2025年银行普惠业务个人信息保护制度自查报告总结.docxVIP

2025年银行普惠业务个人信息保护制度自查报告总结

2025年度，我行严格贯彻《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《个人金融信息保护技术规范》等法律法规及监管要求，围绕普惠金融业务个人信息全生命周期管理，开展了覆盖制度建设、流程执行、技术保障、人员管理等维度的全面自查工作。本次自查以“问题导向、闭环整改、持续优化”为原则，通过系统筛查、人工核验、客户回访、第三方评估等方式，对2025年1-12月普惠业务涉及的个人信息处理活动进行全流程回溯，现将自查情况总结如下：

一、个人信息保护制度体系运行情况

我行已构建“基础制度+专项规则+操作细则”三级制度体系，2025年重点针对普惠业务特性完成3项制度修订、2项细则新增，确保制度覆盖个人信息收集、存储、使用、共享、删除等全生命周期环节。

（一）制度建设完整性

1.基础制度层面：《个人信息保护管理办法（2025年修订版）》明确了“最小必要”“知情同意”“目的明确”等核心原则，将普惠业务中涉及的小微企业主、个体工商户等特殊客群个人信息（如经营流水、账户交易记录、联系方式等）纳入重点保护范围，特别规定“普惠业务个人信息处理需单独标注业务场景，禁止与零售业务信息混合使用”。

2.专项规则层面：制定《普惠金融业务个人信息处理规范》，针对首贷户信息收集、供应链金融数据共享、线上申贷流程中的生物识别信息使用等6类高频场景，细化操作标准。例如，明确“首贷户身份信息仅收集营业执照、身份证、经营场所证明3项必要材料，禁止要求提供家庭住址、配偶信息等非必要信息”；规定“供应链金融中核心企业共享的上下游客户信息需经客户二次授权，且仅用于融资审核，不得用于营销”。

3.操作细则层面：更新《柜面普惠业务操作手册》《线上普惠APP用户协议》《第三方合作机构信息共享指引》，新增“客户授权书电子化留痕”“敏感信息脱敏展示规则”“合作机构数据使用日志同步”等12项具体操作要求。例如，线上申贷环节需通过弹窗形式分步骤展示授权内容，客户需逐一点击确认后方可提交；柜面业务中，客户身份证号、银行卡号等敏感信息在纸质档案中仅留存后四位，电子系统自动屏蔽前12位。

（二）制度执行有效性

通过抽取2025年1-12月普惠业务样本（共8.6万笔，覆盖线上APP、手机银行、柜面、第三方平台4类渠道），结合系统日志核查与人工抽查，制度执行总体合规率达98.7%。具体表现为：

-收集环节：99.2%的业务做到“先授权后收集”，其中线上渠道通过动态验证码+刷脸验证双重确认授权真实性，柜面渠道通过“授权书+现场录音录像”留存证据；仅2例因客户操作失误未完成授权（均已补正）。

-使用环节：99.8%的个人信息使用符合“明示目的”，系统自动拦截32起超范围使用行为（如某支行试图将客户经营流水用于消费贷款交叉营销，系统识别后限制访问权限并触发预警）。

-共享环节：与23家第三方合作机构（如征信公司、物流平台）的信息共享均签署《个人信息保护协议》，其中17家机构实现“数据可用不可见”（通过隐私计算技术输出脱敏结果），6家机构采用“白名单+字段级权限控制”方式共享，全年未发生未经授权的信息外溢事件。

-存储环节：所有个人信息均加密存储（主数据中心采用SM4国密算法，灾备中心同步加密），访问权限实行“最小化原则”（仅业务经办、合规审核、系统运维3类人员可访问，且需二级审批），全年系统日志显示违规访问尝试12次（均为越权登录，已通过IP锁定+账号冻结处理）。

二、重点领域风险排查情况

针对普惠业务客群广、场景多、合作机构复杂的特点，本次自查聚焦“客户授权真实性”“第三方合作风险”“系统安全漏洞”3类重点领域，共发现问题17项，已完成整改15项，2项进入持续整改阶段。

（一）客户授权真实性问题

抽查发现2类需改进问题：

1.老年客群授权难点：部分60岁以上小微企业主通过柜面办理业务时，对电子授权书理解存在困难（如某个体工商户反映“授权书文字太小，看不清用途”）。

2.历史存量数据授权补正：2023年前发放的部分普惠贷款（共123笔），因当时制度未明确“存量信息使用需重新授权”，存在未补正授权的情况。

整改措施：针对老年客群，推出“授权书简化版”（采用大字体、通俗语言，增加客户经理现场讲解环节，同步录制讲解视频留存）；针对存量数据，制定“分阶段补正计划”（2025年10-12月已完成87笔，剩余36笔计划2026年3月底前完成，通过电话回访+短信提醒方式引导客户补签）。

（二）第三方合作机构管理问题

对23家合作机构的专项评估显示，3家机构存在“数据使用日志不完整”“脱敏规则与我行不一致”问题。例如，某物流平台在共享客户运输轨迹信息