商业银行个人金融信息事件应急预案
第一章总则
第一条为有效预防和妥善处置个人金融信息事件(以下简称个人信息事件),提高个人信息事件快速处置能力,最大程度降低个人信息事件造成的危害和不良影响,依据《银行客户信息保护管理办法》、《银行数据管理办法》、《银行个人客户信息保护实施细则》、《银行重大突发事件应急预案》等规定,制定本预案。
第二条本预案所称个人金融信息是指我行通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。
第三条本预案所称个人信息事件是指因员工违法违规查询、业务中不当提供或者披露、第三方合作机构不当使用等内外部因素导致我行个人金融信息数据泄露,可能或已经对客户造成损失,形成案件、监管问责、投诉或社会不良影响等负面效应的紧急事件。
第四条个人信息事件应急处理遵循“快速反应、稳妥处置、防控风险”的原则。
第五条本预案适用于银行境内各级机构个人金融信息事件的预警、报告、决策处置和责任追究。
第二章个人信息事件分类与分级
第六条个人信息事件分类。个人信息事件分为个人金融信息案件、诉讼及投诉、内外部检查发现问题三类。
(一)个人金融信息案件。因银行有关机构或人员违法违规查询、获取、使用、泄露、出售客户个人金融信息及其他有关个人金融信息的违法违规行为,被公安或司法机关立案调查、审查或确定刑事责任的事件。
(二)诉讼及投诉。因银行有关机构处理不当,导致客户向法院诉讼,或向监管部门、媒体投诉,可能或已经引发银行法律风险、监管风险的事件。
(三)内外部检查发现问题。在接受内外部检查、审计等发现的信息事件。
第七条个人信息事件分级。个人信息事件根据其影响程度,划分为Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)四个等级。
(一)出现以下情形之一的为Ⅰ级(特别重大)事件:
1.个人金融信息违法违规案件涉案人员范围涉及两个及以上省(直辖市、自治区)的。
2.受理的个人金融信息诉讼案件。
3.50名以上投诉人采取面谈方式提出共同投诉的体性投诉案件。
4.参照银行《客户数据分级规范》标准,泄露个人客户关键敏感
数据5000(含)条以上或者敏感数据5万(含)条以上的。
(二)出现以下情形之一的为Ⅱ级(重大)事件:
1.个人金融信息违法违规案件涉案人员范围在一个省(直辖市、自治区)辖内的。
2.高级人民法院受理的个人金融信息诉讼案件。
3.20名以上投诉人采取面谈方式提出共同投诉的体性投诉案件。
4.参照银行《客户数据分级规范》标准,泄露个人客户关键敏感数据500(含)条以上、5000条以下或者敏感数据5000(含)条以上、5万条以下的。
(三)出现以下情形之一的为Ⅲ级(较大)事件:
1.个人金融信息违法违规案件涉案人员范围在一个地(市)区辖内的。
2.中级人民法院受理的个人金融信息诉讼案件。
3.10名以上投诉人采取面谈方式提出共同投诉的体性投诉案件。
4.参照银行《客户数据分级规范》标准,泄露个人客户关键敏感数据50(含)条以上、500条以下或者敏感数据500(含)条以上、5000条以下或者内部数据5万(含)条以上的。
(四)除了上述Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)外的其他信息事件为Ⅳ级(一般)事件。
难以判断个人信息事件级别的,应按照较高级别分类。发生在敏感地区、敏感时间或涉及敏感任务的重大信息事件不受上述标准限制。
第三章组织机构及职责
第八条总行成立个人金融信息事件应急处置领导小组(以下简称领导小组),并下设办公室。领导小组为个人信息事件指挥决策机构,组长由主管个人金融业务的行领导担任,总行相关部门主要负责人为成员,领导小组办公室设在个人金融部。
第九条各级行应参照总行成立领导小组,负责本行个人客户信息事件的应急处置。
第十条机构职责
(一)领导小组主要职责。
1.研究决策个人信息事件的应急处置及处置过程中有关重要事项的决策。
2.统一领导和指挥个人信息事件应急处置工作。
3.决定启动、终止个人信息事件应急处置预案。
4.协调相关业务部门共同处置个人信息事件,决定重大处置措施和媒体报道等重大事项。
5.负责处置过程中其他重要事项的决策。
(二)领导小组成员部门职责。
1.领导小组办公室设在个人金融部。个人金融部牵头组织开展个人信息事件应急处置工作。承担以下职责:向领导小组提出启动应急处置机制建议,组织相关部门开展事态控制、调查跟踪和落实处置措施工作,及时向领导小组报告处置进度。在应急处置结束后牵头组织
总结和整改工作,并参与有关违法违规人员责任认定。
2.运营管理部、远程银行中心、金融市场部、个人金融部、个人信贷部、私人银行部、农户金融部、网
个人敏感信息络金融部、信用卡中心等有关个人金融信息收集使用部门,负责对涉及本部门本条线的个人信息事件采取事态控制措施,跟踪处置进度,并向领导小组及上级行条线部门报告处置情况。在应急处置结束后,配合相关部门对事件性质和结果进行认定,总结整改事件暴露的制度、系统、流程和管理中存在的问题,会同相关部门对违法违规人员进行责任认定。
3.企业文化部负责个人信息事件舆情监控,做好舆情防控及应对处置工作。
4.内控合规监督部负责对个人信息事件涉及违法违规人员进行责任追究。
5.法律事务部负责提供个人信息事件相关法律咨询,处理诉讼案件、为行内处理客户投诉提供法律咨询等工作。
6.信息管理部负责从数据层面协同组织相关调查或分析工作,针对突发事件暴露出来的问题,推动有关单位完善数据保护措施及机制。
7.科技与产品管理局负责对个人信息事件涉及有关信息系统问题采取阻断措施,并修改完善;研发中心、数据中心负责配合完成相关工作。
8.保卫部、内控合规监督部按照《银行涉刑案件管理办法》中的职责分工负责监管口径的涉刑案件和案件风险事件的调查处置。
9.其他相关部门负责按照领导小组要求,做好涉及本部门本条线个人信息事件的处置工作。