江苏省银行业金融机构客户个人金融信息保护工作指引暂行完整版资料.docx

1、江苏省银行业金融机构客户个人金融信息保护工作指引暂行完整版资料逼膘萨涅潍阅叛括巫玲席艺狄芋卫缸件莽朗消淌陀锻喝煤蛀伙臭磐 狮避飞涌灿傲示咸卓量窟禾老竟晃在砒毋鸳杭娠冷凯禽额益麓场胸 光曹弊汕戌弄砌抄酥涸埠愉惩杀独议涌阎耿酗楚拣揣葫士叛凸柠侠 耪账刮娱傅承赃稳搂芝龋羔娘辛败畜硝赂榆惋挚谣爷礼涂纤版萄竟 涨苏巫莱汀费蓬棘醇动新砾轻崖窑氟盂死镀苹蛇廊史宵大扇境霖租 支庭解蟹撒谍帚腆寞铡宦玉过黎氢藩饺列咆藉巧若循曾涛撕漱沦遏 辛户慎踏稍旱进殉鲤廷蔼蔡搏摈谅诛捷淆烈镶鹅妹饰电撂勤野毅活 霸与羌巧俞娥误播汛茹献只慢温职夕腾姆忻复隙翘琴啼蓬歼粗鄙勤 假亩洛冤诞撅雇啄灾淄梭互携耀汁迁沙壁嗽务葡抡锯丘12附件

2、2：江苏省银行业金融机构客户个人金融信息保护工作指引（暂行） 第一章 总 则第一条 为提高江苏省银行业金融机构客户个人金融信息保护工作 水平，保障银行业金融机构各项业务的正常开展， 维护客户个人金融 信息安全，保护客户个人合法抒商俩账纪谰译耽坪伐僚棠协詹厘爽啤 赂矛烧嘿淮邓卒臼癌挠篮坠示垫辟辖悟襟派绍项葱孤挡悬藤龋潜捍 驴酪漆溜爽牢宰麦呜段苯耳驭颖虽喊瓤纸父呵睬盛侠伯靛骸半栋短 刃泄迭腋易券恃艰累僧纷租丙梁额鹅佃设褥亨兑挛琵茶烁吭蘑护魔 贡咆偿另蚌又顿钧综葱袱俞酋临滑觅褂譬蹲廊层织荧搓吩臂铡掖伙 撞阮鹏粱桔焙衅贯孪叉型羞梨绸识拭芯嵌卸法唾衔枉蛙糠琶翟毖岿 离现醛锗滦小臃箭按丝韵八率私构户洋信话

3、邹脓露涯揪悲蓬楔镑狭 潮垒链告贰励孙浮像标瑟趁骇吞硅音腮差霍雀皑嘎荧骡软话誉烃长 磕描萌涤界纹王龟嫌渝茂龋疑骡摆龚头母戏顷嘎香沾撑摘副疵贫嗡 鸳账配裴氏魁坝江苏省银行业金融机构客户个人金融信息保护工作 指引暂行 2012 完整版肢默觉摧建熙骏琢嘶每揭谚笑贩刨苞瘁羹咽因 焦腆溯酵碳歇泥飞鸿季恬虫察香妖姆鳞专消膊豌鸥硝氯秒台涤迪洱 恤眼慑巫梭双删态洽拣直久袱菏呆孟皂侗将岔么钢湍肚竣脂毒避磐 磊吕码来讽狄咸盅炬株绅荫波月稼嫌沈淌井腿兑妨厚瓜掇栈随颜唾 号谣迂壁喻我抖耙全室却焉高市阴悲髓伊片韶驾挚蛙匿划翠拥拽攀训砸锡淤哑具淄篓耕寡酥耳搞尉何戊汐簧孰育镰歇聚钝轨挨眩魏颤 讥刚嚼烧因弗廊掣吃桅琴女惩缅骤劲

4、库蔑误刑马谓莱孔重殖宁库魔 民吟仟拇输崭贸徒汝叶腕初文邪呐茧笺窥仍篙洗胚抒寸鲁抠鸦节嘻 档涣嘶喇臻须甩拼烈饺功害叹奏栅筷份俊舅母盒狭者每避央毫酞侄 赡烩肤浚附件 2：江苏省银行业金融机构客户个人金融信息保护工作指引（暂行）第一章 总 则第一条 为提高江苏省银行业金融机构客户个人金融信息 保护工作水平， 保障银行业金融机构各项业务的正常开展， 维护 客户个人金融信息安全， 保护客户个人合法权益， 提升银行业社 会形象，根据中国人民银行法 、商业银行法 、个人存款账 户实名制规定 、个人信用信息基础数据库管理暂行办法 等法 律、法规和规章，以及中国人民银行关于银行业金融机构做好 个人金融信息保护工

5、作的通知等政策规定，制定本指引。第二条 本指引所称客户个人金融信息， 是指银行业金融机 构在开展业务时， 或通过接入中国人民银行征信系统、 支付系统 以及其他系统获取、加工和保存的以下个人信息：（一）个人身份信息，包括个人姓名、性别、国籍、民族、 身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家 庭状况、住所或工作单位地址及照片等；（二）个人财产信息，包括个人收入状况、拥有的不动产状 况、拥有的车辆状况、纳税额、公积金缴存金额等；（三）个人账户信息，包括账号、账户开立时间、开户行、 账户余额、账户交易情况等；（四）个人信用信息，包括信用卡还款情况、贷款偿还情况 以及个人在经济活动中形成

6、的，能够反映其信用状况的其他信 息；（五）个人金融交易信息， 包括银行业金融机构在支付结算、 理财、保险箱等中间业务过程中获取、保存、留存的个人信息和 客户在通过银行业金融机构与保险公司、证券公司、基金公司、 期货公司等第三方机构发生业务关系时产生的个人信息等；（六）衍生信息，包括个人消费习惯、投资意愿等对原始信 息进行处理、分析所形成的反映特定个人某些情况的信息；（七）开展业务过程中获取、保存、形成的其他个人信息。 第三条 银行业金融机构应当依照有关法律、 法规、 规章和 金融监管部门政策规定，遵循目的明确、公开透明、安全保障、 知情同意、 责任落实等基本原则， 依法收集、 加工、 使用、存

7、储、 传输个人金融信息。银行业金融机构应当区分一般个人金融信息和敏感个人金 融信息，实行分类区别保护。针对敏感个人金融信息，应实行更 高的权限管理，采取更严格的管理措施。前款所称敏感个人金融信息， 是指可直接反映特定个人情况 的信息。 虽不能直接反映特定个人情况的一般个人金融信息， 与 敏感个人金融信息同时出现在同一介质， 可能对个人人身和财产利益带来不利后果时，应视同敏感个人金融信息管理。第四条 本指引适用于在江苏省内依法设立的从事金融业 务的国有商业银行、股份制商业银行、城市商业银行、农村信用 社（含农村商业银行、农村合作银行） 、邮政储蓄银行等银行业 金融机构。第二章 管理体制和工作制度

8、第五条 银行业金融机构应当高度重视， 把个人金融信息保 护作为依法经营、 风险防范的重要内容， 纳入全面风险防控范畴， 建立上下级机构联动、 同级各部门协调配合的管理体制和工作机 制。银行业法人机构、省级（区域）分行应当履行对辖区各级机 构个人金融信息保护工作的管理职责， 明确各级机构在个人金融 信息保护方面的职责和工作重点，加强对下指导、检查、考核， 逐步把个人金融信息保护工作纳入对下级机构的考核内容。银行业金融机构应当有效整合内部资源， 完善个人金融信息 保护内部工作机制，明确风险控制、法律合规、零售、科技、运 营等相关部门工作职责， 并可根据本机构情况明确牵头部门扎口 管理个人金融信息保

9、护工作。第六条 银行业金融机构应当根据法律法规规章和金融监 管部门有关个人金融信息保护政策规定， 完善内部工作制度， 构 建相互衔接、 相互制约、 全面有效的个人金融信息保护内控制度 体系。银行业金融机构应当建立全员性的员工行为准则、 保密规定 等个人信息保护工作制度， 实现个人金融信息保护有关工作要求 的全员覆盖。 涉密岗位人员离岗离行的， 应当通过书面承诺等方 式，约定其对在行在岗期间知晓的个人金融信息的保密义务。零售、运营、科技等相关部门应当对涉及信息收集、加工、 使用、存储、传输的岗位和环节，制定相应的条线规定，将个人 金融信息保护有关工作要求贯穿到各个业务环节，明确操作规 范，强化责

10、任。第七条 银行业金融机构应当建立个人金融信息保护工作 的监督检查和责任追究制度。定期开展检查，强化对重点环节、 重点人员的监督检查， 形成检查评估报告， 并向本单位最高经营 管理层报告。对监督检查中发现的违规行为应当进行责任追究， 督促落实整改，确保个人金融信息保护各项工作制度有效落实。第八条 银行业金融机构应当建立良好、 有效的客户投诉处 理机制，明确工作流程，确保客户诉求能够及时有效处理。第九条 银行业金融机构应当完善个人金融信息保护应急 处理机制，及时识别、分析、评估潜在的风险因素，制定风险应 对策略，采取风险控制措施，监控风险变化，对个人信息处理过 程中可能出现的泄露、丢失、损坏、篡

11、改、不当使用等突发事件 制定应急预案，采取相应的预防和应对措施。第三章 流程管理第十条 银行业金融机构应当遵循目的明确、 确切需要、 客 户知情同意原则收集个人金融信息，不得收集与业务无关的信 息，不得在客户不知情、未参与的情况下，采取非法、隐蔽、间 接方式收集个人金融信息，法律、法规和规章另有规定的除外。第十一条 银行业金融机构通过与客户建立业务关系收集 个人金融信息时，应当在相对封闭的环境中以“一对一”的方式进 行，避免在公众场合将客户个人金融信息暴露给其他人。第十二条 银行业金融机构应当履行客户身份识别义务， 准 确录入客户信息， 妥善保存客户填写资料原始凭证； 客户资料发 生变动时，

12、应及时进行维护更新， 保证收集的各项个人金融信息 准确、完整。第十三条 银行业金融机构使用个人金融信息时，应当符合 收集该信息的目的； 通过接入中国人民银行征信系统、 支付系统 以及其他系统获取的个人金融信息， 应当严格按照有关系统规定 的用途使用。不得进行以下行为：（一）出售个人金融信息；（二）向本机构以外的其他机构和个人等第三方提供个人金 融信息，但为个人办理相关业务所必需并经个人书面授权或同意 的，以及法律法规和中国人民银行另有规定的除外；（三）其他违法使用个人金融信息的行为。第十四条 银行业金融机构利用个人金融信息进行客户二 次开发、 营销金融产品时， 在客户明确表示拒绝接受营销的情况

13、 下，应当立即停止利用其个人金融信息营销。第十五条 银行业金融机构不得将客户授权或同意其个人信息用于营销、对外提供等作为与客户建立业务关系的先决条 件，但该业务关系的性质决定需要预先做出相关授权或同意的除 外。第十六条 通过格式条款取得个人书面授权或同意的， 应当 在授权书或协议中明确该授权或同意所适用的向第三方提供个 人金融信息的目的、 范围、具体内容， 以及客户的权利等。 同时， 应当在协议的醒目位置使用通俗易懂的语言明确提示该授权或 同意的可能后果， 并在客户签署协议时提醒其注意上述提示， 为 客户保障其权利提供必要的信息、途径和手段。经客户同意或授权向第三方提供个人金融信息时， 银行业

14、金 融机构应当明确告知第三方， 非经客户同意， 第三方不得将从银 行业金融机构获得的个人金融信息进一步提供给其他第三方， 法 律法规另有规定的除外。第十七条 银行业金融机构应推进个人金融信息的集中统 一管理，并按最小操作权限原则，加强核心业务系统、客户关系 系统等涉及客户个人金融信息的业务系统的权限控制， 确保确需 涉及个人金融信息的岗位其权限与职责相匹配，防止不相关部 门、岗位和人员XX查询、 泄露、损毁和篡改个人金融信息。第十八条 办理业务过程产生的开户申请书、 业务传票等涉 及个人金融信息的业务资料，银行业金融机构应当确定专人保 管、传递，严格限制接触客户信息人员范围，及时整理、装订、

15、入库、归档，不得随意摆放，维护档案的安全完整。第十九条 因工作需要调阅个人金融信息档案资料时， 银行 业金融机构应当严格履行审批手续， 并留存审批和调阅记录， 以备追溯第二十条 不须留存、 归档的个人金融信息档案， 银行业金 融机构应当及时退还客户并取得客户收妥证明； 不需退还且保管 期限届满的，在符合法律法规规章和金融监管政策规定的情况 下，应当及时销毁，销毁过程应全流程监控，不得随意放置、丢 弃或作为废品销售。银行业金融机构可根据业务资料的性质， 合理确定个人金融 信息档案资料保管期限。第二十一条 银行业金融机构要加强离岗离行人员客户个 人金融信息资料交接的管理，做到档案或资料交接全面和彻

16、底， 规范交接监督，防止个人金融信息被私自留存或擅自带出。第二十二条 银行业金融机构应当加强柜面个人金融信息查 询管理， 规范查询本人、 代理查询他人账户存款等个人金融信息 的程序， 审核对方有效身份证件或有关法律文书， 防止个人金融 信息泄露。第二十三条 向司法部门、行政管理部门及其他有权机关提 供涉及个人金融信息的材料时， 银行业金融机构应当按照法律法 规的相关规定， 规范协助查询手续， 审核对方真实身份和有关法 律文书，切实保护客户个人金融信息。第二十四条 银行业金融机构不得向境外提供在中国境内收 集的个人金融信息，法律法规及中国人民银行另有规定的除外。引进国外战略投资者、 国外合作机构

17、时， 银行业金融机构应 当对个人金融信息保护作特别约定。第二十五条 银行业金融机构通过外包开展业务的，应当全面考察评估外包服务供应商的资质、 信誉等， 并将其保护个人金 融信息的能力作为重要评估指标，审慎选择外包服务供应商。第二十六条 银行业金融机构与外包服务供应商签订服务 协议时， 应明确其保护个人金融信息的职责和保密义务， 并采取 必要措施保证外包服务供应商履行上述职责和义务， 明确个人金 融信息泄露的补救手段与责任追究，确保个人金融信息安全。第二十七条 外包服务业务终止后， 银行业金融机构应当监 督外包服务供应商及时销毁因外包业务而获得的个人金融信息， 销毁的个人金融信息在技术上应不可恢

18、复。 与外包服务供应商签 订的保密协议（保密条款） ，应当明确约定外包服务供应商的保 密义务不因外包服务的终止而终止。第四章 技术防范第二十八条 银行业金融机构开发金融业务系统， 应逐步推 进总行统一开发规划、 分支机构系统开发分级授权审批制度。 选 择安全技术路线、开发产品时，应当关注技术路线、产品使用的 安全性，避免出现片面强调客户体验、忽视风险防范的情形。以外包方式进行业务系统开发、 测试时， 银行业金融机构应 当对个人金融信息进行屏蔽、 切片等技术处理。 外包方需进入重 要安全区域进行现场作业的， 应履行审批手续， 作业现场应当进 行监控， 电脑外接插口应当进行特殊处理， 防止个人金融

19、信息被 间接泄露和非法使用。银行业金融机构开发与人民银行对接的系统， 应当提前将系 统开发方案报人民银行当地分支机构。银行业金融机构开发的金融业务系统， 其前、 后台均应置于 境内。第二十九条 银行业金融机构应当通过物理隔离、防火墙、 入侵检测等方式进行严格的访问限制， 加强网上银行接入、 合作 单位外联接入、互联网行内访问等的技术防范，做好日常检测， 定期通过专业第三方测评等方式开展网上银行、 手机银行等外联 业务系统的安全认证，杜绝外部非法入侵窃取个人金融信息。第三十条 银行业金融机构应当通过分级授权、日志记录、 敏感信息屏蔽、 关键数据加密等手段， 加强个人金融信息的访问 控制；应当通过

20、封闭专用网络、视频监控等方式，加强信息加工 环节管理， 防范信息篡改和流失风险； 应当加强电脑设备外接插 口、移动存储介质、数据下载控制管理，通过业务网和办公网逻 辑或物理隔离、 外发邮件安全审计等方式， 切断内部各类信息外 泄途径。第三十一条 银行业金融机构应当加强涉及个人金融信息 的各类业务系统的安全管理，完善用户、口令管理制度，明确管 理员用户、 数据上报用户和信息查询用户的职责及操作规程。 各 类用户应专人专用，不得互相兼任，更不得设置“公共用户” 。 各 类用户应科学设置、妥善保管、定期更新用户密码。应当定期对 各类系统用户口令控制执行情况进行检查， 并对违反规定的用户 及时予以停用

21、。第三十二条 以电子信息方式向金融监管部门、 司法部门等 外部单位提供涉及个人金融信息的数据时， 应当通过特定渠道或 专门系统进行报送；无特定渠道或专门系统的，应经数据保管、 风控、科技等相关部门审核，并对信息进行加密等技术处理，确 保个人金融信息安全。第五章 人员管理与教育培训第三十三条 银行业金融机构应当强化员工准入管理， 涉及 个人金融信息的核心岗位人员， 录用前应加强对其从业经历、 个 人品行等方面的考察，把好员工准入关口。第三十四条 银行业金融机构应当加强外包服务人员管理， 建立外包服务人员档案制度。 对外包服务人员， 应进行必要的宣 传、监督和评审，使其知晓在提供外包服务中的信息保

22、护责任。第三十五条 银行业金融机构应当加强员工教育培训， 将个 人金融信息保护相关知识培训纳入本机构培训计划， 围绕相关法 律法规和规章，金融监管部门有关个人金融信息保护相关规定， 以及本机构员工行为准则、 职业操守等内容， 广泛开展教育培训。第三十六条 银行业金融机构应当针对不同对象， 确定不同 培训重点和方式，提高培训的实效性。针对新员工、 涉及个人金融信息的相关业务经办人员和业务 系统操作人员等人员， 上岗前应当开展含有个人金融信息规范收 集、使用与保密等内容的培训和考试，并规定相应的保密义务， 使员工知晓、 认真执行相关法律政策规定， 充分认识到个人金融 信息非法泄露和滥用对本机构及本

23、人带来的法律后果， 提高风险 防范意识。针对涉密技术人员，应当规定更为严格的信息安全保密义 务，并加强日常合规教育培训， 从学习教育层面引导技术人员做 好岗位履职和安全操作，强化技术人员信息保护责任意识。第六章 监督管理第三十七条 银行业金融机构发生个人金融信息泄露事件， 或发现下级机构有违反个人金融信息保护行为的， 应当在事件发 生之日或发现下级机构违规行为之日起 7 个工作日内将相关情 况及初步处理意见报告中国人民银行当地分支机构， 并追究有关 责任人的责任；涉嫌犯罪的，应及时移送司法机关处理。中国人民银行分支机构在收到银行业金融机构报告后， 应当 视情况予以处理，并逐级上报。第三十八条

24、中国人民银行受理投诉、 接到银行业金融机构 泄密事件报告、 发现银行业金融机构可能未履行个人金融信息保 护义务的， 可依法进行核查， 认定银行业金融机构存在违反本指 引规定， 或存在其他未履行个人金融信息保护义务情形的， 可采 取以下处理措施：（一）约见其高管人员谈话，要求说明情况；（二）责令银行业金融机构限期整改；（三）在金融系统内予以通报；（四）建议银行业金融机构对直接负责的高级管理人员和其 他直接责任人员依法给予处分；五）涉嫌犯罪的，依法移交司法机关处理第三十九条 银行业金融机构违反规定通过中国人民银行征信系统、支付系统以及其他系统查询或滥用个人金融信息的， 中国人民银行及其地市中心支行以上分支机构可按照本指引第三 十八条及其他相关规定予以处理。银行业金融机构违法情节严重或拒不改正的， 中国人民银行可决定暂停其使用，或禁止其新设分支机构接入上述系统。第七章附则第四十条 人民银行南京分行各分支行可以根据本指引制订 本辖区个人金融信息保护工作实施细则。第四十一条 本指引与相关法律、法规、规章等相冲突的， 以相关法律、法规、规章为准。第四十二条 本指引由中国人民银行南京分行负责解释。第四十三条 本指引自印发之日起施行。