沪金监〔2020〕46号 

各区小额贷款公司、融资担保公司、融资租赁公司、商业保理公司、典当行、地方资产管理公司主管部门，本市各小额贷款公司、融资担保公司、融资租赁公司、商业保理公司、典当行、地方资产管理公司：

根据国家及本市强化地方金融组织监管相关要求，为进一步做好本市小额贷款、融资担保、融资租赁、商业保理、典当、地方资产管理等六类机构（以下简称六类机构）网络信息安全相关工作，防止企业、客户信息泄露，造成不良影响和财产损失，现就有关事项通知如下：

一、加强内部组织管理

各区主管部门要提高认识，做好辖内六类机构网络信息安全管理工作，全面掌握情况，采取切实可行措施，督促企业做好相关工作；在开展现场检查、监管评级等事中事后监管工作过程中，要将企业网络信息安全管理、客户信息安全保护等相关情况纳入检查、评价范围。

六类机构要在内部通过制订制度、明确职责、设立专人专岗或专业委员会等方式，切实加强企业网络信息安全管理工作。

六类机构要明确一名负责网络信息安全的高级管理人员和一名联系人，并填写《网络信息安全联络信息报送表》，于4月25日前反馈所在区主管部门，由区主管部门汇总后于4月30日前上报市地方金融监管局。

二、加强信息技术保障

六类机构要建立、完善自身业务信息系统，定期对业务信息系统、企业网站、APP程序等（尤其是涉及客户信息的相关系统、载体）进行升级、维护；定期对企业网站、APP程序、微信公众号等宣传、获客渠道进行检视，要采取有效防范计算病毒和网络攻击、网络侵入等的技术措施，确保企业信息安全。

鼓励、支持在互联网上为客户提供服务的六类机构开展信息安全技术网络安全等级保护测评。已获准开展互联网小额贷款业务的小额贷款公司，原则上应于2020年12月底前完成信息安全技术网络安全等级保护测评。

三、加强客户信息保护

六类机构要梳理与信息安全相关的第三方合作、服务机构，认真研究合同涉及使用企业相关信息尤其是个人客户信息相关条款，严禁非法买卖或者泄露客户信息；要梳理通过网站、APP程序获得的客户信息使用授权，严禁强制要求客户授权、获取与业务无关信息授权等行为；要通过完善内部制度安排，对客户信息的查询、储存和使用进行严格管理，严禁窃取、滥用、泄露客户信息。

四、加强紧急情况报告

各区主管部门和六类机构应建立网络信息安全紧急情况报告机制。发生客户信息泄露、企业服务器遭到攻击、企业网站遭受篡改、内部信息泄露等紧急情况的，六类机构应于情况发生后24小时内向区主管部门报告，区主管部门应于收到报告后24小时内向市地方金融监管局报告，并指导企业开展相应应急处置工作。

特此通知。

上海市地方金融监督管理局

 2020年4月20日