征信业务管理办法(全文)

第三十四条  个人征信机构、保存或者处理100万户以上企业信用信息的企业征信机构，应当符合下列要求：

（一）核心业务信息系统网络安全保护等级具备三级或者三级以上安全保护能力；

（二）设立信息安全负责人和个人信息保护负责人，由公司章程规定的高级管理人员担任；

（三）设立专职部门，负责信息安全和个人信息保护工作，定期检查征信业务、系统安全、个人信息保护制度措施执行情况。

第三十五条  征信机构应当保障征信系统运行设施设备、安全控制设施设备以及互联网应用程序的安全，做好征信系统日常运维管理，保障系统物理安全、通信网络安全、区域边界安全、计算环境安全、管理中心安全等，防范征信系统受到非法入侵和破坏。

第三十六条  征信机构应当在人员录用、离岗、考核、安全教育、培训和外部人员访问管理等方面做好人员安全管理工作。

第三十七条  征信机构应当严格限定公司内部查询和获取信用信息的工作人员的权限和范围。

征信机构应当留存工作人员查询、获取信用信息的操作记录，明确记载工作人员查询和获取信用信息的时间、方式、内容及用途。

第三十八条  征信机构应当建立应急处置制度，在发生或者有可能发生信用信息泄露等事件时，立即采取必要措施降低危害，并及时向中国人民银行及其省会（首府）城市中心支行以上分支机构报告。

第三十九条  征信机构在中华人民共和国境内开展征信业务及其相关活动，采集的企业信用信息和个人信用信息应当存储在中华人民共和国境内。

第四十条  征信机构向境外提供个人信用信息，应当符合法律法规的规定。

征信机构向境外信息使用者提供企业信用信息查询产品和服务，应当对信息使用者的身份、信用信息用途进行必要的审查，确保信用信息用于跨境贸易、投融资等合理用途，不得危害国家安全。

第四十一条  征信机构与境外征信机构合作的，应当在合作协议签署后、业务开展前将合作协议报告中国人民银行。

第六章  监督管理

第四十二条  征信机构应当将下列事项向社会公开，接受社会监督：

（一）采集的信用信息类别；

（二）信用报告的基本格式内容；

（三）异议处理流程；

（四）中国人民银行认为需要公开的其他事项。

第四十三条  个人征信机构应当每年对自身个人征信业务遵守《中华人民共和国个人信息保护法》《征信业管理条例》的情况进行合规审计，并将合规审计报告及时报告中国人民银行。

第四十四条  中国人民银行及其省会（首府）城市中心支行以上分支机构对征信机构的下列事项进行监督检查：