ⅩⅩ银行ⅩⅩ分行个人客户信息泄露突发事件应急预案
第一章总则
第一条编制目的。为防范和应对个人客户信息泄露等突发事件,在发生个人信息泄露事件时,提供明确、可操作的处理报送流程和高效的解决方案,最大程度地减轻突发事件给客户和银行带来的损害,保护客户利益,保障银行正常经营,制定本预案。
第二条编制依据。本预案根据《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔20GG〕17号)、《ⅩⅩ银行商业秘密管理暂行规定》(交银发〔20GG〕65号)、《ⅩⅩ银行突发事件管理办法》(交银办〔20GG〕231号)、《ⅩⅩ银行信息安全事件管理暂行办法》(交银办〔20GG〕31号)、《ⅩⅩ银行零售客户信息收集更新管理暂行办法》(交银办〔20GG〕193号)等规章,结合交行业务实际制定。
第三条适用范围。本预案适用于处理与交行个人客户信息保护相关的各类诱发因素所导致的,造成客户个人信息泄露到交行管理范围之外,影响到客户利益和交行正常经营的突发事件。
个人客户信息包括但不限于客户属性信息、银行管理信息、客户关联信息、客户风险信息、客
户财务信息、客户评价信息、
产品持有信息、客户往来信息、客户营销信息。
第四条工作原则。
(一)合法合规原则。个人客户信息保护的方法、流程,个人客户信息出现泄露后的应急处理流程和方法都需严格遵守本预案第二条所列的法律法规。
(二)分级管理原则。根据个人客户信息泄露事件的特点和影响,将突发事件分级管理,针对不同等级的突发事件釆取不同的应急处理流程。
(三)事前防范原则。根据个人客户信息泄露的易发、高发问题,制定针对性的事前防范监控体系,尽量避免突发事件发生。
(四)高效处置原则。当出现个人客户信息泄露等突发事件后,要明确责任,高效处置,在最短时间内处理因客户信息泄露可能带来的风险和客户损失。
(五)维护权益原则。当出现个人客户信息泄露等突发事件后,要切实保护客户利益,釆取一
切积极有效措施,尽量减少客户损失。
第二章组织指挥体系与职责
第五条成立交行ⅩⅩ分行个人客户信息保护应急领导小组(以下简称领导小组),领导小组是处理交行ⅩⅩ分行个人客户信息保护和突发事件处置的决策机构。领导小组组长由分行零售业务分管行长担任,分行零售业务部、营运管理部、电子银行部、授信与风险管理部等涉及个人客户信息管理和使用的部门负责人
为领导小组成员,领导小组的日常办公机构设在分行零售业务部。
第六条分行相关部门职责:
(一)根据分行领导小组的指示或分行业务部门的要求,做好本单位个人客户信息泄露突发事件的现场处置和情况上报;
(二)制定分行个人客户信息泄露突发事件应急处理的细化流程,定期组织预案的演练;
(三)负责检查、指导网点个人客户信息泄露突发事件的应急管理工作。
第三章事件的分级
第七条根据个人信息泄露突发事件的性质、影响和危害,划分为三个级别:重大突发事件,较大突发事件和一般突发事件。
第八条重大突发事件是指造成特别严重影响或破坏的个人客户信息泄露事件。重大突发事件的影响范围在一千名客户(含)以上,波及各省直分行,泄露信息内容包括客户姓名、、账号、密码等敏感信息,严重损害交行个人客户利益,严重影响交行声誉和利益。
第九条较大突发事件是指造成较严重影响或破坏的个人客户信息泄露事件。较大突发事件的影响范围在一百名客户(含)以上,波及一个或多个省直分行,泄露信息内容包括客户姓名、、账号、密码等敏感信息,影响到交行个人客户利益,影响到交行声誉和利益。
第十条一般突发事件是指影响范围和严重程度有限的个人客户信息泄露事件。一般突发事件的影响范围在一百名客户以下,波及一个省直分行或省辖分行网点,泄露信息内容不涉及客户姓名、、账号、密码等敏感信息,对交行个人客户利益基本不造成损害,对交行声誉和利益基本没有影响或者影响较小。
第四章报告制度第十一条当出现个人客户信息泄露突发事件后,应及时提交《个人客户信息泄露突发事件紧急报告》以下简称《紧急报告》)、《个人客户信息泄露突发事件跟踪报告》(以下简称《跟踪报告》)和《个人客户信息泄露突发事件处置报告》(以下简称《处置报告》)。《紧急报告》的内容应包括突发事件涉及的主管部门或单位名称、事发时间、涉及客户数量(列出客户清单及泄露信息范围)、突发事件应急处理联系人等情况;《跟踪报告》的内容应包括突发事件的原因分析、事态发展趋势、事件影响程度和范围、可能造成的损失、巳经进行的先期紧急处理工作、拟进一步釆取的措施及其他与本事件有关的情况;《处置报告》的内容应报告突发事件情况简述、突发事件原因分析、突发事件相关人员/责任及处罚情况、后续整改措施和落实推进计划等。
第十二条个人客户信息泄露突发事件报告线路与时限。
(一)个人客户信息泄露重大突发事件的直接管辖部门或单位须在事发后2小时内直接向分行领导小组、分行零售业务部和分行相关业务部门同时提交《紧急报告》,并及时向所在地银监会派出机构报告。至突发事件处理完毕前,每周向分行领导小组、分行零售业务部和分行相关业务部门同时提交《跟踪报告》。突发事件处理结束后一个月内,向分行领导小组、分行零售业务部和分行相关业务部门同时提交《处置报告》。
(二)个人客户信息泄露较大突发事件的直接管辖部门或单位须在事发后4小时向分行零售业务部和分行相关业务部门同时提交《紧急报告》,分行零售业务部接报后酌情报呈分行领导小组。至突发事件处理完毕前,每两周向分行零售业务部和分行相关业务部门同时提交《跟踪报告》。突发事件处理结束后一个月内,向分行零售业务部和分行相关业务部门同时提交《处置报告》。
个人敏感信息
(三)个人客户信息泄露一般突发事件的直接管辖部门或单位须在事发后一天内向分行零售业务部和分行相关业务部门同时提交《紧急报告》,分行零售业务部接报后酌情报呈内蒙古区分行零售业务部。至突发事件处理完毕前,每两周向分行零售业务部和分行相关业务部门同时提交《跟踪报告》。突发事件处理结束后一个月内,向内蒙古区分行零售业务部和分行相关业务部门同时提交《处置报告》。
第五章应急处理
第十三条个人客户信息泄露突发事件的应急处理。
(一)个人客户信息泄露重大突发事件由分行领导小组直接组织处理,具体处理流程如下:
1.分行领导小组召开紧急会议,审议提出处理方案,明确相关部门及分行工作职责;
    分行各相关部门根据各自职责开展应急处理工作;
    事发支行及对应业务部门根据分行领导小组的处置方案展开应急处理,避免客户信息泄露范围的进一步扩大;
    事发支行及对应业务部门及时通知对应客户相关情况,引导客户修改涉密信息。
(二)个人客户信息泄露较大突发事件由分行零售业务部协调分行各相关部门处理或酌情提交分行领导小组组织处理,具体处理流程如下: