央行:人工查询征信要实现查询、审核等环节的分离,坚决杜绝“一手清”操作

7月26日,央行公布《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见,意见反馈截止时间为2024年8月25日。

据悉,《征求意见稿》修改了部分操作规则,涉及征信信息查询、流转、使用管理等方面。例如在第二条“健全征信信息查询管理”中增加第三段,内容为“采用人工查询的,要实现查询、审核等环节的分离,坚决杜绝‘一手清’操作;采用自动触发查询的,要严格设置规则、专人管理,不因系统触发而放松合规管理。对于查得的原始PDF文件数据、包含原始返回XML消息体全部要素的记录数据,接入机构要按高敏感性数据进行全流程安全管理;未经个人信息主体同意不得向第三方提供征信信息,或将征信信息用于约定以外的用途”。

《征求意见稿》将第七条修改为“建立征信信息安全监管走访机制”。《征求意见稿》指出,中国人民银行及其分支机构围绕上述政策措施的贯彻落实情况,针对接入机构逐级建立征信信息安全监管走访机制。

此外,《征求意见稿》将第八条调整为第七条。其中,将“考核评级与巡查结论”和“考核评级结果、巡查结论”修改为“监管走访情况”,将“对于问题严重的机构,中国人民银行责成其调整其用户管理权限,直至暂停为其提供征信查询服务”修改为“对于问题严重的机构,由运行机构或接入机构调整其用户管理权限”,删除“在金融系统内部予以通报”和“确定金融机构存款保险评级结果”。

记者注意到,《中国人民银行关于进一步加强征信信息安全管理的通知》(下称《通知》)发布于2018年4月。央行本次修改的背景是为贯彻落实《中华人民共和国行政处罚法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》有关要求,对此前通知内容作部分修改。

据悉,《通知》旨在加强个人信息保护,做好新时代征信信息安全管理工作,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感。

《通知》指出,运行机构和接入机构应严格遵循相关规定办理用户的创建、停用和启用,根据“最小授权”原则分配各类、各级用户的权限,严格用户权限设置,将用户权限控制在业务需要的最小范围内。杜绝创建公共账户或者类公共账户,切实做到人户统一、专人专用,及时停用和启用用户,实施用户密码动态管理。

此外,运行机构和接入机构应不断更新技术保障措施,加强对各级征信系统用户运行情况的实时监控。分级负责,明确责任,技防和人防相结合,在制度措施保障上不留真空和死角。

根据央行在2021年发布的《征信业务管理办法》,征信业务是指对企业和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。上述信用信息,是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。

《征信业务管理办法》规定,金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务。从事征信业务及其相关活动,应当保护信息主体合法权益,保障信息安全,防范信用信息泄露、丢失、毁损或者被滥用,不得危害国家秘密,不得侵犯个人隐私和商业秘密。从事征信业务及其相关活动,应当遵循独立、客观、公正的原则,不得违反法律法规的规定,不得违反社会公序良俗。