1中國(guó)支付清算協(xié)會(huì)行業(yè)風(fēng)險(xiǎn)信息共享系統(tǒng)管理辦法第一章總則第一條為規(guī)范中國(guó)支付清算協(xié)會(huì)（以下簡(jiǎn)稱(chēng)協(xié)會(huì)）行業(yè)風(fēng)險(xiǎn)信息共享系統(tǒng)的業(yè)務(wù)處理，加強(qiáng)系統(tǒng)數(shù)據(jù)的規(guī)范管理、應(yīng)用和保護(hù)，確保系統(tǒng)快速、高效、安全、穩(wěn)定運(yùn)行，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全律法規(guī)和自律規(guī)范，制定本辦法。第二條本辦法所稱(chēng)行業(yè)風(fēng)險(xiǎn)信息共享系統(tǒng)（以下簡(jiǎn)稱(chēng)系統(tǒng)是指通過(guò)在線接口和網(wǎng)頁(yè)方式實(shí)現(xiàn)風(fēng)險(xiǎn)信息的報(bào)送、變更、查詢(xún)、推送、處理反饋和加工處理、統(tǒng)計(jì)分析功能，支持系統(tǒng)使用者對(duì)行業(yè)風(fēng)險(xiǎn)信息共享和使用的系統(tǒng)。第三條系統(tǒng)使用者，是指接入系統(tǒng)的從事支付業(yè)務(wù)的銀行機(jī)構(gòu)和非銀行支付機(jī)構(gòu)（以下簡(jiǎn)稱(chēng)持牌機(jī)構(gòu)以及相關(guān)清算機(jī)構(gòu)。第四條本系統(tǒng)及系統(tǒng)使用者對(duì)行業(yè)風(fēng)險(xiǎn)信息的處理，應(yīng)遵循《中國(guó)支付清算協(xié)會(huì)行業(yè)風(fēng)險(xiǎn)信息共享管理辦法》的2運(yùn)維需求可以調(diào)整運(yùn)行工作時(shí)間。第六條協(xié)會(huì)對(duì)系統(tǒng)及其運(yùn)行實(shí)行統(tǒng)一管理。第二章系統(tǒng)管理第七條持牌機(jī)構(gòu)應(yīng)當(dāng)通過(guò)協(xié)會(huì)的業(yè)務(wù)準(zhǔn)入成為系統(tǒng)使用者后，辦理相關(guān)業(yè)務(wù)。如需變更業(yè)務(wù)權(quán)限，應(yīng)向協(xié)會(huì)提交變更申請(qǐng)。第八條各系統(tǒng)使用者應(yīng)遵循法人機(jī)構(gòu)統(tǒng)一接入的原則。第九條系統(tǒng)處理下列業(yè)務(wù)：（一）風(fēng)險(xiǎn)信息的錄入，錄入方式分為人工錄入和系統(tǒng)接口導(dǎo)入；（二）風(fēng)險(xiǎn)信息的變更，包括補(bǔ)錄和失效等變更；（三）風(fēng)險(xiǎn)信息的審核，包括錄入審核和變更審核；（四）風(fēng)險(xiǎn)信息的查詢(xún)，包括單要素查詢(xún)、批量查詢(xún)、組合查詢(xún)；（五）風(fēng)險(xiǎn)信息（黑名單）反饋；（六）黑名單、風(fēng)險(xiǎn)提示信息下載、推送和補(bǔ)發(fā)；（七）風(fēng)險(xiǎn)信息查詢(xún)結(jié)果導(dǎo)出；（八）風(fēng)險(xiǎn)信息統(tǒng)計(jì)分析。第十條系統(tǒng)和系統(tǒng)使用者間發(fā)送和接收風(fēng)險(xiǎn)信息，應(yīng)第十一條系統(tǒng)使用者向系統(tǒng)發(fā)起信息錄入和查詢(xún)申請(qǐng)時(shí)，系統(tǒng)應(yīng)即時(shí)進(jìn)行響應(yīng)并處理。當(dāng)錄入和查詢(xún)并發(fā)量超出系統(tǒng)的信息最高處理能力時(shí)，系統(tǒng)將進(jìn)行限流處理。3第十二條協(xié)會(huì)可對(duì)系統(tǒng)使用者用戶(hù)開(kāi)立控制關(guān)系、權(quán)限控制關(guān)系、用戶(hù)角色管理以及其他用戶(hù)管理業(yè)務(wù)參數(shù)進(jìn)行第十三條系統(tǒng)因不可抗力原因造成無(wú)法正常運(yùn)行的，協(xié)會(huì)和系統(tǒng)使用者應(yīng)積極采取補(bǔ)救措施，做好應(yīng)急處理，盡快恢復(fù)系統(tǒng)正常運(yùn)行。第十四條系統(tǒng)采用白名單管理策略，限制非白名單訪第三章用戶(hù)管理第十五條本辦法所稱(chēng)用戶(hù)，分為協(xié)會(huì)管理員、協(xié)會(huì)操作員，網(wǎng)頁(yè)方式機(jī)構(gòu)系統(tǒng)管理員、機(jī)構(gòu)匯總審核員、機(jī)構(gòu)管理員、機(jī)構(gòu)操作員。系統(tǒng)使用者應(yīng)根據(jù)需要設(shè)置適當(dāng)數(shù)量的管理員和操作員。采用接口方式的，系統(tǒng)使用者應(yīng)參照用戶(hù)管理相關(guān)要求，自行進(jìn)行用戶(hù)設(shè)置和管理。各角色用戶(hù)主要權(quán)（一）協(xié)會(huì)管理員：用戶(hù)管理、角色管理、資源管理、（二）協(xié)會(huì)操作員：風(fēng)險(xiǎn)信息管理、風(fēng)險(xiǎn)信息查詢(xún)、風(fēng)險(xiǎn)信息統(tǒng)計(jì)、操作日志管理；（三）機(jī)構(gòu)系統(tǒng)管理員：用戶(hù)管理、機(jī)構(gòu)管理；（四）機(jī)構(gòu)匯總審核員：信息查詢(xún)、信息審核；（五）機(jī)構(gòu)管理員：信息查詢(xún)、信息復(fù)核；（六）機(jī)構(gòu)操作員：信息錄入、信息查詢(xún)、信息變更、4信息下載、信息反饋。第十六條協(xié)會(huì)管理員和協(xié)會(huì)操作員，兩種角色不得互相兼任。機(jī)構(gòu)系統(tǒng)管理員、機(jī)構(gòu)匯總審核員、機(jī)構(gòu)管理員和機(jī)構(gòu)操作員四種角色，一人最多只能擔(dān)任其中的兩種角色。第十七條機(jī)構(gòu)系統(tǒng)管理員用戶(hù)由協(xié)會(huì)負(fù)責(zé)管理，機(jī)構(gòu)其他用戶(hù)由系統(tǒng)使用者負(fù)責(zé)管理。第十八條協(xié)會(huì)管理員用戶(hù)和協(xié)會(huì)操作員用戶(hù)的開(kāi)立、變更、撤銷(xiāo)申請(qǐng)，由系統(tǒng)管理部門(mén)分管秘書(shū)長(zhǎng)審批。協(xié)會(huì)管理員用戶(hù)和協(xié)會(huì)操作員用戶(hù)變動(dòng)，應(yīng)當(dāng)辦理崗位變動(dòng)交接手續(xù)并在系統(tǒng)中停用該用戶(hù)。第十九條機(jī)構(gòu)系統(tǒng)管理員用戶(hù)的開(kāi)立、變更、撤銷(xiāo)，應(yīng)當(dāng)由系統(tǒng)使用者以書(shū)面或網(wǎng)絡(luò)等方式向協(xié)會(huì)提交申請(qǐng)。第二十條系統(tǒng)使用者申請(qǐng)開(kāi)立機(jī)構(gòu)系統(tǒng)管理員用戶(hù)，協(xié)會(huì)應(yīng)根據(jù)機(jī)構(gòu)提交申請(qǐng)材料，包括用戶(hù)姓名、手機(jī)號(hào)、郵箱、所屬機(jī)構(gòu)等信息，人工核對(duì)無(wú)誤后，錄入系統(tǒng)處理。第二十一條機(jī)構(gòu)其他用戶(hù)的開(kāi)立由機(jī)構(gòu)系統(tǒng)管理員審核通過(guò)后錄入系統(tǒng)處理，完成用戶(hù)的設(shè)置、開(kāi)立。第二十二條系統(tǒng)使用者按照本辦法第二十條、第二十一條的規(guī)定提交信息后，發(fā)現(xiàn)提交的用戶(hù)信息與在線查詢(xún)得到的相關(guān)信息不一致的，應(yīng)依據(jù)提交申請(qǐng)信息進(jìn)行核對(duì)。提交信息有誤的，可按照本辦法第二十三條、第二十四條的規(guī)第二十三條需變更機(jī)構(gòu)系統(tǒng)管理員用戶(hù)姓名、手機(jī)號(hào)、郵箱等信息的，應(yīng)向協(xié)會(huì)提出申請(qǐng)。協(xié)會(huì)核對(duì)相關(guān)申請(qǐng)資料5后，將變更信息錄入系統(tǒng)處理。用戶(hù)類(lèi)型、用戶(hù)權(quán)限等信息的，應(yīng)向本機(jī)構(gòu)系統(tǒng)管理員提出申請(qǐng)。機(jī)構(gòu)系統(tǒng)管理員完成相應(yīng)審核、信息核對(duì)后錄入系統(tǒng)第二十五條需撤銷(xiāo)機(jī)構(gòu)系統(tǒng)管理員用戶(hù)的，協(xié)會(huì)應(yīng)根據(jù)系統(tǒng)使用者提交申請(qǐng)材料，包括用戶(hù)名、用戶(hù)姓名、所屬機(jī)構(gòu)等信息，完成相應(yīng)審核、信息核對(duì)無(wú)誤后，錄入系統(tǒng)處理，完成用戶(hù)的撤銷(xiāo)。第二十六條需撤銷(xiāo)機(jī)構(gòu)其他用戶(hù)的，應(yīng)向本機(jī)構(gòu)系統(tǒng)管理員提出申請(qǐng)。申請(qǐng)信息包括用戶(hù)名，用戶(hù)姓名等信息，機(jī)構(gòu)系統(tǒng)管理員完成相應(yīng)審核、信息核對(duì)無(wú)誤后錄入系統(tǒng)處理，完成用戶(hù)的撤銷(xiāo)。第二十七條協(xié)會(huì)應(yīng)在國(guó)家法定工作日通過(guò)系統(tǒng)辦理系統(tǒng)使用者用戶(hù)的開(kāi)立、變更、撤銷(xiāo)業(yè)務(wù)。第二十八條系統(tǒng)使用者應(yīng)嚴(yán)格管理系統(tǒng)各類(lèi)用戶(hù)賬號(hào)的設(shè)立和使用權(quán)限，不得為非本機(jī)構(gòu)員工開(kāi)立用戶(hù)賬號(hào)，不得轉(zhuǎn)接系統(tǒng)或外放系統(tǒng)使用權(quán)限。系統(tǒng)使用者應(yīng)定期檢視系統(tǒng)使用權(quán)限，確保系統(tǒng)賬號(hào)與操作人員身份一一對(duì)應(yīng)，并于操作人員職責(zé)發(fā)生變動(dòng)時(shí)及時(shí)做出權(quán)限調(diào)整。協(xié)會(huì)有權(quán)對(duì)于長(zhǎng)時(shí)間未使用或存在安全風(fēng)險(xiǎn)的用戶(hù)賬號(hào)進(jìn)行禁用。在執(zhí)行禁用操作前，協(xié)會(huì)應(yīng)提前10天告知賬號(hào)所有者，明確說(shuō)明禁用原因、禁用時(shí)間以及解決措施等。6第四章風(fēng)險(xiǎn)信息管理第二十九條系統(tǒng)處理的風(fēng)險(xiǎn)信息業(yè)務(wù)，從系統(tǒng)使用者發(fā)起，經(jīng)系統(tǒng)至原系統(tǒng)使用者止。第三十條風(fēng)險(xiǎn)信息經(jīng)過(guò)系統(tǒng)使用者審核確認(rèn)，上傳至系統(tǒng)后才產(chǎn)生效力。系統(tǒng)使用者發(fā)送風(fēng)險(xiǎn)信息至協(xié)會(huì)，應(yīng)符合系統(tǒng)規(guī)定的信息格式，并按照規(guī)定加密、加簽。第三十一條行業(yè)風(fēng)險(xiǎn)信息數(shù)據(jù)標(biāo)準(zhǔn)由協(xié)會(huì)和會(huì)員單位共同協(xié)商制定，并根據(jù)管理需要進(jìn)行調(diào)整。第三十二條系統(tǒng)處理的風(fēng)險(xiǎn)信息遵循《中國(guó)支付清算協(xié)會(huì)行業(yè)風(fēng)險(xiǎn)信息共享管理辦法》中《行業(yè)風(fēng)險(xiǎn)信息分類(lèi)標(biāo)準(zhǔn)》的相關(guān)要求。有效信息是指，該信息在有效期內(nèi)，可供全體用戶(hù)查詢(xún)使用。失效信息不具有效力，僅對(duì)協(xié)會(huì)和信息提供方可見(jiàn)。第三十四條信息失效包括兩種情況：信息有效期屆滿(mǎn)；系統(tǒng)使用者對(duì)其報(bào)送的有效信息主動(dòng)設(shè)置失效變更，該信息第三十五條已錄入并審核通過(guò)的風(fēng)險(xiǎn)信息不可刪除，但可做失效處理，并可對(duì)信息要素進(jìn)行補(bǔ)錄；已錄入但未審核通過(guò)的信息可進(jìn)行修改和刪除。第三十六條行業(yè)風(fēng)險(xiǎn)信息僅限系統(tǒng)使用者用于風(fēng)險(xiǎn)防范管理工作，系統(tǒng)使用者應(yīng)根據(jù)自身經(jīng)營(yíng)情況、風(fēng)控水平自主決定是否采納和使用共享的風(fēng)險(xiǎn)信息，并自行承擔(dān)相應(yīng)風(fēng)7第五章數(shù)據(jù)安全管理第三十七條數(shù)據(jù)傳輸過(guò)程中，協(xié)會(huì)和系統(tǒng)使用者應(yīng)采取有效技術(shù)手段保障數(shù)據(jù)傳輸安全，并綜合運(yùn)用加密、脫敏、校驗(yàn)等技術(shù)手段，防止系統(tǒng)數(shù)據(jù)泄露、篡改與不當(dāng)使用等，第三十八條系統(tǒng)使用者應(yīng)嚴(yán)格執(zhí)行國(guó)家有關(guān)信息安全管理、數(shù)據(jù)安全管理、個(gè)人信息保護(hù)等法律法規(guī)的規(guī)定，并按照《中國(guó)支付清算協(xié)會(huì)行業(yè)風(fēng)險(xiǎn)信息共享管理辦法》和本辦法要求，做好行業(yè)風(fēng)險(xiǎn)信息的數(shù)據(jù)安全管理及共享工作。第三十九條系統(tǒng)使用者應(yīng)將行業(yè)風(fēng)險(xiǎn)信息安全管理及共享工作作為本單位數(shù)據(jù)安全管理的重點(diǎn)內(nèi)容，建立完善的信息收集、報(bào)送、使用、保管等制度。第四十條系統(tǒng)使用者應(yīng)重點(diǎn)做好載有行業(yè)風(fēng)險(xiǎn)信息的紙質(zhì)文件、磁介質(zhì)、電子介質(zhì)、光介質(zhì)及其他儲(chǔ)存介質(zhì)的安全管理工作。第四十一條協(xié)會(huì)對(duì)外提供系統(tǒng)數(shù)據(jù)應(yīng)基于法律法規(guī)、部門(mén)規(guī)章、協(xié)會(huì)章程等依據(jù)，不得超出授權(quán)范圍或違反相關(guān)第四十二條系統(tǒng)使用者未經(jīng)協(xié)會(huì)和信息提供方授權(quán)，不得以任何形式對(duì)外提供或發(fā)布行業(yè)風(fēng)險(xiǎn)信息，不得違規(guī)利用所掌握的共享信息從事其他商業(yè)活動(dòng)牟利。第四十三條系統(tǒng)使用者應(yīng)做好數(shù)字簽名證書(shū)的管理工8作，妥善保管好本單位的數(shù)字證書(shū)私鑰和協(xié)會(huì)數(shù)字證書(shū)公鑰，如出現(xiàn)丟失、損壞等情況，應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施，包括但不限于向發(fā)證機(jī)構(gòu)申請(qǐng)補(bǔ)發(fā)或換發(fā)。第四十四條系統(tǒng)使用者違反協(xié)會(huì)《中國(guó)支付清算協(xié)會(huì)行業(yè)風(fēng)險(xiǎn)信息共享管理辦法》和本辦法相關(guān)規(guī)定，