农村信用社关于个人金融信息保护自查报告

XXX农村信用社联社关于个人金融

信息保护自查报告

中国人民银行XX中心支行：

为落实个人金融信息保护，切实保护金融消费者合法权益，维护金融稳定，按照中国人民银行XXX中心支行《转发中国人民银行办公厅关于个人金融信息保护专项检查的文件的通知》（昆银办发[2013]265号）文件要求，我社领导高度重视，提出了工作要求和时间安排，并成立了以信贷部为主、会计部、科技结算中心、政策法规部、办公室、人力资源部等有关部门为辅的自查小组。对全辖信贷管理系统、个人征信系统、银联数据发卡系统、核心业务系统、电子银行系统等涉及个人金融信息保护工作的相关领域开展了全面自查工作。现将自查情况报告如下：

一、内控制度建设及运行情况

（一）我社第一时间转发了人民银行的个人金融信息保护制度，为切实保护个人金融信息省联社先后制定了《XXX 农村信用社个人信用信息基础数据库用户管理办法（暂行）》、《XXX农村信用社个人征信数据报送管理规程（暂行）》、《XXX农村信用社个人信用信息安全与使用管理办法（暂行）》、《XXX农村信用社电子银行客户信息安全管理规定（试

《XXX 行）》、《XXX农村信用社计算机系统ISO20000管理规范》、

农村信用社企业信用信息基础数据库应用管理办法（试行）》、《XXX农村信用社个人信用信息基础数据库应用管理办法（试行）》；为了保障信息科技外包服务管理，制定了《软件项目合作开发风险管理办法》、《XXX农村信用社联合社信息技术外包管理实施细则》等制度。

（二）各联社（合行）根据自身实际情况也制定了一系列保护客户个人金融信息安全的规章制度，如隆阳区联社制定了《隆阳区农村信用合作联社保密工作暂行规定》、《涉密计算机安全使用保密管理规定》、《涉密移动存储介质保密管理规定》；红塔农合行制定了《云南红塔农村合作银行客户风险等级评定管理办法》、《云南红塔农村合作银行大额交易和可疑交易报告管理办法》、《云南红塔农村合作银行客户身份识别和客户身份资料及交易记录保存管理办法》；保山市联社制定的《县联社关于认真落实企业征信系统异常数据跟踪反馈机制工作要求的通知》等制度。各行社通过对现有制度的梳理，在涉及客户信息的相关制度中，已明确加入了相关的保护内容和措施，如“客户风险等级评定管理办法”、“大额交易和可疑交易报告管理办法”、“客户身份识别和客户身份资料及交易记录保存管理办法”等规章制度，征信系统和其它部分制度的保密内容采用人行、银监的相关保密条款进行规范，并逐步完善。

在制定的各类业务操作流程及规章制度中，明确了各项

业务严格遵守人民银行相关法律、法规、规章和规范性文件的规定，依法合规收集、保存、使用和对外提供个人金融信息，明确各岗位职责，制定了相应的考核办法及应及预案等。从制度建设上对客户信息的保密工作开展起到了促进作用。

二、个人金融信息收集情况

（一）在个人金融信息收集前我社均采用书面提醒的方式，向个人信息主体按要求做了明确告知和警示事项，并取得客户书面授权或同意的情况下再进行信息的收集。在收集中对个人敏感金融信息实行更高的权限管理，对征信系统等获得的外部个人金融信息没有直接导入本行信息系统的情况。

（二）在系统开发过程中，科技开发部对数据进行了行之有效的安全管控：对数据提取申请进行严格审批，严控提取范围；建立了数据漂洗制度，对所提取的生产数据做脱密处理，并采用双人复核的方式对提取的生产原数据进行处理；数据漂洗成功后，删除原数据，保证生产数据不非法流出；对涉及到客户敏感信息的业务数据进行漂洗，经检验后导入开发、测试环境，保证测试环境数据不含客户敏感信息；建立开发、测试数据产生制度，针对每个项目，定制包括磁道信息、卡片验证码、密码、卡号、姓名、有效期、身份证信息、手机号等的银行卡数据信息，有效杜绝除生产访问以外的客户真实信息访问；设置专岗，对数据漂洗工作进行不

定期抽查及跟踪；与能接触到开发、测试数据的开发人员和测试人员签订保密协议或者保密承诺，告知其对涉及到的测试数据有保密义务，并要求其恪守承诺；采用SVN对项目进行管理，且设置了专人对SVN进行统一管理，针对不同的人员设置不同的访问权限；涉密计算机安装桌面安全管理系统，对移动介质采用了严格的访问策略，安排专人管理对专用移动介质进行管理。

（三）系统上线后，科技开发部对数据进行了行之有效的安全管控：严格执行《XXX农村信用社计算机系统运行管理暂行办法》，完善机房安全管理制度；对生产数据的访问、提取严格审批，采用双人复核的方式对数据访问、提取过程进行严格控制。

三、个人金融信息使用情况

通过自查，目前全省各联社（合行）在个人金融信息使用过程中，未发现客户个人金融信息被泄露和滥用等违规情况。

（一）在个人金融信息使用过程中对以下个人信息进行严格控制和保护：一是个人身份信息，包括姓名、性别、住址、联系方式、婚姻状况、家庭状况、工作单位及照片等；二是个人财产信息，包括个人收入状况、拥有的不动产状况等；三是个人账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等；四是个人信用信息，主要包括

信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息；五是个人金融交易信息，包括在支付结算等中间业务过程中获取、保存、留存的个人信息等；六是在与个人建立业务关系过程中获取、保存的其他个人信息。

（二）省联社已同各市联社、各州（市）办事处签订保密责任书；各市联社、办事处已同各联社（合行）签订保密责任书；各联社（合行）已同各基层社、各网点签订了保密责任书；各基层社、各网点已和各自网点员工签订了保密责任书。如基层联社签订的《XXX农村信用社在岗人员保密承诺书》，科技结算中心签订的《XXX农村信用社科技结算中心员工保密协议》、《XXX农村信用社科技结算中心公司保密协议》等。做到层层有保密责任，逐级抓保密工作的落实，全员签订保密承诺书参于保密工作。

（三）办理业务过程中，严格遵守人民银行相关法律、法规、规章和规范性文件的规定，依法合规使用和对外提供个人金融信息，未向任何单位和个人出售客户个人金融信息，未违规对外提供客户个人金融信息。

（四）经自查，未出现擅自查询单位或个人存款账户、信贷信息等情形，不存在违法查询、冻结、扣划客户存款现象。

（五）通过接入中国人民银行征信系统、支付系统以及