有效证件复印件、异议回复函⼀并留存;配合征
第四⼗七条 接⼊机构⾃⾏受理征信异议的,应将异议申请表、申请⼈有效证件复印件、异议回复函⼀并留存;配合征信中⼼开展异议核查的,应留存异议核查通知书及回复内容。
第四⼗⼋条 接⼊机构的书⾯回复可以是法律许可的纸质或电⼦形式。通过电⼦邮件、信函、短信等⽅式书⾯回复异议申请⼈异议核查结果的,应妥善保管相关的证明材料或凭证。
第四⼗九条 接⼊机构应当在收到⼈民银⾏分⽀机构转交的投诉事项后⽴即进⾏内部核查,并在收到投诉之⽇起10⽇内就相关事项的实际情况和发⽣原因向⼈民银⾏分⽀机构做出书⾯说明,并提供相关证明材料。
第五⼗条 接⼊机构应以异议和投诉为重要线索,对可能涉及的征信信息安全风险事件及时进⾏全⾯排查,及时发现问题和排除隐患。
接⼊机构发⽣征信诉讼案件的,应在接到法院应诉通知书的2个⼯作⽇内向所在地⼈民银⾏分⽀机构报告,并妥善处置。
第⼋章 档案管理
第五⼗⼀条 接⼊机构应按照档案和电⼦数据管理相关规定,将与其发⽣业务客户的征信授权书或格式合同(含授权条款)、有效证件复印件、在线业务⾝份核实佐证材料等归档保管。因业务办理需要打印的企业、个⼈信⽤报告应作为信贷档案要件与合同等业务资料⼀并归档保管。
第五⼗⼆条接⼊机构对于被拒(贷款、信⽤卡或其他业务申请未获批准)客户的征信授权书或格式合
同(含授权条款)、有效证件复印件应归类妥善保存。
第五⼗三条因业务需要缓存电⼦信⽤报告⾄机构相关业务系统、本地硬盘或以其他形式进⾏机构内部流转的,应采取有效措施禁⽌将征信信息导出⾄移动介质,并采取数据加密、⽔印等措施防⽌⾮法窃取。接⼊机构应对纸质及电⼦信⽤报告进⾏妥善保管,按合法、正当、必要、安全的原则,严格控制信⽤报告的调阅、流转、应⽤和销毁,确保上述操作均应经过内部授权,杜绝征信信息以各种途径向外转移。应根据档案管理要求设置纸质及电⼦信⽤报告保存期限,已使⽤完毕且未纳⼊信贷档案长期保存的纸质或电⼦信⽤报告应及时销毁或删除,电⼦信⽤报告缓存期限最长不得超过5年。
第五⼗四条 接⼊机构离岗⼈员需在严格监督下办理客户资料交接⼿续,做到档案或资料交接全⾯、彻底,避免信息主体信⽤信息被私⾃留存。
第九章信息安全管理
第五⼗五条接⼊机构应认真研究《征信业管理条例》及相关配套制度规定,认真梳理完善征信内控制度、业务流程及业务⽂本,建⽴完善信⽤信息报送、查询、使⽤、异议处理、⽤户管理、安全管理、责任追究、风险监测、应急处置、安全教育等⼯作制度。
第五⼗六条 接⼊机构应成⽴征信信息安全⼯作领导⼩组,明确征信牵头管理部门,细化征信相关部
门⼯作职责,确保各部门合理分⼯、协同合作。牵头部门应建⽴征信⼯作协调机制,通过定期召开征信⼯作例会、发送⼯作联系函等⽅式,积极组织相关业务部门落实征信合规有关要求,有效保证征信信息安全。
第五⼗七条 接⼊机构应建⽴征信信息安全责任追究机制,按照“分级管理、逐级负责、分⼯协作”和“谁主管谁负责、谁使⽤谁负责”的原则,明确领导层中分管征信⼯作的负责⼈为第⼀责任⼈,⾦融信⽤信息基础数据库及相关信息系统的使⽤⼈为直接责任⼈,并明确第⼀责任⼈、直接责任⼈和其他相关⼈员的责任分⼯,确保征信风险防范责任层层落实。
第五⼗⼋条接⼊机构应建⽴分级监控、专项核查的⼯作机制,由征信牵头管理部门督促相关职能部门开展征信⽤户查询操作⽇查、征信合规检查及信息安全⾃查⾃纠。组织开展征信业务的内部审计,审计内容应涵盖制度建设、⽤户管理、查询使⽤、信息安全、档案管理、系统安全及技术保障等内容。
对于监测及核查中发现的征信违规风险隐患,应及时核实处理,并向所在地⼈民银⾏分⽀机构按⽉报送征信信息安全情况、按季报送⾃查⾃纠情况;内部审计结束后的⼀个⽉内,向所在地⼈民银⾏报告审计情况、发现的问题及整改措施。发现违规查询、⾮法提供、违规使⽤、信⽤报告泄漏等重⼤问题的,应⽴即向所在地⼈民银⾏分⽀机构报告。
第五⼗九条接⼊机构应逐级建⽴征信信息安全事件应急处置机制,成⽴由业务、技术、法律、宣传等
⽅⾯专业⼈员组成的应急处置⼯作⼩组,明确企业和个⼈征信信息违规查询、⾮法提供、违规使⽤和信息泄露等征信信息安全事件的报告及处置流程。发⽣信息泄露等违法违规事件的,应依法依规从严追究相关⼈员责任;涉嫌犯罪的,移交司法机关处理。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。