中国支付清算协会行业风险信息共享系统管理办法

中国支付清算协会行业风险信息共享系统管理办法 第一章总则 第一条为规范中国支付清算协会（以下简称协会）行业风险信息共享系统的业务处理，加强系统数据的规范管理、应用和保护，确保系统快速、高效、安全、稳定运行，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中国支付清算协会章程》《中国支付清算协会行业风险信息共享管理办法》等法律法规和自律规范，制定本办法。 第二条本办法所称行业风险信息共享系统（以下简称系统），是指通过在线接口和网页方式实现风险信息的报送、变更、查询、推送、处理反馈和加工处理、统计分析功能，支持系统使用者对行业风险信息共享和使用的系统。 第三条系统使用者，是指接入系统的从事支付业务的银行机构和非银行支付机构（以下简称持牌机构），以及相关清算机构。 第四条本系统及系统使用者对行业风险信息的处理，应遵循《中国支付清算协会行业风险信息共享管理办法》的规定。 第五条系统实行7*24小时不间断运行。协会根据管理、 运维需求可以调整运行工作时间。 第六条协会对系统及其运行实行统一管理。 第二章系统管理 第七条持牌机构应当通过协会的业务准入成为系统使用者后，办理相关业务。如需变更业务权限，应向协会提交变更申请。 第八条各系统使用者应遵循法人机构统一接入的原则。 第九条系统处理下列业务： （一）风险信息的录入，录入方式分为人工录入和系统接口导入； （二）风险信息的变更，包括补录和失效等变更；（三）风险信息的审核，包括录入审核和变更审核；（四）风险信息的查询，包括单要素查询、批量查询、组合查询；（五）风险信息（黑名单）反馈；（六）黑名单、风险提示信息下载、推送和补发；（七）风险信息查询结果导出；（八）风险信息统计分析。 第十条系统和系统使用者间发送和接收风险信息，应采取联机方式。 第十一条系统使用者向系统发起信息录入和查询申请时，系统应即时进行响应并处理。当录入和查询并发量超出系统的信息最高处理能力时，系统将进行限流处理。 第十二条协会可对系统使用者用户开立控制关系、权限控制关系、用户角色管理以及其他用户管理业务参数进行维护。 第十三条系统因不可抗力原因造成无法正常运行的，协会和系统使用者应积极采取补救措施，做好应急处理，尽快恢复系统正常运行。 第十四条系统采用白名单管理策略，限制非白名单访问系统。 第三章用户管理 第十五条本办法所称用户，分为协会管理员、协会操作员，网页方式机构系统管理员、机构汇总审核员、机构管理员、机构操作员。系统使用者应根据需要设置适当数量的管理员和操作员。采用接口方式的，系统使用者应参照用户管理相关要求，自行进行用户设置和管理。各角色用户主要权限如下： （一）协会管理员：用户管理、角色管理、资源管理、机构管理，业务参数维护、公告管理、通知管理、日志管理； （二）协会操作员：风险信息管理、风险信息查询、风险信息统计、操作日志管理； （三）机构系统管理员：用户管理、机构管理； （四）机构汇总审核员：信息查询、信息审核； （五）机构管理员：信息查询、信息复核； （六）机构操作员：信息录入、信息查询、信息变更、 信息下载、信息反馈。 第十六条协会管理员和协会操作员，两种角色不得互相兼任。机构系统管理员、机构汇总审核员、机构管理员和机构操作员四种角色，一人最多只能担任其中的两种角色。 第十七条机构系统管理员用户由协会负责管理，机构其他用户由系统使用者负责管理。 第十八条协会管理员用户和协会操作员用户的开立、变更、撤销申请，由系统管理部门分管秘书长审批。 协会管理员用户和协会操作员用户变动，应当办理岗位变动交接手续并在系统中停用该用户。 第十九条机构系统管理员用户的开立、变更、撤销，应当由系统使用者以书面或网络等方式向协会提交申请。 第二十条系统使用者申请开立机构系统管理员用户，协会应根据机构提交申请材料，包括用户姓名、手机号、邮箱、所属机构等信息，人工核对无误后，录入系统处理。 第二十一条机构其他用户的开立由机构系统管理员审核通过后录入系统处理，完成用户的设置、开立。 第二十二条系统使用者按照本办法第二十条、第二十一条的规定提交信息后，发现提交的用户信息与在线查询得到的相关信息不一致的，应依据提交申请信息进行核对。提交信息有误的，可按照本办法第二十三条、第二十四条的规定做相应变更。 第二十三条需变更机构系统管理员用户姓名、手机号、邮箱等信息的，应向协会提出申请。协会核对相关申请资料 后，将变更信息录入系统处理。 第二十四条需变更机构其他用户姓名、手机号、邮箱、用户类型、用户权限等信息的，应向本机构系统管理员提出申请。机构系统管理员完成相应审核、信息核对后录入系统处理。 第二十五条需撤销机构系统管理员用户的，协会应根据系统使用者提交申请材料，包括用户名、用户姓名、所属机构等信息，完成相应审核、信息核对无误后，录入系统处理，完成用户的撤销。 第二十六条需撤销机构其他用户的，应向本机构系统管理员提出申请。申请信息包括用户名，用户姓名等信息，机构系统管理员完成相应审核、信息核对无误后录入系统处理，完成用户的撤销。 第二十七条协会应在国家法定工作日通过系统办理系统使用者用户的开立、变更、撤销业务。 第二十八条系统使用者应严格管理系统各类用户账号的设立和使用权限，不得为非本机构员工开立用户账号，不得转接系统或外放系统使用权限。 系统使用者应定期检视系统使用权限，确保系统账号与操作人员身份一一对应，并于操作人员职责发生变动时及时做出权限调整。 协会有权对于长时间未使用或存在安全风险的用户账号进行禁用。在执行禁用操作前，协会应提前10天告知账号所有者，明确说明禁用原因、禁用时间以及解决措施等。 第四章风险信息管理 第二十九条系统处理的风险信息业务，从系统使用者发起，经系统至原系统使用者止。 第三十条风险信息经过系统使用者审核确认，上传至系统后才产生效力。系统使用者发送风险信息至协会，应符合系统规定的信息格式，并按照规定加密、加签。 第三十一条行业风险信息数据标准由协会和会员单位共同协商制定，并根据管理需要进行调整。 第三十二条系统处理的风险信息遵循《中国支付清算协会行业风险信息共享管理办法》中《行业风险信息分类标准》的相关要求。 第三十三条风险信息存在“有效”和“失效”两种状态。有效信息是指，该信息在有效期内，可供全体用户查询使用。失效信息不具有效力，仅对协会和信息提供方可见。 第三十四条信息失效包括两种情况：信息有效期届满；系统使用者对其报送的有效信息主动设置失效变更，该信息失效。 第三十五条已录入并审核通过的风险信息不可删除，但可做失效处理，并可对信息要素进行补录；已录入但未审核通过的信息可进行修改和删除。 第三十六条行业风险信息仅限系统使用者用于风险防范管理工作，系统使用者应根据自身经营情况、风控水平自主决定是否采纳和使用共享的风险信息，并自行承担相应风 险。 第五章数据安全管理 第三十七条数据传输过程中，协会和系统使用者应采取有效技术手段保障数据传输安全，并综合运用加密、脱敏、校验等技术手段，防止系统数据泄露、篡改与不当使用等，确保数据安全。 第三十八条系统使用者应严格执行国家有关信息安全管理、数据安全管理、个人信息保护等法律法规的规定，并按照《中国支付清算协会行业风险信息共享管理办法》和本办法要求，做好行业风险信息的数据安全管理及共享工作。 第三十九条系统使用者应将行业风险信息安全管理及共享工作作为本单位数据安全管理的重点内容，建立完善的信息收集、报送、使用、保管等制度。 第四十条系统使用者应重点做好载有行业风险信息的纸质文件、磁介质、电子介质、光介质及其他储存介质的安全管理工作。 第四十一条协会对外提供系统数据应基于法律法规、部门规章、协会章程等依据，不得超出授权范围或违反相关规定。 第四十二条系统使用者未经协会和信息提供方授权，不得以任何形式对外提供或发布行业风险信息，不得违规利用所掌握的共享信息从事其他商业活动牟利。 第四十三条系统使用者应做好数字签名证书的管理工 作，妥善保管好本单位的数字证书私钥和协会数字证书公钥，如出现丢失、损坏等情况，应当及时采取补救措施，包括但不限于向发证机构申请补发或换发。 第四十四条系统使用者违反协会《中国支付清算协会行业风险信息共享管理办法》和本办法相关规定，擅自公布或故意泄漏行业数据及信息的，协会有权要求系统使用者删除相关数据及信息，并依法承担责任；针对会员单位，视情节轻重，根据《中国支付清算协会自律惩戒实施办法》给予自律性惩戒；针对非会员单位，酌情报送监管部门；涉嫌违法犯罪的，移送公安机关处理。 第六章附则 第四十五条本办法由协会负责发布、解释和修订。 第四十六条本办法自发布之日起实行。