商業(yè)銀行個人金融信息事件應(yīng)急預(yù)案

#商業(yè)銀行個人金融信息事件應(yīng)急預(yù)案第一章總則第一條為有效預(yù)防和妥善處置個人金融信息事件（以下簡稱個人信息事件），提高個人信息事件快速處置能力，最大程度降低個人信息事件造成的危害和不良影響，依據(jù)《銀行客戶信息保護(hù)管理辦法》、《銀行數(shù)據(jù)管理辦法》、《銀行個人客戶信息保護(hù)實施細(xì)則》、《銀行重大突發(fā)事件應(yīng)急預(yù)案》等規(guī)定，制定本預(yù)案。第二條本預(yù)案所稱個人金融信息是指我行通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個人信息。第三條本預(yù)案所稱個人信息事件是指因員工違法違規(guī)查詢、業(yè)務(wù)中不當(dāng)提供或者披露、第三方合作機構(gòu)不當(dāng)使用等內(nèi)外部因素導(dǎo)致我行個人金融信息數(shù)據(jù)泄露，可能或已經(jīng)對客戶造成損失，形成案件、監(jiān)管問責(zé)、投訴或社會不良影響等負(fù)面效應(yīng)的緊急事件。第四條個人信息事件應(yīng)急處理遵循“快速反應(yīng)、穩(wěn)妥處置、防控風(fēng)險”的原則。第五條本預(yù)案適用于銀行境內(nèi)各級機構(gòu)個人金融信息事件的預(yù)警、報告、決策處置和責(zé)任追究。第二章個人信息事件分類與分級第六條個人信息事件分類。個人信息事件分為個人金融信息案件、訴訟及投訴、內(nèi)外部檢查發(fā)現(xiàn)問題三類。（一） 個人金融信息案件。因銀行有關(guān)機構(gòu)或人員違法違規(guī)查詢、獲取、使用、泄露、出售客戶個人金融信息及其他有關(guān)個人金融信息的違法違規(guī)行為，被公安或司法機關(guān)立案調(diào)查、審查或確定刑事責(zé)任的事件。（二） 訴訟及投訴。因銀行有關(guān)機構(gòu)處理不當(dāng)，導(dǎo)致客戶向法院訴訟，或向監(jiān)管部門、媒體投訴，可能或已經(jīng)引發(fā)銀行法律風(fēng)險、監(jiān)管風(fēng)險的事件。（三） 內(nèi)外部檢查發(fā)現(xiàn)問題。在接受內(nèi)外部檢查、審計等發(fā)現(xiàn)的信息事件。第七條個人信息事件分級。個人信息事件根據(jù)其影響程度，劃分為I級（特別重大）、II級（重大）、III級（較大）和W級（一般）四個等級。（一）出現(xiàn)以下情形之一的為I級（特別重大）事件：個人金融信息違法違規(guī)案件涉案人員范圍涉及兩個及以上省（直轄市、自治區(qū)）的。2.最高人民法院受理的個人金融信息訴訟案件。3.50名以上投訴人采取面談方式提出共同投訴的群體性投訴案件。4.參照銀行《客戶數(shù)據(jù)分級規(guī)范》標(biāo)準(zhǔn)，泄露個人客戶關(guān)鍵敏感數(shù)據(jù)5000（含）條以上或者敏感數(shù)據(jù)5萬（含）條以上的。（二）出現(xiàn)以下情形之一的為II級（重大）事件：個人金融信息違法違規(guī)案件涉案人員范圍在一個?。ㄖ陛犑?、自治區(qū)）轄內(nèi)的。2.高級人民法院受理的個人金融信息訴訟案件。3.20名以上投訴人采取面談方式提出共同投訴的群體性投訴案件。4.參照銀行《客戶數(shù)據(jù)分級規(guī)范》標(biāo)準(zhǔn)，泄露個人客戶關(guān)鍵敏感數(shù)據(jù)500（含）條以上、5000條以下或者敏感數(shù)據(jù)5000（含）條以上、5萬條以下的。（三） 出現(xiàn)以下情形之一的為III級（較大）事件：個人金融信息違法違規(guī)案件涉案人員范圍在一個地（市）區(qū)轄內(nèi)的。中級人民法院受理的個人金融信息訴訟案件。3.10名以上投訴人采取面談方式提出共同投訴的群體性投訴案件。4.參照銀行《客戶數(shù)據(jù)分級規(guī)范》標(biāo)準(zhǔn)，泄露個人客戶關(guān)鍵敏感數(shù)據(jù)50（含）條以上、500條以下或者敏感數(shù)據(jù)500（含）條以上、5000條以下或者內(nèi)部數(shù)據(jù)5萬（含）條以上的。（四） 除了上述I級（特別重大）、I級（重大）、I級（較大）外的其他信息事件為W級（一般）事件。難以判斷個人信息事件級別的，應(yīng)按照較高級別分類。發(fā)生在敏感地區(qū)、敏感時間或涉及敏感任務(wù)的重大信息事件不受上述標(biāo)準(zhǔn)限制。第三章組織機構(gòu)及職責(zé)第八條總行成立個人金融信息事件應(yīng)急處置領(lǐng)導(dǎo)小組（以下簡稱領(lǐng)導(dǎo)小組），并下設(shè)辦公室。領(lǐng)導(dǎo)小組為個人信息事件指揮決策機構(gòu)，組長由主管個人金融業(yè)務(wù)的行領(lǐng)導(dǎo)擔(dān)任，總行相關(guān)部門主要負(fù)責(zé)人為成員，領(lǐng)導(dǎo)小組辦公室設(shè)在個人金融部。第九條各級行應(yīng)參照總行成立領(lǐng)導(dǎo)小組，負(fù)責(zé)本行個人客戶信息事件的應(yīng)急處置。第十條機構(gòu)職責(zé)（一） 領(lǐng)導(dǎo)小組主要職責(zé)。研究決策個人信息事件的應(yīng)急處置及處置過程中有關(guān)重要事項的決策。統(tǒng)一領(lǐng)導(dǎo)和指揮個人信息事件應(yīng)急處置工作。決定啟動、終止個人信息事件應(yīng)急處置預(yù)案。協(xié)調(diào)相關(guān)業(yè)務(wù)部門共同處置個人信息事件，決定重大處置措施和媒體報道等重大事項。負(fù)責(zé)處置過程中其他重要事項的決策。（二） 領(lǐng)導(dǎo)小組成員部門職責(zé)。領(lǐng)導(dǎo)小組辦公室設(shè)在個人金融部。個人金融部牽頭組織開展個人信息事件應(yīng)急處置工作。承擔(dān)以下職責(zé)：向領(lǐng)導(dǎo)小組提出啟動應(yīng)急處置機制建議，組織相關(guān)部門開展事態(tài)控制、調(diào)查跟蹤和落實處置措施工作，及時向領(lǐng)導(dǎo)小組報告處置進(jìn)度。在應(yīng)急處置結(jié)束后牽頭組織總結(jié)和整改工作，并參與有關(guān)違法違規(guī)人員責(zé)任認(rèn)定。運營管理部、遠(yuǎn)程銀行中心、金融市場部、個人金融部、個人信貸部、私人銀行部、農(nóng)戶金融部、網(wǎng)絡(luò)金融部、信用卡中心等有關(guān)個人金融信息收集使用部門，負(fù)責(zé)對涉及本部門本條線的個人信息事件采取事態(tài)控制措施，跟蹤處置進(jìn)度，并向領(lǐng)導(dǎo)小組及上級行條線部門報告處置情況。在應(yīng)急處置結(jié)束后，配合相關(guān)部門對事件性質(zhì)和結(jié)果進(jìn)行認(rèn)定，總結(jié)整改事件暴露的制度、系統(tǒng)、流程和管理中存在的問題，會同相關(guān)部門對違法違規(guī)人員進(jìn)行責(zé)任認(rèn)定。企業(yè)文化部負(fù)責(zé)個人信息事件輿情監(jiān)控，做好輿情防控及應(yīng)對處置工作。內(nèi)控合規(guī)監(jiān)督部負(fù)責(zé)對個人信息事件涉及違法違規(guī)人員進(jìn)行責(zé)任追究。法律事務(wù)部負(fù)責(zé)提供個人信息事件相關(guān)法律咨詢，處理訴訟案件、為行內(nèi)處理客戶投訴提供法律咨詢等工作。信息管理部負(fù)責(zé)從數(shù)據(jù)層面協(xié)同組織相關(guān)調(diào)查或分析工作，針對突發(fā)事件暴露出來的問題，推動有關(guān)單位完善數(shù)據(jù)保護(hù)措施及機制。科技與產(chǎn)品管理局負(fù)責(zé)對個人信息事件涉及有關(guān)信息系統(tǒng)問題采取阻斷措施，并修改完善；研發(fā)中心、數(shù)據(jù)中心負(fù)責(zé)配合完成相關(guān)工作。保衛(wèi)部、內(nèi)控合規(guī)監(jiān)督部按照《銀行涉刑案件管理辦法》中的職責(zé)分工負(fù)責(zé)監(jiān)管口徑的涉刑案件和案件風(fēng)險事件的調(diào)查處置。其他相關(guān)部門負(fù)責(zé)按照領(lǐng)導(dǎo)小組要求，做好涉及本部門本條線個人信息事件的處置工作。第四章預(yù)警與演練第十一條預(yù)警。各級行應(yīng)本著預(yù)防為主的原則做好個人信息事件的日常防控和預(yù)警工作。各級行應(yīng)按照行內(nèi)數(shù)據(jù)及信息保護(hù)相關(guān)制度規(guī)定，做好日常個人金融信息風(fēng)險監(jiān)測及自查自糾工作，收集并關(guān)注轄內(nèi)個人金融信息風(fēng)險預(yù)警信息，全面準(zhǔn)確識別和評估個人金融信息風(fēng)險因素，從源頭上控制和消除風(fēng)險。第十二條演練。各級行應(yīng)根據(jù)個人金融信息風(fēng)險監(jiān)測、自查自糾工作排查發(fā)現(xiàn)的風(fēng)險隱患，對可能發(fā)生的個人金融信息事件進(jìn)行情景分析，定期組織轄內(nèi)機構(gòu)開展應(yīng)急演練。第五章報告與處置第十三條報告。各級行發(fā)生個人信息事件后應(yīng)立即向本級行領(lǐng)導(dǎo)小組和上級行條線部門報告。本級行領(lǐng)導(dǎo)小組接到報告后，應(yīng)立即組織對信息事件進(jìn)行分析，判斷信息事件等級，并向上一級領(lǐng)導(dǎo)小組報告。（一）報告內(nèi)容。個人信息事件涉及的內(nèi)外部機構(gòu)、客戶及相關(guān)人員，發(fā)生事件的性質(zhì)、時間、地點等情況。個人信息事件的類型及原因，并盡可能詳細(xì)說明原因。個人信息事件的危害程度、影響范圍、發(fā)展趨勢及輿情輿論等情況。個人信息事件的處置情況，包括組織指揮、先期處置措施等情況。啟動應(yīng)急處置預(yù)案的說明。說明本級機構(gòu)應(yīng)急處置預(yù)案的啟動情況；需要上級協(xié)調(diào)的，應(yīng)對需要上級協(xié)助事項進(jìn)行詳細(xì)說明；需上級啟動應(yīng)急處置預(yù)案的，應(yīng)向上級提出申請。其他與本事件有關(guān)的內(nèi)容。（二） 報告程序。二級分行及以下機構(gòu)發(fā)生的個人信息事件，不論級別高低，均應(yīng)及時匯總報告一級分行。一級分行對轄內(nèi)機構(gòu)發(fā)生的個人信息事件應(yīng)及時進(jìn)行匯總分析。其中，特別重大事件、重大事件應(yīng)立即向總行報告；較大事件，應(yīng)及時向總行報告。（三） 報告要求。個人信息事件應(yīng)先行電話報告，再以書面形式報告。書面報告需經(jīng)領(lǐng)導(dǎo)小組組長簽批方可上報。（1） 首次報告。有關(guān)機構(gòu)和人員發(fā)現(xiàn)個人信息事件后，應(yīng)不晚于2小時內(nèi)以“雙線”報告的形式向本級行領(lǐng)導(dǎo)小組辦公室和上級行條線部門進(jìn)行首次報告，其中特別重大事件和重大事件應(yīng)按照行內(nèi)重大突發(fā)事件報告管理規(guī)定及時上報總行。（2） 后續(xù)報告。啟動應(yīng)急處置流程后，在事件處置過程中和結(jié)束時，事發(fā)機構(gòu)和部門應(yīng)及時做好后續(xù)報告工作。在應(yīng)急處置過程中，事件發(fā)生重大變化的，應(yīng)在發(fā)生重大變化當(dāng)日逐級向上級行報告。報告內(nèi)容應(yīng)客觀、真實、全面，不得主觀臆斷。各級行應(yīng)根據(jù)監(jiān)管部門要求，及時向監(jiān)管部門匯報重大事件處置情況。第十四條決策與處置（一） 決策原則。劃分事權(quán)，分級決策。特別重大事件的應(yīng)急處置由總行領(lǐng)導(dǎo)小組決策；重大事件和較大事件的應(yīng)急處置由一級分行決策，對無法處置的應(yīng)提交總行領(lǐng)導(dǎo)小組決策；一般事件的應(yīng)急處置由二級分行領(lǐng)導(dǎo)小組決策，對無法處置的一般事件提請一級分行領(lǐng)導(dǎo)小組決策。快速反映，研究對策。個人信息事件發(fā)生后，各級行領(lǐng)導(dǎo)小組應(yīng)立即組織研究對策，在確認(rèn)信息發(fā)生泄露、毀損、丟失時，應(yīng)當(dāng)立即采取補救措施，阻斷風(fēng)險擴大，最大限度降低損失。措施得當(dāng)，果斷決策。領(lǐng)導(dǎo)小組接到個人信息事件后，應(yīng)果斷決策，啟動相應(yīng)的應(yīng)急處置預(yù)案，分析個人信息事件原因、影響，判斷個人信息事件等級，制定對外應(yīng)答口徑，決策處置措施。對影響嚴(yán)重、難以決策的，應(yīng)提請上級行領(lǐng)導(dǎo)小組決策。（二） 處置措施?？刂骑L(fēng)險源頭。涉及違規(guī)查詢個人金融信息的，應(yīng)在第一時間對涉事機構(gòu)采取關(guān)停涉事用戶和機構(gòu)查詢權(quán)限等應(yīng)急措施；本機構(gòu)無權(quán)控制的，應(yīng)立即上報上級行，提請上級行實施控制措施。涉及業(yè)務(wù)中不當(dāng)提供或者披露個人金融信息的，應(yīng)第一時間撒回相關(guān)信息并阻止繼續(xù)擴散傳播。涉及第三方合作機構(gòu)泄露個人金融信息的，應(yīng)第一時間與第三方合作機構(gòu)聯(lián)系，中止合作并采取補救措施與責(zé)任追究。履行告知義務(wù)。個人信息事件涉密或涉及客戶個人金融信息的，應(yīng)嚴(yán)格遵守相關(guān)保密規(guī)定，不得泄露。個人金融信息泄露、毀損、丟失可能危及客戶人身、財產(chǎn)的，應(yīng)當(dāng)立即向當(dāng)?shù)乇O(jiān)管部門報告并告知客戶；信息泄露、毀損、丟失可能對客戶產(chǎn)生其他不利影響的，應(yīng)當(dāng)及時告知客戶，并在72小時以內(nèi)報告當(dāng)?shù)乇O(jiān)管部門。依法處置事件。對涉及內(nèi)外部人員惡意泄露客戶個人金融信息的，涉事機構(gòu)應(yīng)及時向公安機關(guān)報案，并協(xié)助公安機關(guān)偵破案件，確?？蛻粜畔?。對于被公安和司法機關(guān)立案調(diào)查、審查或確定刑罰責(zé)任的個人金融信息案件，有關(guān)部門應(yīng)全力配合公安和司法機關(guān)查辦案件，并按照《銀行涉刑案件管理辦法》要求及時報告相關(guān)部門和監(jiān)管機構(gòu)?？刂坡曌u風(fēng)險。各級行聲譽風(fēng)險管理部門要密切跟蹤媒體對個人信息事件的報道，發(fā)現(xiàn)負(fù)面消息和失實報道，要制定統(tǒng)一規(guī)范的宣傳、解釋標(biāo)準(zhǔn)，統(tǒng)一對外口徑，及時通過相關(guān)渠道澄清事實；加強策劃和危機公關(guān)，協(xié)調(diào)各類媒體做好正面宣傳報道工作，把握正確的輿論導(dǎo)向，最大程度地降低事件給銀行帶來的不良影響。消除系統(tǒng)隱患。因我行業(yè)務(wù)系統(tǒng)原因?qū)е卤粌?nèi)外部人員惡意泄露個人金融信息的，應(yīng)在事件發(fā)生后立即組織人力排查原因，消除隱患。加強溝通協(xié)調(diào)。各級行領(lǐng)導(dǎo)小組應(yīng)根據(jù)實際情況，做好與政府部門、監(jiān)管部門的溝通協(xié)調(diào)工作，取得有關(guān)方面支持。第十五條總結(jié)。信息事件應(yīng)急處置結(jié)束后，應(yīng)對處置行動的及時性、有效性及協(xié)調(diào)配合情況進(jìn)行評估與總結(jié)，對事件成因進(jìn)行分析，總結(jié)教訓(xùn)，落實整改，并完善相關(guān)制度和應(yīng)急處置預(yù)案。評估總結(jié)應(yīng)書面逐級上報。第十六條對瞞報、遲報、漏報、謊報信息事件或在處置過程中玩忽職守、不聽指揮、不負(fù)責(zé)任、擅離職守的人員，以及對個人信息事件負(fù)有責(zé)任的人員，根據(jù)《銀行員工違規(guī)行為處理辦法》