农商银行客户信息保护管理办法.docx
《农商银行客户信息保护管理办法.docx》由会员分享,可在线阅读,更多相关《农商银行客户信息保护管理办法.docx(24页珍藏版)》请在冰豆网上搜索。
农商银行客户信息保护管理办法
第一章总则
第一条为提高XX农商银行(以下简称“本行”)客户信息保护工作水平,保障各项业务的正常开展,维护个人客户信息安全,保护客户个人合法权益,提升本行社会形象,根据《中国人民银行法》、《商业银行法》、《个人存款账户实名制规定》等法律、法规和规章,以及《中国人民银行关于银行业金融机构做好个人客户信息保护工作的通知》等政策规定,制定本管理办法。
第二条本管理办法所称个人客户信息,是指本行在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:
(一) 个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等;
(二) 个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;
(三) 个人账户信息,包括账号、账户开立时间、开户
行、账户余额、账户交易情况等;
(四) 个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息;
(五) 个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;
(六) 衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;
(七) 开展业务过程中获取、保存、形成的其他个人信息。
第三条依照有关法律、法规、规章和金融监管部门政策规定,遵循目的明确、公开透明、安全保障、知情同意、责任落实等基本原则,依法收集、加工、使用、存储、传输个人客户信息。
区分一般个人客户信息和敏感个人客户信息,实行分类区别保护。
针对敏感个人客户信息,实行更高的权限管理,采取更严格的管理措施。
第四条前款所称敏感个人客户信息,是指可直接反映特定个人情况的信息。
虽不能直接反映特定个人情况的一般个人客户信息,与敏感个人客户信息同时出现在同一介质,可能对个人人身和财产利益带来不利后果时,应视同敏感个人客户信息管理。
第五条本办法适用于XX农商银行各部门、各支行、各分理处(以下简称“各单位”)。
第二章管理体制和工作制度
第六条总行明确由信息科技部牵头管理客户信息保护工作,并按照银监部门相关制度要求,加强信息科技第二、三道防线履职,由风险管理部负责信息科技风险管理,定期组织开展信息安全专项风险评估,包括环境、用户、数据敏感性和外包等各要求,识别威胁客户信息安全的风险隐患,以及风险控制制度和措施的充分性;合规管理部应定期组织各部室及时梳理制度、流程,加强合规文件建设,开展合规检查,规范员工行为,加强客户信息安全领域的合规风险管理;审计稽核部应定期开展信息安全专项审计,加大审计频度和力度,全面识别风险隐患,督促问题整改。
各部室要严格按照法律法规、制度要求,制定本专业的客户信息保护相关的制度、操作规程、行为准则、保密规定以及客户信息分类以及分类标准,并督导本部门以及各支行、分理处落实到位。
第七条各单位要高度重视客户信息管理工作,积极有效整合内部资源,完善个人客户信息保护内部工作机制,积极履行对本单位个人客户信息保护工作的管理职责,把个人客户信息保护作为依法经营、风险防范的重要内容,纳入全面风险防控范畴,明确风险控制、分级授权、重要岗位相互制约等风险防控措施,建立上下级机构网点联动、同级各部门协调配合的管理体制和工作机制。
总行各部门要加强对下指导、检查、考核,把个人客户信息保护工作纳入对下级机构网点的考核内容。
第八条各单位要根据法律法规规章和金融监管部门有关个人客户信息保护政策规定,完善内部工作制度,构建相互衔接、相互制约、全面有效的个人客户信息保护内控制度体系。
建立健全全员性的员工行为准则、保密规定等个人信息保护工作制度,实现个人客户信息保护有关工作要求的全员覆盖。
涉密岗位人员离岗离行的,要通过书面承诺等方式,约定其对在行在岗期间知晓的个人客户信息的保密义务。
总行各部门要制定本专业的客户信息分类与分级标准,明确不同等级信息的保护要求,对涉及信息收集、加工、使用、存储、传输的岗位和环节,制定相应的条线规定,将个人客户信息保护有关工作要求贯穿到各个业务环节,明确岗位权限和操作规程,强化责任。
第九条总行要形成全行的客户信息保护行为准则和保密规定,涵盖全行所有条线部门和所有业务。
各单位要加强对分支和直属机构的指导、考核,强化对重点环节、重点人员的监督检查,形成检查整改报告,并向本行经营管理层报告。
对监督检查中发现的违规行为要进行责任追究,督促落实整改,确保个人客户信息保护各项工作制度有效落实。
第十条总行要形成全行的客户投诉处理管理办法,涵盖全行所有条线部门和所有业务;要建立良好、有效的客户投诉处理机制,明确工作流程,确保客户诉求能够及时有效处理。
第十一条完善个人客户信息保护应急处理机制,及时识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等突发事件制定应急预案,采取相应的预防和应对措施。
第三章流程管理
第十二条遵循目的明确、确切需要、客户知情同意原则收集个人客户信息,不得收集与业务无关的信息,不得在客户不知情、未参与的情况下,采取非法、隐蔽、间接方式收集个人客户信息,法律、法规和规章另有规定的除外。
第十三条通过与客户建立业务关系收集个人客户信息时,要在相对封闭的环境中以“一对一”的方式进行,避免在公众场合将个人客户信息暴露给其他人。
第十四条履行客户身份识别义务,准确录入客户信息,妥善保存客户填写资料原始凭证;客户资料发生变动时,应及时进行维护更新,保证收集的各项个人客户信息准确、完整。
第十五条使用个人客户信息时,要符合收集该信息的目的;通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人客户信息,要严格按照有关系统规定的用途使用。
不得进行以下行为:
(-)出售个人客户信息;
(二) 向本行以外的其他机构和个人等第三方提供个人客户信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外;
(三) 其他违法使用个人客户信息的行为。
第十六条利用个人客户信息进行客户二次开发、营销金融产品时,在客户明确表示拒绝接受营销的情况下,要立即停止利用其个人客户信息营销。
第十七条不得将客户授权或同意其个人信息用于营销、对外提供等作为与客户建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或同意的除外。
第十八条通过格式条款取得个人书面授权或同意的,要在授权书或协议中明确该授权或同意所适用的向第三方提供个人客户信息的目的、范围、具体内容,以及客户的权利等。
同时,要在协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果,并在客户签署协议时提醒其注意上述提示,为客户保障其权利提供必要的信息、途径和手段。
经客户同意或授权向第三方提供个人客户信息时,要明确告知第三方,非经客户同意,第三方不得将从本行获得的个人客户信息进一步提供给其他第三方,法律法规另有规定的除外。
第十九条推进个人客户信息的集中统一管理,并按最小操作权限原则,加强核心业务系统、客户关系系统等涉及客户个人客户信息的业务系统的权限控制,确保确需涉及个人客户信息的岗位其权限与职责相匹配,防止不相关部门、岗位和人员未经授权查询、泄露、损毁和篡改个人客户信息。
第二十条办理业务过程产生的开户申请书、业务传票等涉及个人客户信息的业务资料,要确定专人保管、传递,严格限制接触客户信息人员范围,及时整理、装订、入库、归档,不得随意摆放,维护档案的安全完整。
第二十一条因工作需要调阅个人客户信息档案资料时,要严格履行审批手续,并留存审批和调阅记录,以备追溯。
第二十二条不须留存、归档的个人客户信息档案,要及时退还客户并取得客户收妥证明;不需退还且保管期限届满的,在符合法律法规规章和金融监管政策规定的情况下,要及时销毁,销毁过程应全流程监控,不得随意放置、丢弃或作为废品销售。
各部门可根据业务资料的性质,根据本专业的相关制度要求,合理确定个人客户信息档案资料保管期限。
第二十三条加强离岗离行人员客户个人客户信息资料交接的管理,做到档案或资料全面和彻底交接,规范交接监督,防止个人客户信息被私自留存或擅自带出。
第二十四条加强柜面个人客户信息查询管理,规范查询本人、代理查询他人账户存款等个人客户信息的程序,审核对方有效身份证件或有关法律文书,防止个人客户信息泄露。
第二十五条向司法部门、行政管理部门及其他有权机关提供涉及个人客户信息的材料时,要按照法律法规的相关规定,规范协助查询手续,审核对方真实身份和有关法律文书,切实保护客户个人客户信息。
第二十六条不得向境外提供在中国境内收集的个人客户信息,法律法规及中国人民银行另有规定的除外。
引进国外战略投资者、国外合作机构时,本行应当对个人客户信息保护作特别约定。
第二十七条通过外包开展业务的,要全面考察评估外包服务供应商的资质、信誉等,并将其保护个人客户信息的能力作为重要评估指标,审慎选择外包服务供应商。
第二十八条与外包服务供应商签订服务协议时,要明确其保护个人客户信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务,明确个人客户信息泄露的补救手段与责任追究,确保个人客户信息安全。
第二十九条外包服务业务终止后,要监督外包服务供应商及时销毁因外包业务而获得的个人客户信息,销毁的个人客户信息在技术上应不可恢复。
与外包服务供应商签订的保密协议(保密条款),要明确约定外包服务供应商的保密义务不因外包服务的终止而终止。
第四章技术防范和保密规定
第三十条各单位要对具有访问客户敏感信息权限的账号进行梳理和核查,加强重点业务和重点岗位管理,遵循“权责对应”的原则,对具有访问客户敏感信息权限的系统账号实行实名制管理,明确责任人。
要加强本单位员工操作行为管控和审计,禁止违规查询、下载、复制、保存客户信息。
各单位要制定落实涉及客户敏感信息的操作审批流程,建立健全用户管理、客户敏感信息访问和下载等行为的监督、审计制度。
第三十一条各单位要加强档案室、营业室等能够访问客户信息的重点区域的安全管理,强化出入管理、视频监控管理,对于可能接触到敏感信息的重要操作,必须使用视频监控系统进行监控和记录。
第三十二条各单位要加强内部信息管理,加强网络准入控制和用户实名制管理,所有接入内部网络的计算机及终端,必须按照要求进行申请,经有权人批准后,由信息科技部统一组织实施网络接入。
第三十三条各单位要切实加强本单位的计算机以及终端安全管理,及时安装系统补丁和更新防病毒等安全管理软件,并定期启动防病毒软件进行病毒查杀,禁止使用未经批准或授权的蓝牙、红外、调制解调器等外部设备。
第三十四条各单位要加强移动存储设备管理,防止违规信息外发、拷贝等信息泄露行为,严禁涉密的移动存储设备在非涉密信息系统中使用。
第三十五条各单位要严格通过分级授权、日志记录、敏感信息屏蔽、关键数据加密等手段,加强个人客户信息的访问控制;要加强客户信息传输管理,对客户敏感信息采取加密存储、传输等措施。
严禁在测试环境中使用真实的客户密码、生产密钥等敏感信息。
第三十六条加强涉及个人客户信息的各类业务系统的安全管理,完善用户、口令管理制度,明确管理员用户
升级会员 