中国人民银行文件 银发〔2018〕102 号 中国人民银行关于进一步加强 征信信息安全管理的通知 中国人民银行上海总部，各分行、营业管理部，各省会（首府） 城市中心支行，各副省级城市中心支行；国家开发银行，各政策 性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行： 为贯彻落实党的十九大精神和第五次全国金融工作会议精 神，加强个人信息保护，做好新时代征信信息安全管理工作，切 实保护信息主体合法权益，提升人民群众在征信领域的幸福感和 安全感，依据《征信业管理条例》、 《个人信用信息基础数据库管 — 1 — 理暂行办法》 （中国人民银行令〔2005〕第 3 号发布）等法规规章 的相关规定，现就进一步加强金融信用信息基础数据库运行机构 和接入机构（以下简称运行机构和接入机构）征信信息安全管理 有关事项通知如下： 一、切实增强征信信息安全管理意识，强化征信信息安全主 体责任 运行机构和接入机构要清醒认识当前征信信息安全面临的 严峻形势，切实增强征信信息安全管理意识。建立健全征信信息 安全管理的体制和机制，成立征信信息安全工作领导小组，明确 岗位职责，强化征信信息安全主体责任，按照“分级管理、逐级 负责”和“谁主管谁负责、谁使用谁负责”的原则，明确领导层 中分管征信工作的负责人为第一责任人，征信系统及相关信息系 统的使用人为直接责任人，并明确第一责任人、直接责任人和其 他相关人员的责任分工。 二、完善征信业务操控流程，不断提高征信信息安全管理水 平 运行机构和接入机构要切实加强对征信各级管理人员和从 业人员的全员征信合规性教育培训，围绕征信信息安全管理，通 过加强征信系统用户管理、健全征信信息查询管理、优化自助查 询机管理、完善征信异常查询监控机制、妥善办理异议与投诉等 措施，完善征信业务操控流程，牢牢守住不发生征信信息安全风 险的底线。 — 2 — （一）从严加强征信系统用户管理。 运行机构和接入机构应严格遵循相关规定办理用户的创建、 停用和启用，根据“最小授权”原则分配各类、各级用户的权限， 严格用户权限设置，将用户权限控制在业务需要的最小范围内。 杜绝创建公共账户或者类公共账户，切实做到人户统一、专人专 用，及时停用和启用用户，实施用户密码动态管理。 运行机构和接入机构应不断更新技术保障措施，加强对各级 征信系统用户运行情况的实时监控。分级负责，明确责任，技防 和人防相结合，在制度措施保障上不留真空和死角。 （二）健全征信信息查询管理。 运行机构和接入机构要健全征信信息查询管理，严格授权查 询机制，未经授权严禁查询征信报告，规范内部人员和国家机关 查询办理流程，严禁未经授权认可的 APP 接入征信系统。从严管 理批量数据，按照合法、正当、必要的原则，严格按流程和保密 要求办理批量数据的抽取、留存、流转、应用和销毁，确保各环 节数据安全。 （三）优化自助查询机管理。 运行机构和接入机构应优化自助查询机用户管理，明确自助 查询机用户管理权限，及时停用或者删除无效用户；加强访问控 制，为自助查询机单独划分网段，根据工作时间和查询需要，合 理设置自助查询机自动关机时间；采购自助查询机时，完善合同 内容，明确设备提供商的保密责任；健全自助查询机物理设备管 — 3 — 理，明确自助查询机管理责任主体，对设备加强维护，按流程及 时清理自助查询机内部存储的征信信息。 （四）完善征信异常查询监控机制，妥善办理异议与投诉。 运行机构和接入机构应分级建立征信用户查询操作日核查 机制，完善异常查询监控、处置与报告机制；不断优化和调整征 信查询日核查与实时监控指标，不断提高征信用户自查与自控的 能力。严格遵守异议处理时间，规范异议处理流程，按规定出具 相关文书，做好异议申请、处理资料的保存、归档；强化投诉办 理，规范投诉流程，及时办理信息主体投诉，提高信息主体的满 意度。以异议和投诉为重要线索，对可能涉及的征信信息安全风 险事件及时进行全面排查，及时发现问题和排除隐患。 三、查漏补缺，补齐短板，完善征信内控制度及问责制度 运行机构和接入机构应结合自身实际对自身的征信内控制 度及问责制度进行全面自建自查，查漏补缺，补齐短板，并重点 从以下三个方面加以完善： （一）建立征信内控制度及问责制度的报备制度。 自本通知发布之日起，运行机构和接入机构应在 30 个工作 日内，向人民银行报备经本机构法定代表人或者主要负责人签字 并加盖公章的征信合规与信息安全内控制度及问责制度。运行机 构及全国性接入机构（名单见附件 1）的总行向人民银行征信管 理局报备，地方性接入机构和全国性接入机构的分支机构向所在 地人民银行分支机构报备。征信内控制度及问责制度变更的，应 — 4 — 当自变更之日起 10 日内向人民银行报备。 （二）建立征信信息安全情况报告制度。 运行机构和接入机构应按月定期向人民银行报送异常查询、 违规查询、非法提供、违规使用、信用报告泄漏等征信信息安全 情况统计表（见附件 2）。未发生征信信息安全风险事件的，应采 取零报告制度（即在表中填报“0” ）。发生征信信息安全风险事件 的，应立即上报相关情况。全国性接入机构的总行应于每月初 10 日内将上月情况报送人民银行征信管理局；地方性接入机构和全 国性接入机构的分支机构应于每月初 6 日内将上月情况报所在地 人民银行分支机构；人民银行副省级城市中心支行以上分支机构 应于每月初 10 日内将汇总的辖区内上月情况（包括人民银行分支 机构征信查询点情况）报送征信管理局。 （三）建立征信合规与信息安全自查自纠制度及报告制度。 运行机构和接入机构应建立分级监控、专项核查的工作机 制，按照征信内控制度的规定，对日常监测发现的风险线索以及 异常查询线索，与对应的信贷业务进行逐笔核实，从授权、审核、 查询、使用、存储等各环节梳理是否存在征信违规风险隐患，不 定期组织抽查，建立健全征信合规与信息安全自查自纠制度，并 向人民银行报备，报备流程参照征信内控制度及问责制度的报备 要求。按季度开展内部征信合规和信息安全自查自纠，并将自查 自纠情况向人民银行书面报告，报告流程参照征信信息安全事件 的报告要求。 — 5 — 四、提高技防能力，防范征信信息泄露风险 运行机构和接入机构应不断优化升级征信业务信息系统，提 升前置自控能力，推进业务触发式查询，实现信用报告脱敏展示、 结构化展示和自动解读，从严控制信用报告打印、下载，从查询、 使用和存储环节降低征信信息泄露风险。 五、建立征信信息安全事件应急处置机制 运行机构、接入机构和人民银行分支机构应逐级建立征信信 息安全事件应急处置机制，成立由业务、技术、法律、宣传等方 面专业人员组成的应急处置工作小组，制定应急处置方案，并自 本通知发布之日起 30 个工作日内将应急处置方案向人民银行报 备。报备流程参照征信内控制度及问责制度的报备要求。 六、建立征信合规与信息安全年度考核评级制度 人民银行建立接入机构征信合规与信息安全年度考核评级 制度（见附件 3） 。对接入机构的考核评级结果，将作为实施征信 现场执法检查、中央银行对金融机构内部评级、对征信查询服务 费用实行优惠、调整对征信系统的查询权限、确定金融机构存款 保险评级结果和核定金融机构存款保险费率等的重要依据。 七、建立征信信息安全巡查制度 人民银行围绕上述政策措施的贯彻落实情况，针对运行机构 和接入机构建立健全征信信息安全巡查制度，将巡查结论作为启 动执法检查程序等的重要依据。同时，建立征信信息安全巡查内 部通报制度（见附件 4） 。 — 6 — 八、从严强化征信监管，确保征信信息安全 人民银行采取综合措施，统筹推进对运行机构和接入机构的 征信监管，防范征信信息泄露风险，确保征信信息安全。 （一）强化非现场监管。 运行机构和接入机构报备的上述征信内控制度及问责制度、 征信合规与信息安全自查自纠制度、征信信息安全事件应急处置 方案，报告的征信信息安全事件、征信合规与信息安全自查自纠 情况以及考核评级与巡查结论，均作为人民银行非现场监管的内 容。对非现场监管涉及内容的真实性，人民银行将通过现场执法 检查予以确认。对存在未报、漏报、虚报、瞒报情况的机构，将 重点开展现场执法检查。 （二）加大现场执法检查力度。 人民银行随机对接入机构全员征信合规教育轮训情况、征信 内控问责情况以及征信法规制度遵守情况进行现场执法检查，并 将存在问题的机构纳入重点监管对象。对涉嫌违法违规行为的机 构和人员，视情况采取监管约谈、责令限期整改、现场执法检查、 在金融系统内部予以通报、向干部管理部门和纪检监察部门通报 等措施，并依法从严实施行政处罚，全方位正风肃纪，促使其依 法依规履职。 （三）加大违法违规成本。 对接入机构的考核评级结果、巡查结论和现场执法检查结 论，将作为确定金融机构存款保险评级结果、核定金融机构存款 — 7 — 保险费率和征信服务收费优惠与否等的重要依据；对于问题严重 的机构，人民银行责成其调整其用户管理权限，直至暂停为其提 供征信查询服务。 其他征信机构、信用评级机构及其接入机构的征信信息安全 管理，参照本通知执行。 请人民银行副省级城市中心支行以上分支机构将本通知转 发至辖区内接入机构、其他征信机构和信用评级机构。 附件：1.全国性接入机构名单 2.征信信息安全情况统计表 3．金融信用信息基础数据库接入机构征信合规与信息 安全年度考核评级管理办法 4.征信信息安全巡查试行办法 — 8 — 附件 1 全国性接入机构名单 国家开发银行、进出口银行、农业发展银行、中国工商银行、 中国农业银行、中国银行、中国建设银行、交通银行、中信银行、 中国光大银行、华夏银行、中国民生银行、招商银行、兴业银行、 广发银行、平安银行、浦发银行、恒丰银行、浙商银行、渤海银 行、中国邮政储蓄银行 — 9 — 附件 2 征信信息安全情况统计表 ****年**月 填表单位：*** 征信信息 安全 签发人：*** 风险事件类型 机构 地区 机构名 称 异 常 查 违 规 查 非 法 提 违 规 使 信用报告泄 询（笔） 询（笔） 供（笔） 用（笔） 漏（笔） 复核人：*** 备注 填表人：*** 注：1.上报违规情况涉及的机构包括金融信用信息基础数据 库运行机构、接入机构、人民银行分支机构征信查询点。 2.在备注中描述违规事件的详细情况，如事件较复杂时， 另附详细报告。 — 10 — 附件 3 金融信用信息基础数据库接入机构 征信合规与信息安全年度考核评级管理办法 第一章 总 则 第一条 为有效实施金融信用信息基础数据库接入机构 征信合规与信息安全管理，合理配置监管资源，提高监管效 率，促进接入机构规范开展征信业务活动，依据《征信业管 理条例》等有关法规制度，制定本办法。 第二条 本办法所称接入机构，是指向金融