据央行官网,近日,央行下发了《关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号文,下称“102号文”),进一步加强金融信用信息基础数据库运行机构和接入机构征信信息安全管理。
102号文要求,运行机构和接入机构建立健全征信信息安全管理的体制和机制,成立征信信息安全工作领导小组,明确岗位职责,强化征信信息安全主体责任,按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则,明确领导层中分管征信工作的负责人为第一责任人,征信系统及相关信息系统的使用人为直接责任人,并明确第一责任人、直接责任人和其他相关人员的责任分工。
值得注意的是,102号文明确,运行机构和接入机构要健全征信信息查询管理,严格授权查询机制,未经授权严禁查询征信报告,且严禁未经授权认可的APP接入征信系统。与此同时,运行机构和接入机构应从严管理批量数据,按照合法、正当、必要的原则,严格按流程和保密要求办理批量数据的抽取、留存、流转、应用和销毁,确保各环节数据安全。
此外,102号文还提到,央行将建立接入机构征信合规与信息安全年度考核评级制度,对接入机构的考核评级结果,将作为实施征信现场执法检查、中央银行对金融机构内部评级、调整对征信系统的查询权限等的重要依据。
在建立征信合规与信息安全自查自纠方面,运行机构和接入机构应建立分级监控、专项核查的工作机制,按照征信内控制度的规定,对日常监测发现的风险线索以及异常查询线索,与对应的信贷业务进行逐笔核实,从授权、审核、查询、使用、存储等各环节梳理是否存在征信违规风险隐患,不定期组织抽查,建立健全征信合规与信息安全自查自纠制度,并向央行报备,报备流程参照征信内控制度及问责制度的报备要求。
对于有关运行机构和接入机构报备的责任制度,102号文也做出了明确要求。机构报告的征信信息安全事件、征信合规与信息安全自查自纠情况以及考核评级与巡查结论,均作为央行非现场监管的内容。对非现场监管涉及内容的真实性,央行将通过现场执法检查予以确认。对存在未报、漏报、虚报、瞒报情况的机构,将重点开展现场执法检查。
