征信合规与信息安全培训

征信合规与信息安全培训风险合规部2018年6月刑法中关于“侵犯公民个人信息罪”的相关规定背景2015年11月1日起施行的《刑法修正案（九）》对刑法第二百五十三条之一作出修改完善：扩大犯罪主体的范围，规定任何单位和个人违反国家有关规定，获取、出售或者提供公民个人信息，情节严重的，都构成犯罪；明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；加重法定刑，增加规定“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。征信信息泄露涉刑2017年5月9日最高法发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》及相关典型案例法释〔2017〕10号，自2017年6月1日起施行刑法规定第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。最高法司法解释第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。第二条违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。第三条向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。最高法司法解释……第五条非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：……（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；……（七）违法所得五千元以上的；（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；……（十）其他情节严重的情形。第十二条对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。最高法司法解释总结：银行人员出售、违规提供征信信息25条以上情节严重构成犯罪，三年以下有期徒刑或拘役，并处或单处罚金包括未签署征信授权书即向征信系统报送最高法司法解释实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”：造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；造成重大经济损失或者恶劣社会影响的；数量或者数额达到前款第三项至第八项规定标准十倍以上的；其他情节特别严重的情形。最高法司法解释总结：银行人员出售、违规提供征信信息250条以上情节特别严重构成犯罪，处三年以上七年以下有期徒刑，并处罚金包括未签署征信授权书即向征信系统报送人行征信相关条例人行征信相关条例重点章节《征信业管理条例》《个人信用信息基础数据库管理暂行办法》《征信业管理条例》重点章节第四十条

向金融信用信息基础数据库提供或者查询信息的机构违反本条例规定，有下列行为之一的，由国务院征信业监督管理部门或者其派出机构责令限期改正，对单位处5万元以上50万元以下的罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款；有违法所得的，没收违法所得。给信息主体造成损失的，依法承担民事责任；构成犯罪的，依法追究刑事责任：

（1）违法提供或者出售信息；

（2）因过失泄露信息；

（3）未经同意查询个人或者企业的信贷信息；《征信业管理条例》重点章节（4）未按照规定处理异议或者对确有错误、遗漏的信息不予更正；（5）拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料。《征信业管理条例》重点章节第四十一条信息提供者违反本条例规定，向征信机构、金融信用信息基础数据库提供非依法公开的个人不良信息，未事先告知信息主体本人，情节严重或者造成严重后果的，由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款；对个人处1万元以上5万元以下的罚款《征信业管理条例》重点章节第四十二条信息使用者违反本条例规定，未按照与个人信息主体约定的用途使用个人信息或者未经个人信息主体同意向第三方提供个人信息，情节严重或者造成严重后果的，由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款；对个人处1万元以上5万元以下的罚款；有违法所得的，没收违法所得。给信息主体造成损失的，依法承担民事责任；构成犯罪的，依法追究刑事责任。《个人信用信息基础数据库管理暂行办法》重点章节（一）第三章查询（二）第五章安全管理

（三）第六章罚则第三章查询

第十二条

商业银行办理下列业务，可以向个人信用数据库查询个人信用报告：（一）审核个人贷款申请的；（二）审核个人贷记卡、准贷记卡申请的；（三）审核个人作为担保人的；（四）对已发放的个人信贷进行贷后风险管理的；（五）受理法人或其他组织的贷款申请或其作为担保人，需要查询其法定代表人及出资人信用状况的。第十三条

除本办法第十二条第（四）项规定之外，商业银行查询个人信用报告时应当取得被查询人的书面授权。书面授权可以通过在贷款、贷记卡、准贷记卡以及担保申请书中增加相应条款取得。

第十二条、第十三条

人民银行解读：1、明确查询用途：明确并按授权书中约定的用途查询2、取得书面授权：书面查询授权书（合同中的格式条款）、当事人身份证复印件3、越权查询情况：未经授权查询、授权书未签字、查询日期早于授权日期、信贷业务终结后仍以“贷后管理”为由查询等4、建立贷前查询登记制度：查询登记簿（手工或者日志）5、拒贷档案保管：查询授权书及身份证复印件（可不留存个人信用报告）；单独分类，由指定部门保管

第三章查询

第十四条

商业银行应当制定贷后风险管理查询个人信用报告的内部授权制度和查询管理程序。

解读：1、建立贷后管理内控制度和登记簿（手工或日志）2、查询程序：查询人员在登记簿中登记查询内容→部门负责人审批→查询人员查询3、贷后管理查询适用期：为此笔信贷业务发放以后至该笔业务终结4、适用人员：借款人及共同还款人（保证人、抵押人、出质人）

第五章安全管理第二十六条

商业银行应当根据中国人民银行的有关规定，制定相关信用信息报送、查询、使用、异议处理、安全管理等方面的内部管理制度和操作规程，并报中国人民银行备案。解读：1、完善内控制度2、及时将最新的内控制度报当地人民银行征信管理部门备案。

第五章安全管理

第二十七条

商业银行应当建立用户管理制度，明确管理员用户、数据上报用户和信息查询用户的职责及操作规程。商业银行管理员用户、数据上报用户和查询用户不得互相兼职。第二十八条

商业银行管理员用户应当根据操作规程，为得到相关授权的人员创建相应用户。管理员用户不得直接查询个人信用信息。管理员用户应当加强对同级查询用户、数据上报用户与下一级管理员用户的日常管理。查询用户工作人员调离，该用户应当立即予以停用。第二十九条

商业银行管理员用户、数据上报用户和查询用户须报中国人民银行征信管理部门和征信服务中心备案。前款用户工作人员发生变动，商业银行应当在2个工作日内向中国人民银行征信管理部门和征信服务中心变更备案。第三十条

商业银行应当制定管理员用户和查询用户的口令控制制度，并定期检查口令控制执行情况。

第二十七、二十八、二十九、三十条解读：1、建立和完善用户管理制度2、各类用户不得兼任，应专人专用，不得混用，不得设置“公共用户”3、管理员在得到相关部门负责人授权后才能为有业务需要的人员创建相应权限用户（审批程序）4、用户口令控制：各类用户妥善保管自己的密码，每月更新一次；管理员密码必须交部门负责人封存

5、用户报备：年初10个工作日；变动发生后2个工作日报当地人民银行备案6、各类用户人员调离应在5个工作日予以停用7、定期对各类用户的合规情况、口令控制执行情况进行检查，违法规定的予以停用

第五章安全管理第三十一条

商业银行应当建立保证个人信用信息安全的管理制度，确保只有得到内部授权的人员才能接触个人信用报告，不得将个人信用报告用于本办法第十二条规定以外的其他用途。解读：1、做好与查询相关的档案保管工作，授权书、身份证复印件、个人信用报告作为信贷档案要件与信贷资料一并归档保管2、建立个人信用报告授权调阅制度，保障信息主体信息安全（调阅必须有授权）3、不得将个人信用报告用于约定之外的用途

第六章罚则

第三十八条

商业银行未按照本办法规定建立相应管理制度及操作规程的，由中国人民银行责令改正，逾期不改正的，给予警告，并处以三万元罚款。第三十九条

商业银行有下列情形之一的，由中国人民银行责令改正，并处一万元以上三万元以下罚款；涉嫌犯罪的，依法移交司法机关处理：（一）违反本办法规定，未准确、完整、及时报送个人信用信息的；（二）违反本办法第七条规定的；（三）越权查询个人信用数据库的；（四）将查询结果用于本办法规定之外的其他目的的；（五）违反异议处理规定的；（六）违反本办法安全管理要求的。第四十条

商业银行有本办法第三十八条至第三十九条规定情形的，中国人民银行可以建议商业银行对直接负责的董事、高级管理人员和其他直接责任人员给予纪律处分；涉嫌犯罪的，依法移交司法机关处理。

2018年监管新规监管文件《中国人民银行关于进一步加强征信信息安全管理的通知》（银发〔2018〕102号）南银发〔2018〕49号宿迁银转〔2018〕40号监管要求明确责任建立健全征信信息安全管理的体制和机制，成立征信信息安全工作领导小组明确岗位职责，强化征信信息安全主体责任原则：分级管理、逐级负责谁主管谁负责、谁使用谁负责明确：领导层中分管征信工作的负责人为第一责任人征信系统及相关信息系统的使用人为直接责任人监管要求完善流程用户管理——从严查询管理——健全异议处理——妥善办理完善制度内控及问责制度的报备制度信息安全报告制度征信合规与信息安全自查自纠制度及报告制度监管要求提高技防能力建立安全事件应急处置机制建立征信合规与信息安全年度考核评级制度建立征信信息安全巡查制度监管要求从严强化征信监管强化非现场监管加大现场执法检查力度加大违法违规成本具体落实要求制定落实方案完善征信信息安全内控体系成立征信信息安全工作领导小组建立完善制度：信用信息报送、查询、使用、异议、用户管理、安全管理、贷后管理、风险监测报告的内部管理制度征信合规与信息安全问责制度征信信息安全日查制度征信信息安全情况报告制度征信合规与信息安全自查自纠制度和报告制度征信信息安全事件应急处置机制及应急处置方案征信合规全员教育培训制度签订征信信息安全责任书具体落实要求自查及报告要求每日自查：每日营业结束对当天查询情况合规性自查月度自查：每月初对上月异常查询、违规查询、非法提供、违规使用、信用报告泄露情况进行梳理季度自查：每季末进行征信合规及信息安全情况自查自纠具体落实要求年度考核自评每年初对照《考核评级办法》内容和标准进行考核并报送案例近期征信违规处罚5月30日农行湖北省分行：未经信息主体书面授权同意查询征信报告、未经信息主体同意向第三方提供个人信息等处罚45万元建行湖北省分行：未经信息主体书面授权同意查询征信报告处罚45万元汉口银行股份有限公司未经信息主体书面授权同意查询征信报告处罚45万元近期征信违规处罚6月5日平安银行深圳布吉支行：违反《征信业管理条例》相关规定处罚20万元，对责任人处罚5万元成都银行南充分行：向金融信用信息基础数据库报送信息未取得信息主体书面授权处罚7万元两起案例：（银办发〔2017〕166号）中信银行大连分行保安涉嫌泄露倒卖个人征信信息案件：中信银行大连分行东港支行保安戴某、沙河口支行保安韩某，利用东港支行内部管理、网络系统、监控设置上的漏洞，通过设法获知的东港支行办公电脑开机口令、网址，安装和使用征信数据批量下载工具，使用犯罪团伙上线提供的他行征信查询账号和密码，泄露倒卖个人征信信息。戴某、韩某因涉嫌违法犯罪已被公安机关刑事拘留。中国农业银行淄博分行员工涉嫌泄露倒卖个人征信信息案件：中国农业银行淄博分行电子银行部员工擅自将本人的授权用户账号、密码出借给开发区支行从事信用卡业务的劳务派遣员工丁某使用。2015年5月至12月期间，丁某使用获得的授权用户账号和本人的查询账户，利用中国农业银行贷记卡风险管理信息系统可以查询、下载征信报告至本地保存的漏洞，泄露倒卖个人征信信息。丁某因涉嫌违法犯罪已被公安机关刑事拘留。本行征信组织管理架构征信信息安全工作领导小组个人、企业征信工作日常领导小组征信信息安全事件应急小组各经营分支机构\团队风险合规部综合管理部机构负责人（贷后审批员）录入员部门负责人管理员上报员异议处理员投诉处理员科技人员审核员部门负责人本行征信信息安全制度征信管理办法征信合规与信息安全问责制度征信信息安全内部自查制度征信信息安全情况报送制度征信合规与信息安全自查自纠及报告制度征信教育培训制度征信信息安全事件应急处置机制及应急处置方案问责制度信息安全管理制度征信管理办法征信管理办法为原《个人征信系统管理办法》、《企业征信系统管理办法》合并后，加入监管新要求，根据现行征信业务修订而成规范全行征信业务，包括：征信业务中全行各部门、分支机构的职责征信系统用户管理征信数据录入、报送及纠错信用报告查询管理异议处理信息管理与安全保密监督检查与责任追究征信管理办法-总则征信系统人民银行系统中国人民银行个人信用信息基础数据库中国人民银行企业信用信息基础数据库本行系统征信查询系统（客户查证平台）征信接口上报系统征信管理办法-部门职责个人及企业征信工作日常领导小组分管行长任组长，风险合规部、综合管理部负责人为组成人员风险合规部征信管理归口部门负责：制定制度数据上报用户管理授权管理征信管理办法-部门职责风险合规部负责：上报数据纠错管理、督促异议申请的受理和回复征信业务培训、检查与监管、征信机构的沟通协调征信管理办法-部门职责综合管理部科技支撑部门、投诉处理归口管理部门负责：征信系统维护保障科技方面改进意见、建议投诉处理工作的管理征信系统故障的反馈与沟通协助风险合规部处理异议协助数据修改征信管理办法-部门职责计财运营部向征信中心支付账单年度预算制定市场发展部业务活动开展征信宣传征信管理办法-部门职责经营机构及支行准确录入信息，及时纠错合法、合规地查询、使用信用报告做好自查自纠及整改工作其他相关工作人员及用户管理人行征信系统管理员用户普通用户数据上报员异议处理员查询员本行机构管理员用户设在风险合规部负责全行用户管理普通用户（风险合规部）上报员：数据上报异议处理员：异议处理普通用户（各支行、团队）查询员：信用报告查询人员及用户管理征信接口上报系统管理员用户普通用户数据上报员本行系统管理员用户设在风险合规部负责用户管理数据上报员用户设在风险合规部负责数据上报人员及用户管理个人查证平台管理员用户普通用户录入员审核员贷后审批员本行系统管理员用户设在风险合规部负责用户管理普通用户录入员：申请、查看信用报告审核员：审核信用报告申请贷后审批员：审批贷后信用报告查询申请人员及用户管理企业查证平台管理员用户普通用户查询员本行系统管理员用户设在风险合规部负责用户管理普通用户查询员：查询企业信用报告用户管理-用户创建和变更人行系统用户管理员用户由人民银行创建和变更操作需报经人民银行同意普通用户由管理员用户创建和变更操作需报经行内审批同意用户管理-用户创建和变更查证平台用户管理员用户负责操作《客户查证平台个人征信用户角色分配表》审核员需要事先申请并建立人行系统用户用户管理-用户创建和变更原则管理员用户、数据上报用户、录入员、贷后审批员用户和审核员用户不得互相兼职一个用户只能一人使用不得混用，不能设置“公共用户”用户离开操作台时，必须退出系统防止冒名操作和信息泄密用户名和密码被他人使用，视为用户本人操作用户管理-用户创建和变更原则职前需接受岗前培训，培训合格后由风险合规部向所在地人民银行中心支行预报备，人民银行对其任职资格进行核准后方可建立个人征信系统中离岗或者离职的用户，所在经办行（部）必须在停用后，方可批准其离岗或离职人力资源管理部门离岗、离职审批记录须有风险合规部出具的征信系统用户停用证明资料建立或变更后备案用户管理-用户创建和变更原则严禁为非正式员工、非本行工作人员开设任何征信用户存在以下情况需停用用户用户离职或调离相关岗位未经授权查询个人信用信息将查询结果用于约定用途之外的其他目的连续30天未进行查询操作的用户，应锁定，核查后根据情况是否停用上报数据管理-录入、报送数据录入各团队（支行）及相关业务部门负责完整性和真实性授权上报信息前需取得信息主体书面授权数据报送及时、准确、完整每月8日前完成上月数据上报上报数据管理-纠错数据纠错预校验错误，由上报员通知支行负责人下发至责任人（客户经理）核查并修正因自身操作原因造成不良记录的，由责任机构提交改数申请更正客户自身原因造成不良记录的，原则上不予删除上报数据管理-告知逾期\不良信息告知上报逾期或不良信息前，需以短信方式告知客户告知格式、时间要求严禁不履行、不作为、虚假履行客户信息中电话号码无法提供电话号码的需要上门告知违反后果：征信业管理条例第四十一条——单位处2万元以上20万元以下的罚款；对个人处1万元以上5万元以下的罚款信用报告查询管理谁能查？只有查证平台审核员可以查在哪查？只能在查证平台查什么时候可以查？只能因业务需要才能查信用报告查询管理录入员用户在以下情形可申请查询个人信用报告贷款申请(本人或配偶)贷记卡、准贷记卡申请（本人）担保资格审查（本人或配偶）贷后管理（借款人、共同借款人）受理本人担任法定代表人、负责人或出资人的法人或其他组织的贷款或该法人或其他组织作为担保人，需要查询本人信用状况时；受理本人担任法定代表人、负责人或出资人的法人、商户或其他组织的特约商户开户申请，需要查询本人信用状况时；对已向本人或配偶发放的个人贷款，已办理的贷记卡（准贷记卡），本人担任法定代表人、负责人或出资人的特约商户进行贷后管理、风险调查时；对公业务贷后管理需查询法定代表人及出资人信用状况;处理本人的征信异议时；依法或经有权部门要求时；其他本人申请或办理的业务信用报告查询管理审核（查询）员用户在以下情形可查询企业信用报告审核企业客户授信业务申请；贷记卡、准贷记卡申请；审核企业客户作为担保人的；对已发放的企业信贷业务进行贷后风险管理的；受理企业客户的法定代表人、出资人或其他组织的信贷业务或该法人代表、出资人或其他组织作为担保人，需要查询企业客户信用状况的；业务审批时需查询企业信用报告的；其他申请或办理的业务信用报告查询管理合规查询第一责任人征信审核员（查询员）支行（团队）负责人授权有效授权除贷后管理查询外，均需书面授权要素：授权人、授权事项、授权时间授权书有效期：一个月授权日期应由被查询人本人填写授权事项应与系统查询时所填一致信用报告查询管理贷后查询有效期：业务发放至业务终止（归还）范围：借款人和共同还款人（保证人、抵押人、出质人）需由贷后审批员审批后才可查询信用报告查询管理查询登记登记簿登记要素查询时间被查询人姓名被查询人身份证号码查询原因查询员姓名信用报告查询管理查询档案管理非贷后的：作为信贷档案要件与借款合同等资料一并归档保管：查询人授权书身份证等证件复印件信用报告贷后的留存至信贷档案未查到的未查到界面打印留档拒贷单独保管：查询申请书、查询授权书、身份证等证件复印件、信用报告信用报告查询管理严禁的越权行为应取得被查询人书面授权，而未取得相关书面授权即办理查询；授权书中被查询人未签字或授权日期未填、查询日期先于授权日期；规定原因之外（业务原因之外）的其他原因办理查询；超过期限办理查询信用报告查询管理审核员审核内容证件、授权书、系统的一致性被查询人身份信息、证件号码查询原因授权档案是否齐全、要素是否完整、合规抬头、授权人姓名、授权查询的业务范围、授权人签名及其身份信息、授权日期授权日期查询发起的当日或有效期内审核有误或不一致的，应退回或拒绝异议处理系统内5日（自然日，下同）内查明原因并回复10日内更正无法更正的出具书面证明和还款清单，申请添加异议标注已添加异议标注的异议信息视同已更正异议处理系统外填写《异议申请书》异议处理人员登记《异议处理登记表》立即启动核查程序，5日（自然日，下同）内核查结果报风险合规部5日内答复申请人人行转发的投诉作存在异议的标注10日内核查和处理出具书面异议回复函信息管理和安全保密本行工作人员应与我行签订责任书为工作中知悉的个人信用信息保密征信数据的查询、下载、传递、使用合乎法律法规未经中国人民银行征信管理部门批准，我行任何机构和人员不得向其他征信机构及第三方数据库提供信用信息本行查询的信用信息、信用报告不得向客户提供信息管理和安全保密本行查询到的个人信用信息，必须做好保密工作，防止对外不当泄露，禁止违法向担保公司、小贷公司、P2P公司等外部中介机构提供或者出售本机构查询到的个人信用信息除业务接触外，本行其他工作人员不得接触信用报告，有权接触个人信用报告的工作人员不得将个人信用报告用于规定之外的用途信息管理和安全保密本行工作人员不得违反法律、法规及本办法规定，篡改、毁损、泄露或非法使用中国人民银行个人信用信息基础数据库中信息，不得与他人恶意串通，向中国人民银行个人信用信息基础数据库报送虚假信息。所有查询必须通过征信查询系统（客户查证平台）发起，查得的信用报告不得下载、多次打印、截屏或复制风险合规部和综合管理部应加强信用信息的安全管理。落实数据上报、错误数据更正等各个环节的管理制度，防范操作风险严格执行数据删除审批制度，规范、完善上报数据删除请求报文的操作流程。向人行征信系统报送“批量信贷业务数据删除请求报文”时，应严格按照征信数据删除有关规定执行对个人征信系统相关硬件设备、网络资源的使用，应遵守本行有关管理规定，确保正常运行，严禁连接互联网的各类机器及APP接入征信系统监督检查与责任追究管理员组织对全行征信数据质量管理、用户管理、信用报告查询等工作监管检查定期开展检查检查内容：征信制度执行落实数据质量管理信用报告查询使用安全管理异议处理监督检查与责任追究检查中发现的违规行为根据《问责制度》和《征信合规与信息安全问责制度》进行问责涉嫌犯罪的，依法移交司法机关处理征信合规与信息安全问责制度征信合规与信息安全问责制度根据银发〔2018〕102号文制定5月31日起实施征信合规与信息安全问责制度在征信工作中，存在下列行为的，对相关责任人、责任部门通报批评；情节严重、造成不利影响的，对相关责任人进行经济处罚，并进行纪律处分；如有不当得利的，责令退回；构成犯罪的，移送司法机关处理：征信合规与信息安全问责制度未按要求准确、及时、完整报送企业及个人信用信息数据；未经有权部门批准，擅自删除征信数据；未经授权，或是越权向征信系统查询信用报告；查得的信用报告未按规定妥善保管的；将征信系统查询结果用于未经我行批准的、非法定的其他目的；未按规定妥善保管和使用征信系统用户名和用户密码，造成他人冒用的；征信合规与信息安全问责制度对客户提出的异议处理或人民银行征信中心发来的异议协查未在规定时间内及时处理或回复的；违法提供或出售个人或企业信用信息的；违反征信管理其他规定的以致损害本行或信息主体利益，并对本行造成法律风险、声誉风险等不良影响的；违反征信管理其他规定的，对本行造成恶劣影响或产生损失的征信合规与信息安全问责制度检查工作中发现的违规行为单项处罚标准每人每次100元以上1000元以下（均含本数）绩效收入查询人员发生岗位变动后未及时调整用户及权限；存在查询授权书授权对象、授权时间、授权期限、查询用途、被查询人签名等要素填写不全情况；异议处理超期或未按要求进行书面回复、未按要求对确有错误或遗漏的数据进行更正；与本机构发生信贷业务或办理征信维权的被查询人相关查询资料（信用报告、授权委托书、身份证复印件等纸质和电子档案）未按要求归档管理；未留存拒贷客户的查询授权资料。征信合规与信息安全问责制度检查工作中发现的违规行为单项处罚标准每人每次1000元以上绩效收入的单项经济处罚未经申请，擅自开立查询用户，员工离职或长期不在相应岗位未及时停用其用户；设置公共用户，为非正式员工、非本行工作人员开设查询用户的；将本行用户提供给其他无关人员使用或对外出借或出售征信系统查询用户及密码；查询企业和个人信用报告未取得被查询人授权或存在先查询后授权情况征信合规与信息安全问责制度检查工作中发现的违规行为单项处罚标准每人每次1000元以上绩效收入的单项经济处罚存在代理第三方机构查询情况（包括小贷公司、担保公司、财富公司、保险公司、村镇银行等）；以贷后管理为原因，但信息主体未在本机构办理信贷业务的查询；工作人员向机构外或本机构无关人员泄露、出售征信信息；未及时对人民银行转交的投诉事项进行核查以及未及时报告诉讼事项或应对处置不主动及时；其他违规操作行为征信信息安全内部日查制度日查制度时间：每日营业结束后（最迟不得晚于次日开始营业前）主体：有查询权限的各支行（团队）内容：根据《江苏泗洪东吴村镇银行征信查询操作日核查情况表》对当天查询情况的合规性开展自查，发现问题的，应立即整改存在以下问题应立即向风险合规部报告，并上报人行：未经授权查询未经同意向第三方提供违法提供或出售信息对外提供或出借用户用户泄露日查制度-具体内容个人信息查询情况逐笔对照操作日志和个人查询登记簿，核对是否存在漏记或未经授权的查询授权留存材料中，相关证件是否存在不合规或不完整书面授权的各项要素（抬头、授权人姓名、授权查询的业务范围、授权人签名及其身份信息、授权日期）是否填写完整、合规，授权日期是否为查询发起的当日或之前（个征查询期间为签订授权书后一个月内）仔细核查每笔查询业务，操作流程中是否存在先查询、后授权是否存在查询原因选择错误，每笔查询业务系统内录入的査询原因是否错误，与书面授权上勾选的业务范围是否一致个人信用报告查询资料是否按照行内相关管理办法规范保管个人查询登记簿是否及时、准确、完整登记，查询时间、被查询人姓名、被查询人身份证号码、查询原因、查询员姓名等各项要素是否存在不完整、不规范日查制度-具体内容企业信息查询情况：逐笔对照操作日志和《江苏泗洪东吴村镇银行企业征信系统查询登记簿》，核对是否存在漏记或未经授权的查询授权留存材料中，相关证件是否存在不合规或不完整《企业信用信息查询及留存授权书》的各项签署要素是否填写完整、准确，包括授权企业名称、查询的用途范围、企业公章及法人代表签字或盖章、签署日期是否早于查询日期等仔细核查每笔查询业务，操作流程中是否存在先查询、后授权是否存在查询原因选择错误，每笔查询业务系统内录入的査询原因是否错误，与书面授权上勾选的业务范围是否一致企业信用报告查询资料是否按照行内相关管理办法规范保管日查制度-具体内容信息使用及安全管理情况以及问题整改情况进一步核查查询过程中是否存在未经授权查询、未经同意向第三方提供、违法提供或出售信息、对外提供或出借用户、用户泄露等违规事项。若存在上述情况的，应立即向总行风险合规部报告，并向所在地人民银行分支机构报告。对之前检查发现的待整改事项进行跟进，记录整改完成事项和整改中事项，整改中事项应明确预计完成时间。日查制度-相关要求每日由各支行及相关部门审核员填写，支行及相关部门负责人进行复核打印签字后，进行专夹保管并按季装订，定期移交档案管理部门总行征信管理员对全行当天查询情况的合规性开展自查，发现问题的，应立即整改，并对支行日查情况进行监督，对日查工作不到位者应督促其进行整改，情节严重者按相关管理办法进行通报及惩处征信信息安全情况报送制度征信信息安全报送征信信息安全管理用户安全管理信息档案的安全管理系统安全管理征信信息安全报送每月核查核查内容异常查询违规查询非法提供违规使用信用报告泄露未发生征信信息安全风险事件的，应采取零报告制度征信信息安全报送每月初3日内将上月情况报送风险合规部征信管理岗征信合规与信息安全自查自纠及报告制度自查自纠及报告每日自查按日查制度操作月度自查按信息安全报送制度操作季度自查自纠按照《接入机构征信合规及信息安全季度自查手册》分级进行自查自纠自查自纠及报告非现场检查为主、现场检查为辅用户自查查询用户和审核用户应每日下载操作日志并自查,自查内容应至少包括:在线档案、纸质档案是否完整、授权书要素是否齐全、征信查询原因选择是否正确、是否存在先查询后授权情况等；确认查询或审核的记录均为本人操作,如发现可疑之处应立即报告所属机构负责人。自查自纠及报告机构自查征信管理员应每月开展对全辖机构用户管理和信息查询工作的自查,自查内容应至少包括：根据辖内用户清单确认用户数量、准入条件、归属机构等是否符合上述要求,并将名单发至综合管理部确认,如有离职或调岗的用户应立即予以禁用；抽取一定量的查询记录(需覆盖辖内每一位查询用户),查看每笔查询的录入与授权档案是否符合要求,发现问题的应要求相关机构和用户立即整改；前期检查发现问题的整改情况。自查自纠及报告现场检查风险合规部制定年度现场检查计划,由征信管理员组织检查人员，按照一定的覆盖比例对辖内机构的授权档案归档情况开展现场检查;其中,机构开展现场检查的比例不得低于四分之一。自查自纠及报告内部检查情况的上报月报每月初3日内向征信管理员报送反映上月情况的《征信信息安全情况统计表》征信管理员应于每月4日内汇总全辖检查情况季报各查询机构、各条线按照自查手册进行自查自纠风险合规部应组织对全辖所有机构的各类征信合规与信息安全风险隐患、自查自纠情况进行检查总行层级的各类风险进行自查自纠季后6日内报送自查自纠情况表及报告征信分管领导签字并加盖公章报人民银行同时将电子版报风险管理中心自查自纠及报告内部检查情况的上报年报风险合规部每年初对照《考核评级管理办法》开展自评每年1月10日前报送征信工作分管领导签字确认逐页加盖公章报人民银行电子版报风险管理中心自查自纠及报告接受人行监管现场检查情况的报告各机构应及时向上级机构报告属地人民银行现场检查的相关情况;对于涉及严重违法违规的情况,应当立即报告征信信息安全事件应急处置机制及应急处置方案应急处置工作原则统一领导，分级负责明确责任，规范管理预防为主，加强监控快速反应，协同应对应急处置工作-组织与职责征信信息安全应急工作小组分管行长任组长风险合规部、综合管理部负责人任副组长设有征信操作用户的各其他部门、支行或团队负责人为组成人员办公室设在风险合规部分管行长主要负责信息安全管理领导工作，决策重大征信信息安全事项应急处置