央行:支付機構個人數據泄露超過5000條需在2小時內報告!
2021年7月23日,中國人民銀行發布《非銀行支付機構重大事項報告管理辦法》(以下稱《管理辦法》),針對非銀行支付機構重大事項報告行為作出了詳細要求,并將于2021年9月1日起正式施行。
《管理辦法》全文見本文附件
根據該《管理辦法》中的要求,非銀行支付機構報告重大事項應當一事一報,做到及時、真實、準確、完整,不得遲報、漏報、瞞報、謊報、錯報,不得有誤導性陳述或者重大遺漏。
支付機構發生風險事件或者突發情況,要求及時上報。根據該《管理辦法》中的要求,支付機構“發生客戶個人信息泄露等信息安全事件一次性涉及客戶信息數據超過5000條或者客戶數量超過500戶的”,屬于一類事項,應當在事項發生后2小時內通過電話、傳真或者電子郵件等形式向所在地中國人民銀行分支機構及時報告,并在事項發生后2個工作日內向所在地中國人民銀行分支機構提交書面報告。
如發生《管理辦法》中所提到的二類事項,如“發生客戶個人信息泄露等信息安全事件一次性涉及客戶信息數據不超過5000條,且涉及客戶數量不超過500戶的”,支付機構應當在事項發生后24小時內通過電話、傳真或者電子郵件等形式向所在地中國人民銀行分支機構及時報告,并在事項發生后5個工作日內向所在地中國人民銀行分支機構提交書面報告。
《管理辦法》指出,中國人民銀行分支機構應當將支付機構重大事項報告執行情況納入支付機構年度分類評級考核。未按本辦法規定建立重大事項報告、風險事件防控、處置等工作機制或者報告重大事項的,中國人民銀行及其分支機構責令其限期整改,可以采取約談等監管措施,并可以依據《非金融機構支付服務管理辦法》有關規定予以處罰。
附全文:
非銀行支付機構重大事項報告管理辦法
第一章 總則
第一條 為進一步規范非銀行支付機構(以下簡稱支付機構)重大事項報告行為,提高支付市場風險甄別、防范和化解能力,維護支付市場穩定,根據《中華人民共和國中國人民銀行法》《非金融機構支付服務管理辦法》(中國人民銀行令〔2010〕第2號發布)等法律法規規章,制定本辦法。
第二條 支付機構報告重大事項適用本辦法。
本辦法所稱重大事項是指根據法律法規和中國人民銀行的規定應當事前報告的重大經營事項,以及可能對支付機構(含分公司)自身經營狀況、金融消費者權益、金融和社會穩定造成重大影響應當事后報告的事項。
本辦法所稱重大事項不包含行政許可事項和依據相關規定應當向中國人民銀行或其分支機構定期或者不定期報送的報告和報表等常規信息。
第三條 支付機構報告重大事項應當一事一報,做到及時、真實、準確、完整,不得遲報、漏報、瞞報、謊報、錯報,不得有誤導性陳述或者重大遺漏。
支付機構應當與所在地中國人民銀行分支機構保持溝通,積極配合中國人民銀行及其分支機構做好風險監測、防范和化解。
第四條 支付機構法人所在地中國人民銀行分支機構為支付機構重大事項報告的主要監管責任人。
支付機構分公司發生應當報告的重大事項,支付機構分公司所在地中國人民銀行分支機構應當按照屬地原則承擔監督管理職責,并與支付機構法人所在地中國人民銀行分支機構實現信息共享。
中國人民銀行分支機構應當與轄區內支付機構(含分公司)建立重大事項報告工作機制,明確報告渠道和聯系方式,督促支付機構落實重大事項報告要求。
第二章 重大事項的范圍
第五條 支付機構的下列事項,應當事前向所在地中國人民銀行分支機構報告:
(一)支付機構擬首次公開發行或者增發股票的。
(二)支付機構的主要出資人或者實際控制人擬首次公開發行股票,包括但不限于其直接作為首次公開發行股票的主體,或者通過協議控制架構等方式赴境外首次公開發行股票的。
(三)提供支付創新產品或者服務、與境外機構合作開展跨境支付業務、與其他機構開展重大業務合作的。
(四)支付機構擬在境外投資設立分支機構、控股附屬機構或者通過協議等其他安排能夠實際控制的關聯機構開展支付業務的。
(五)支付機構及其實際控制人、主要出資人擬抵押、質押、托管或者變相抵押、質押支付機構股權或者超過凈資產10%的重要資產的。
(六)累計對外提供的有效擔保超過凈資產30%的。
(七)對外投資超過凈資產5%的。
(八)支付業務設施發生重大調整,可能對支付業務產生重大影響的,包括但不限于變更系統應用架構或者重要版本、遷移生產中心機房或者災備機房等。
(九)擬變更會計師事務所等外部重點合作機構,可能影響支付機構商譽或者外部審計、檢測質量的。
(十)中國人民銀行規定的其他應當事前報告的事項
第六條 支付機構發生風險事件或者突發情況的,應當按照中國人民銀行相關規定和本辦法的要求及時報告。事后報告事項分為一類事項和二類事項。
第七條 一類事項包括下列情形:
(一)涉及影響社會公共秩序的群體性事件或者重大負面輿情的。
(二)支付機構受益所有人發生非正常死亡、失聯等異常變故,未履行審批程序而發生變更的。
(三)發生客戶個人信息泄露等信息安全事件一次性涉及客戶信息數據超過5000條或者客戶數量超過500戶的。
(四)因突發情況導致支付業務中斷或者功能故障,超過2小時或者影響支付業務筆數超過10萬筆,或者可能造成重大負面輿情的。
(五)客戶、特約商戶或者外包服務機構涉嫌利用本機構渠道從事欺詐、洗錢、非法集資、網絡賭博等違法犯罪活動,造成重大影響的。
(六)發生客戶備付金被挪用或者重復結算等風險事件,可能影響正常資金結算或者損害客戶合法權益的。
(七)其他可能對支付機構經營管理造成重大影響或者損害金融消費者合法權益且可能引發區域性、系統性金融風險的重大風險事件和緊急情況
第八條 二類事項包括下列情形:
(一)支付機構及其主要出資人、實際控制人涉及涉案金額超過凈資產10%的重大訴訟、仲裁糾紛,超過凈資產10%的重要資產被查封或者凍結、刑事案件等法律問題的。
(二)支付機構董事、監事、高級管理人員涉及刑事案件,或者發生非正常死亡、失聯等異常變故,可能影響其正常履行崗位職責的。
(三)發生客戶個人信息泄露等信息安全事件一次性涉及客戶信息數據不超過5000條,且涉及客戶數量不超過500戶的。
(四)因突發情況導致支付業務中斷或者功能故障,但不超過2小時且影響支付業務筆數不超過10萬筆,不會造成重大負面輿情的。
(五)涉及其他監管部門、司法機關通報的支付風險案件,或者被其他監管部門采取列入經營異常名錄、行政處罰等監管措施的。
(六)支付機構在內、外部審計或者檢測中被發現存在重大問題,可能影響支付機構經營或者損害金融消費者合法權益的。
(七)其他可能對支付機構造成影響或者損害金融消費者合法權益的重大風險事件和緊急情況。
第三章 重大事項報告程序
第九條 支付機構報告本辦法第五條第一項至第四項事項的,應當于相關事項實施或者生效前至少30個自然日向所在地中國人民銀行分支機構提交書面報告。
支付機構報告本辦法第五條所列其他事項的,應當于相關事項實施或者生效前至少5個工作日向所在地中國人民銀行分支機構提交書面報告。
報告的內容包括但不限于基本情況、實施計劃,對公司經營、金融消費者合法權益、支付市場的潛在影響等,可能造成支付業務中斷、功能故障或者其他負面影響的,還應當包括應急處置、輿情監測等工作預案。支付機構的主要出資人、實際控制人通過協議控制架構等方式赴境外首次公開發行股票的,還應當說明協議控制架構的具體安排。
法律、行政法規、國務院決定、規章另有規定的,依照其規定。
第十條 支付機構發生本辦法第七條所列一類事項的,應當在事項發生后2小時內通過電話、傳真或者電子郵件等形式向所在地中國人民銀行分支機構及時報告,并在事項發生后2個工作日內向所在地中國人民銀行分支機構提交書面報告。
第十一條 支付機構發生本辦法第八條所列二類事項的,支付機構應當在事項發生后24小時內通過電話、傳真或者電子郵件等形式向所在地中國人民銀行分支機構及時報告,并在事項發生后5個工作日內向所在地中國人民銀行分支機構提交書面報告。
第十二條 事后報告事項的報告應當包括但不限于以下內容:
(一)基本情況。說明事件的起因、時間、地點、過程、影響等內容。涉及支付機構受益所有人變更的,還應提交變更后的支付機構受益所有人信息,包括受益所有人的姓名、地址、身份證件或者身份證明文件的種類、號碼和有效期限。
(二)處置情況。涉及風險處置的,應當說明事件后續發展預判、可能造成的影響和損失、擬采取的處置措施等內容。已完成處置的,應當說明造成的影響和損失、處置措施、處置效果、對事件的總結分析、后續加強管理的措施等內容
第十三條 事后報告事項涉及風險處置的,支付機構應當根據所在地中國人民銀行分支機構要求持續報告處置進展,并在處置完畢后5個工作日內向所在地中國人民銀行分支機構提交書面報告。
第十四條 對一類事項和涉及風險處置的二類事項,支付機構法人所在地中國人民銀行分支機構應當分別在接報后半小時內、1小時內通過電話、傳真或者電子郵件等形式報告總行,并及時提交書面報告。涉及風險處置的,應當持續報告處置進展。
第十五條 支付機構境外分支機構、控股附屬機構或者通過協議等其他安排能夠實際控制的關聯機構發生的重大事項,支付機構應當按照本辦法第九條、第十條、第十一條、第十二條、第十三條的規定向所在地中國人民銀行分支機構報告。
第十六條 重大事項涉及支付機構分公司的,支付機構分公司應當按照本辦法第九條、第十條、第十一條、第十二條、第十三條的規定同步報告所在地中國人民銀行分支機構。
支付機構經營管理地與支付機構法人所在地不一致的,支付機構應當按照本辦法第九條、第十條、第十一條、第十二條、第十三條的規定同步報告經營管理地中國人民銀行分支機構。支付機構經營管理地中國人民銀行分支機構應配合支付機構法人所在地中國人民銀行分支機構做好相關工作。
支付機構機房部署地與支付機構法人所在地不一致的,涉及系統故障等重大事項,支付機構應當按照本辦法第九條、第十條、第十一條、第十二條、第十三條的規定同步報告故障發生地中國人民銀行分支機構。支付機構故障發生地中國人民銀行分支機構應配合支付機構法人所在地中國人民銀行分支機構做好相關工作。
第十七條 支付機構報送的重大事項報告、處置情況報告應當由其法定代表人或者主要負責人簽發并加蓋公章。法定代表人或者主要負責人因特殊原因無法簽發的,應當及時授權其他負責人簽發。
第四章 監管與責任
第十八條 中國人民銀行分支機構應當將支付機構重大事項報告執行情況納入支付機構年度分類評級考核。
第十九條 中國人民銀行及其分支機構根據審慎監管的需要,可以要求支付機構就重大事項有關情況作出說明,并可以對支付機構重大事項報告執行情況進行現場檢查。
第二十條 支付機構報告的重大事項涉及商業秘密的,中國人民銀行及其分支機構工作人員應當遵守各項保密制度規定,合理確定知悉范圍,妥善保管相關材料。
中國人民銀行及其分支機構的工作人員違反規定泄露支付機構商業秘密的,依法給予處分;涉嫌構成犯罪的,依法移送司法機關處理。
第二十一條 支付機構應當健全重大事項報告、風險事件防控、處置等工作機制,明確重大事項報告、風險事件處置責任部門和應急處置流程、措施,提高風險預警、監控和處置能力。
第二十二條 支付機構未按本辦法規定建立重大事項報告、風險事件防控、處置等工作機制或者報告重大事項的,中國人民銀行及其分支機構責令其限期整改,可以采取約談等監管措施,并可以依據《非金融機構支付服務管理辦法》有關規定予以處罰。
支付機構履行重大事項報告義務,不豁免其應承擔的相關法律責任;支付機構涉嫌犯罪的,依法移送司法機關處理。
第五章 附則
第二十三條 本辦法所稱中國人民銀行分支機構是指中國人民銀行副省級城市中心支行以上分支機構。
本辦法所稱支付機構分公司是指支付機構為落實本地化經營、管理要求設立的,已在分公司所在地中國人民銀行分支機構完成備案手續的分支機構。
本辦法所稱支付機構法人所在地、分公司所在地指支付機構法人、分公司的經公司登記機關登記的住所或營業場所。
本辦法所稱支付機構經營管理地是指支付機構的主要經營管理團隊實際辦公地址。支付機構機房部署地是指支付機構的支付業務系統機房部署地址。
本辦法所稱實際控制人是指通過投資關系、協議或者其他安排,能夠實際支配支付機構行為的自然人、法人或者其他組織。
本辦法所稱支付機構受益所有人是指最終擁有或者實際控制支付機構的一個或多個自然人,包括間接擁有25%(含)以上支付機構股權的自然人,通過表決權、控制權或者其他協議安排等方式實際控制支付機構的自然人,以及享有25%(含)以上支付機構直接或間接股權收益的自然人。
本辦法所稱對外投資是指支付機構以貨幣資金、實物資產、無形資產等方式向其他單位形成的債權或股權投資。
本辦法所稱“超過”均包含本數,“不超過”均不包含本數。
第二十四條 本辦法由中國人民銀行負責解釋。中國人民銀行分支機構可以結合本地實際制定相應實施細則。
第二十五條 本辦法自2021年9月1日起施行。支付機構應自本辦法施行之日起10個工作日內向法人所在地中國人民銀行分支機構首次報送本支付機構實際控制人、受益所有人的基本信息及對應的控制關系、受益關系等情況。
《非金融機構支付服務管理辦法實施細則》(中國人民銀行公告〔2010〕第17號公布)第三十七條同時廢止。
