商业银行个人金融信息事件应急预案

#商业银行个人金融信息事件应急预案第一章总则第一条为有效预防和妥善处置个人金融信息事件（以下简称个人信息事件），提高个人信息事件快速处置能力，最大程度降低个人信息事件造成的危害和不良影响，依据《银行客户信息保护管理办法》、《银行数据管理办法》、《银行个人客户信息保护实施细则》、《银行重大突发事件应急预案》等规定，制定本预案。第二条本预案所称个人金融信息是指我行通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。第三条本预案所称个人信息事件是指因员工违法违规查询、业务中不当提供或者披露、第三方合作机构不当使用等内外部因素导致我行个人金融信息数据泄露，可能或已经对客户造成损失，形成案件、监管问责、投诉或社会不良影响等负面效应的紧急事件。第四条个人信息事件应急处理遵循“快速反应、稳妥处置、防控风险”的原则。第五条本预案适用于银行境内各级机构个人金融信息事件的预警、报告、决策处置和责任追究。第二章个人信息事件分类与分级第六条个人信息事件分类。个人信息事件分为个人金融信息案件、诉讼及投诉、内外部检查发现问题三类。（一） 个人金融信息案件。因银行有关机构或人员违法违规查询、获取、使用、泄露、出售客户个人金融信息及其他有关个人金融信息的违法违规行为，被公安或司法机关立案调查、审查或确定刑事责任的事件。（二） 诉讼及投诉。因银行有关机构处理不当，导致客户向法院诉讼，或向监管部门、媒体投诉，可能或已经引发银行法律风险、监管风险的事件。（三） 内外部检查发现问题。在接受内外部检查、审计等发现的信息事件。第七条个人信息事件分级。个人信息事件根据其影响程度，划分为I级（特别重大）、II级（重大）、III级（较大）和W级（一般）四个等级。（一）出现以下情形之一的为I级（特别重大）事件：个人金融信息违法违规案件涉案人员范围涉及两个及以上省（直辖市、自治区）的。2.最高人民法院受理的个人金融信息诉讼案件。3.50名以上投诉人采取面谈方式提出共同投诉的群体性投诉案件。4.参照银行《客户数据分级规范》标准，泄露个人客户关键敏感数据5000（含）条以上或者敏感数据5万（含）条以上的。（二）出现以下情形之一的为II级（重大）事件：个人金融信息违法违规案件涉案人员范围在一个省（直辖市、自治区）辖内的。2.高级人民法院受理的个人金融信息诉讼案件。3.20名以上投诉人采取面谈方式提出共同投诉的群体性投诉案件。4.参照银行《客户数据分级规范》标准，泄露个人客户关键敏感数据500（含）条以上、5000条以下或者敏感数据5000（含）条以上、5万条以下的。（三） 出现以下情形之一的为III级（较大）事件：个人金融信息违法违规案件涉案人员范围在一个地（市）区辖内的。中级人民法院受理的个人金融信息诉讼案件。3.10名以上投诉人采取面谈方式提出共同投诉的群体性投诉案件。4.参照银行《客户数据分级规范》标准，泄露个人客户关键敏感数据50（含）条以上、500条以下或者敏感数据500（含）条以上、5000条以下或者内部数据5万（含）条以上的。（四） 除了上述I级（特别重大）、I级（重大）、I级（较大）外的其他信息事件为W级（一般）事件。难以判断个人信息事件级别的，应按照较高级别分类。发生在敏感地区、敏感时间或涉及敏感任务的重大信息事件不受上述标准限制。第三章组织机构及职责第八条总行成立个人金融信息事件应急处置领导小组（以下简称领导小组），并下设办公室。领导小组为个人信息事件指挥决策机构，组长由主管个人金融业务的行领导担任，总行相关部门主要负责人为成员，领导小组办公室设在个人金融部。第九条各级行应参照总行成立领导小组，负责本行个人客户信息事件的应急处置。第十条机构职责（一） 领导小组主要职责。研究决策个人信息事件的应急处置及处置过程中有关重要事项的决策。统一领导和指挥个人信息事件应急处置工作。决定启动、终止个人信息事件应急处置预案。协调相关业务部门共同处置个人信息事件，决定重大处置措施和媒体报道等重大事项。负责处置过程中其他重要事项的决策。（二） 领导小组成员部门职责。领导小组办公室设在个人金融部。个人金融部牵头组织开展个人信息事件应急处置工作。承担以下职责：向领导小组提出启动应急处置机制建议，组织相关部门开展事态控制、调查跟踪和落实处置措施工作，及时向领导小组报告处置进度。在应急处置结束后牵头组织总结和整改工作，并参与有关违法违规人员责任认定。运营管理部、远程银行中心、金融市场部、个人金融部、个人信贷部、私人银行部、农户金融部、网络金融部、信用卡中心等有关个人金融信息收集使用部门，负责对涉及本部门本条线的个人信息事件采取事态控制措施，跟踪处置进度，并向领导小组及上级行条线部门报告处置情况。在应急处置结束后，配合相关部门对事件性质和结果进行认定，总结整改事件暴露的制度、系统、流程和管理中存在的问题，会同相关部门对违法违规人员进行责任认定。企业文化部负责个人信息事件舆情监控，做好舆情防控及应对处置工作。内控合规监督部负责对个人信息事件涉及违法违规人员进行责任追究。法律事务部负责提供个人信息事件相关法律咨询，处理诉讼案件、为行内处理客户投诉提供法律咨询等工作。信息管理部负责从数据层面协同组织相关调查或分析工作，针对突发事件暴露出来的问题，推动有关单位完善数据保护措施及机制。科技与产品管理局负责对个人信息事件涉及有关信息系统问题采取阻断措施，并修改完善；研发中心、数据中心负责配合完成相关工作。保卫部、内控合规监督部按照《银行涉刑案件管理办法》中的职责分工负责监管口径的涉刑案件和案件风险事件的调查处置。其他相关部门负责按照领导小组要求，做好涉及本部门本条线个人信息事件的处置工作。第四章预警与演练第十一条预警。各级行应本着预防为主的原则做好个人信息事件的日常防控和预警工作。各级行应按照行内数据及信息保护相关制度规定，做好日常个人金融信息风险监测及自查自纠工作，收集并关注辖内个人金融信息风险预警信息，全面准确识别和评估个人金融信息风险因素，从源头上控制和消除风险。第十二条演练。各级行应根据个人金融信息风险监测、自查自纠工作排查发现的风险隐患，对可能发生的个人金融信息事件进行情景分析，定期组织辖内机构开展应急演练。第五章报告与处置第十三条报告。各级行发生个人信息事件后应立即向本级行领导小组和上级行条线部门报告。本级行领导小组接到报告后，应立即组织对信息事件进行分析，判断信息事件等级，并向上一级领导小组报告。（一）报告内容。个人信息事件涉及的内外部机构、客户及相关人员，发生事件的性质、时间、地点等情况。个人信息事件的类型及原因，并尽可能详细说明原因。个人信息事件的危害程度、影响范围、发展趋势及舆情舆论等情况。个人信息事件的处置情况，包括组织指挥、先期处置措施等情况。启动应急处置预案的说明。说明本级机构应急处置预案的启动情况；需要上级协调的，应对需要上级协助事项进行详细说明；需上级启动应急处置预案的，应向上级提出申请。其他与本事件有关的内容。（二） 报告程序。二级分行及以下机构发生的个人信息事件，不论级别高低，均应及时汇总报告一级分行。一级分行对辖内机构发生的个人信息事件应及时进行汇总分析。其中，特别重大事件、重大事件应立即向总行报告；较大事件，应及时向总行报告。（三） 报告要求。个人信息事件应先行电话报告，再以书面形式报告。书面报告需经领导小组组长签批方可上报。（1） 首次报告。有关机构和人员发现个人信息事件后，应不晚于2小时内以“双线”报告的形式向本级行领导小组办公室和上级行条线部门进行首次报告，其中特别重大事件和重大事件应按照行内重大突发事件报告管理规定及时上报总行。（2） 后续报告。启动应急处置流程后，在事件处置过程中和结束时，事发机构和部门应及时做好后续报告工作。在应急处置过程中，事件发生重大变化的，应在发生重大变化当日逐级向上级行报告。报告内容应客观、真实、全面，不得主观臆断。各级行应根据监管部门要求，及时向监管部门汇报重大事件处置情况。第十四条决策与处置（一） 决策原则。划分事权，分级决策。特别重大事件的应急处置由总行领导小组决策；重大事件和较大事件的应急处置由一级分行决策，对无法处置的应提交总行领导小组决策；一般事件的应急处置由二级分行领导小组决策，对无法处置的一般事件提请一级分行领导小组决策。快速反映，研究对策。个人信息事件发生后，各级行领导小组应立即组织研究对策，在确认信息发生泄露、毁损、丢失时，应当立即采取补救措施，阻断风险扩大，最大限度降低损失。措施得当，果断决策。领导小组接到个人信息事件后，应果断决策，启动相应的应急处置预案，分析个人信息事件原因、影响，判断个人信息事件等级，制定对外应答口径，决策处置措施。对影响严重、难以决策的，应提请上级行领导小组决策。（二） 处置措施。控制风险源头。涉及违规查询个人金融信息的，应在第一时间对涉事机构采取关停涉事用户和机构查询权限等应急措施；本机构无权控制的，应立即上报上级行，提请上级行实施控制措施。涉及业务中不当提供或者披露个人金融信息的，应第一时间撒回相关信息并阻止继续扩散传播。涉及第三方合作机构泄露个人金融信息的，应第一时间与第三方合作机构联系，中止合作并采取补救措施与责任追究。履行告知义务。个人信息事件涉密或涉及客户个人金融信息的，应严格遵守相关保密规定，不得泄露。个人金融信息泄露、毁损、丢失可能危及客户人身、财产的，应当立即向当地监管部门报告并告知客户；信息泄露、毁损、丢失可能对客户产生其他不利影响的，应当及时告知客户，并在72小时以内报告当地监管部门。依法处置事件。对涉及内外部人员恶意泄露客户个人金融信息的，涉事机构应及时向公安机关报案，并协助公安机关侦破案件，确保客户信息。对于被公安和司法机关立案调查、审查或确定刑罚责任的个人金融信息案件，有关部门应全力配合公安和司法机关查办案件，并按照《银行涉刑案件管理办法》要求及时报告相关部门和监管机构。控制声誉风险。各级行声誉风险管理部门要密切跟踪媒体对个人信息事件的报道，发现负面消息和失实报道，要制定统一规范的宣传、解释标准，统一对外口径，及时通过相关渠道澄清事实；加强策划和危机公关，协调各类媒体做好正面宣传报道工作，把握正确的舆论导向，最大程度地降低事件给银行带来的不良影响。消除系统隐患。因我行业务系统原因导致被内外部人员恶意泄露个人金融信息的，应在事件发生后立即组织人力排查原因，消除隐患。加强沟通协调。各级行领导小组应根据实际情况，做好与政府部门、监管部门的沟通协调工作，取得有关方面支持。第十五条总结。信息事件应急处置结束后，应对处置行动的及时性、有效性及协调配合情况进行评估与总结，对事件成因进行分析，总结教训，落实整改，并完善相关制度和应急处置预案。评估总结应书面逐级上报。第十六条对瞒报、迟报、漏报、谎报信息事件或在处置过程中玩忽职守、不听指挥、不负责任、擅离职守的人员，以及对个人信息事件负有责任的人员，根据《银行员工违规行为处理办法》