第一章總則為了數據安全管理工作，有效保護公司及客戶的合法權益不受侵害，防范敏感數據泄露等安全隱患，保障數據信息的真實、完整、可用和安全，依據國家、監管機構及行業協會的相關法律法規，結合公司實際情況，特制定本操作細則。本規定適用于合作項目下，在創建、使用、流轉、存儲、銷毀過程中產生的電子、紙質或其他形式存在的底層資產數據（以下簡稱“數據”）信息，包括對數據信息的管理及披露。數據信息包含但不限于下列內容：客戶相關信息,包括:1.自然人客戶信息和法人及非法人組織客戶信息，比如客戶基本信息、賬戶信息、交易信息、財務信息等。2.為了建設評分模型及風險控制需要，通過從合作機構接入的底層客戶信息，調用第三方數據接口而返回的客戶相關的工商、訴訟、輿情、反欺詐、運營商數據、歷史逾期、稅務、發票等補充信息。3.其他客戶相關信息。（二）業務相關信息，包括:1.底層資產涉及放款、還款計劃、實還流水、回購信息、與實際業務相關的場景信息、押品及設備信息；根據評審會批準方案要求、風控審核要求或者實際運營要求接入的其他業務相關信息。2.從通道方（銀行/信托等）或者助貸機構接入的支付流水信息等。3.其他業務相關信息。（三）風控運營指標信息：對接收的底層資產數據信息，經過加工計算形成的風控運營指標等。數據管理遵循“誰管理，誰負責，誰使用，誰負責”的原則。第二章部門職責XX部門是客戶相關信息、業務相關信息和風控運營指標信息的數據歸口管理部門，主要職責包括：（一）系統功能層面,負責提出系統安全需求，對客戶敏感信息提出加密或脫敏需求，保護客戶信息不被泄露。（二）系統功能層面，對底層資產數據信息的顯示、下載等提出需求。（三）對數據的使用及權限管理進行初步授權，經xx崗批準后可最終授權使用。信息部是系統相關數據管理的歸口管理部門，是系統相關數據管理的第一責任人，主要職責包括：牽頭制定系統數據管理等操作細則。負責數據在系統間的安全傳輸及儲存工作，有效管理數據。在授權下，負責提取數據并按要求進行變形處理，提交給數據使用者。負責系統數據使用完畢后的清理。信息部負責系統基礎設施、網絡安全等技術規范及安全管理措施的落實。數據使用部門主要職責包括：按照系統設置的功能權限合理使用數據。如系統功能不能滿足業務需要時，根據本細則第六章規定提交數據使用需求。負責在管轄范圍內對所使用的數據進行安全保管。數據使用完畢后對數據進行銷毀。第三章數據創建數據主要通過日常業務開展操作及系統對接方式進行傳輸及創建。在涉及系統與合作機構網絡連接時，應采用可靠的連接策略及技術手段，實現彼此有效隔離。對通訊數據需保證保密性和完整性，涉密信息應進行加密處理。與外部單位信息交換時需采用國家和行業在信息交換協議、策略、密鑰等方面的標準。1.通信完整性是指應采用密碼技術保證通訊過程中數據的完整性。2.通信保密性是指在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗證，并通信過程中的整個報文或會話過程進行加密。如果以批量文件傳輸方式進行系統對接時，要求使用SFTP(SecureFileTransferProtocol)進行傳輸。在項目承做前，給合作機構開通相關賬戶權限，并在項目結束時，及時關閉賬戶權限。如果以實時API接口傳輸方式進行系統對接時，要求采用必要的認證和鑒權、加密和簽名等手段保證數據的完整性和保密性。第四章數據管理數據管理主要是指數據在系統中的管理。信息部員工需要簽署《信息安全保密承諾書》。系統應加強網絡安全、訪問控制、病毒防護工作，及時更新防病毒軟件，發現并處理異常情況。主動發現和有效阻止惡意代碼傳播。系統交付時要進行安全驗收。系統設計必須在身份驗證、操作類別控制、用戶管理、口令管理、加密處理、數據安全審計、系統校驗等方面，符合國家和公司有關軟件開發管理的規定。系統應制定完整備份策略。備份數據應定期進行有效性檢查及監控，確保備份內容的正確性和完整性。數據庫應根據用戶訪問權限進行數據加密，開發、測試環境中原則上不得使用生產環境數據。系統數據不得隨意修改或刪除。如系統運維崗在系統運維中需要對數據修改或刪除，應根據公司運營管理相關制度執行。運維后結果需得到需求部門的確認。系統運維崗不得將數據管理用戶交與他人使用。系統運維崗應在授權范圍內操作，未經審批不得擅自超越授權權限，尤其不得登陸數據庫對生產數據進行直接操作。信息部應按照公司相關制度對軟件系統服務商進行管理。軟件系統服務商需要簽署保密協議，軟件系統服務商派遣的服務人員需要簽署《信息安全保密承諾書》。第五章數據的披露與審批數據披露分為對內披露及對外披露。對內披露是指在公司內部使用數據。數據已在系統中存儲的，通過系統設置權限查看或下載數據。如果系統沒有相應功能，可通過本章要求提出數據提取申請，審批通過后，方可使用。數據使用者需要提取數據時，須提起《系統需求處理單》，詳細填寫所申請數據的內容、使用目的、使用環境、使用起止期限以及脫敏或加密要求等。申請填寫完畢，由數據使用部門、信息部部、數據歸口部門負責人審核，由系統運維崗按照要求，予以提數。數據必須用于明確規定的目的，提取的數據范圍應與規定用途相符，不得超越批準范圍。數據分析人員如因為工作需要經常性訪問系統數據庫，進行數據分析挖掘，應按照第二十三規定提出需求，審批通過后，根據訪問權限開通系統賬號。數據分析人員不得將賬號分享他人使用。同時數據分析人員需要簽署《信息安全保密承諾書》。對外披露是指向公司以外的機構或個人披露數據。原則上數據在對外披露時，需要得到客戶的授權。申請部門經辦人員在OA系統提交《系統需求處理單》，詳細填寫所申請數據的內容、使用目的、使用環境、使用起止期限、對外披露的機構、脫敏或加密要求等。申請填寫完畢，由申請部門、信息部、數據歸口部門負責人審核，法務部（以下簡稱“法務部”）判斷是否允許對外披露，經審批后，由系統運維崗按照要求，予以提數。第六章其他情況數據使用部門如通過非系統對接方式從第三方機構接收數據，應及時將數據備份，對數據文件進行加密處理，并及時將業務數據上傳到系統存儲。上傳系統前，由數據使用部門負責保管數據。第七章數據銷毀要求系統需要銷毀的數據，信息部應按照信息管理部或運營維護管理相關制度要求，在OA系統發起《需求處理單》，經過批準后，方可對數據進行銷毀。所有確認不再需要使用的存儲了數據的電子介質，應及時清除數據并銷毀介質。包含數據的紙張在廢棄時（如復印效果差，或打印未完成），應使用