商業(yè)銀行個(gè)人金融信息事件應(yīng)急預(yù)案

#商業(yè)銀行個(gè)人金融信息事件應(yīng)急預(yù)案第一章總則第一條為有效預(yù)防和妥善處置個(gè)人金融信息事件（以下簡(jiǎn)稱個(gè)人信息事件），提高個(gè)人信息事件快速處置能力，最大程度降低個(gè)人信息事件造成的危害和不良影響，依據(jù)《銀行客戶信息保護(hù)管理辦法》、《銀行數(shù)據(jù)管理辦法》、《銀行個(gè)人客戶信息保護(hù)實(shí)施細(xì)則》、《銀行重大突發(fā)事件應(yīng)急預(yù)案》等規(guī)定，制定本預(yù)案。第二條本預(yù)案所稱個(gè)人金融信息是指我行通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個(gè)人信息。第三條本預(yù)案所稱個(gè)人信息事件是指因員工違法違規(guī)查詢、業(yè)務(wù)中不當(dāng)提供或者披露、第三方合作機(jī)構(gòu)不當(dāng)使用等內(nèi)外部因素導(dǎo)致我行個(gè)人金融信息數(shù)據(jù)泄露，可能或已經(jīng)對(duì)客戶造成損失，形成案件、監(jiān)管問責(zé)、投訴或社會(huì)不良影響等負(fù)面效應(yīng)的緊急事件。第四條個(gè)人信息事件應(yīng)急處理遵循“快速反應(yīng)、穩(wěn)妥處置、防控風(fēng)險(xiǎn)”的原則。第五條本預(yù)案適用于銀行境內(nèi)各級(jí)機(jī)構(gòu)個(gè)人金融信息事件的預(yù)警、報(bào)告、決策處置和責(zé)任追究。第二章個(gè)人信息事件分類與分級(jí)第六條個(gè)人信息事件分類。個(gè)人信息事件分為個(gè)人金融信息案件、訴訟及投訴、內(nèi)外部檢查發(fā)現(xiàn)問題三類。（一） 個(gè)人金融信息案件。因銀行有關(guān)機(jī)構(gòu)或人員違法違規(guī)查詢、獲取、使用、泄露、出售客戶個(gè)人金融信息及其他有關(guān)個(gè)人金融信息的違法違規(guī)行為，被公安或司法機(jī)關(guān)立案調(diào)查、審查或確定刑事責(zé)任的事件。（二） 訴訟及投訴。因銀行有關(guān)機(jī)構(gòu)處理不當(dāng)，導(dǎo)致客戶向法院訴訟，或向監(jiān)管部門、媒體投訴，可能或已經(jīng)引發(fā)銀行法律風(fēng)險(xiǎn)、監(jiān)管風(fēng)險(xiǎn)的事件。（三） 內(nèi)外部檢查發(fā)現(xiàn)問題。在接受內(nèi)外部檢查、審計(jì)等發(fā)現(xiàn)的信息事件。第七條個(gè)人信息事件分級(jí)。個(gè)人信息事件根據(jù)其影響程度，劃分為I級(jí)（特別重大）、II級(jí)（重大）、III級(jí)（較大）和W級(jí)（一般）四個(gè)等級(jí)。（一）出現(xiàn)以下情形之一的為I級(jí)（特別重大）事件：個(gè)人金融信息違法違規(guī)案件涉案人員范圍涉及兩個(gè)及以上省（直轄市、自治區(qū)）的。2.最高人民法院受理的個(gè)人金融信息訴訟案件。3.50名以上投訴人采取面談方式提出共同投訴的群體性投訴案件。4.參照銀行《客戶數(shù)據(jù)分級(jí)規(guī)范》標(biāo)準(zhǔn)，泄露個(gè)人客戶關(guān)鍵敏感數(shù)據(jù)5000（含）條以上或者敏感數(shù)據(jù)5萬（含）條以上的。（二）出現(xiàn)以下情形之一的為II級(jí)（重大）事件：個(gè)人金融信息違法違規(guī)案件涉案人員范圍在一個(gè)?。ㄖ陛犑小⒆灾螀^(qū)）轄內(nèi)的。2.高級(jí)人民法院受理的個(gè)人金融信息訴訟案件。3.20名以上投訴人采取面談方式提出共同投訴的群體性投訴案件。4.參照銀行《客戶數(shù)據(jù)分級(jí)規(guī)范》標(biāo)準(zhǔn)，泄露個(gè)人客戶關(guān)鍵敏感數(shù)據(jù)500（含）條以上、5000條以下或者敏感數(shù)據(jù)5000（含）條以上、5萬條以下的。（三） 出現(xiàn)以下情形之一的為III級(jí)（較大）事件：個(gè)人金融信息違法違規(guī)案件涉案人員范圍在一個(gè)地（市）區(qū)轄內(nèi)的。中級(jí)人民法院受理的個(gè)人金融信息訴訟案件。3.10名以上投訴人采取面談方式提出共同投訴的群體性投訴案件。4.參照銀行《客戶數(shù)據(jù)分級(jí)規(guī)范》標(biāo)準(zhǔn)，泄露個(gè)人客戶關(guān)鍵敏感數(shù)據(jù)50（含）條以上、500條以下或者敏感數(shù)據(jù)500（含）條以上、5000條以下或者內(nèi)部數(shù)據(jù)5萬（含）條以上的。（四） 除了上述I級(jí)（特別重大）、I級(jí)（重大）、I級(jí)（較大）外的其他信息事件為W級(jí)（一般）事件。難以判斷個(gè)人信息事件級(jí)別的，應(yīng)按照較高級(jí)別分類。發(fā)生在敏感地區(qū)、敏感時(shí)間或涉及敏感任務(wù)的重大信息事件不受上述標(biāo)準(zhǔn)限制。第三章組織機(jī)構(gòu)及職責(zé)第八條總行成立個(gè)人金融信息事件應(yīng)急處置領(lǐng)導(dǎo)小組（以下簡(jiǎn)稱領(lǐng)導(dǎo)小組），并下設(shè)辦公室。領(lǐng)導(dǎo)小組為個(gè)人信息事件指揮決策機(jī)構(gòu)，組長(zhǎng)由主管個(gè)人金融業(yè)務(wù)的行領(lǐng)導(dǎo)擔(dān)任，總行相關(guān)部門主要負(fù)責(zé)人為成員，領(lǐng)導(dǎo)小組辦公室設(shè)在個(gè)人金融部。第九條各級(jí)行應(yīng)參照總行成立領(lǐng)導(dǎo)小組，負(fù)責(zé)本行個(gè)人客戶信息事件的應(yīng)急處置。第十條機(jī)構(gòu)職責(zé)（一） 領(lǐng)導(dǎo)小組主要職責(zé)。研究決策個(gè)人信息事件的應(yīng)急處置及處置過程中有關(guān)重要事項(xiàng)的決策。統(tǒng)一領(lǐng)導(dǎo)和指揮個(gè)人信息事件應(yīng)急處置工作。決定啟動(dòng)、終止個(gè)人信息事件應(yīng)急處置預(yù)案。協(xié)調(diào)相關(guān)業(yè)務(wù)部門共同處置個(gè)人信息事件，決定重大處置措施和媒體報(bào)道等重大事項(xiàng)。負(fù)責(zé)處置過程中其他重要事項(xiàng)的決策。（二） 領(lǐng)導(dǎo)小組成員部門職責(zé)。領(lǐng)導(dǎo)小組辦公室設(shè)在個(gè)人金融部。個(gè)人金融部牽頭組織開展個(gè)人信息事件應(yīng)急處置工作。承擔(dān)以下職責(zé)：向領(lǐng)導(dǎo)小組提出啟動(dòng)應(yīng)急處置機(jī)制建議，組織相關(guān)部門開展事態(tài)控制、調(diào)查跟蹤和落實(shí)處置措施工作，及時(shí)向領(lǐng)導(dǎo)小組報(bào)告處置進(jìn)度。在應(yīng)急處置結(jié)束后牽頭組織總結(jié)和整改工作，并參與有關(guān)違法違規(guī)人員責(zé)任認(rèn)定。運(yùn)營(yíng)管理部、遠(yuǎn)程銀行中心、金融市場(chǎng)部、個(gè)人金融部、個(gè)人信貸部、私人銀行部、農(nóng)戶金融部、網(wǎng)絡(luò)金融部、信用卡中心等有關(guān)個(gè)人金融信息收集使用部門，負(fù)責(zé)對(duì)涉及本部門本條線的個(gè)人信息事件采取事態(tài)控制措施，跟蹤處置進(jìn)度，并向領(lǐng)導(dǎo)小組及上級(jí)行條線部門報(bào)告處置情況。在應(yīng)急處置結(jié)束后，配合相關(guān)部門對(duì)事件性質(zhì)和結(jié)果進(jìn)行認(rèn)定，總結(jié)整改事件暴露的制度、系統(tǒng)、流程和管理中存在的問題，會(huì)同相關(guān)部門對(duì)違法違規(guī)人員進(jìn)行責(zé)任認(rèn)定。企業(yè)文化部負(fù)責(zé)個(gè)人信息事件輿情監(jiān)控，做好輿情防控及應(yīng)對(duì)處置工作。內(nèi)控合規(guī)監(jiān)督部負(fù)責(zé)對(duì)個(gè)人信息事件涉及違法違規(guī)人員進(jìn)行責(zé)任追究。法律事務(wù)部負(fù)責(zé)提供個(gè)人信息事件相關(guān)法律咨詢，處理訴訟案件、為行內(nèi)處理客戶投訴提供法律咨詢等工作。信息管理部負(fù)責(zé)從數(shù)據(jù)層面協(xié)同組織相關(guān)調(diào)查或分析工作，針對(duì)突發(fā)事件暴露出來的問題，推動(dòng)有關(guān)單位完善數(shù)據(jù)保護(hù)措施及機(jī)制?？萍寂c產(chǎn)品管理局負(fù)責(zé)對(duì)個(gè)人信息事件涉及有關(guān)信息系統(tǒng)問題采取阻斷措施，并修改完善；研發(fā)中心、數(shù)據(jù)中心負(fù)責(zé)配合完成相關(guān)工作。保衛(wèi)部、內(nèi)控合規(guī)監(jiān)督部按照《銀行涉刑案件管理辦法》中的職責(zé)分工負(fù)責(zé)監(jiān)管口徑的涉刑案件和案件風(fēng)險(xiǎn)事件的調(diào)查處置。其他相關(guān)部門負(fù)責(zé)按照領(lǐng)導(dǎo)小組要求，做好涉及本部門本條線個(gè)人信息事件的處置工作。第四章預(yù)警與演練第十一條預(yù)警。各級(jí)行應(yīng)本著預(yù)防為主的原則做好個(gè)人信息事件的日常防控和預(yù)警工作。各級(jí)行應(yīng)按照行內(nèi)數(shù)據(jù)及信息保護(hù)相關(guān)制度規(guī)定，做好日常個(gè)人金融信息風(fēng)險(xiǎn)監(jiān)測(cè)及自查自糾工作，收集并關(guān)注轄內(nèi)個(gè)人金融信息風(fēng)險(xiǎn)預(yù)警信息，全面準(zhǔn)確識(shí)別和評(píng)估個(gè)人金融信息風(fēng)險(xiǎn)因素，從源頭上控制和消除風(fēng)險(xiǎn)。第十二條演練。各級(jí)行應(yīng)根據(jù)個(gè)人金融信息風(fēng)險(xiǎn)監(jiān)測(cè)、自查自糾工作排查發(fā)現(xiàn)的風(fēng)險(xiǎn)隱患，對(duì)可能發(fā)生的個(gè)人金融信息事件進(jìn)行情景分析，定期組織轄內(nèi)機(jī)構(gòu)開展應(yīng)急演練。第五章報(bào)告與處置第十三條報(bào)告。各級(jí)行發(fā)生個(gè)人信息事件后應(yīng)立即向本級(jí)行領(lǐng)導(dǎo)小組和上級(jí)行條線部門報(bào)告。本級(jí)行領(lǐng)導(dǎo)小組接到報(bào)告后，應(yīng)立即組織對(duì)信息事件進(jìn)行分析，判斷信息事件等級(jí)，并向上一級(jí)領(lǐng)導(dǎo)小組報(bào)告。（一）報(bào)告內(nèi)容。個(gè)人信息事件涉及的內(nèi)外部機(jī)構(gòu)、客戶及相關(guān)人員，發(fā)生事件的性質(zhì)、時(shí)間、地點(diǎn)等情況。個(gè)人信息事件的類型及原因，并盡可能詳細(xì)說明原因。個(gè)人信息事件的危害程度、影響范圍、發(fā)展趨勢(shì)及輿情輿論等情況。個(gè)人信息事件的處置情況，包括組織指揮、先期處置措施等情況。啟動(dòng)應(yīng)急處置預(yù)案的說明。說明本級(jí)機(jī)構(gòu)應(yīng)急處置預(yù)案的啟動(dòng)情況；需要上級(jí)協(xié)調(diào)的，應(yīng)對(duì)需要上級(jí)協(xié)助事項(xiàng)進(jìn)行詳細(xì)說明；需上級(jí)啟動(dòng)應(yīng)急處置預(yù)案的，應(yīng)向上級(jí)提出申請(qǐng)。其他與本事件有關(guān)的內(nèi)容。（二） 報(bào)告程序。二級(jí)分行及以下機(jī)構(gòu)發(fā)生的個(gè)人信息事件，不論級(jí)別高低，均應(yīng)及時(shí)匯總報(bào)告一級(jí)分行。一級(jí)分行對(duì)轄內(nèi)機(jī)構(gòu)發(fā)生的個(gè)人信息事件應(yīng)及時(shí)進(jìn)行匯總分析。其中，特別重大事件、重大事件應(yīng)立即向總行報(bào)告；較大事件，應(yīng)及時(shí)向總行報(bào)告。（三） 報(bào)告要求。個(gè)人信息事件應(yīng)先行電話報(bào)告，再以書面形式報(bào)告。書面報(bào)告需經(jīng)領(lǐng)導(dǎo)小組組長(zhǎng)簽批方可上報(bào)。（1） 首次報(bào)告。有關(guān)機(jī)構(gòu)和人員發(fā)現(xiàn)個(gè)人信息事件后，應(yīng)不晚于2小時(shí)內(nèi)以“雙線”報(bào)告的形式向本級(jí)行領(lǐng)導(dǎo)小組辦公室和上級(jí)行條線部門進(jìn)行首次報(bào)告，其中特別重大事件和重大事件應(yīng)按照行內(nèi)重大突發(fā)事件報(bào)告管理規(guī)定及時(shí)上報(bào)總行。（2） 后續(xù)報(bào)告。啟動(dòng)應(yīng)急處置流程后，在事件處置過程中和結(jié)束時(shí)，事發(fā)機(jī)構(gòu)和部門應(yīng)及時(shí)做好后續(xù)報(bào)告工作。在應(yīng)急處置過程中，事件發(fā)生重大變化的，應(yīng)在發(fā)生重大變化當(dāng)日逐級(jí)向上級(jí)行報(bào)告。報(bào)告內(nèi)容應(yīng)客觀、真實(shí)、全面，不得主觀臆斷。各級(jí)行應(yīng)根據(jù)監(jiān)管部門要求，及時(shí)向監(jiān)管部門匯報(bào)重大事件處置情況。第十四條決策與處置（一） 決策原則。劃分事權(quán)，分級(jí)決策。特別重大事件的應(yīng)急處置由總行領(lǐng)導(dǎo)小組決策；重大事件和較大事件的應(yīng)急處置由一級(jí)分行決策，對(duì)無法處置的應(yīng)提交總行領(lǐng)導(dǎo)小組決策；一般事件的應(yīng)急處置由二級(jí)分行領(lǐng)導(dǎo)小組決策，對(duì)無法處置的一般事件提請(qǐng)一級(jí)分行領(lǐng)導(dǎo)小組決策?？焖俜从?，研究對(duì)策。個(gè)人信息事件發(fā)生后，各級(jí)行領(lǐng)導(dǎo)小組應(yīng)立即組織研究對(duì)策，在確認(rèn)信息發(fā)生泄露、毀損、丟失時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，阻斷風(fēng)險(xiǎn)擴(kuò)大，最大限度降低損失。措施得當(dāng)，果斷決策。領(lǐng)導(dǎo)小組接到個(gè)人信息事件后，應(yīng)果斷決策，啟動(dòng)相應(yīng)的應(yīng)急處置預(yù)案，分析個(gè)人信息事件原因、影響，判斷個(gè)人信息事件等級(jí)，制定對(duì)外應(yīng)答口徑，決策處置措施。對(duì)影響嚴(yán)重、難以決策的，應(yīng)提請(qǐng)上級(jí)行領(lǐng)導(dǎo)小組決策。（二） 處置措施?？刂骑L(fēng)險(xiǎn)源頭。涉及違規(guī)查詢個(gè)人金融信息的，應(yīng)在第一時(shí)間對(duì)涉事機(jī)構(gòu)采取關(guān)停涉事用戶和機(jī)構(gòu)查詢權(quán)限等應(yīng)急措施；本機(jī)構(gòu)無權(quán)控制的，應(yīng)立即上報(bào)上級(jí)行，提請(qǐng)上級(jí)行實(shí)施控制措施。涉及業(yè)務(wù)中不當(dāng)提供或者披露個(gè)人金融信息的，應(yīng)第一時(shí)間撒回相關(guān)信息并阻止繼續(xù)擴(kuò)散傳播。涉及第三方合作機(jī)構(gòu)泄露個(gè)人金融信息的，應(yīng)第一時(shí)間與第三方合作機(jī)構(gòu)聯(lián)系，中止合作并采取補(bǔ)救措施與責(zé)任追究。履行告知義務(wù)。個(gè)人信息事件涉密或涉及客戶個(gè)人金融信息的，應(yīng)嚴(yán)格遵守相關(guān)保密規(guī)定，不得泄露。個(gè)人金融信息泄露、毀損、丟失可能危及客戶人身、財(cái)產(chǎn)的，應(yīng)當(dāng)立即向當(dāng)?shù)乇O(jiān)管部門報(bào)告并告知客戶；信息泄露、毀損、丟失可能對(duì)客戶產(chǎn)生其他不利影響的，應(yīng)當(dāng)及時(shí)告知客戶，并在72小時(shí)以內(nèi)報(bào)告當(dāng)?shù)乇O(jiān)管部門。依法處置事件。對(duì)涉及內(nèi)外部人員惡意泄露客戶個(gè)人金融信息的，涉事機(jī)構(gòu)應(yīng)及時(shí)向公安機(jī)關(guān)報(bào)案，并協(xié)助公安機(jī)關(guān)偵破案件，確?？蛻粜畔?。對(duì)于被公安和司法機(jī)關(guān)立案調(diào)查、審查或確定刑罰責(zé)任的個(gè)人金融信息案件，有關(guān)部門應(yīng)全力配合公安和司法機(jī)關(guān)查辦案件，并按照《銀行涉刑案件管理辦法》要求及時(shí)報(bào)告相關(guān)部門和監(jiān)管機(jī)構(gòu)?？刂坡曌u(yù)風(fēng)險(xiǎn)。各級(jí)行聲譽(yù)風(fēng)險(xiǎn)管理部門要密切跟蹤媒體對(duì)個(gè)人信息事件的報(bào)道，發(fā)現(xiàn)負(fù)面消息和失實(shí)報(bào)道，要制定統(tǒng)一規(guī)范的宣傳、解釋標(biāo)準(zhǔn)，統(tǒng)一對(duì)外口徑，及時(shí)通過相關(guān)渠道澄清事實(shí)；加強(qiáng)策劃和危機(jī)公關(guān)，協(xié)調(diào)各類媒體做好正面宣傳報(bào)道工作，把握正確的輿論導(dǎo)向，最大程度地降低事件給銀行帶來的不良影響。消除系統(tǒng)隱患。因我行業(yè)務(wù)系統(tǒng)原因?qū)е卤粌?nèi)外部人員惡意泄露個(gè)人金融信息的，應(yīng)在事件發(fā)生后立即組織人力排查原因，消除隱患。加強(qiáng)溝通協(xié)調(diào)。各級(jí)行領(lǐng)導(dǎo)小組應(yīng)根據(jù)實(shí)際情況，做好與政府部門、監(jiān)管部門的溝通協(xié)調(diào)工作，取得有關(guān)方面支持。第十五條總結(jié)。信息事件應(yīng)急處置結(jié)束后，應(yīng)對(duì)處置行動(dòng)的及時(shí)性、有效性及協(xié)調(diào)配合情況進(jìn)行評(píng)估與總結(jié)，對(duì)事件成因進(jìn)行分析，總結(jié)教訓(xùn)，落實(shí)整改，并完善相關(guān)制度和應(yīng)急處置預(yù)案。評(píng)估總結(jié)應(yīng)書面逐級(jí)上報(bào)。第十六條對(duì)瞞報(bào)、遲報(bào)、漏報(bào)、謊報(bào)信息事件或在處置過程中玩忽職守、不聽指揮、不負(fù)責(zé)任、擅離職守的人員，以及對(duì)個(gè)人信息事件負(fù)有責(zé)任的人員，根據(jù)《銀行員工違規(guī)行為處理辦法》