《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 央行印发《非银行支付机构重大事项报告管理办法》 客户信息数据泄露超过5000条需在2小时内报告

央行印发《非银行支付机构重大事项报告管理办法》 客户信息数据泄露超过5000条需在2小时内报告

2021-07-27
来源: 中国信息安全
关键词: 非银行 支付 办法

非银行支付机构重大事项报告管理办法  

  第一章  总  则

  第一条 为进一步规范非银行支付机构(以下简称支付机构)重大事项报告行为,提高支付市场风险甄别、防范和化解能力,维护支付市场稳定,根据《中华人民共和国中国人民银行法》《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号发布)等法律法规规章,制定本办法。

  第二条 支付机构报告重大事项适用本办法。

  本办法所称重大事项是指根据法律法规和中国人民银行的规定应当事前报告的重大经营事项,以及可能对支付机构(含分公司)自身经营状况、金融消费者权益、金融和社会稳定造成重大影响应当事后报告的事项。

  本办法所称重大事项不包含行政许可事项和依据相关规定应当向中国人民银行或其分支机构定期或者不定期报送的报告和报表等常规信息。

  第三条 支付机构报告重大事项应当一事一报,做到及时、真实、准确、完整,不得迟报、漏报、瞒报、谎报、错报,不得有误导性陈述或者重大遗漏。

  支付机构应当与所在地中国人民银行分支机构保持沟通,积极配合中国人民银行及其分支机构做好风险监测、防范和化解。

  第四条 支付机构法人所在地中国人民银行分支机构为支付机构重大事项报告的主要监管责任人。

  支付机构分公司发生应当报告的重大事项,支付机构分公司所在地中国人民银行分支机构应当按照属地原则承担监督管理职责,并与支付机构法人所在地中国人民银行分支机构实现信息共享。

  中国人民银行分支机构应当与辖区内支付机构(含分公司)建立重大事项报告工作机制,明确报告渠道和联系方式,督促支付机构落实重大事项报告要求。

  第二章  重大事项的范围

  第五条 支付机构的下列事项,应当事前向所在地中国人民银行分支机构报告:

  (一)支付机构拟首次公开发行或者增发股票的。

  (二)支付机构的主要出资人或者实际控制人拟首次公开发行股票,包括但不限于其直接作为首次公开发行股票的主体,或者通过协议控制架构等方式赴境外首次公开发行股票的。

  (三)提供支付创新产品或者服务、与境外机构合作开展跨境支付业务、与其他机构开展重大业务合作的。

  (四)支付机构拟在境外投资设立分支机构、控股附属机构或者通过协议等其他安排能够实际控制的关联机构开展支付业务的。

  (五)支付机构及其实际控制人、主要出资人拟抵押、质押、托管或者变相抵押、质押支付机构股权或者超过净资产10%的重要资产的。

  (六)累计对外提供的有效担保超过净资产30%的。

  (七)对外投资超过净资产5%的。

  (八)支付业务设施发生重大调整,可能对支付业务产生重大影响的,包括但不限于变更系统应用架构或者重要版本、迁移生产中心机房或者灾备机房等。

  (九)拟变更会计师事务所等外部重点合作机构,可能影响支付机构商誉或者外部审计、检测质量的。

  (十)中国人民银行规定的其他应当事前报告的事项。

  第六条 支付机构发生风险事件或者突发情况的,应当按照中国人民银行相关规定和本办法的要求及时报告。事后报告事项分为一类事项和二类事项。

  第七条 一类事项包括下列情形:

  (一)涉及影响社会公共秩序的群体性事件或者重大负面舆情的。

  (二)支付机构受益所有人发生非正常死亡、失联等异常变故,未履行审批程序而发生变更的。

  (三)发生客户个人信息泄露等信息安全事件一次性涉及客户信息数据超过5000条或者客户数量超过500户的。

  (四)因突发情况导致支付业务中断或者功能故障,超过2小时或者影响支付业务笔数超过10万笔,或者可能造成重大负面舆情的。

  (五)客户、特约商户或者外包服务机构涉嫌利用本机构渠道从事欺诈、洗钱、非法集资、网络赌博等违法犯罪活动,造成重大影响的。

  (六)发生客户备付金被挪用或者重复结算等风险事件,可能影响正常资金结算或者损害客户合法权益的。

  (七)其他可能对支付机构经营管理造成重大影响或者损害金融消费者合法权益且可能引发区域性、系统性金融风险的重大风险事件和紧急情况。

  第八条 二类事项包括下列情形:

  (一)支付机构及其主要出资人、实际控制人涉及涉案金额超过净资产10%的重大诉讼、仲裁纠纷,超过净资产10%的重要资产被查封或者冻结、刑事案件等法律问题的。

  (二)支付机构董事、监事、高级管理人员涉及刑事案件,或者发生非正常死亡、失联等异常变故,可能影响其正常履行岗位职责的。

  (三)发生客户个人信息泄露等信息安全事件一次性涉及客户信息数据不超过5000条,且涉及客户数量不超过500户的。

  (四)因突发情况导致支付业务中断或者功能故障,但不超过2小时且影响支付业务笔数不超过10万笔,不会造成重大负面舆情的。

  (五)涉及其他监管部门、司法机关通报的支付风险案件,或者被其他监管部门采取列入经营异常名录、行政处罚等监管措施的。

  (六)支付机构在内、外部审计或者检测中被发现存在重大问题,可能影响支付机构经营或者损害金融消费者合法权益的。

  (七)其他可能对支付机构造成影响或者损害金融消费者合法权益的重大风险事件和紧急情况。

  第三章  重大事项报告程序

  第九条 支付机构报告本办法第五条第一项至第四项事项的,应当于相关事项实施或者生效前至少30个自然日向所在地中国人民银行分支机构提交书面报告。

  支付机构报告本办法第五条所列其他事项的,应当于相关事项实施或者生效前至少5个工作日向所在地中国人民银行分支机构提交书面报告。

  报告的内容包括但不限于基本情况、实施计划,对公司经营、金融消费者合法权益、支付市场的潜在影响等,可能造成支付业务中断、功能故障或者其他负面影响的,还应当包括应急处置、舆情监测等工作预案。支付机构的主要出资人、实际控制人通过协议控制架构等方式赴境外首次公开发行股票的,还应当说明协议控制架构的具体安排。

  法律、行政法规、国务院决定、规章另有规定的,依照其规定。

  第十条 支付机构发生本办法第七条所列一类事项的,应当在事项发生后2小时内通过电话、传真或者电子邮件等形式向所在地中国人民银行分支机构及时报告,并在事项发生后2个工作日内向所在地中国人民银行分支机构提交书面报告。

  第十一条 支付机构发生本办法第八条所列二类事项的,支付机构应当在事项发生后24小时内通过电话、传真或者电子邮件等形式向所在地中国人民银行分支机构及时报告,并在事项发生后5个工作日内向所在地中国人民银行分支机构提交书面报告。

  第十二条 事后报告事项的报告应当包括但不限于以下内容:

  (一)基本情况。说明事件的起因、时间、地点、过程、影响等内容。涉及支付机构受益所有人变更的,还应提交变更后的支付机构受益所有人信息,包括受益所有人的姓名、地址、身份证件或者身份证明文件的种类、号码和有效期限。

  (二)处置情况。涉及风险处置的,应当说明事件后续发展预判、可能造成的影响和损失、拟采取的处置措施等内容。已完成处置的,应当说明造成的影响和损失、处置措施、处置效果、对事件的总结分析、后续加强管理的措施等内容。

  第十三条 事后报告事项涉及风险处置的,支付机构应当根据所在地中国人民银行分支机构要求持续报告处置进展,并在处置完毕后5个工作日内向所在地中国人民银行分支机构提交书面报告。

  第十四条 对一类事项和涉及风险处置的二类事项,支付机构法人所在地中国人民银行分支机构应当分别在接报后半小时内、1小时内通过电话、传真或者电子邮件等形式报告总行,并及时提交书面报告。涉及风险处置的,应当持续报告处置进展。

  第十五条 支付机构境外分支机构、控股附属机构或者通过协议等其他安排能够实际控制的关联机构发生的重大事项,支付机构应当按照本办法第九条、第十条、第十一条、第十二条、第十三条的规定向所在地中国人民银行分支机构报告。

  第十六条 重大事项涉及支付机构分公司的,支付机构分公司应当按照本办法第九条、第十条、第十一条、第十二条、第十三条的规定同步报告所在地中国人民银行分支机构。

  支付机构经营管理地与支付机构法人所在地不一致的,支付机构应当按照本办法第九条、第十条、第十一条、第十二条、第十三条的规定同步报告经营管理地中国人民银行分支机构。支付机构经营管理地中国人民银行分支机构应配合支付机构法人所在地中国人民银行分支机构做好相关工作。

  支付机构机房部署地与支付机构法人所在地不一致的,涉及系统故障等重大事项,支付机构应当按照本办法第九条、第十条、第十一条、第十二条、第十三条的规定同步报告故障发生地中国人民银行分支机构。支付机构故障发生地中国人民银行分支机构应配合支付机构法人所在地中国人民银行分支机构做好相关工作。

  第十七条 支付机构报送的重大事项报告、处置情况报告应当由其法定代表人或者主要负责人签发并加盖公章。法定代表人或者主要负责人因特殊原因无法签发的,应当及时授权其他负责人签发。

  第四章  监管与责任

  第十八条 中国人民银行分支机构应当将支付机构重大事项报告执行情况纳入支付机构年度分类评级考核。

  第十九条 中国人民银行及其分支机构根据审慎监管的需要,可以要求支付机构就重大事项有关情况作出说明,并可以对支付机构重大事项报告执行情况进行现场检查。

  第二十条 支付机构报告的重大事项涉及商业秘密的,中国人民银行及其分支机构工作人员应当遵守各项保密制度规定,合理确定知悉范围,妥善保管相关材料。

  中国人民银行及其分支机构的工作人员违反规定泄露支付机构商业秘密的,依法给予处分;涉嫌构成犯罪的,依法移送司法机关处理。

  第二十一条 支付机构应当健全重大事项报告、风险事件防控、处置等工作机制,明确重大事项报告、风险事件处置责任部门和应急处置流程、措施,提高风险预警、监控和处置能力。

  第二十二条 支付机构未按本办法规定建立重大事项报告、风险事件防控、处置等工作机制或者报告重大事项的,中国人民银行及其分支机构责令其限期整改,可以采取约谈等监管措施,并可以依据《非金融机构支付服务管理办法》有关规定予以处罚。

  支付机构履行重大事项报告义务,不豁免其应承担的相关法律责任;支付机构涉嫌犯罪的,依法移送司法机关处理。

  第五章  附  则

  第二十三条 本办法所称中国人民银行分支机构是指中国人民银行副省级城市中心支行以上分支机构。

  本办法所称支付机构分公司是指支付机构为落实本地化经营、管理要求设立的,已在分公司所在地中国人民银行分支机构完成备案手续的分支机构。

  本办法所称支付机构法人所在地、分公司所在地指支付机构法人、分公司的经公司登记机关登记的住所或营业场所。

  本办法所称支付机构经营管理地是指支付机构的主要经营管理团队实际办公地址。支付机构机房部署地是指支付机构的支付业务系统机房部署地址。

  本办法所称实际控制人是指通过投资关系、协议或者其他安排,能够实际支配支付机构行为的自然人、法人或者其他组织。

  本办法所称支付机构受益所有人是指最终拥有或者实际控制支付机构的一个或多个自然人,包括间接拥有25%(含)以上支付机构股权的自然人,通过表决权、控制权或者其他协议安排等方式实际控制支付机构的自然人,以及享有25%(含)以上支付机构直接或间接股权收益的自然人。

  本办法所称对外投资是指支付机构以货币资金、实物资产、无形资产等方式向其他单位形成的债权或股权投资。

  本办法所称“超过”均包含本数,“不超过”均不包含本数。

  第二十四条 本办法由中国人民银行负责解释。中国人民银行分支机构可以结合本地实际制定相应实施细则。

  第二十五条 本办法自2021年9月1日起施行。支付机构应自本办法施行之日起10个工作日内向法人所在地中国人民银行分支机构首次报送本支付机构实际控制人、受益所有人的基本信息及对应的控制关系、受益关系等情况。

  《非金融机构支付服务管理办法实施细则》(中国人民银行公告〔2010〕第17号公布)第三十七条同时废止。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。