第一篇:個人信用信息征信體系中相關(guān)機構(gòu)的賠償責任
個人信用信息征信體系中相關(guān)機構(gòu)的賠償責任
[案情] 近來,杭州出現(xiàn)一起“一美元的個人信用官司”,引起了媒體和社會大眾的關(guān)注。2003年9月24日,沈某按照銀行的催款單,提前一天歸還了其在工行國際牡丹卡(Visa國際組織成員卡)上的透支款14美分。但一個月后,工行杭州市羊壩頭支行(以下簡稱工行)給沈某寄送的對賬單表明,其是在銀行規(guī)定的欠款歸還日期9月25日之后的26日方才歸還其透支款的,并因此認定其惡意透支,扣罰沈某滯納金1美元。沈某事后與工行聯(lián)系,工行承認系自身記賬工作存在錯誤,并退還了誤扣的1美元。但沈某認為,工行的這一行為已經(jīng)給自身造成了錯誤的不良信用記錄。作為補救措施,沈某要求工行向Visa國際組織總部及Visa組織各中國區(qū)域會員銀行(廣東發(fā)展銀行等6家銀行)做出書面的更正、道歉啟示。除此之外,沈某還依據(jù)《浙江省實施《消費者權(quán)益保護法》辦法》第52條規(guī)定,要求工行另行支付1美元,以作為侵害其信用的賠償。經(jīng)審理,一審(2005年4月)、二審(2005年7月)法院均以工行已經(jīng)更正錯誤信息,并已退還多收的1美元,而沈某未能證明此項錯誤記錄給其造成了實際損害,且其要求工行賠禮道歉的訴訟請求缺少可操作性為由,駁回了沈某的訴訟請求。
[評析] 本案因為涉及到當前我國正在建設(shè)的個人信用信息征信體系建設(shè),故而備受各方關(guān)注,成為了一個熱點問題。所謂個人信用信息征信體系是指,由專門的個人信用信息征信機構(gòu)收集有關(guān)當事人的信用信息,并傳播給其他社會主體,如此,在信用交易雙方之間起到信息溝通的作用,促進信用交易的透明化和安全。
[2][1]
1999年,上海市建立了全國第一個地方性個人信用聯(lián)合征信服務(wù)系統(tǒng)。2006年1月,中國人民銀行聯(lián)合全國各商業(yè)銀行建成全國聯(lián)網(wǎng)的“個人信用信息基礎(chǔ)數(shù)據(jù)庫”。這一數(shù)據(jù)庫目前已收錄的自然人數(shù)已達到3.4億人,其中有信貸記錄的人數(shù)約為3500萬人。到2005年底,收錄個人信貸余額2.2萬億元,約占全國個人消費信貸余額的97.5%。
[3]
與此相配套,2005年8月,中國人民銀行出臺了第一部全國性個人征信法規(guī)――《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》。如此,個人以往在某銀行或機構(gòu)所形成的個人信用記錄將成為其以后獲得授信的重要依據(jù),存有不良信用記錄者,勢必影響其以后獲得授信的機會。個人信用記錄也就因此成為個人的“第二張身份證”,“信用值千金”。
個人信用信息征信體系的建立對于保障信用交易的安全自然具有重要意義,但隨之而來的問題是,因為個人信用信息的記錄、收集、傳播等環(huán)節(jié)都是由有關(guān)機構(gòu)來完成的,當事人缺少參與,那么,在個人信用信息的利用過程中,如何保證當事人的合法權(quán)益,防止有關(guān)機構(gòu)的不當行為給當事人造成損害,以及在有關(guān)機構(gòu)存在錯誤行為時,如何對當事人的損失進行賠償?shù)葐栴},都是一個完善的個人信用信息征信體系所不可缺少的組成部分。上述案例雖然爭議標的不大,只有1美元,但其反映出了在建立個人信用信息征信體系過程中,如何保障當事人的權(quán)益,如何定性有關(guān)征信機構(gòu)的不當行為,以及如何對當事人實施救濟等一系列復雜問題。由于我國個人征信體系還處于初建階段,這些問題,實踐中還沒有形成統(tǒng)一的答案。也正因為此,杭州出現(xiàn)的這一案例成為了大家關(guān)心的熱點問題。因此,本文擬借助各國個人征信體系實踐以及我國現(xiàn)有的相關(guān)作法,結(jié)合個人征信的理論基礎(chǔ),圍繞著上述案例,就上述幾個當前大家關(guān)心的問題予以分析和解釋,并提出自己的一些看法。
一、個人信用信息征信體系運行實況簡介
個人信用信息征信體系在不同的國家或地區(qū)有不同的結(jié)構(gòu)和運作方式,但大致而言,其基本規(guī)則是一致的,即由專門的個人信用信息征信機構(gòu)從金融、貿(mào)易、公用事業(yè)等單位收集有關(guān)個人的信用記錄,而在符合特定目的的情況下,允許有關(guān)單位查詢個人的過往個人信用記錄。具體程序,我們簡要介紹如下:
1、個人信用信息的收集。個人信用信息的收集是由專門的個人征信機構(gòu)負責的。在德國,該業(yè)務(wù)是由唯一的一家機構(gòu),“夏華征信公司”負擔的。
[4]
而在美國,該業(yè)務(wù)主要由三大征信公司,即Equifax(艾奎法克斯),Trans Union(環(huán)聯(lián)),Experian(益百利)分享。[5]我國目前各商業(yè)銀行聯(lián)網(wǎng)使用的“個人信用信息基礎(chǔ)數(shù)據(jù)庫”是由中國人民銀行征信中心負責的。
個人信用信息征信機構(gòu)一般通過和個人信用信息資料提供單位簽訂合作協(xié)議,從而獲得穩(wěn)定、持續(xù)的個人信用記錄。個人信用信息征信機構(gòu)獲得個人的全部的各種各樣的信用交易的歷史記錄,是不可能。因為個人的有些信用交易是無法跟蹤或監(jiān)控的,其交易信息也是無法獲知的。通常,個人信用信息征信機構(gòu)主要是獲取當事人與那些大型的、壟斷的金融、貿(mào)易、服務(wù)、公用事業(yè)等單位信用交易的歷史記錄。如在德國,個人征信機構(gòu)夏華公司的資料提供單位包括:分期付款業(yè)者、郵局銀行信用部、各銀行、租賃公司、催收公司、郵購公司、信用卡公司、零售百貨業(yè)者。
[6]
我國“個人信用信息基礎(chǔ)數(shù)據(jù)庫”是由全國各商業(yè)銀行將其與個人信貸交易的信息定期提供給該數(shù)據(jù)庫而形成的,根據(jù)計劃,今后,水、電、通訊等公用事業(yè)單位與個人交易的信用信息也將定期提供給該數(shù)據(jù)庫。
[7]
個人征信機構(gòu)一般會和這些資料提供單位簽訂合作協(xié)議,后者將定期地、不間斷地將其與個人的信用交易的信息,諸如交易金額、融資期限、是否拖欠等等,通報給個人征信機構(gòu)。
個人信用信息征信機構(gòu)對于其所收集的個人信用信息應(yīng)當采取適當?shù)姆绞酱_保其準確性。個人的以往信用記錄直接關(guān)系到其今后在社會上獲得授信的能力,因此,個人征信機構(gòu)必須采取適當?shù)耐窘?jīng)確保個人信用信息的準確性。所謂準確性,是指“應(yīng)該努力確保所收集、持有的個人資料是準確、相關(guān)、適時、完整的。不應(yīng)持有、使用過時的資料,應(yīng)該使用反映最新情況的資料。”
[8]
例如,英國數(shù)據(jù)保護法保護原則之
三、之四分別規(guī)定,“個人數(shù)據(jù)應(yīng)具充分性、相關(guān)性,并不超越其作處理之目的”,“個人數(shù)據(jù)應(yīng)是準確的,并且必要時保持更新。” [9]
再如,我國《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》第6條規(guī)定,“商業(yè)銀行應(yīng)當遵守中國人民銀行發(fā)布的個人信用數(shù)據(jù)庫標準及其有關(guān)要求,準確、完整、及時地向個人信用數(shù)據(jù)庫報送個人信用信息。”
當然,個人信用信息征信機構(gòu)還應(yīng)當采取適當?shù)拇胧S護個人信用信息的保密性,防止其被不法破壞、竄改、竊取、泄漏等等。
2、個人信用信息的查詢。對于個人信用信息征信機構(gòu)所收集的個人信用信息,有哪些機構(gòu)可以查詢或了解呢?對于此,在國際上有兩種不同的作法。一種是所謂的“封閉性系統(tǒng)”,即只有向個人信用信息征信機構(gòu)提供當事人信用信息的有關(guān)機構(gòu)或單位才可以查詢,如德國個人征信機構(gòu)夏華公司。我國目前的“個人信用信息數(shù)據(jù)庫”也是采用的這種作法。根據(jù)《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》第12條,只有為該數(shù)據(jù)庫提供信息的各商業(yè)銀行方才可以使用該數(shù)據(jù)庫。還有一種是“開放性系統(tǒng)”,社會上所有符合特定條件的機構(gòu)或單位都可以查詢,如美國的各大個人征信機構(gòu),均是如此。
各國關(guān)于查詢個人信用信息的法定條件并不相同,但總體而言,查詢個人信用信息一般必須是為了滿足預(yù)測或評估與當事人有關(guān)的信用交易的風險的需要,即是為了維護與當事人有關(guān)的經(jīng)濟活動的安全的需要。總結(jié)各國立法例,一般而言,有關(guān)單位或機構(gòu)查詢個人信用信息的理由只能限于以下幾種:
1、為了進行某些法定的信用交易,如銀行信貸、保險、分期付款交易、信用卡業(yè)務(wù)等等;
2、出于某些法定的公務(wù)需要;
3、出于賬款催收的需要;
4、出于勞動就業(yè)的需要;
5、頒發(fā)某些資格證書的需要。除了以上幾種情形外,如果是為了進行某種信用交易,在征得當事人同意的情況下,交易對方也可以查詢個人信用信息。需要特別強調(diào)的是,各國一般均明確規(guī)定,查詢個人信用信息的理由,只限于法律所明確規(guī)定的幾種情形,決不得超越其范圍查詢個人信用信息。正如美國學者所言,“關(guān)于個人信用報告的使用,沒有非法使用的例外情形,只有受到限制的合法使用,除此之外的,都是非法的使用。” [10]此舉顯然是為了保護個人信用信息的隱秘性,防止個人隱私的泄露。
在我國,根據(jù)《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》第12條規(guī)定,各商業(yè)銀行查詢個人信用信息數(shù)據(jù)庫的事由僅限于下列幾項:(1)審核個人貸款申請的;(2)審核個人貸記卡、準貸記卡申請的;(3)審核個人作為擔保人的;(4)對已發(fā)放的個人信貸進行貸后風險管理的;(5)受理法人或其他組織的貸款申請或其作為擔保人,需要查詢其法定代表人及出資人信用狀況的。
二、個人信用信息征信體系中相關(guān)機構(gòu)的責任
個人信用信息征信體系中,如果相關(guān)機構(gòu)錯誤地記載或傳播當事人的信用信息,甚至于是故意地制造或散布當事人的虛假信用信息,造成當事人損失的,自然應(yīng)當承擔賠償責任。對此,各國立法均有明確的規(guī)定,如《美國公平信用報告法》第616條和第617條、《德國聯(lián)邦個人資料保護法》第8條、《奧地利資料保護法》第28條、臺灣《電腦處理個人資料保護法》第27條和第28條。我國《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》對此還缺少明確規(guī)定,但是,無論是從法理,還是從社會公正的角度,相關(guān)機構(gòu)因為自身過錯形成當事人錯誤的個人信用信息,或不正確使用個人信用信息,給當事人造成損害的,自然應(yīng)當承擔賠償責任,即便《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》沒有相關(guān)規(guī)定,依據(jù)民法的基本原理,也應(yīng)當做出如上的判斷。因此,我們認為,今后司法實踐中,如果相關(guān)機構(gòu)因為不當使用個人信用信息造成當事人損害的,當事人自然應(yīng)當承擔賠償責任。
既然相關(guān)機構(gòu)因為不當使用個人信用信息造成當事人損害的,應(yīng)當承擔賠償責任,那么,我們又應(yīng)當如何來判斷相關(guān)機構(gòu)的責任呢?依照前述個人信用信息征信體系的介紹,我們可以發(fā)現(xiàn),如果僅僅是個人信用信息提供單位提供了錯誤的信用信息,甚至于個人征信機構(gòu)也記載了錯誤的個人信息,但只要沒有向有關(guān)查詢?nèi)颂峁┰擁楀e誤信息,則該項錯誤信用信息并不會給當事人造成損害,自然,相關(guān)機構(gòu)也就談不上賠償責任。當然,相關(guān)機構(gòu)對于錯誤的信用信息還是負有更正責任的。但是,值得研究的是,是否只要相關(guān)機構(gòu)提供、記載、傳播了當事人的錯誤信用信息,并因此給當事人造成損失,則必然地就應(yīng)當向當事人承擔損害賠償責任呢?總結(jié)各國立法例,其實也未必。
個人征信體系中的相關(guān)機構(gòu)每天要面對難以計數(shù)的、大量的個人信用信息,而且,這些信息大多輾轉(zhuǎn)數(shù)個機關(guān),方才最終匯總到個人征信機構(gòu)手中,所以,某種程度上講,要確保每個人的每一條個人信用信息都是準確的,是不可能的。因此,如果每發(fā)生個人信用信息不準確的情況,即認為相關(guān)機構(gòu)未盡到應(yīng)有的職責,從而追究其責任,則顯然是不恰當?shù)摹?v觀各國立法例,其實,各國都貫徹了相關(guān)機構(gòu)的“合理程序原則”,即,只要各機構(gòu)在提供、收集、處理個人信用信息過程中貫徹了“合理程序原則”,盡到了適當?shù)淖⒁饬x務(wù),那么,其即無需承擔個人信用信息不準確的責任,否則,其就應(yīng)當為其所提供、收集、處理的個人信用信息不準確并因此而給當事人造成的損失承擔責任。
例如,在美國,“美國法院判斷個人信用報告是否符合準確性的要求,主要看個人信用報告機構(gòu)是否采取了合理的程序以確保信用信息的真實性,如果信用報告機構(gòu)已經(jīng)盡到了這樣的注意義務(wù),則即便存在信用報告不準確的情況,也不會被追究責任。”
[11]
當然,所謂的“合理程序原則”較為嚴格。比如說,對于個人征信機構(gòu)的雇員是否進行了合理的培訓,使其掌握收集、更新、發(fā)布正確的個人信用報告的技能等等,都是判斷個人征信機構(gòu)是否盡到“合理程序原則”的依據(jù)。
[12]
在德國,《德國聯(lián)邦個人資料保護法》第8條規(guī)定,“非公務(wù)機關(guān)依本法或其他資料保護法,因錯誤或未經(jīng)同意處理當事人個人資料,當事人得請求損害賠償。”據(jù)此,當事人在相關(guān)機構(gòu)因自身錯誤造成當事人損失的時候,是可以要求予以賠償?shù)摹5牵摲ǖ?條規(guī)定,“處理或受托處理個人資料之公務(wù)及非公務(wù)機關(guān),應(yīng)采取必要之技術(shù)及組織措施,以符合本法規(guī)定,以及本法附則所列要求。但要求為必要措施之耗費,應(yīng)僅限于其保護目的所要求之程度,有合理之相當性。”依此條款,相關(guān)機構(gòu)對于確保個人信用信息的準確性所負擔的責任也不是無限制的,其只要盡到了“必要之技術(shù)及組織措施”即可,換言之,若相關(guān)機構(gòu)在盡到了上述“合理”注意義務(wù)之后仍造成當事人損失的,當可以以此免除責任。
在奧地利,《奧地利資料保護法》第28條第2款規(guī)定,“違法本法或及依據(jù)本法訂定之施行規(guī)則規(guī)定,處理、利用及傳遞資料,當事人除請求損害賠償外,得依本法及依據(jù)本法訂定之施行規(guī)則規(guī)定,請求停止及排除違法行為。”據(jù)此,在相關(guān)機構(gòu)提供、記載錯誤信息,造成當事人損害時,當事人自然可以要求損害賠償。但是,該法第10條第1款規(guī)定,“資料管理人或受托處理人所屬利用資料單位,應(yīng)有適當措施以維護資料之安全。并依使用資料之類別,考量技術(shù)可行性與經(jīng)濟合理性采取必要措施,保障資料合法利用,防止資料被非法濫用。” [13]依此規(guī)則,如果相關(guān)機構(gòu)已經(jīng)盡到了“技術(shù)可行性與經(jīng)濟合理性采取必要措施”,則即便記載傳播了當事人的錯誤信用信息,也可以免于承擔賠償責任。
此外,需要強調(diào)的是,如果相關(guān)機構(gòu)構(gòu)成了對當事人的損害賠償,那么相關(guān)機構(gòu)不僅僅要賠償當事人的經(jīng)濟損失,如喪失信用交易的機會而產(chǎn)生的損失,還要賠償當事人因此而遭受的精神損失。如在美國,根據(jù)《公平信用報告法》“賠償消費者的損失,包括財產(chǎn)損失,也包括精神損失(如精神上的痛苦、羞辱等)”。
[14]
在臺灣,依據(jù)《電腦處理個人資料保護法》第27、28條規(guī)定,“被害人雖非財產(chǎn)上之損害,亦得請求賠償相當之金額;其名譽被侵害者,并得請求為回復名譽之適當處分”。
三、對本案的分析
本文以上對于個人信用信息征信體系的構(gòu)成、運作,以及相關(guān)機構(gòu)的賠償責任做了簡要介紹,現(xiàn)結(jié)合上述案例的案情,對于本案進行一些分析:
第一,工行的確系因自身的原因使沈某產(chǎn)生了錯誤的不良信用信息。沈某已經(jīng)在規(guī)定期限以前償還了透支款,乃工行自身電腦系統(tǒng)原因而使未能及時入帳。所以,是工行原因造成了沈某錯誤的不良信用記錄。對于此點,雙方并無異議。
第二,工行的此項行為是否給沈某造成了損害?如前所述,當事人的個人信用信息不是當然地、自發(fā)地予以公開或傳播,而必須是由個人信用信息提供單位提供給個人信用信息征信機構(gòu),而后,相關(guān)查詢?nèi)嗽诜咸囟l件下方才可以查詢當事人的信用信息。對于工行是否已經(jīng)將沈某的此項不良信用信息提供給相關(guān)個人征信機構(gòu),在案件一審時雙方均未予以證明,在二審時,工行提供了一份材料試圖證明,工行以及Visa組織均未將此項不良信用記錄提供給相關(guān)的個人征信機構(gòu)。但可惜的是,由于工行的此項證據(jù)是在二審時提出的,超過了舉證時限,所以未被法庭采信。因為人民銀行設(shè)立的“個人信用信息基礎(chǔ)數(shù)據(jù)庫”是從2006年1月才運行的,所以,如果工行也的確未將本行的相關(guān)信用信息提供給國際上的個人征信機構(gòu)的話,我們可以認為,因為工行并未將此項錯誤不良信用信息提供給個人征信機構(gòu),那么,其是不可能給沈某造成不良后果的,所以,其只要予以更正錯誤信息即可,而無需予以賠償損失。
現(xiàn)在假設(shè),如果工行已經(jīng)將該錯誤不良信用信息提供給了相關(guān)個人征信機構(gòu),此時,沈某還必須證明,已經(jīng)有相關(guān)機構(gòu)從個人征信機構(gòu)處查詢獲得了此項不良信用信息,并造成了自己的損失。如果沈某不能證明已經(jīng)有相關(guān)機構(gòu)從個人征信機構(gòu)處查詢獲得了此項不良信用信息,那么,因為工行沒有給其造成實際損失,故沈某也只能要求工行將其在個人征信機構(gòu)處的錯誤的不良信用信息予以更正,而不能要求賠償。
第三,如果工行已經(jīng)將此項錯誤不良信用信息提供給個人信用信息征信機構(gòu),并經(jīng)相關(guān)單位查詢、使用,給沈某造成了實際損失,那么,工行是否就一定要承擔賠償責任呢?如前所述,由于相關(guān)機構(gòu)每天要處理的個人信用信息數(shù)量是十分龐大的,程序也是相當復雜,難免掛一漏萬,要相關(guān)機構(gòu)確保絕對地萬無一失有時是強人所難,不夠現(xiàn)實。因此,各國立法均強調(diào)相關(guān)機構(gòu)必須遵循“合理程序原則”,只有在相關(guān)機構(gòu)未能依據(jù)法律盡到自己應(yīng)當盡到的職責,并造成他人損害時,方才承擔賠償責任。所以,本案中,即使工行提供了錯誤的個人信用信息,并給沈某造成了損失,但如果工行能夠證明自己在工作過程中已經(jīng)盡到了合理的注意義務(wù),履行了正當?shù)某绦颍湟部梢砸虼嗣獬r償責任。需要特別強調(diào)的是,此項證明責任應(yīng)當由工行來承擔,而非沈某承擔。這主要是因為,證明工行的內(nèi)部程序是否合理、盡職,對于沈某而言,顯然是無法完成的,所以,從舉證責任合理分擔的角度而言,自然應(yīng)當由工行來承擔。在二審過程中,沈某舉證證明,工行在2003年至2004年中5次錯誤扣罰了沈某的滯納金(此項證據(jù)也因為是在二審中提出,超過了舉證時限,因而被法庭拒絕采信)。如果事實果真如此,那么,工行自身的管理體系可能的確存在問題,由此而給當事人造成了錯誤的不良信用信息,并造成當事人損失的,應(yīng)該承擔損害賠償責任。
注釋:
[1] 本案事實部分來源于原告律師張子年先生所提供的一二審判決書。對于張先生的熱情襄助,在此表示感謝。《浙江省實施《消費者權(quán)益保護法》辦法》第52條規(guī)定,“供水、供電、供氣、郵政、電信、有線電視、物業(yè)管理、醫(yī)療機構(gòu)等經(jīng)營者……,沒有合法依據(jù)收取費用(包括押金、保證金)的,應(yīng)當向消費者加倍返還多收取的費用。”對于本案能否適用這一條款,一二審法院做出了否定性的判決。考慮到本問題與個人征信問題無關(guān),故不在本文研究范圍。[2] 參見龍西安:《個人信用、征信與法》,中國金融出版社2004年版,第139頁。[3] 參見《我國個人信用信息基礎(chǔ)數(shù)據(jù)庫運行――3.4億人入庫》http://politics.people.com.cn/GB/1026/4032576.html
[4] 參見陳福雄:《德國征信機構(gòu)營運概況》,金融聯(lián)合征信中心(臺灣)1994年版,第55頁。[5] 參見王征宇等:《美國的個人征信局及其服務(wù)》,中國方正出版社2003年版,第33頁。除此之外,[6]參見陳福雄:《德國消費者信用報告機構(gòu)聯(lián)邦夏華營運概況》,金融聯(lián)合征信中心(臺灣)1999年[7]《全國統(tǒng)一的個人信用信息基礎(chǔ)數(shù)據(jù)庫本月正式運行》,[8]張新寶主編:《互聯(lián)網(wǎng)上的侵權(quán)問題研究》,中國人民大學出版社2003年版,第191頁。[9](英)戴恩?羅蘭德、伊麗莎白?麥克唐納:《信息技術(shù)法》,宋連斌等譯,武漢大學出版社2004[10] Jonathan Sheldon, Fair Credit Reporting Act, third Edition, National Consumer Law Center, 1994, [11] James P.Nehf, A Legislative Framework For Reducing Fraud In The Credit Repair Industry, North [12] James P.Nehf, A Legislative Framework For Reducing Fraud In The Credit Repair Industry, North [13]此條本是公務(wù)機關(guān)處理個人信息資料時所應(yīng)當遵循的要求,但是,根據(jù)該法第21條規(guī)定,非公[14] Jonathan Sheldon, Fair Credit Reporting Act, third Edition, National Consumer Law Center, 1994, 美國還有為數(shù)眾多的小型征信公司,但其多為地區(qū)性或行業(yè)性的個人信用信息征信公司。版,第19頁。
http://2006年2月11日訪問。
年版,第340頁。Boston, p117.Carolina Law Review, March 1992, p789.Carolina Law Review, March 1992, p789.務(wù)機關(guān)(如征信機構(gòu))亦準用此條的規(guī)定。Boston, p234.
第二篇:征信機構(gòu)信息安全規(guī)范
征信機構(gòu)信息安全規(guī)范
一、總則
1.1標準適用范圍
標準規(guī)定了不同安全保護等級征信系統(tǒng)的安全要求,包括安全管理、安全技術(shù)和業(yè)務(wù)運作三個方面。
標準適用于征信機構(gòu)信息系統(tǒng)的建設(shè)、運行和維護,也可作為各單位開展安全檢查和內(nèi)部審計的安全依據(jù)。接入征信機構(gòu)信息系統(tǒng)的信息提供者、信息使用者也可以參照與本機構(gòu)有關(guān)條款執(zhí)行,標準還可作為專業(yè)檢測機構(gòu)開展檢測、認證的依據(jù)。
1.2相關(guān)定義
(一)征信系統(tǒng):征信機構(gòu)與信息提供者協(xié)議約定,或者通過互聯(lián)網(wǎng)、政府信息公開等渠道,對分散在社會各領(lǐng)域的企業(yè)和個人信用信息,進行采集、整理、保存和加工而形成的信用信息數(shù)據(jù)庫及相關(guān)系統(tǒng)。
(二)敏感信息:影響征信系統(tǒng)安全的密碼、密鑰以及業(yè)務(wù)敏感數(shù)據(jù)等信息。
1、密碼包括但不限與查詢密碼、登錄密碼、證書的PIN等。
2、密鑰包括但不限與用于確保通訊安全、報告完整性的密鑰。
3、業(yè)務(wù)敏感數(shù)據(jù)包括但不限于信息主體的身份信息、婚姻狀況以及銀行賬戶信息等涉及個人隱私的數(shù)據(jù)。
(三)客戶端程序:征信機構(gòu)開發(fā)的、通過瀏覽器訪問征信系統(tǒng)并為征信系統(tǒng)其他功能(如數(shù)據(jù)采集)的程序,并提供必需功能的組件,包括但不限于:可執(zhí)行文件、控件、瀏覽器插件、靜態(tài)鏈接庫、動態(tài)鏈接庫等(不包括IE等通用瀏覽器);或信息提供者、信息使用者以獨立開發(fā)的軟件接入征信系統(tǒng)的客戶端程序。
(四)通訊網(wǎng)絡(luò):通訊網(wǎng)絡(luò)指的是由客戶端、服務(wù)器以及相關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施組建的網(wǎng)絡(luò)連接。征信系統(tǒng)通過互聯(lián)玩或網(wǎng)絡(luò)專線等方式與信息提供者、信息使用者相連,征信系統(tǒng)安全設(shè)計應(yīng)在考慮建設(shè)成本、網(wǎng)絡(luò)便利性等因素的同時,采取必要的技術(shù)防護措施,有效應(yīng)對網(wǎng)絡(luò)通訊安全威脅。
(五)服務(wù)器端:服務(wù)器端指用于提供征信系統(tǒng)核心業(yè)務(wù)處理和應(yīng)用服務(wù)的服務(wù)器設(shè)備及安裝的相關(guān)軟件程序,征信機構(gòu)應(yīng)充分利用有效的物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機安全技術(shù)、應(yīng)用安全技術(shù)及數(shù)據(jù)安全與備份恢復技術(shù)等,在外部威脅和受保護的資源間建立多道嚴密的安全防線。
1.3總體要求
本標準從安全管理、安全技術(shù)和業(yè)務(wù)運作三個方面提出征信系統(tǒng)的安全要求。
(一)安全管理從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面提出要求。
(二)安全技術(shù)從客戶端、通訊網(wǎng)絡(luò)、服務(wù)器端等方面提出要求。
(三)業(yè)務(wù)運作從系統(tǒng)接入、系統(tǒng)注銷、用戶管理、信息采集和處理、信息加工、信息保存、信息查詢、異議處理、信息跨境流動、研究分析、安全檢查與評估等方面提出要求。
二、安全管理
2.1安全管理制度
征信機構(gòu)根據(jù)征信系統(tǒng)的建設(shè)、運行和管理情況,建立和完善信息安全管理制度,并定期進行評審和修訂。2.1.1內(nèi)部管理制度 基本要求:
(一)應(yīng)制定信息安全工作的總體方針和安全策略,說明本機構(gòu)安全工作的總體原則、目標、范圍和安全框架等;
(二)應(yīng)建立征信系統(tǒng)建設(shè)和運維管理制度,對機房管理、資金安全、設(shè)備管理,網(wǎng)絡(luò)安全和系統(tǒng)安全等方面做出明確規(guī)定。
(三)應(yīng)建立征信系統(tǒng)安全審批流程,系統(tǒng)投入運行、網(wǎng)路系統(tǒng)接入等重大事項由信息安全管理負責人審批,并確認簽字。
(四)應(yīng)對安全管理人員及操作人員執(zhí)行的重要操作建立操作規(guī)程,并進行定期培訓。
(五)應(yīng)建立日常故障處理流程,重要崗位應(yīng)建立雙人負責制。
(六)應(yīng)建立軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準則。
(七)應(yīng)建立數(shù)據(jù)庫管理制度,對數(shù)據(jù)的存儲、訪問、使用、展示、備份與恢復、傳輸及樣本數(shù)據(jù)處理等進行規(guī)范。
(八)應(yīng)建立外包服務(wù)管理、外部人員訪問等方面的管理制度,對外部人員對本機構(gòu)內(nèi)的活動進行規(guī)范化管理。
(九)應(yīng)建立突發(fā)事件及重大事項報告制度,對外部人員在本機構(gòu)內(nèi)的活動進行規(guī)范化管理。
(十)應(yīng)建立突發(fā)事件應(yīng)急預(yù)案制度,有效避免事故造成的危害。
(十一)應(yīng)建立信息安全檢查制度,定期或者根據(jù)需要(如可能存在安全隱患時)不定期開展安全自查工作,主動接受和配合中國人民銀行及其派出所機構(gòu)的安全檢查。增強要求:
(一)應(yīng)建立征信系統(tǒng)建設(shè)工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。
(二)應(yīng)建立密碼使用、變更管理及數(shù)據(jù)備份與恢復等方面的管理制度,對系統(tǒng)運行維護過程中重要環(huán)節(jié)的審批與操作等作出的明確規(guī)定。
(三)應(yīng)按照ISO/IEC 27001:2013的相關(guān)要求建立完善的信息安全管理體系。2.1.2安全審計制度 基本要求:
(一)應(yīng)建立信息安全內(nèi)部審計制度,定期可能帶來信息安全風險的因素進行審計和評估,個人征信機構(gòu)每年至少1次,企業(yè)征信機構(gòu)每年至少1次。
(二)應(yīng)對安全管理制度的制定和執(zhí)行情況進行審計,審計內(nèi)容包括是否按照法律法規(guī)和中國人民銀行的相關(guān)規(guī)定建立信息安全管理制度,安全管理制度的執(zhí)行情況,是否定期對制度進行評審和修訂。
(三)應(yīng)對網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等技術(shù)安全進行審計,審計內(nèi)容包括安全配置、設(shè)備運行情況、網(wǎng)絡(luò)流量、重要用戶行為、系統(tǒng)異常事件及重要系統(tǒng)命令的使用等。
(四)應(yīng)對業(yè)務(wù)操作進行審計,審計內(nèi)容包括系統(tǒng)接入和注銷、用戶管理、信息采集和處理、信息加工、信息保存、異議處理、信息跨境流動等。
(五)審計記錄應(yīng)包括事件的日期和時間、用戶、時間類型、時間是否成功及其他與審計相關(guān)的信息;應(yīng)保護系統(tǒng)中的審計記錄,避免收到未預(yù)期的刪除、修改或覆蓋等,保存期至少半年;紙質(zhì)版審計記錄保存期應(yīng)不少于三年。增強要求:
(一)應(yīng)定期委托外部專業(yè)機構(gòu),有重點、有計劃的開展信息科技總體風險審計、征信系統(tǒng)專項審計。
(二)在內(nèi)部審計和外部審計中發(fā)現(xiàn)的重大安全隱患應(yīng)及時向中國人民銀行及其派出機構(gòu)報告。
2.2安全管理機構(gòu)
征信機構(gòu)應(yīng)成立有高級管理人員及相關(guān)部門負責人組成的信息安全領(lǐng)導小組,并制定專門的部門負責信息安全管理工作。2.2.1崗位設(shè)置 基本要求:
(一)應(yīng)設(shè)立安全主管、信息安全管理崗位,明確安全主管和信息安全管理員的崗位職責。
(二)應(yīng)設(shè)立安全管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員等崗位,并定義各工作崗位的職責。
(三)除科技部門以外,其他部門應(yīng)設(shè)置部門計算機安全員。增強要求:
(一)應(yīng)通過制度明確安全管理機構(gòu)各個部門和崗位的職責、分工和技能要求。
(二)應(yīng)建立數(shù)據(jù)安全管理組織,明確數(shù)據(jù)安全管理責任人、數(shù)據(jù)資產(chǎn)管理人、明確數(shù)據(jù)安全管理的責任,確保有效落實和推進數(shù)據(jù)安全的相關(guān)工作。2.2.2人員配備 基本要求:
(一)應(yīng)配備安全主管、信息安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員等。
(二)安全主管不能兼任信息安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。
(三)信息安全管理員不能兼任網(wǎng)絡(luò)信息管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。增強要求:
關(guān)鍵事務(wù)崗位。如信息安全管理員、數(shù)據(jù)庫管理員等,應(yīng)配備至少兩人,且互為A、B角共同管理。2.2.3授權(quán)和審批 基本要求:
(一)應(yīng)根據(jù)各部門和崗位的職責明確授權(quán)審批部門和審批人。
(二)應(yīng)針對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)投入、系統(tǒng)變更、重要操作和重要資源的訪問等關(guān)鍵活動建立審批流程,由責任人審批后方可進行,對重要活動應(yīng)建立逐級審批制度。
(三)應(yīng)記錄審批過程并保存審批文檔。增強要求:
應(yīng)每年審查審批事項,及時更新需授權(quán)和審批的項目、審批的部門和審批人等信息。2.2.4溝通與合作 基本要求:
(一)應(yīng)加強各部門、各崗位之間以及信息安全職能部門內(nèi)部的合作與溝通。
(二)應(yīng)加強與同業(yè)機構(gòu)、通訊服務(wù)商及監(jiān)管部門的合作與溝通。增強要求:
(一)在信息安全管理部門應(yīng)定期召開各職能部門、各崗位人員參加的協(xié)調(diào)會議,共同協(xié)作處理信息安全問題。
(二)應(yīng)加強與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。2.3人員管理
征信機構(gòu)應(yīng)加強人員安全管理,明確不同崗位的職責,規(guī)范人員錄用、離崗、考核和培訓等工作。2.3.1安全主管 基本要求:
(一)應(yīng)派具有較高計算機水平、業(yè)務(wù)能力和法律素養(yǎng)的人員擔任安全主管。
(二)安全主管可由信息安全管理部門的相關(guān)領(lǐng)導擔任,也可指定專人擔任,主要履行以下職責:
1、組織落實監(jiān)管部門信息安全相關(guān)管理規(guī)定和本機構(gòu)信息安全保障工作。
2、將征信機構(gòu)信息安全領(lǐng)導小組討論形成的安全決策,分解為安全任務(wù)部署落實。
3、對信息化建設(shè)中的安全建設(shè)方案、安全技術(shù)方案或其他安全方案進行審批。
4、對征信機構(gòu)內(nèi)部其他信息安全相關(guān)管理事項進行審批。
(三)安全主管調(diào)崗位時。應(yīng)辦理交接手續(xù),并履行其調(diào)離后的保密義務(wù)。增強要求:
安全主管應(yīng)加強信息安全知識的學習和技能掌握,及時關(guān)注國內(nèi)外信息安全動態(tài),為加強和改進本機構(gòu)的信息安全管理工作提供合理化建議。2.3.2信息安全管理員 基本要求:
(一)應(yīng)派具有較高計算機水平、業(yè)務(wù)能力和法律素養(yǎng)的人員擔任信息安全管理員。
(二)信息安全管理員每年至少進行一次信息安全方面的技術(shù)和業(yè)務(wù)培訓。
(三)信息安全管理員應(yīng)履行以下職責:
1、在安全主管的指導下,具體落實各項安全管理工作,并協(xié)調(diào)各部門計算機安全員開展工作。
2、在安全主管的指導下,組織相關(guān)人員審核本機構(gòu)信息化建設(shè)項目中的安全方案,組織實施安全項目建設(shè)、維護、管理信息安全專用設(shè)施。
3、在計算機系統(tǒng)應(yīng)用開發(fā)、技術(shù)方案設(shè)計和實施、集成等工作中提出安全技術(shù)方案并組織實施。
4、負責本機構(gòu)計算機系統(tǒng)部署上線前的安全自測試方案的審核。
5、定期檢查網(wǎng)絡(luò)和征信系統(tǒng)的安全運行狀況,組織檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時通報和預(yù)警,并提出整改意見,統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。
6、定期組織信息安全宣傳教育活動,與相關(guān)部門配合開展信息安全檢查,(四)信息安全管理員調(diào)離崗位時,應(yīng)辦理交接手續(xù),并履行其調(diào)離后的保密義務(wù)。增強要求:
信息安全管理員應(yīng)增加信息安全知識學習和技能掌握,及時關(guān)注國內(nèi)外信息安全動態(tài),為貫徹落實本機構(gòu)的信息安全策略和方案提出合理化建議。2.3.3部門計算機安全員 基本要求:
(一)各部門的計算機安全員應(yīng)由較熟悉計算機知識的人員擔,并報信息安全管理部備案,如有變更應(yīng)及時通報信息安全管理部門。
(二)部門計算機安全員因積極配合信息安全管理員的工作,各部門應(yīng)優(yōu)先選派部門計算機安全員參加信息安全技術(shù)培訓。
(三)部門計算機安全員應(yīng)履行以下職責:
1、負責配合信息安全管理部完成本部門計算機病毒防治、補丁升級、非法外聯(lián)防范,系統(tǒng)故障應(yīng)急處理、移動存介質(zhì)管控等工作。
2、全面負責本部門的信息安全管理工作。負責提出本部門的信息安全保障需求,及時與信息安全管理部門溝通本部門信息安全情況,做好信息安全通報工作,發(fā)現(xiàn)情況及時向信息安全管理部門報告,3、負責本部門相關(guān)文檔資料的安全管理工作。以及本部門國際互聯(lián)網(wǎng)、征信系統(tǒng)網(wǎng)絡(luò)的使用和計入安全管理,組織開展本部門信息安全自查,協(xié)助信息安全管理部門完成本機構(gòu)的信息安全檢查工作。
(四)部門計算機安全員調(diào)離崗位時,辦理交接手續(xù),并履行其調(diào)離后的保密義務(wù)。增強要求:
部門計算機安全員每年至少參加一次信息安全培訓,積極配合信息安全管理員做好本部門的信息安全管理和風險防范至少宣傳落實工作。2.2.4技術(shù)支持人員 基本要求:
(一)內(nèi)部技術(shù)人員(本機構(gòu)正式員工,負責參加與征信機構(gòu)機房環(huán)境、網(wǎng)路、計算機系統(tǒng)等建設(shè)、運行、維護人員,若系統(tǒng)管理員、數(shù)據(jù)庫管理員等)在落實征信系統(tǒng)建設(shè)和日產(chǎn)維護工作過程中,履行以下職責:
1、嚴格遵守本機構(gòu)各項安全保密規(guī)定和征信系統(tǒng)安全管理相關(guān)制度。
2、嚴格權(quán)限訪問,未經(jīng)業(yè)務(wù)部門書面授權(quán)和本部門領(lǐng)導批準,不得擅自修改征信系統(tǒng)應(yīng)用設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。
3、檢測和控制機房、網(wǎng)絡(luò)、安全設(shè)備、計算機系統(tǒng)的安全運行狀況,定期進行風險評估、應(yīng)急演練,發(fā)現(xiàn)安全隱患或故障及時報告安全主管、信息安全管理員、并及時響應(yīng)和處置。
(二)外部技術(shù)人員(非本機構(gòu)人員)應(yīng)履行服務(wù)外包合同(協(xié)議)中的各項安全承諾,在提供技術(shù)服務(wù)期間,嚴格遵守征信機構(gòu)相關(guān)安全規(guī)定與操作規(guī)程。增強要求:
外部技術(shù)支持人員未經(jīng)業(yè)務(wù)部門書面授權(quán)和所在部門領(lǐng)導批準,不得擅自接觸、查看或修改修改征信系統(tǒng)的應(yīng)用設(shè)置或相關(guān)業(yè)務(wù)數(shù)據(jù)等,確需接觸、查看或修改時,須取得業(yè)務(wù)部門書面授權(quán)和所在部門領(lǐng)導批準,并在內(nèi)部技術(shù)人員在場陪同下,方可進行。2.2.5業(yè)務(wù)操作人員 基本要求:
(一)業(yè)務(wù)操作人員(指征信機構(gòu)內(nèi)部直接使用征信系統(tǒng)進行業(yè)務(wù)處理的業(yè)務(wù)部門工作人員,包括業(yè)務(wù)管理員、一般業(yè)務(wù)操作員)應(yīng)履行以下職責:
1、嚴格按照征信機構(gòu)相關(guān)業(yè)務(wù)規(guī)程操作、使用征信系統(tǒng)及相關(guān)數(shù)據(jù),嚴禁各種違規(guī)操作。
2、嚴格按照征信機構(gòu)信息安全管理相關(guān)規(guī)定操作、使用征信系統(tǒng)的業(yè)務(wù)數(shù)據(jù),防止征信信息外泄。
3、妥善保管好征信系統(tǒng)的賬戶和密碼,并按要求定期更換密碼,禁止將賬戶和密碼提供給他人使用。
4、發(fā)現(xiàn)征信系統(tǒng)出現(xiàn)異常及時向部門計算機安全員報告。
5、定期清理業(yè)務(wù)操作終端業(yè)務(wù)數(shù)據(jù),不得在業(yè)務(wù)操作終端上安裝與支付業(yè)務(wù)無關(guān)的計算機軟件和硬件,不得擅自修改征信系統(tǒng)的運行環(huán)境參數(shù)。
(二)業(yè)務(wù)操作按照“權(quán)限分設(shè)、互相制約”原則,嚴格進行操作角色劃分和授權(quán)管理,技術(shù)支持人員不得兼任業(yè)務(wù)操作人員。增加要求:
業(yè)務(wù)操作人員應(yīng)實現(xiàn)A、B角管理。2.2.6一般計算機用戶 基本要求:
(一)一般計算機用戶(指征信機構(gòu)內(nèi)部使用接入征信系統(tǒng)網(wǎng)絡(luò)的計算機及外設(shè)的所有人員)應(yīng)履行以下職責:
1、及時安裝計算機病毒防治軟件和客戶端防護軟件,按規(guī)定使用移動存儲介質(zhì),自覺接受部門計算機安全員的指導與管理。
2、不得安裝與工作無關(guān)的計算機軟件和硬件,不得將征信系統(tǒng)相關(guān)計算機擅自接入未經(jīng)授權(quán)的網(wǎng)絡(luò)。
(二)未經(jīng)信息安全管理部門批準和檢測的計算機及外設(shè)不得接入征信系統(tǒng)網(wǎng)絡(luò)。增強要求:
1、一般計算機用戶不得私自改變計算機用途。
2、一般計算機用戶系統(tǒng)應(yīng)統(tǒng)一安裝、統(tǒng)一升級及更新計算機病毒防治軟件。
2.4系統(tǒng)建設(shè)管理
2.4.1系統(tǒng)頂級 基本要求:
(一)應(yīng)明確信息系統(tǒng)的邊界和安全保護等級。
(二)應(yīng)應(yīng)以書面形式說明信息系統(tǒng)確定為某個安全保護等級的方法和理由。增強要求:
應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進行論證和審定。2.4.2安全方案設(shè)計 基本要求:
(一)應(yīng)根據(jù)征信系統(tǒng)的安全保護等級選擇基本安全措施,依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施。
(二)應(yīng)以書面形式描述對征信系統(tǒng)的安全保護要求、策略和措施等內(nèi)容,形成系統(tǒng)的安全方案。
(三)對安全方案進行細化,形成能指導征信系統(tǒng)安全建設(shè)、安全產(chǎn)品采購和使用的詳細設(shè)計方案。
(四)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定,并且經(jīng)過征信機構(gòu)相關(guān)領(lǐng)導批準后,正式組織實施。增強要求:
(一)應(yīng)制定和授權(quán)專門的部門對征信系統(tǒng)的安全建設(shè)進行總體規(guī)劃,制定近期和遠期的安全建設(shè)工作計劃。
(二)應(yīng)統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案,并形成配套文件。
(三)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定,并且經(jīng)過征信機構(gòu)相關(guān)領(lǐng)導批準后,正式組織實施。
(四)應(yīng)定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件。2.4.3安全產(chǎn)品采購
第三篇:個人信用征信查詢授權(quán)書(通用)
個人信用征信查詢授權(quán)書(通用)
本人特授權(quán)平安銀行依據(jù)中國人民銀行《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》的規(guī)定,將本人個人信用信息報送中國人民銀行個人信用信息基礎(chǔ)數(shù)據(jù)庫,并同意《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》規(guī)定的有權(quán)使用人可依據(jù)《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》規(guī)定的范圍,查詢本人個人信用報告。
特此授權(quán)。
身份證號碼:
手機號碼:
授權(quán)人:
年月日
本人隸屬于團隊,確認授權(quán)書為授權(quán)人親筆簽名。
客戶經(jīng)理:
年月日
實際查詢時間: 年 月 日
第四篇:個人信用征信查詢授權(quán)書
個人信用征信查詢授權(quán)書
平安銀行漳州分行:
因(借款主體)向貴行申請(具 體業(yè)務(wù)),作為該業(yè)務(wù)的借款人或擔保人,本人現(xiàn)同意并授權(quán)平安銀行漳州分行有權(quán)依照《征信業(yè)管理條例》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》等相關(guān)法律、法規(guī)的規(guī)定,將本人個人信用信息和因信貸關(guān)系而產(chǎn)生的不良信貸信息報送中國人民銀行個人信用信息基礎(chǔ)數(shù)據(jù)庫和經(jīng)中國人民銀行批準設(shè)立的征信機構(gòu),并同意上述法律法規(guī)規(guī)定的有權(quán)使用人可依據(jù)規(guī)定的范圍,查詢、使用本人包括社保信息在內(nèi)的信用報告。
特此授權(quán)。
身份證號碼:
手機號碼:
授權(quán)人:
年月日
本人隸屬于團隊,確認授權(quán)書為授權(quán)人親筆簽名。客戶經(jīng)理:
年月日
實際查詢時間 :年月日
第五篇:征信機構(gòu)信息系統(tǒng)安全及內(nèi)控機制
第 1 頁
征信機構(gòu)信息系統(tǒng)安全及內(nèi)控機制
—、征信機構(gòu)信息系統(tǒng)安全等級(一)征信系統(tǒng)的數(shù)據(jù)安全管理
電子數(shù)據(jù)安全是征信系統(tǒng)安全管理的重要組成部分需要構(gòu)建全方位、立體化的征信系統(tǒng)信息安全管理機制。
1.網(wǎng)絡(luò)訪問控制
目前,個人信用信息基礎(chǔ)數(shù)據(jù)庫和企業(yè)信用信息基礎(chǔ)數(shù)據(jù)庫等業(yè)務(wù)客戶端系統(tǒng)同其他大部分業(yè)務(wù)系統(tǒng)一樣,都支持Telnet協(xié)議的遠程登錄方式。網(wǎng)絡(luò)中任意終端設(shè)備在安裝相對應(yīng)的客戶端后,理論上即具有遠程登錄主機的條件。征信機構(gòu)實行互聯(lián)網(wǎng)、辦公網(wǎng)和業(yè)務(wù)網(wǎng)物理隔離的三網(wǎng)分離管理模式,網(wǎng)絡(luò)訪問控制清晰且嚴格,但同一網(wǎng)絡(luò)間存在計算機互訪的條件,如控制不當將為遠程入侵留下隱患,直接威脅到數(shù)據(jù)通信和數(shù)據(jù)存儲機密性的安全。加強網(wǎng)絡(luò)訪問控制,關(guān)鍵是阻止未授權(quán)終端接入。在各個使用征信系統(tǒng)業(yè)務(wù)終端的金融機構(gòu)的交換機和路由設(shè)備中設(shè)定多層訪問控制列表及劃定虛擬局域網(wǎng),通過授權(quán)將指定的業(yè)務(wù)終端綁定。
2.加強身份認證
身份認證是登錄征信系統(tǒng)的必要程序,此要素出現(xiàn)缺陷,將直接影響到數(shù)據(jù)使用的 可控性。而強身份認證則是在其基礎(chǔ)上貫徹強化原則,明確各項規(guī)章制度在安全管理方面的要求。首先,要強化用戶的資格管理。這是經(jīng)身份認證并登錄系統(tǒng)進行操作的基礎(chǔ)。用戶的建立須經(jīng)過崗前培訓,具備相關(guān)從業(yè)資格,簽訂崗位安全責任狀、保密責任書及 協(xié)議等一系列制度要求的程序。其次,要強化用戶的口令管理。用戶代碼及口令是身份 認證的體現(xiàn)方式,一個用戶代碼只限一個用戶使用,用戶在接到分配的用戶代碼后,應(yīng) 立即登錄系統(tǒng)并修改口令,勤更換,并僅限持有該用戶代碼的本人掌握。最后,要強化 用戶的制約管理。合理設(shè)定兼崗用戶,及時撤銷停止使用的用戶權(quán)限,負責保管密封口 令的管理人員不得擁有各級身份認證權(quán)限。強身份認證亦可通過安全證書、USB Key(硬 件數(shù)字證書載體)、智能卡芯片等方式實現(xiàn),其作用不僅體現(xiàn)在有效防止用戶名及密碼被 盜用方面,更體現(xiàn)在對發(fā)生安全風險的責任認定方面。第 2 頁
3.數(shù)據(jù)通信機密性
征信系統(tǒng)采集的各類征信數(shù)據(jù)信息因與各個機構(gòu)分別進行溝通協(xié)調(diào),導致征信數(shù)據(jù) 信息在通信過程中的加密方式采取不同標準。采用密押設(shè)備來統(tǒng)一保證征信數(shù)據(jù)信息的 通信機密性。密押設(shè)備應(yīng)統(tǒng)一定制配發(fā),擁有防撬檢測電路,確保密鑰及密碼算法不會 暴露于物理安全的環(huán)境之外。密押設(shè)備由各征信系統(tǒng)運行部門指定專人配置、維護和保 管。可以說,密押設(shè)備的應(yīng)用能有效地保護征信數(shù)據(jù)信息的通信安全,并與網(wǎng)絡(luò)訪問控 制的安全要素息息相關(guān)。
4.數(shù)據(jù)存儲機密性
數(shù)據(jù)存儲是數(shù)據(jù)以某種格式記錄在計算機內(nèi)部或外部存儲介質(zhì)上。與其他安全管理 要素相比,強身認證對其保護作用更加明顯。對存儲在計算機內(nèi)部的數(shù)據(jù),主要是服 務(wù)器中的數(shù)據(jù),要按規(guī)定將系統(tǒng)服務(wù)器主備機在中心機房安全擺放,設(shè)置雙M以上門禁; 未經(jīng)主管部門領(lǐng)導批準,非機房工作人員不得進人機房。系統(tǒng)管理員進行系統(tǒng)維護時,應(yīng)有業(yè)務(wù)主管或操作員在場,嚴格控制對數(shù)據(jù)庫的直接操作,并對維護內(nèi)容作詳細記錄。
對于存儲在計算機外部介質(zhì)中的數(shù)據(jù),如磁盤、U盤、光盤、本地設(shè)備等,要嚴格 管理、妥善保存,并實行數(shù)據(jù)加密制度。征信系統(tǒng)及其導出數(shù)據(jù)使用的存儲介質(zhì),應(yīng)進 行嚴格的病毒檢査,防止計算機病毒侵入,禁止在征信系統(tǒng)終端設(shè)備上使用非征信系統(tǒng) 專用的存儲介質(zhì),禁止在征信系統(tǒng)及其相關(guān)的設(shè)備上安裝與系統(tǒng)運行無關(guān)的軟件,最大 限度地保證數(shù)據(jù)存儲機密性不受影響。
(二)我國《征信機構(gòu)管理辦法》對征信系統(tǒng)安全等級的規(guī)定根據(jù)《中華人民共和國中國人民銀行法》《征信業(yè)管理條例》等法律法規(guī),中國人民 銀行制定了《征信機構(gòu)管理辦法》,自2013年12月20日起施行。《征信機構(gòu)管理辦法》 明確要求設(shè)立個人征信機構(gòu),應(yīng)當經(jīng)中國人民銀行批準,且信用信息系統(tǒng)應(yīng)當符合國家 信息安全保護等級二級或二級以上標準。
根據(jù)我國《信息安全等級保護管理辦法》第二章,等級劃分與保護規(guī)定:第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社□第六章信息主體權(quán)益保護 第 3 頁
會秩序和公共利益造成損害,但不損害國家安全。對于第二級國家的監(jiān)督管理要求為,第二級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家 信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。
知識鏈接:中國金融新聞網(wǎng)—11315全國企業(yè)征信系統(tǒng)—我國社會征信新模式。我國信息安全等級保護等級劃分和監(jiān)管方式
1.信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中 的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和 其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損 害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國 家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者 對國家安全造成嚴重損害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。
2.信息系統(tǒng)運營、使用單位依據(jù)《征信機構(gòu)管理辦法》和相關(guān)技術(shù)標準對信息系統(tǒng) 進行保護,國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。
第一級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。
第二級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。第 4 頁
第三級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。
第四級信息系銃運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標準和業(yè)務(wù)專門 需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制 監(jiān)督、檢查。
需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。
二、征信機構(gòu)內(nèi)控機制
內(nèi)控機制建設(shè)就是一個組織為了實現(xiàn)既定目標,防范和減少風險的發(fā)生,由全體成 員共同參與,對內(nèi)部業(yè)務(wù)流程進行全過程的介入和監(jiān)控,采取權(quán)力分解、相互制衡手段,制定出完備的制度保證的過程。征信機構(gòu)是征信體系建設(shè)的核心機構(gòu),在信用體系的建 設(shè)中承擔重要的職責,其客觀公正的評估有賴于內(nèi)部有效的管理機制。
(一)我國征信機構(gòu)內(nèi)控機的相關(guān)規(guī)定 1.《征信業(yè)管理條例》相關(guān)規(guī)定
2013年3月15日開始實施的《征信業(yè)管理條例》第6條規(guī)定,設(shè)立經(jīng)營個人征信業(yè) 務(wù)的征信機構(gòu),應(yīng)當符合《中華人民共和國公司法》規(guī)定的公司設(shè)立條件和下列條件,并經(jīng)國務(wù)院征信業(yè)監(jiān)督管理部門批準:(1)主要股東信譽良好,最近3年無重大違法違 規(guī)記錄;(2)注冊資本不少于人民幣5 000萬元;(3)有符合國務(wù)院征信業(yè)監(jiān)督管理部 門規(guī)定的保障信息安全的設(shè)施、設(shè)備和制度、措施;(4)擬任董事、監(jiān)事和高級管理人 員符合該條例第8條規(guī)定的任職條件;(5)國務(wù)院征信業(yè)監(jiān)督管理部門規(guī)定的其他審慎 性條件。第8條規(guī)定,經(jīng)營個人征信業(yè)務(wù)的征信機構(gòu)的董事、監(jiān)事和高級管理人員,應(yīng)當 熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī),具有履行職責所需的征信業(yè)從業(yè)經(jīng)驗和管理能力,最近3年無重大違法違規(guī)記錄,并取得國務(wù)院征信業(yè)監(jiān)督管理部門核準的任職資格。
2.《征信機構(gòu)管理辦法》 第 5 頁
2013年I2月20日起實施的《征信機構(gòu)管理辦法》第6條規(guī)定,設(shè)立個人征信機構(gòu),除應(yīng)當符合《征信業(yè)管理條例》第6條規(guī)定外,還應(yīng)當具備以下條件:(1)有健全的組 織機構(gòu);(2)有完善的業(yè)務(wù)操作、信息安全管理、合規(guī)性管理等內(nèi)控制度;(3)個人信 用信息系統(tǒng)符合國家信息安全保護等級二級或二級以上標準。
對于征信機構(gòu)的業(yè)務(wù)開拓以及跨域經(jīng)營等內(nèi)容,則充分尊重了企業(yè)的自主經(jīng)營權(quán),促使征信機構(gòu)發(fā)揮經(jīng)營的積極性和主動性。
(二)西方國際征信機構(gòu)內(nèi)控機制
征信機構(gòu)運營模式可以大致劃分為兩種類型:以美、英為代表的市場主導型和歐洲 大陸大多數(shù)國家所采納的政府主導型,其內(nèi)控機制和管理模式則呈現(xiàn)不同的特點。
1.美國征信機構(gòu)的市場化的內(nèi)控模式
美國征信機構(gòu)組織模式,是蝕立于政府之外的第三方私營機構(gòu),將個人信息進行收集、加工后,有償提供給信息需求者,并且依據(jù)市場的需求來完善自己的經(jīng)營與管理模 式,提升運營效率。具有以下幾個特點:首先,征信機構(gòu)私有化。個人征信機構(gòu)都是由 私營的工商企業(yè)、征信專業(yè)公司、授信機構(gòu)共同發(fā)揮作用的征信主體。其次,獨立性強。征信機構(gòu)既與政府隔離,同時又與其拖市場主體相分離,作為真正意義上的第三方存在。最后,按市場化原則運作。征信機構(gòu)伴隨著信用交易的市場需求產(chǎn)生而產(chǎn)生,隨著市場 信用交易規(guī)模的發(fā)展而發(fā)展。其公司機制為公司制形式,以營利為目的,以股東利益最 大化為前提,股東出資比例決定公司投票權(quán)比例,一切決策按照商業(yè)化目的進行,服務(wù) 的范圍不受限制。
美國《公平信用報告法》規(guī)定,作為個人征信機構(gòu),必須同時具備下列5項基本特 征:A.消費者信用調(diào)查和生產(chǎn)調(diào)查報告時期日常業(yè)務(wù);B.專門從事收集消費者信用調(diào)查 或評價消費者信用價值;C.從事有償服務(wù)、以營利為目的;D.服務(wù)的目的是向第三方提 供消費者信用調(diào)查報告;E.向全國市場提供公開的服務(wù),不僅僅向關(guān)系企業(yè)提供報告 服務(wù)。第 6 頁
在全球征信機構(gòu)中,像益百利、環(huán)聯(lián)、鄧百氏等大型的征信機構(gòu)全部采用公司制的 治理架構(gòu),并且,有些征信公司已經(jīng)是上市公司。美國征信機構(gòu)市場化的運作機制,政 府并沒有對其具體的內(nèi)控機制進行明確的法律規(guī)定。
2.以德國為代表的征信機構(gòu)組織模式
以德國為代表的公共征信模式又稱為政府主導的征信模式,即主要是依靠政府的力 量建立征信機構(gòu),政府通過行政手段強制要求個人或企業(yè)向征信機構(gòu)提供其信用信息或 數(shù)據(jù),從而建立個人信用信息數(shù)據(jù)庫,并通過法律形式保障信息或數(shù)據(jù)的真實性。其特 點如下:A.具有一定的強制性。通過法律與決議的形式保證個人信用信息的可得性與真 實性。B.公私征信機構(gòu)并存。公共與私營征信機構(gòu)并立,且互為補充。C.壟斷與競爭并 存。既有公共征信機構(gòu)對個人基本信用信息的壟斷,又有私營機構(gòu)間的競爭。
政府主導的征信機構(gòu)征信模式,雖然體現(xiàn)政府對于征信機構(gòu)數(shù)據(jù)的來源和分享有一 定的強制性,但是對征信機構(gòu)的日常運行管理,則干預(yù)較少。
點擊咨詢 