农村信用社关于个人金融信息保护自查报告.doc

xxx农村信用社联社关于个人金融信息保护自查报告中国人民银行xx中心支行：为落实个人金融信息保护，切实保护金融消费者合法权益，维护金融稳定，按照中国人民银行xxx中心支行转发中国人民银行办公厅关于个人金融信息保护专项检查的文件的通知（昆银办发2013265号）文件要求，我社领导高度重视，提出了工作要求和时间安排，并成立了以信贷部为主、会计部、科技结算中心、政策法规部、办公室、人力资源部等有关部门为辅的自查小组。对全辖信贷管理系统、个人征信系统、银联数据发卡系统、核心业务系统、电子银行系统等涉及个人金融信息保护工作的相关领域开展了全面自查工作。现将自查情况报告如下：一、 内控制度建设及运行情况（一）我社第一时间转发了人民银行的个人金融信息保护制度，为切实保护个人金融信息省联社先后制定了xxx农村信用社个人信用信息基础数据库用户管理办法（暂行）、xxx农村信用社个人征信数据报送管理规程（暂行）、xxx农村信用社个人信用信息安全与使用管理办法（暂行）、xxx农村信用社电子银行客户信息安全管理规定（试行）、xxx农村信用社计算机系统iso20000管理规范、xxx农村信用社企业信用信息基础数据库应用管理办法（试行）、xxx农村信用社个人信用信息基础数据库应用管理办法（试行）；为了保障信息科技外包服务管理，制定了软件项目合作开发风险管理办法、xxx农村信用社联合社信息技术外包管理实施细则等制度。（二）各联社（合行）根据自身实际情况也制定了一系列保护客户个人金融信息安全的规章制度，如隆阳区联社制定了隆阳区农村信用合作联社保密工作暂行规定、涉密计算机安全使用保密管理规定、涉密移动存储介质保密管理规定；红塔农合行制定了云南红塔农村合作银行客户风险等级评定管理办法、云南红塔农村合作银行大额交易和可疑交易报告管理办法、云南红塔农村合作银行客户身份识别和客户身份资料及交易记录保存管理办法；保山市联社制定的县联社关于认真落实企业征信系统异常数据跟踪反馈机制工作要求的通知等制度。各行社通过对现有制度的梳理，在涉及客户信息的相关制度中，已明确加入了相关的保护内容和措施，如“客户风险等级评定管理办法”、“大额交易和可疑交易报告管理办法”、“客户身份识别和客户身份资料及交易记录保存管理办法”等规章制度，征信系统和其它部分制度的保密内容采用人行、银监的相关保密条款进行规范，并逐步完善。在制定的各类业务操作流程及规章制度中，明确了各项业务严格遵守人民银行相关法律、法规、规章和规范性文件的规定，依法合规收集、保存、使用和对外提供个人金融信息，明确各岗位职责，制定了相应的考核办法及应及预案等。从制度建设上对客户信息的保密工作开展起到了促进作用。二、 个人金融信息收集情况（一）在个人金融信息收集前我社均采用书面提醒的方式，向个人信息主体按要求做了明确告知和警示事项，并取得客户书面授权或同意的情况下再进行信息的收集。在收集中对个人敏感金融信息实行更高的权限管理，对征信系统等获得的外部个人金融信息没有直接导入本行信息系统的情况。（二）在系统开发过程中，科技开发部对数据进行了行之有效的安全管控：对数据提取申请进行严格审批，严控提取范围；建立了数据漂洗制度，对所提取的生产数据做脱密处理，并采用双人复核的方式对提取的生产原数据进行处理；数据漂洗成功后，删除原数据，保证生产数据不非法流出；对涉及到客户敏感信息的业务数据进行漂洗，经检验后导入开发、测试环境，保证测试环境数据不含客户敏感信息；建立开发、测试数据产生制度，针对每个项目，定制包括磁道信息、卡片验证码、密码、卡号、姓名、有效期、身份证信息、手机号等的银行卡数据信息，有效杜绝除生产访问以外的客户真实信息访问；设置专岗，对数据漂洗工作进行不定期抽查及跟踪；与能接触到开发、测试数据的开发人员和测试人员签订保密协议或者保密承诺，告知其对涉及到的测试数据有保密义务，并要求其恪守承诺；采用svn对项目进行管理，且设置了专人对svn进行统一管理，针对不同的人员设置不同的访问权限；涉密计算机安装桌面安全管理系统，对移动介质采用了严格的访问策略，安排专人管理对专用移动介质进行管理。（三）系统上线后，科技开发部对数据进行了行之有效的安全管控：严格执行xxx农村信用社计算机系统运行管理暂行办法，完善机房安全管理制度；对生产数据的访问、提取严格审批，采用双人复核的方式对数据访问、提取过程进行严格控制。三、 个人金融信息使用情况通过自查，目前全省各联社（合行）在个人金融信息使用过程中，未发现客户个人金融信息被泄露和滥用等违规情况。（一）在个人金融信息使用过程中对以下个人信息进行严格控制和保护：一是个人身份信息，包括姓名、性别、住址、联系方式、婚姻状况、家庭状况、工作单位及照片等；二是个人财产信息，包括个人收入状况、拥有的不动产状况等；三是个人账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等；四是个人信用信息，主要包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息；五是个人金融交易信息，包括在支付结算等中间业务过程中获取、保存、留存的个人信息等；六是在与个人建立业务关系过程中获取、保存的其他个人信息。（二）省联社已同各市联社、各州（市）办事处签订保密责任书；各市联社、办事处已同各联社（合行）签订保密责任书；各联社（合行）已同各基层社、各网点签订了保密责任书；各基层社、各网点已和各自网点员工签订了保密责任书。如基层联社签订的xxx农村信用社在岗人员保密承诺书，科技结算中心签订的xxx农村信用社科技结算中心员工保密协议、xxx农村信用社科技结算中心公司保密协议等。做到层层有保密责任，逐级抓保密工作的落实，全员签订保密承诺书参于保密工作。（三）办理业务过程中，严格遵守人民银行相关法律、法规、规章和规范性文件的规定，依法合规使用和对外提供个人金融信息，未向任何单位和个人出售客户个人金融信息，未违规对外提供客户个人金融信息。（四）经自查，未出现擅自查询单位或个人存款账户、信贷信息等情形，不存在违法查询、冻结、扣划客户存款现象。（五）通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息，都严格按照系统规定用途使用，未出现违反规定查询和滥用。（六）省联社科技结算中心、办事处及各行社科技信息部门，负责计算机信息安全，各联社（合行）均安装了桌面安全管理系统，未出现违规链接互联网及其他非涉密网络，所有业务电脑均与外网进行了物理隔离，移动硬盘、u盘的使用符合相关规定，没有出现随意使用相关移动存储介质现象。（七）各联社（合行）加强了纸质客户档案管理，除有权单位持有效证件及相关证明方可调阅，并做好登记，其他外来人员不得调阅。（八）我社个人金融信息在发卡外包业务系统、卡片制作和对账单印制的过程中，有银联数据服务有限公司、金邦达公司可以获悉，但我社在外包时严格审查评估过其资质和保护个人金融信息的能力。外包服务协议中有相关的保密条款，明确其职责和保密义务，并有监督检查机制和相关的措施。在贷记卡跨行业务交易过程中通过中国银联转接部分相关信息，银联对贷记卡个人金融信息的保管有相应的信息技术防范措施，档案资料保存有管理办法及规定。未发现有违反法律、法规、规章及规范性文件中有关信息安全和保密规定的情况，没有违规查询，对外提供或泄漏个人金融信息的现象。四、 个人金融信息保管情况我社涉及个人金融信息的相关部门，各自保管各部门的相关档案资料，并制定了相对应的保管方式和使用条件；每个部门均能做到专人、专柜保管；档案的查阅严格履行审批程序；超过期限的档案资料能及时、集中销毁。五、 存在的问题近年来，我社通过对综合业务系统、信贷管理系统、征信系统等相关业务系统的不断优化和改进，以及对各项规章制度、业务流程的严格梳理，不仅大幅提高了数据质量，真实有效地反映了客户个人金融信息，同时也更好的保护了个人金融信息。但由于业务复杂，机构庞大，人员众多，岗位变更频繁等因素，导致个人金融信息的保护仍然存在一些问题。（一）个人信息档案管理不够规范，个别网点对个人人民币银行结算账户申请书未能及时装订，未按规定交由档案室保管，随意摆放的现象仍存在，对客户个人信息纸质档案和电子档案没有完全实现集中存储管理，存在漏洞。（二）宣传不到位，客户在办理业务时会无意识泄露自己的账户信息，主要表现在请他人代写“开户申请书”、请他人代办业务等。（三）批量开户的存折，如代付甘蔗款、低保、新农保等存折，不能直接交到储户手中，而是由村社干部或其他人员转交，泄露了客户的账号、存款等个人信息。（四）征信系统查询个人信用报告时，存在被查询人的书面查询授权材料、查询结果、查询有关的贷款资料保存不全面，查询登记不完整等现象。（五）有部分联社对管理工作的重要性认识不够，管理松散。存在人员已换岗但系统中未及时进行变更的情况；有部分联社对信贷系统数据录入和审查过程不严，导致录入的客户数据报送与实际不符，造成客户异议。六、 整改措施及下一步工作计划通过本次自查，进一步提高了全社个人金融信息保护工作，依法收集、使用和对外提供个人金融信息，有效防范金融风险，保护金融消费者合法权益，维护金融稳定的认识。针对存在的问题提出如下整改措施及下一步工作计划：（一）进一步加强学习宣传及员工培训教育。全社加强学习相关制度，进一步提高员工保护客户个人金融信息的意识，增强员工的事业心和责任感，强化从业人员的职业道德教育，采取有效措施加强对客户个人金融信息的保护，防范非法使用、泄露、出售客户个人金融信息违规行为，营造良好的内部环境。同时，要求各级联社、机构部门做好相关宣传活动，要求客户妥善保管业务办理回单及其他金融信息材料, 提高客户自我保护意识，为开展工作营造良好的外部氛围。（二）进一步建立健全各项保密规章制度。根据实际工作情况不断完善相关规章制度，规范各项业务操作，从制度上更好规范客户个人金融信息管理使用，堵塞泄密漏洞。在日常工作中，配合人民银行、公安部门做好打击和防范工作。（四）进一步要求各联社全面落实个人金融信息保护工作责任制，进一步规范对外信息发布，未经审批不得擅自对外提供经营活动信息。加强支付系统信息保密工作，严禁综合柜员通过联网核查、账户管理等系统透露个人身份信息；加强客户账户信息管理，禁止综合柜员通过核心业务系统向非客户本人透露账号、账户开立时间、开户行、账户余额、账户交易情况等；（五）进一步规范办公计算机系统的使用，加强对各类文件、资料和信息的管理，未经批准，不得随意打印、复制文件或对外提供；轮换岗要严格执行轮岗或换岗的相关手续。（六）进一步加强征信查询系统的管理，严禁未经客户同意乱查询个人信用信息，包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映信用状况的其他信息；规范信息数据提取工作，严格按照人民银行相关要求提示使用和销毁客户信息。加强客户资料的档案管理，建立查阅客户信息登记和授权制度。做好征信人员持证上岗的工作，督促各级机构严格按照人行及省联社管理办法制定辖内实施细则，所有征信业务人员及管理人员均需通过人行组织的岗前考试才可进行征信相关工作。同时，积极与当地人行征信管理部门沟通，做好考试报名、考前学习、资格报备及人员换岗变更的各项工作，做到持证上岗，从而提高征信从业人员业务职能和职业素养。（七）进一步完善各相关系统。如目前我社正在进行个人征信系统t+1改造，对现行的系统及相关联的信贷管理系统进行优化。一是优化信贷管理系统中与征信规则相违背的情况，严格控制源数据质量；二是优化个人征信系统程序，对特殊情况造成的未能抽取的数据进行处理，使其能正常上报；三是在个人征信系统中提供对特殊情况进行补救处理的功能，及时对未上报信息进行补报。同时优化企业征信系统及相关联的信贷管理系统规则，逐一处理目前存在的问题，使其符合入库校验的要求，减少加密报错和反馈错误。（八） 进一步加大个人金融信息保护工作违规处罚力度，严格做好客户信息的保密工作，对违规提供客户金融信息的，一经发现严肃查处，追究相关责任人的责任，触犯刑律的移送