商业银行个人金融信息事件应急预案.pdfVIP

商业银行个人金融信息事件应急预案

第一章总则

第一条为有效预防和妥善处置个人金融信息事件（以下简称个人信息

事件），提高个人信息事件快速处置能力，最大程度降低个人信息事件造成

的危害和不良影响，依据《银行客户信息保护管理办法》、《银行数据管理

办法》、《银行个人客户信息保护实施细则》、《银行重大突发事件应急预

案》等规定，制定本预案。

第二条本预案所称个人金融信息是指我行通过提供金融产品和服务或

者其他渠道获取、加工和保存的个人信息。

第三条本预案所称个人信息事件是指因员工违法违规查询、业务中不

当提供或者披露、第三方合作机构不当使用等内外部因素导致我行个人金融

信息数据泄露，可能或已经对客户造成损失，形成案件、监管问责、投诉或

社会不良影响等负面效应的紧急事件。

第四条个人信息事件应急处理遵循“快速反应、稳妥处置、防控风险”

的原则。

第五条本预案适用于银行境内各级机构个人金融信息事件的预警、报

告、决策处置和责任追究。

1

第二章个人信息事件分类与分级

第六条个人信息事件分类。个人信息事件分为个人金融信息案件、诉

讼及投诉、内外部检查发现问题三类。

（一）个人金融信息案件。因银行有关机构或人员违法违规查询、获

取、使用、泄露、出售客户个人金融信息及其他有关个人金融信息的违法违

规行为，被公安或司法机关立案调查、审查或确定刑事责任的事件。

（二）诉讼及投诉。因银行有关机构处理不当，导致客户向法院诉讼，

或向监管部门、媒体投诉，可能或已经引发银行法律风险、监管风险的事件。

（三）内外部检查发现问题。在接受内外部检查、审计等发现的信息

事件。

第七条个人信息事件分级。个人信息事件根据其影响程度，划分为1

级（特别重大）、II级（重大）、III级（较大）和W级（一般）四个等级。

I

（一）出现以下情形之一的为级（特别重大）事件：

1.个人金融信息违法违规案件涉案人员范围涉及两个及以上省（直辖市、

自治区）的。

2.最高人民法院受理的个人金融信息诉讼案件。

3.50名以上投诉人采取面谈方式提出共同投诉的群体性投诉案件。

4.参照银行《客户数据分级规范》标准，泄露个人客户关键敏感

数据5000（含）条以上或者敏感数据5万（含）条以上的。

（二）出现以下情形之一的为II级（重大）事件：

1.个人金融信息违法违规案件涉案人员范围在一个省（直辖市、自

治区）辖内的。

2

2.高级人民法院受理的个人金融信息诉讼案件。

3.20名以上投诉人采取面谈方式提出共同投诉的群体性投诉案件。

4.参照银行《客户数据分级规范》标准，泄露个人客户关键敏感数

据500（含）条以上.5000条以下或者敏感数据5000（含）条以上、5万

条以下的。

（三）出现以下情形之一的为III级（较大）事件：

1.个人金融信息违法违规案件涉案人员范围在一个地（市）区辖内

的。

2.中级人民法院受理的个人金融信息诉讼案件。

3.10名以上投诉人采取面谈方式提出共同投诉的群体性投诉案件。

4.参照银行《客户数据分级规范》标准，泄露个人客户关键敏感数

据50（含）条以上、500条以下或者敏感数据500（含）条以上、5000

条以下或者内部数据5万（含）条以上的。

（四）除了上述I级（特别重大）、II级（重大）、III级（较大）外

的其他信息事件为W级（一般）事件。

难以判断个人信息事件级别的，应按照较高级别分类。发生在敏感

地区、敏感时间或涉及敏感任务的重大信息事件不受上述标准限制。

第三章组织机构及职责

第八条总行成立个人金融信息事件应急处置领导小组（以下简