互联网征信业务操作与风险管理手册.docxVIP

互联网征信业务操作与风险管理手册

第1章总则与合规基础

1.1法律法规与政策框架

必须明确《中华人民共和国民法典》中关于个人信息保护的规定，特别是第一千零三十四条至一千零四十五条，要求企业在处理用户信息时必须遵循“合法、正当、必要”的原则，不得非法收集、使用或泄露用户生物识别、行踪轨迹等敏感个人信息。需依据《中华人民共和国个人信息保护法》（PIPL）第四十七条和第五十一条，建立专门的个人信息保护委员会制度，确保个人信息处理活动符合“告知-同意”规则，并明确用户的撤回同意权利，例如在获取用户授权前必须提供清晰的操作指引。

接着，必须落实《网络安全法》第二十八条关于重要数据分类分级保护的要求，将用户征信数据划分为核心数据和个人数据，对核心数据实施最高级别的加密存储和访问控制，防止数据泄露、篡改或丢失。同时，要严格执行《数据安全法》第三十七条关于个人信息保护的影响评估（PIA）机制，在上线征信系统前，需对系统架构、数据流向及第三方合作方的安全性进行全面的法律合规性评估测试。还需遵循《征信业管理条例》第十五条关于征信机构保存个人征信数据的期限规定，明确用户信用报告保存期限通常为五年，且不得超出法定保存期限后继续向第三方提供查询服务。

必须依据《关键信息基础设施安全保护条例》第二十一条，将互联网征信业务系统纳入关键信息基础设施安全保护范畴，确保系统运行符合国家网络安全