中国人民银行上海总部金融服务二部，各分行、营业管理部，各省会（首府）城市中心支行，各副省级城市中心支行反洗钱处；国家开发银行，各政策性银行、国有商业银行、股份制商业银行, 中国邮政储蓄银行，中国银联，银联国际，中国人寿保险股份有限公司，中国人民财产保险股份有限公司，银河证券股份有限公司，中信证券股份有限公司，支付宝（中国）网络技术有限公司，财付通支付科技有限公司反洗钱部门：

 

       近期，全国多地发生义务机构反洗钱信息泄露事件，个别义务机构在履行反洗钱义务过程中，非法泄露客户洗钱风险等级以及可疑交易、反洗钱调查等反洗钱信息,甚至个别义务机构员工利用职务之便，登录反洗钱系统违规查询、下载和出售客户信息。为强化义务机构反洗钱履职过程中的保密意识，进一步做好反洗钱信息安全保护工作，现就有关事项通知如下：

 

       一、全面落实反洗钱信息安全责任制

 

       各义务机构要高度重视反洗钱信息安全保护工作，切实履行 《中华人民共和国反洗钱法》及相关法律法规明确规定的反洗钱信息安全法定义务，切实增强反洗钱信息安全意识。义务机构的法定代表人或主要负责人是本机构反洗钱信息安全的第一责任人，对反洗钱信息安全负全面领导责任。义务机构应将反洗钱信息安全纳入本单位信息安全整体统一管理，指定工作部门具体承 担反洗钱信息安全工作职责，对反洗钱信息安全负直接管理责任；明确内部涉及反洗钱信息处理不同岗位的安全职责，建立相应的内部制度，确保本机构各层级、各业务条线高效履行反洗钱信息安全保护职责。

 

       二、切实推进反洗钱信息安全源头治理

 

       各义务机构要前移反洗钱信息安全保护关口，推进源头预防治理。义务机构应将反洗钱信息安全要求纳入反洗钱相关系统开发、设计、测试、使用等各个阶段，在系统建设时对信息保护措施同步规划、同步建设和同步使用。义务机构在反洗钱法律和行政法规有新的要求并可能对信息安全带来重大影响时，或与反洗钱信息安全相关的业务模式、信息系统、运行环境发生重大变更时，应组织开展反洗钱信息安全影响评估，形成信息安全影响评估报告，并以此采取针对性措施，将反洗钱信息安全风险降低到可接受的水平。 

 

       三、 持续优化反洗钱信息安全内部控制措施

 

       各义务机构要定期梳理排查本机构反洗钱内控制度，排查反洗钱信息安全风险点，及时修订和完善内控制度，全面堵截内控制度漏洞。增强内部岗位制约，对反洗钱信息安全管理人员、数据操作人员、审计人员等进行岗位角色分离设置。强化流程控制和授权管理，完善反洗钱信息批量修改、拷贝、下载、对外传递等重要操作内部审批流程；设置严格的场景限制，除司法查询、反洗钱行政调查、执法检查以及其他必要的工作需要外，不得下载反洗钱信息。各义务机构要进一步优化反洗钱相关系统设置，提高反洗钱信息安全技术防护能力。强化反洗钱信息的去标识化脱敏处理，将可用于恢复识别个人身份的反洗钱信息与去标识化后的脱敏信息分开存储并加强访问和使用的权限管理。加强通过界面（如显示屏幕、纸面）展示反洗钱个人身份信息的管理，降低个人反洗钱身份信息在展示环节的泄露风险。

 

       四、 严格控制反洗钱信息知悉范围

 

       各义务机构要整合反洗钱相关系统的数据资源，鼓励义务机构逐步探索并实现反洗钱信息统一保管。完善客户身份识别、可疑交易监测分析和线索移送的业务流程和闭环管理机制，严格控制各部门、各层级人员使用反洗钱相关系统的权限。义务机构应对依法履行客户身份识别、大额交易和可疑交易报告义务获得的客户身份资料和交易信息，对依法监测、分析、报吿可疑交易和开展名单监控的有关情况，对配合人民银行反洗钱行政调查、采取临时冻结措施的有关情况予以保密，非依法律规定不得向任何单位和个人透露和提供。义务机构应明确由反洗钱牵头部门统一依法向中国反洗钱监测分析中心报送可疑交易报告，避免内部其他部门或机构对外报送可疑交易报告或相关信息。

 

       五、 强化反洗钱从业人员管理

 

       各义务机构应与从事反洗钱信息处理岗位上的相关人员签署保密协议或约定保密条款，反洗钱信息处理岗位人员原则上应为义务机构正式员工，在调离岗位或终止劳动合同时，应继续履行保密义务。义务机构应与接触反洗钱信息的外部服务人员和机构签署保密协议或约定保密条款，并监督其严格遵守反洗钱信息安全规定。

 

       六、 加强反洗钱信息安全培训教育

 

       各义务机构应定期对反洗钱相关部门和岗位人员进行反洗钱合规培训和保密教育。通过入职培训集中宣传、警示教育及案例剖析等方式，不断强化员工的反洗钱合规意识、风险意识、信息安全保护意识，培养员工的底线思维，确保反洗钱岗位人员及相关业务操作人员熟悉反洗钱相关法律法规，业务系统操作流程，引导其遵循合规性操作要求开展各项工作，逐步建立健全合规文化，为反洗钱信息安全工作营造良好的企业文化氛围。

 

       七、 强化应急处置和报吿

 

       各义务机构要制定反洗钱信息安全事件应急预案，定期组织相关人员进行应急响应培训和应急演练，熟练掌握应急处置策略和规程。义务机构发生反洗钱信息安全事件后，应及时釆取必要措施控制事态，消除隐患，评估事件影响，并按规定报告反洗钱 行政主管部门及其属地分支机构。反洗钱信息安全事件涉及个人信息泄露的，应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知客户，难以逐一告知的，应采取合理、有效的方式发布警示信息。

 

       八、 加大监督检查和问责考核力度

 

       各义务机构要将反洗钱信息安全保护工作作为内部监督检查和审计的重要内容。对于监督检查和审计发现的用户异常行为，要逐一核实，发现存在非法查询、下载、出售反洗钱信息，或非法泄露客户洗钱风险等级、可疑交易、反洗钱调查等反洗钱信息的，要立即采取相关处置措施，严肃追究相关人员的责任，并向反洗钱行政主管部门及其属地分支机构报告；涉嫌犯罪的，依法移交司法机关处理。要进一步完善内部奖惩机制，将反洗钱信息安全的履职情况有机嵌入内部奖惩考核。

 

       请人民银行上海总部，各分行、营业管理部，各省会（首府） 中心支行，各副省级城市中心支行反洗钱处将本通知转发至辖内法人义务机构，加强对义务机构反洗钱信息安全工作的监督和管理，充分运用各种现场和非现场监管手段，指导和督促辖内法人义务机构做好反洗钱信息安全保护工作，对存在违法违规行为的义务机构要依法依规严肃处理。

 

中国人民银行反洗钱局

2020年11月12日