征信信息安全管理办法

关键词: 征信

征信信息安全管理办法(通用6篇)

篇1:征信信息安全管理办法

xxx有限责任公司

关于加强征信信息安全管理的工作方案

一、指导思想

为贯彻落实银发〔2018〕102号《中国人民银行关于进一步加强征信信息安全管理的通知》的文件精神,进一步增强征信信息安全意识、加强征信信息安全管理,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感,切实防范违规查询和非法出售征信信息等行为的发生。我公司以“重规范、保安全”为工作理念,强化征信信息安全管理意识,明晰征信信息安全主体责任,完善征信内控问责机制,完备征信业务和征信信息安全操控流程,建立健全征信信息异议事件上报处理机制与安全事件应急处置机制。严防征信信息泄露风险,坚决维护客户征信信息安全,主动自觉加强我公司征信信息安全管理工作的部署和协调。

二、总体目标

1、加强征信管理,明确权责关系,提高征信人员思想认识。要清醒认识当前征信信息安全面临的严峻形势,切实增强征信信息安全管理意识。按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则,明确领导层中分管征信工作的责任关系。

2、加强征信培训,提高征信人员业务水平。熟练掌握征信业务操作流程,提高征信信息安全管理水平。对征信各级管理人员和从业人员进行全员征信合规性教育培训,牢牢守住不发生征信信息安全风险的底线。

3、加强异议处理,提高异议回复质量。分级建立征信用户查询操作日核查机制,完善异常查询监控、处置与报告机制,优化和调整征信查询日核查与实时监控指标,不断提高本公司自查与自控的能力。

4、完善征信内控制度及问责制度,提高安全管理水平。结合自身情况对自身的内控制度及问责制度进行全面自建自查,查漏补缺、,补齐短板。

5、加强征信自纠自查,提高制度执行力。本公司将征信管理工作纳入常规管理,按规定执行查询操作、档案管理、信用报告使用、异议处理、安全管理等问题,明确人员责任,加大处罚力度,将相关制度落到实处,切实防范征信信息泄露风险。

三、组织领导及工作任务

为确保征信信息安全管理工作顺利推进,由征信信息安全工作领导小组组长为第一责任人,副组长为直接责任人,组员由征信录入人员及征信查询人员组成。

1、小组组长负责全面部署此次工作,并督查工作进度。第一,保证公司关于征信合规与信息安全内控制度及问责制度有效、全面且具备可执行性;

第二,明确征信信息安全工作领导小组成员岗位职责; 第三,建立征信合规与信息安全自查自纠制度; 第四,制定征信信息安全事件应急处理方案。

将上述四项制度及方案整理成文,在小组内部研讨学习,并监督落实情况。

2、小组副组长负责分配任务及推进工作,并组织组员学习领会中国人民银行银发〔2018〕102号文件精神。根据公司实际情况,负责本公司征信信息安全内部控制系统的运行、修订和维护工作。

落实征信信息安全问责制度及自查自纠制度的实施,并组织工作小组学习征信信息安全事件应急处置方案。负责应对各种征信合规与信息安全相关问题,必要时可上报组长,以及时准确解决相关问题。

3、小组成员中,征信录入人员及征信查询人员应全面领会征信岗位职责,明确征信信息安全内控制度及问责制度相关要求,合规合法开展征信工作。

四、工作措施

1、加强公司内部对征信管理重要性和必要性的认识,明确分配权责关系,提高小组全员重视度,切实加强小组成员对征信信息安全管理意识。

第一,由副组长认真研读银发〔2018〕102号文件,并梳理、提炼文件精神,组织全小组成员学习,并以学习报告的方式验收学习成果,确保文件精神深入人心,并可以指导日后征信信息安全工作的顺利推进。

第二,确保公司内部订立的征信安全相关岗位职责、内控制度和问责制度行之有效、切实落地。组长和副组长分级管理、逐级负责,小组成员谁使用谁负责。

第三,小组全员凝心聚力,确保征信信息安全管理工作顺利推进。

2、强化小组成员征信录入及查询培训,确保征信人员业务水平到位。

第一,要求小组成员熟练掌握征信业务操作流程,提高征信信息安全管理水平。

第二,通过定期检查与不定期抽查方式考核征信录入人员与征信查询人员业务水平,并纳入公司考核制度,以敦促小组成员尽职尽责。

第三,对征信各级管理人员和从业人员进行全员征信合规性教育,提高征信工作人员思想觉悟,牢牢守住不发生征信信息安全风险的底线。

3、设立征信异常查询自查机制,妥善办理异议与投诉,设置异议处理流程及制度,提高异议回复与处理质量。优化和调整征信查询日核查与实时监控指标,不断提高本公司自查与自控的能力。

第一,将异议处理职责纳入小组成员岗位职责,切实达到责任到人,有责可依。并将异议处理结果纳入问责机制,以期妥善处理异议及投诉。

第二,严格遵守异议处理事件,规范异议处理流程,按规定出具相关文书,做好异议申请、处理资料的保管、归档。

第三,强化投诉办理,规范投诉流程,及时办理信息主体投诉,提高信息主体的满意度。第四,以异议和投诉为重要线索,对可能涉及的征信信息安全风险事件及时进行全面排查,及时发现问题和排除隐患。

4、不断完善征信内控制度及问责制度,以提高安全管理水平为目标,审视自身情况,对公司征信信息安全相关内控制度及问责制度进行由内到外、由表及里地自查自修,查找纰漏,补充缺口,健全制度体系,确保制度层次的稳健性和系统化。

第一,建立健全征信内控制度及问责制度,并及时向人民银行报备制度变更情况。

第二,建立征信信息安全情况报告制度。每月5日前向市人民银行报送异常查询、违规查询、非法提供、违规使用、信用报告泄露等征信信息安全情况统计表。及时未发生征信信息安全风险事件,亦采取玲报告制度。

第三,建立征信合规与信息安全自查自纠制度及报告制度。建立分级监控、专项核查的工作机制,按照征信内控制度的规定,对日常监测发现的风险线索以及异常查询线索,与对应的信贷业务进行逐笔核实,从授权、审核、查询、使用、存储等各个环节梳理是否存在征信违规风险隐患。按季度开展内部征信合规和信息安全自查自纠,并将自查自纠情况向人民银行书面报告。

5、不断加强本公司征信信息安全的自纠自查能力,提高全体小组成员的制度执行力,加大违反制度的惩罚力度。

第一,切实将征信管理工作纳入公司日常考核管理。

第二,按规定执行查询操作、档案管理、信用报告使用、异议处理、安全管理等问题,明确人员责任,加大处罚力度,将相关制度落到实处,切实防范征信信息泄露风险。

五、工作要求

1、统一认识,提高认识。统一全体小组成员的思想认识,深刻把握开展征信信息安全管理的重要意义,深刻理解银发〔2018〕102号文件的精神实质,强化全员的能动意识,人人明确岗位责任制,激发全员参与强化征信信息安全管理工作的积极性,主动性和创造性。

2、抓住重点,解决问题。针对文件精神、内控制度、问责制度、岗位职责、自查制度、应急机制和异议处理机制等内容和要求,进一步结合公司加强征信信息安全管理方面的需要,在小组内全面系统地开展自我诊断工作,找准导致公司产生征信信息安全风险的主要问题,在深入实施观察,充分论证的基础上,重点攻关,狠抓落实,确保客户信息得到有效保护,做好新时代征信信息安全维护工作,切实保护客户的合法权益,为提升人民群众在征信领域的幸福感和安全感不懈努力。

3、明确责任,抓好落实。细化工作任务、明确责任、强化考评,从严管理,全面落实各项制度规章及岗位职责,推动征信信息安全管理工作地深入开展,确保征信信息安全工作取得实效。

4、有序推进,合理安排。要集中力量解决征信信息安全工作中的瓶颈和主要矛盾,优先解决紧迫的、急的、需要快速处理的问题,对于长期的问题要制订出长期的解决措施,形成短、中、长兼顾,立体式的有序推进机制。在市人民银行的正确引导下,在完备的内控制度的有力制约下,为我国征信信息系统不断趋于完善添砖加瓦。

5、固化成果,不断进步。及时总结提炼征信信息安全管理工作经验,促进工作创新成果的有效转化,以执行制度、贯彻精神的行动理念保障工作成果,以完善标准、修订制度的方式方法固化工作成果,以服从引导、积极配合的实际行动显现工作成果。

我公司征信信息安全工作领导小组将严格执行本工作方案,落实关于加强征信信息安全管理的各项方针要求,积极配合市人民银行的相关工作,高度重视此次征信信息安全管理工作。领会并掌握文件精神;修订并完善自身制度;具备并提升工作自觉性;认识并强化沟通交流;建立并完善审核报送机制。为提升人民群众在征信领域的幸福感和安全感做出应有贡献!

法定代表人:

xxx有限责任公司 2018年5月15日

篇2:征信信息安全管理办法

一、总则

1.1标准适用范围

标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。

标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。

1.2相关定义

(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。

(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。

1、密码包括但不限与查询密码、登录密码、证书的PIN等。

2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。

3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。

(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。

(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。

(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。

1.3总体要求

本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。

(一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。

(二)安全技术从客户端、通讯网络、服务器端等方面提出要求。

(三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。

二、安全管理

2.1安全管理制度

征信机构根据征信系统的建设、运行和管理情况,建立和完善信息安全管理制度,并定期进行评审和修订。2.1.1内部管理制度 基本要求:

(一)应制定信息安全工作的总体方针和安全策略,说明本机构安全工作的总体原则、目标、范围和安全框架等;

(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。

(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。

(四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。

(五)应建立日常故障处理流程,重要岗位应建立双人负责制。

(六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。

(七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。

(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。

(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。

(十)应建立突发事件应急预案制度,有效避免事故造成的危害。

(十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出所机构的安全检查。增强要求:

(一)应建立征信系统建设工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。

(二)应建立密码使用、变更管理及数据备份与恢复等方面的管理制度,对系统运行维护过程中重要环节的审批与操作等作出的明确规定。

(三)应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。2.1.2安全审计制度 基本要求:

(一)应建立信息安全内部审计制度,定期可能带来信息安全风险的因素进行审计和评估,个人征信机构每年至少1次,企业征信机构每年至少1次。

(二)应对安全管理制度的制定和执行情况进行审计,审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度,安全管理制度的执行情况,是否定期对制度进行评审和修订。

(三)应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计,审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。

(四)应对业务操作进行审计,审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。

(五)审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息;应保护系统中的审计记录,避免收到未预期的删除、修改或覆盖等,保存期至少半年;纸质版审计记录保存期应不少于三年。增强要求:

(一)应定期委托外部专业机构,有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。

(二)在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。

2.2安全管理机构

征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组,并制定专门的部门负责信息安全管理工作。2.2.1岗位设置 基本要求:

(一)应设立安全主管、信息安全管理岗位,明确安全主管和信息安全管理员的岗位职责。

(二)应设立安全管理员、网络管理员、数据库管理员等岗位,并定义各工作岗位的职责。

(三)除科技部门以外,其他部门应设置部门计算机安全员。增强要求:

(一)应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。

(二)应建立数据安全管理组织,明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任,确保有效落实和推进数据安全的相关工作。2.2.2人员配备 基本要求:

(一)应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。

(二)安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。

(三)信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。增强要求:

关键事务岗位。如信息安全管理员、数据库管理员等,应配备至少两人,且互为A、B角共同管理。2.2.3授权和审批 基本要求:

(一)应根据各部门和岗位的职责明确授权审批部门和审批人。

(二)应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程,由责任人审批后方可进行,对重要活动应建立逐级审批制度。

(三)应记录审批过程并保存审批文档。增强要求:

应每年审查审批事项,及时更新需授权和审批的项目、审批的部门和审批人等信息。2.2.4沟通与合作 基本要求:

(一)应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。

(二)应加强与同业机构、通讯服务商及监管部门的合作与沟通。增强要求:

(一)在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议,共同协作处理信息安全问题。

(二)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。2.3人员管理

征信机构应加强人员安全管理,明确不同岗位的职责,规范人员录用、离岗、考核和培训等工作。2.3.1安全主管 基本要求:

(一)应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。

(二)安全主管可由信息安全管理部门的相关领导担任,也可指定专人担任,主要履行以下职责:

1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。

2、将征信机构信息安全领导小组讨论形成的安全决策,分解为安全任务部署落实。

3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。

4、对征信机构内部其他信息安全相关管理事项进行审批。

(三)安全主管调岗位时。应办理交接手续,并履行其调离后的保密义务。增强要求:

安全主管应加强信息安全知识的学习和技能掌握,及时关注国内外信息安全动态,为加强和改进本机构的信息安全管理工作提供合理化建议。2.3.2信息安全管理员 基本要求:

(一)应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。

(二)信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。

(三)信息安全管理员应履行以下职责:

1、在安全主管的指导下,具体落实各项安全管理工作,并协调各部门计算机安全员开展工作。

2、在安全主管的指导下,组织相关人员审核本机构信息化建设项目中的安全方案,组织实施安全项目建设、维护、管理信息安全专用设施。

3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。

4、负责本机构计算机系统部署上线前的安全自测试方案的审核。

5、定期检查网络和征信系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件。

6、定期组织信息安全宣传教育活动,与相关部门配合开展信息安全检查,(四)信息安全管理员调离岗位时,应办理交接手续,并履行其调离后的保密义务。增强要求:

信息安全管理员应增加信息安全知识学习和技能掌握,及时关注国内外信息安全动态,为贯彻落实本机构的信息安全策略和方案提出合理化建议。2.3.3部门计算机安全员 基本要求:

(一)各部门的计算机安全员应由较熟悉计算机知识的人员担,并报信息安全管理部备案,如有变更应及时通报信息安全管理部门。

(二)部门计算机安全员因积极配合信息安全管理员的工作,各部门应优先选派部门计算机安全员参加信息安全技术培训。

(三)部门计算机安全员应履行以下职责:

1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范,系统故障应急处理、移动存介质管控等工作。

2、全面负责本部门的信息安全管理工作。负责提出本部门的信息安全保障需求,及时与信息安全管理部门沟通本部门信息安全情况,做好信息安全通报工作,发现情况及时向信息安全管理部门报告,3、负责本部门相关文档资料的安全管理工作。以及本部门国际互联网、征信系统网络的使用和计入安全管理,组织开展本部门信息安全自查,协助信息安全管理部门完成本机构的信息安全检查工作。

(四)部门计算机安全员调离岗位时,办理交接手续,并履行其调离后的保密义务。增强要求:

部门计算机安全员每年至少参加一次信息安全培训,积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。2.2.4技术支持人员 基本要求:

(一)内部技术人员(本机构正式员工,负责参加与征信机构机房环境、网路、计算机系统等建设、运行、维护人员,若系统管理员、数据库管理员等)在落实征信系统建设和日产维护工作过程中,履行以下职责:

1、严格遵守本机构各项安全保密规定和征信系统安全管理相关制度。

2、严格权限访问,未经业务部门书面授权和本部门领导批准,不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。

3、检测和控制机房、网络、安全设备、计算机系统的安全运行状况,定期进行风险评估、应急演练,发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。

(二)外部技术人员(非本机构人员)应履行服务外包合同(协议)中的各项安全承诺,在提供技术服务期间,严格遵守征信机构相关安全规定与操作规程。增强要求:

外部技术支持人员未经业务部门书面授权和所在部门领导批准,不得擅自接触、查看或修改修改征信系统的应用设置或相关业务数据等,确需接触、查看或修改时,须取得业务部门书面授权和所在部门领导批准,并在内部技术人员在场陪同下,方可进行。2.2.5业务操作人员 基本要求:

(一)业务操作人员(指征信机构内部直接使用征信系统进行业务处理的业务部门工作人员,包括业务管理员、一般业务操作员)应履行以下职责:

1、严格按照征信机构相关业务规程操作、使用征信系统及相关数据,严禁各种违规操作。

2、严格按照征信机构信息安全管理相关规定操作、使用征信系统的业务数据,防止征信信息外泄。

3、妥善保管好征信系统的账户和密码,并按要求定期更换密码,禁止将账户和密码提供给他人使用。

4、发现征信系统出现异常及时向部门计算机安全员报告。

5、定期清理业务操作终端业务数据,不得在业务操作终端上安装与支付业务无关的计算机软件和硬件,不得擅自修改征信系统的运行环境参数。

(二)业务操作按照“权限分设、互相制约”原则,严格进行操作角色划分和授权管理,技术支持人员不得兼任业务操作人员。增加要求:

业务操作人员应实现A、B角管理。2.2.6一般计算机用户 基本要求:

(一)一般计算机用户(指征信机构内部使用接入征信系统网络的计算机及外设的所有人员)应履行以下职责:

1、及时安装计算机病毒防治软件和客户端防护软件,按规定使用移动存储介质,自觉接受部门计算机安全员的指导与管理。

2、不得安装与工作无关的计算机软件和硬件,不得将征信系统相关计算机擅自接入未经授权的网络。

(二)未经信息安全管理部门批准和检测的计算机及外设不得接入征信系统网络。增强要求:

1、一般计算机用户不得私自改变计算机用途。

2、一般计算机用户系统应统一安装、统一升级及更新计算机病毒防治软件。

2.4系统建设管理

2.4.1系统顶级 基本要求:

(一)应明确信息系统的边界和安全保护等级。

(二)应应以书面形式说明信息系统确定为某个安全保护等级的方法和理由。增强要求:

应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。2.4.2安全方案设计 基本要求:

(一)应根据征信系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。

(二)应以书面形式描述对征信系统的安全保护要求、策略和措施等内容,形成系统的安全方案。

(三)对安全方案进行细化,形成能指导征信系统安全建设、安全产品采购和使用的详细设计方案。

(四)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。增强要求:

(一)应制定和授权专门的部门对征信系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。

(二)应统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。

(三)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。

篇3:征信信息安全管理办法

央行征信局局长王煜认为, 《条例》的出台首先解决了征信业发展中无法可依的问题。《条例》明确人民银行及其派出机构是征信业监督管理部门, 依法履行对征信业和金融信用信息基础数据库运行机构的监督管理之责。

人民银行监管之下, 切实保护个人信息安全被摆在相当重要的位置, 为此《条例》对从事个人征信业务和企业征信业务的征信机构, 规定了不同的设立条件。

简单说, 考虑到个人信息的高度敏感性, 《条例》对设立从事个人征信业务的征信机构管理相对严格, 不仅有注册资本5000万元的最低要求, 还应获得人民银行的相关批准和许可;而对设立从事企业征信业务的征信机构的管理则相对宽松, 只需按规定到人民银行派出机构备案即可。

“征信机构对个人不良信息的保存期限不得超过5年, 超过的应予删除。”王煜介绍, 国际上一般都对个人的不良信息设定了保存时限, 如美国规定, 个人破产信息保留10年, 其他负面信息保留7年, 15万美元以上的负面信息不受保存期限限制。

央行相关负责人特别提醒, 征信机构对个人不良信息的保存期限, 是自不良行为或者事件终止之日起的5年, 而并非不良行为发生之日起的5年。

对于违规查询信息数据库等行为, 监管部门可对违规单位处5万元以上50万元以下的罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款, 这较以前的规定要严厉。

此外, 中国的征信行业过去十年还处于起步阶段, 但建成了企业和个人征信数据库。

据央行征信中心负责人介绍, 由央行组建、央行征信中心运行维护的我国金融信用信息数据库运行8年来已收录1800多万户企业、8亿多个人有关信息。

央行相关负责人介绍, 金融信用信息基础数据库, 是搭建金融业统一征信平台的框架和基础, 未来可能有直接采集或间接采集两个技术路线:第一, 由该数据库直接向银、证、保、外管等部门直接采集数据;第二, 也可由后者先建一个小库, 自行采集, 然后再接到人民银行数据库里面。

“目前, 两条技术路线目前都在尝试, 两条路线不排除同时试点走的方式, 最终目的是建成金融业统一征信平台。”上述负责人说。

篇4:个人信用信息征信范围探讨

關键词:《征信管理条例(征求意见稿)》;个人信息;征信范围

作者简介:张新梅(1972-),女 ,新疆克拉玛依市人,法学硕士,吉林省社会科学院副研究员,研究方向:社会法。

中图分类号:F830.1文献标识码:A doi:10.3969/j.issn.1672-3309(x).2011.08.27 文章编号:1672-3309(2011)08-68-03

一、 水电煤气、电信缴费等信息有没有必要纳入征信范围

个人信用信息的使用范围应该有哪些?事实上,这个问题在2002年央行着手立法制定征信管理制度、2005年出台《个人信用信息数据库暂行管理办法》时,一直存在激烈争议,而随着《征信管理条例(征求意见稿)》的出台,征信管理到底能达到怎样的立法目的越来越引起人们的思考。对此,国务院法制办《征信管理条例(征求意见稿)》第二条规定:本条例所称的信用信息是指能够反映个人、法人或其他组织信用状况的信息,包括:……(二)信用交易信息,即个人、法人或其他组织在贷款、使用贷记卡或准贷记卡、赊销、担保、合同履行等社会经济活动中形成的与信用有关的交易记录;……。

目前,虽然该条例还未实施,但部分地区已将水电缴费信息、税费欠缴、电信缴费信息等纳入各省市的征信系统,而中央人民银行近日也表示将考虑水电煤气缴费信息逐步纳入征信系统。

在讨论这个问题之前,我们首先应该弄清楚一个问题,信用和诚信是两个有区别的概念。大体来说,信用体现的是双方共同意志建立的客观关系,诚信体现的是信用者诚实守信的德行和人格。在经济交易中,两者都关系到同一经济内容和实际利益,但各自的着力点不同。诚信的交易关系要求个人要有诚信,个人的诚信维持着正常的交易关系,这种非强制性的维持交易靠道德来保障;信用的交易关系要求制度和法律的健全,是一种强制性的维持交易关系,个人和企业遵照法律和制度讲信用,做到公平正义,诚实守信,相应就会获得好的资信评估。

水电煤气、电信缴费信息究竟该不该纳入征信范围?笔者认为,水电煤气、电信等企业都与公民是平等的民事主体,它们之间是一种合同履行的法律关系。既然是合同履行法律关系,就应该遵循合同履行中的一个重要原则——诚实信用原则。如果公民故意欠缴上述相关费用,那就违反了合同履行中的诚实信用原则。诚实信用就是我们常说的诚信,但诚信和信用是一个概念吗?回答是否定的。在实际生活中,信用和诚信很容易混淆,实际上,诚信属于道德范畴,信用属于经济范畴。诚信作为一种道德准则,是人们在日常交往中应当诚实无欺、遵守诺言的行为准则。信用作为经济活动的基本要求,是建立在授信人对受信人偿付的承诺的信任的基础上,使后者无须支付现金就可获取商品、服务或货币的能力。所以我们不能因为公民违反诚信原则就认定其不具备信用能力。再者,合同不履行还有其他各种原因,可能是遗忘,可能与物业有纠纷,可能因为出租房屋不知欠费,还可能是质量问题,是霸王条款等,如果这样不加区分失信行为是无意还是恶意的,统一让这类信用交易信息不良的后果由公民个人单独承担,就有些显失公平了。

二、 交通违章等行政处罚信息纳入征信范围会不会构成双重处罚

个人信用信息征信范围的争议焦点之二是行政处罚信息是否被纳入征信范围?国务院法制办《征信管理条例(征求意见稿)》第二条规定:本条例所称的信用信息是指能够反映个人、法人或其他组织信用状况的信息,包括……(三)其他信息,即与个人、法人或其他组织的信用状况密切相关的行政处罚信息、法院强制执行信息、企业环境保护信息等社会公共信息。从该法条来看,行政处罚信息即将被纳入信用信息的征信范围,但具体指哪些或哪类行政处罚信息却没有做出相关规定。

在对醉驾进行刑事处罚之前,某银行支行就与该市公安局交警大队就个人因酒后驾驶等交通违法违规行为被立案查处信息达成共享协议,据悉,该协议不仅针对个人酒后驾车违法行为,还将个人无证驾驶汽车、超速驾驶80%以上的、公路客运超员数超过100%的严重交通违法行为也纳入征信系统。甚至有的地方已经扩大了征信管理范围,将违反计划生育、卫生等行政处罚也都记录在案纳入征信系统。

在商品生产和商品交换活动高度发达的市场经济社会中,信用的地位越来越重要。因为商品活动在带来巨额利润的同时,往往也蕴涵着巨大的市场风险。信用越高,风险越小;信用越低,风险越大。它是对自然人或法人履行义务的能力,特别是偿还债务能力的一种社会评价。信用在法律上分为三个位阶:其一,信用是一种资格、能力或状况,它可以被评估、评价,也可以分类、分等级;其二:信用是一种无形资产,是财富的体现;其三,信用是一种信息。信息是公开的,社会公众可以取得或咨询、查询。信用制度在很多情况下往往表现为有关信息提供、信息获取、信息评估和信息责任的法律制度。现代信用按主体划分,大体可分为政府信用、企业信用、个人信用等,其中,个人信用是一种建立在对个人特定期限内付款或还款承诺的信任的基础上的能力,它是后者无须付现款就可以获取商品、服务或资金的能力。

总之,信用本质上是一个经济问题,通过考察个人的信用信息来确定他的信用等级,从而决定是否发放贷款及发放多少贷款。一般情况下,个人信用的内容包括个人基本信息(如身份、居住、职业、收入等)、个人信用交易信息(如贷款余额、信用卡透支、信用担保等)、社会公共信息(如社保、纳税、通信费缴纳等、有无逃废银行债务、偷税漏税、逃汇骗汇等)。其中社会公共信息是指公民个人、法人或其他组织的信用状况密切相关的行政处罚信息、法院强制执行信息、企业环境保护信息等。通过考察上述信息来确定公民个人身份的合法性、个人债务偿还能力及个人债务偿还意愿这三个方面。所以,国务院法制办《征信管理条例(征求意见稿)》将立法目的表述为维护社会主义市场经济秩序,保护征信活动相关当事人的合法权益,规范征信机构的行为,促进征信业发展。

既然信用是一个经济问题,在实际操作中讲就是借款还款,要有还款能力,要有还款意愿,那么交通违法行为与借钱是否能还钱就没有一定的必然联系,银行也就没有必要一定要与行政执法部门达成协议,将公民个人所有的行政处罚信息都纳入公民个人信用档案,以此通过限制贷款、办信用卡等办法约束被行政处罚过的当事人。再者,银行做出的这种限制贷款的约束“决定”,实际上是对公民进行的另外一种意义的 “经济处罚”,虽然这种处罚与行政机关的处罚具有实质意义的不同,但也足够给行政处罚相对人造成一定的误解,误认为自己受到行政机关和银行的双重处罚。

笔者认为,社会公共信息的范围不可宽泛无边,应该采取列举式对具体行政处罚做出具体规定,否则各类征信机构就会对于违反交通法规、违反计划生育及卫生法规等的行为,不必不分主次轻重,全部纳入征信范围。征信管理的最大目的是其最初目的,即防范金融风险,对于更广泛意义的信用社会,意义不大,搭载太多功能反而偏离了银行金融杠杆的作用。这样就会出现用征信的管理行为来取代一般的社会管理,从而影响市场经济的健康发展。

三、个人基本信息的透露会不会侵犯公民的隐私权

征信机构在开展个人信用基本信息征信活动中不可避免的会触及公民的个人隐私。国务院法制办《征信管理条例(征求意见稿)》在保护公民的隐私权方面,首先确定了可以征集的个人信用基本信息范围,第二条规定本条例所称的信用信息是指能够反映个人、法人或其他组织信用状况的信息,包括:(一)基本信息,即个人、法人或其他组织的身份识别、职业和居住地址等信息;……。其次确定了禁止征集的个人信用信息范围,第三十六条规定下列个人信息,征信机构不得收集:(一)民族、家庭出身、宗教信仰、所属党派;(二)身体形态、基因、指纹、血型、疾病和病史;(三)收入数额、存款、有价证券、不动产;(四)纳税数额;(五)法律、行政法规禁止收集的其他信息。不过,在明确告知信息主体提供该信息可能产生的不利后果,并取得信息主体特别书面授权后,征信机构可以收集第(三)项、第(四)项信息。最后,赋予公民个人对信息的知情权和查询权,第三十九条规定:信息主体有权按照国务院征信业监督管理部门的规定向征信机构查询自己的信用报告。信用报告应包括信用信息、信用信息来源和信用信息查询记录。个人每年有一次免费获取其信用报告的权利。第四十条规定:信息主体认为其信息存在错误、遗漏的,有权向征信机构提出异议,要求更正。

总之,《征信管理条例(征求意见稿)》为避免征信机构在调查公民基本信息时触犯公民的个人隐私和在保护公民隐私权不受侵犯方面规定的还是比较详尽的。但笔者认为,公民的个人隐私是一个较“敏感”的问题,它涉及的面比较广,因此还需要在以下几个方面做进一步的完善:一是征信必须取得被征信者的同意,即被征信者应该拥有征信活动的知情权,这应成为联合征信的前提条件。同时,除了法定的强制性提供信息外,征信机构在进行提供个人信用信息的商业行为时,应事先征得被征信者的许可。这样可以保证信息不被滥用,并减少征信机构和被征信者之间的纠纷。二是征信必须符合一定的法定程序,要在国家法律、法规许可的范围内以合法的手段开展联合征信工作,而不能采取窃取、骗取、夺取等非法手段。征信机构工作人员必须符合从业资格要求;征信机构信息数据库储存的信息必须定时更新;获取某些特别信息必须获得被征信人同意的程序要求,法律必须明确规定征信机构的通知方式(电话、电传、邮件、电邮或其他方式)、本人的答复方式(明示或暗示)、本人答復期限,以充分尊重被征信人意愿。三是在信息收集方面应该仅限于对客观事实的描述和记载,在信息评估方面应该以国际通行的惯例和我国的国情为依据,要始终坚持客观、公正的价值取向。四是除法律规定以外不得向第三方随意泄露个人信用信息,个人信用资料的使用应该有明确的目的和合理的范围,即信息服务对象应该是根据法定的或约定的事由,在“善意使用”的原则下确定。五是赋予被征信者及时消除错误信息、更新过时信息的权利,即信息调查机构对收集、存储的信息应该进行动态监测,注意信息的准确性和时效性。征信机构要为被征信者的查询请求提供必要的准备,如专门的查询窗口、具体的联系方式等。被征信者提出查询请求的具体条件,如个人身份证明(允许委托他人代为查询时的委托证明)、查询时间限制、合理的查询理由等。被征信者可查询的内容,如征信机构保有的所有该个人或企业的信息、信息来源、被他人查询的记录等。六是必须对联合征信过程中侵害个人隐私权的不法行为者追究民事责任甚至刑事责任,给予相应的法律制裁。

四、信用信息不良记录会不会跟随终身

国务院法制办日前全文公布《征信管理条例(征求意见稿)》,就征信管理条例征求社会各界意见,其中,有关不良信用记录保留期设定等方面的内容引起社会的广泛关注,主要是负面信用记录该保留多久一直让很多人心存狐疑,人们担心拥有一次不良信用记录是否会影响终身。因为,公民个人在买房、买车、办信用卡、买保险时,金融单位都可能要看他的个人信用报告。为此,《征信管理条例(征求意见稿)》第二十一条规定:征信机构不得披露、使用自不良信用行为或事件终止之日起已超过5年的个人不良信用记录,以及自刑罚执行完毕之日起超过7年的个人犯罪记录。这一表述意味着,个人信用报告将保存5年,而个人犯罪记录将保存7年。这是国家首次明确提出负面信用记录保留期问题。这条规定相当于对负面信用记录设定了5年和7年的保留期,超过保留期限,负面信息就将在个人信用报告中被删除,这是参照国际惯例的一种做法。通过设定不良信用记录保留期,一方面国家对不良信用行为予以了打击,另一方面,国家又不能因为信用主体有了一次不良信用行为,就要其一辈子背负后果。所以出于两方面的原因,有必要设定不良信用保留期制度,来加强对信息主体的保护。

个人征信是信用记录,不是不良记录。目前,有下列6种易导致个人信用不良记录的情况:1、“睡眠信用卡”不激活还是会产生年费,若不缴纳就会产生负面的信用记录;2、信用卡透支消费、按揭贷款没有及时按期还款;3、贷款利率上调,仍按原金额支付“月供”或分期,产生欠息逾期;4、为第三方提供担保时,第三方没有按时偿还贷款;5、手机号停用,没有办理相关手续,因欠月租费而形成逾期,也会造成不良记录;6、被别人冒用身份证或身份证复印件产生信用卡欠费记录等。但是,各个银行的判定范围和尺度却不一致,有的银行将不良信用记录范围任意扩大,经常出现此银行和彼银行信用评级不一致的情况。针对以上实际情况,国务院法制办公布的《征信管理条例(征求意见稿)》,有必要对不良信用记录做出明确区分和判定,彻底改变信用评级市场混乱的局面,从而达到防范金融风险,满足经济社会发展的客观需要。

(责任编辑:方涵)

参考文献:

[1]丁邦开、何俊坤.社会信用法律制度[M].东南大学出版社,2006.

篇5:客户征信信息管理制度

第1章

总则

第1条 为防止客户征信信息泄露,确保信息完整和安全,科学、高效地保管和利用客户征信信息,特制定本制度。

第2条 本制度适用于客户征信信息相关人员的工作。

第2章 客户征信信息归档

第3条 客户开发专员每发展、接触一个新客户,均应及时在客户征信信息专员处建立客户档案,客户档案应标准化、规范化。

第4条 客户征信信息专员负责企业所有客户征信信息、客户征信信息报表的发送、收集、汇总、整理。

第5条 为方便查找,应为客户档案设置索引。

第6条 客户档案按风险控制部的要求分类摆放,按从左至右、自上而下的顺序排列。第7条 客户征信信息的载体(包括纸张、软件等)应选用质量好、便于长期保管的材料。信息书写应选用耐久性强、不易褪色的材料,如碳素墨水或蓝黑墨水,避免使用圆珠笔、铅笔等。

第3章 客户征信信息报告

第8条 客户征信信息专员对客户征信信息进行分析、整理,编制客户征信信息报告。第9条 其他部门若因工作需要,要求客户征信信息专员提供有关客户征信信息资料及定期统计报告的,须经风险控制部经理的审查同意,并经总经理批准。

第10条 客户征信信息报告如有个别项需要修改时,应报总经理批准,由风险控制部备案,不必再办理审批手续。

第11条 客户征信信息专员编制的各种客户征信信息资料报告必须根据实际业务工作需要,统一印刷、保管及发放。

第12条 为确保客户征信信息报告中数据资料的正确性,客户征信信息主管、风险控制部经理应对上报或分发的报告进行认真审查。

第4章 客户档案的检查

第13条 每半年对客户征信档案的保管状况进行一次全面检查,做好检查记录。第14条 发现客户征信档案字迹变色或材料破损要及时修复。第15条 定期检查客户征信档案的保管环境,防潮、防霉等工作一定要做好。

第5章 客户征信信息的使用

第16条 建立客户征信信息档案查阅权限制度,未经许可,任何人不得随意查阅客户征信信息档案。

第17条 查阅客户征信信息档案的具体规定如下。

1.由申请查阅者提交查阅申请,在申请中写明查阅的对象、目的、理由、查阅人概况等情况。

2.由申请查阅者所在单位(部门)盖章,负责人签字。

3.由风险控制部对查阅申请进行审核,若理由充分、手续齐全,则予以批准。第18条 客户征信信息资料安全的具体规定如下。

1.任何处室和个人不得以任何借口分散保管客户征信资料和将客户征信资料据为己有。

2.借阅者提交借阅申请,内容与查阅申请相似。

3.借阅申请由借阅者所在单位(部门)盖章,负责人签字。4.风险控制部门对借阅申请进行审核、批准。

第6章 客户征信信息的保密

第19条 风险控制部各级管理人员和征信信息管理人员要相互配合,自觉遵守客户征信信息保密制度。

第20条 凡属“机密”、“绝密”的客户资料,登记造册时,必须在检索工具备注栏写上“机密”、“绝密”字样,必须单独存放、专人管理,其他人员未经许可不得查阅。

第21条 各类重要的文件、资料必须采取以下保密措施。

1.非经总经理、客户征信信息主管或风险控制部门经理批准,不得复制和摘抄。2.其收发、传递和外出携带由指定人员负责,并采取必要的安全措施。

第22条 企业相关人员在对外交往与合作中如果需要提供客户资料时,应事先获得客户征信信息主管和风险控制部经理的批准。

第23条 对保管期满,失去保存价值的客户征信资料要按规定销毁,不得当作废纸出售。第24条 客户征信信息管理遵循“三不准”规定,其具体内容如下。1.不准在私人交往中泄露客户征信信息。2.不准在公共场所谈论客户征信信息。

3.不准在普通电话、明码电报和私人通信中泄露客户征信信息。第25条 企业工作人员发现客户征信信息已经泄露或者可能泄露时,应当立即采取补救措施,并及时报告客户征信信息主管及风险控制部经理。相关人员接到报告后,应立即处理。

第7章 附则

篇6:征信信息安全管理办法

日前,辖内部分小微企业对企业信用报告中关于自身企业的关联信息提出异议,即企业负责人认为企业信用报告中信息不准确,由于“担保人关联”导致企业征信出现提示,影响银行贷款审批效率。“企业信用信息基础数据库”对关联信息的甄别存在“高管信息认证难、高管关联甄别难、担保企业分析难”等问题,直接影响中小微企业融资,亟需引起关注。

一、存在问题

(一)企业高管信息认证难。在企业高管信息核查过程中,法定代表人信息可通过法人企业营业执照来验证,总经理和财务负责人的信息只能依据企业所填写的贷款卡申领(年审)报告书内容来认证。部分企业为避免其实际管理的几家企业成为高管关联企业,瞒报甚至错报企业总经理、财务负责人,对企业高管信息真实性造成影响。

(二)高管关联情况甄别难。因部分小微企业无专职的财务负责人,多由同一会计兼职几家小微企业的财务负责人。在“企业信用信息基础数据库”中财务负责人是作为企业的高管人员记录的,因此同一会计兼职的几家小微企业即显示为高管人员关联,但实际上企业之间并无任何关联。如常山的注册会计师刘朝金就兼职着常山骏马橡胶有限公司和浙江常山冠元家俱有限公司等企业的财务负责人,两家企业信用报告中则显示为“高管人员关联”。

(三)担保企业分析难。小微企业由于自身融资担保条件不足,向银行申请贷款时会寻求担保公司为其提供担保。多家企业由同一担保公司提供担保时,在企业信用报告中的都会出现“担保人关联”的提示,影响贷款发放。如常山县银河企业担保有限 公司为常山县文庆轴承有限公司提供担保,导致该公司与常山县柚缘食品有限公司、衢州鸿鼎臵业有限公司和浙江省常山茶叶有限公司等企业发生“担保人关联”。给该企业在银行贷款造成关联提示,对企业在银行贷款造成阻碍。

二、对策建议

(一)统一信息录入口径,确保高管信息真实有效。完善“企业信用信息基础数据库”中的企业高管人员认证,尤其是财务负责人的认证。可以在企业信用信息基础数据库中的高管人员信息处增加一条“是否在其他企业兼职”信息。同时要求金融机构加强对企业的信息甄别工作,确保关联信息的真实性。

(二)建立信息更新机制,确保关联信息及时准确。一是建议金融机构在贷款办理过程中遇到企业信息变更情况及时报备人民银行,确保企业征信信息更新的及时性。二是加强同工商部门和金融机构的联系,在注销企业的同时,应到人民银行办理贷款卡注销手续,避免该企业信息与其他企业发生关联关系,确保关联信息的准确性。

注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:66553826@qq.com

上一篇:对融资性担保机构征信信息采集工作的探讨 下一篇:征信合规性教育总结