银行个人金融信息保护管理规定VIP

—PAGE20——PAGE19—**银行个人金融信息保护管理规定第一章总则第一条为提高个人金融信息保护工作水平，规范**银行（以下简称“我行”）个人金融信息处理行为，切实保护金融消费者合法权益，推动我行持续健康发展，根据监管部门规定以及《**银行金融消费权益保护管理办法》《个人金融信息保护技术规范》等制度及规范，制定本管理规定。第二条本规定所称的“个人金融信息”，是指我行通过提供金融产品和服务或者其他渠道处理的个人信息，包括但不限于：（一）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、照片、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址等；（二）鉴别信息，是指用于验证主体是否具有访问或使用权限的信息，包括但不限于银行卡密码、个人金融信息主体登录密码、账户查询密码、交易密码、动态口令、短信验证码、生物识别等；（三）个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等；（四）个人账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等；（五）借贷信息，是指个人金融信息主体在金融业机构发生借贷业务产生的信息，包括但不限于授信、信用卡和贷款的发放及还款、担保情况等；（六）个人金融交易信息，包括我行在支付结算、理财等业务办理过程中获取、保存、留存的个人信息，以及客户在通过我行与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等；（七）其他信息，包括对原始数据进行处理、分析形成的，能够反映特定个人某些情况的信息，如特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息等，以及在提供金融产品与服务过程中获取、保存的其他个人信息，如行踪轨迹等。第三条本规定所称“未成年人”，是指不满十四周岁的未成年人。第四条本规定适用于总行各部门、各分行（以下简称“各单位”）第二章职责分工第五条总行消费者权益保护部是全行个人金融信息保护工作牵头管理部门，主要职责包括：（一）贯彻执行国家和监管部门有关个人金融信息保护的方针政策和法律法规，对全行个人金融信息保护工作实行统一管理、统筹规划和组织协调。（二）制定全行个人金融信息保护制度，指导监督各单位开展个人金融信息保护工作，有效落实各项制度与措施。（三）完善客户投诉处理机制，明确投诉的渠道和流程，确保能够及时有效地处理客户有关个人金融信息的投诉。（四）每年至少一次牵头组织开展个人金融信息保护全面检查，检查内容包括但不限于：贯彻落实个人金融信息保护相关法律、法规、规章和规范性文件的情况，我行相关内控制度、信息安全防范技术措施的制定和实施情况以及员工培训教育情况；通过全面检查排查个人金融信息保护安全隐患，发现问题及时监督整改，并落实报告制度。第六条总行人力资源部是全行员工行为管理的归口管理部门，主要职责包括:（一）强化员工准入管理，涉及个人金融信息的核心岗位人员，录用前应对其进行必要的背景调查，把好员工准入关口。（二）对可访问个人金融信息的相关人员签订保密合同或承诺书；个人金融信息相关人员离岗离行的，应当通过书面承诺等方式，约定其对在行在岗期间知晓的个人金融信息的保密义务，并立即调整和完成相关人员的个人金融信息访问、使用等权限的配置。（三）与员工终止劳动合同时，应立即终止并收回其对个人金融信息的访问权限，并明确其继续履行有关信息的保密义务要求。（四）加强外包服务人员管理，对其进行必要的宣传、监督和评审，使其知晓在外包服务中的金融信息保护责任。（五）加强员工教育培训，将个人金融信息保护相关知识培训纳入培训计划，相关的综合培训应当涵盖全体人员，尤其是包括柜员、信贷审批、个人金融、银行卡等直接关系客户个人金融信息的工作人员，提高全行员工对个人金融信息保护重要性的认识。（六）规范人力外包服务供应商和第三方合作机构的管理，严格执行个人金融信息保护规定，有效落实各项保密措施。（七）加强条线管理，采取有效措施提高人力条线员工对个人金融信息保护制度的执行力。第七条总行信息科技部是全行个人金融信息系统安全保护的归口管理部门，主要职责包括：（一）加强网上银行接入、合作单位外联接入、互联网行内访问等的技术防范，做好日常检测；开展网上银行、手机银行等外联业务系统的安全评估，加强防护，杜绝外部非法入侵窃取个人金融信息。（二）加强个人金融信息系统的访问控制，加强信息加工环节管理，落实“最少够用”原则，防范信息篡改和流失风险；加强电脑设备外接插口、移动存储介质、数据下载控制管理，切断内部各类信息从系统外泄的途径。（三）加强涉及个人金融信息的各类业务系统的安全管理，建立并落实分级授权为核心的信息使用管理制度，完善用户、口令管理制度，对各类系统用户口令控制执行情况进行检查。（四）规范信息科技外包服务供应商和第三方合作机构的管理，严格执行个人金融信息保护有关规定，有效落实各项保密措施。（五）加强条线管理，采取有效措施提高科技条线员工对个人金融信息保护制度的执行力。第八条总行风险管理部是全行征信管理的归口管理部门，主要职责包括：（一）将个人金融信息保护作为依法经营、风险防范的重要内容，纳入全面风险防控范畴。（二）制定和完善个人征信业务和个人信用基础信息数据库查询使用的管理制度和操作规程、个人信用报告异议信息处理制度，规范个人金融信息的采集、查询、异议处理等操作流程。（三）加强对全行个人征信业务的指导与检查，有效推进个人征信信息保护工作的开展。（四）规范外包服务中涉及征信管理的内容。（五）加强条线管理，采取有效措施提高风险条线员工对个人金融信息保护制度的执行力。第九条总行运营管理部是全行支付结算系统个人金融信息保护的归口管理部门，主要职责包括：（一）加强个人金融信息查询管理，建立并落实分级授权为核心的信息使用管理机制，规范员工查询客户、客户查询本人、代理查询他人账户存款等个人金融信息的操作，防止个人金融信息泄露。（二）规范司法部门、行政管理部门及其他有权机关协助查、冻、扣款操作，切实保护客户个人金融信息安全。（三）加强对提供支付结算等服务以及履行反洗钱管理、治理电信诈骗等管理职能等运营职责过程中处理的客户个人信息的管理与检查，有效落实个人金融信息保护各项措施的实施。（四）规范外包服务供应商和第三方合作机构的管理，严格执行个人金融信息保护规定，有效落实各项保密措施。第十条总行公司银行部、供应链金融部、零售银行部是全行公司、供应链、零售业务条线个人金融信息保护的归口管理部门，主要职责包括：（一）规范公司、供应链、零售业务产品营销、渠道拓展过程中个人金融信息保护的管理，确保个人金融信息在各处理环节中不被泄露和滥用。（二）完善制度建设，将个人金融信息保护有关规定落实到各项业务制度、管理制度及操作环节。（三）规范业务格式合同文本或协议中的有关个人金融信息保护的规定，切实维护消费者合法权益。（四）规范所归口外包服务供应商和第三方合作机构的管理，严格执行个人金融信息保护规定，有效落实保密措施。（五）加强条线管理，采取有效措施提高业务条线员工对个人金融信息保护制度的执行力。第十一条总行法律合规部是个人金融信息保护法律咨询、法律审核的归口管理部门，负责审核格式合同文本或协议中客户个人金融信息保护规定的落实，加强员工有关个人金融信息保护法律知识培训，不断提升员工合规守法意识。加强条线管理，采取有效措施提高法规条线员工对个人金融信息保护制度的执行力。第十二条总行内审部是对个人金融信息保护履职情况实施审计的职责部门，须采取有效措施对审计过程中处理的个人金融信息落实保护要求。第十三条总行其他部门、各分行负责具体落实我行业务条线、本级行个人金融信息保护的相关要求，开展个人金融信息保护工作。第三章基本管理规定第十四条我行个人金融信息保护工作遵循“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则，依法收集、存储、使用、加工、传输、提供、公开个人金融信息。第十五条我行个人金融信息保护工作方针是通过全行各部门、各分行协同，落实个人金融信息分类分级管理，落实个人金融信息系统分级管理机制，实施覆盖个人金融信息全生命周期的安全保护措施，对个人金融信息实行脱敏处理，强化未成年人个人金融信息保护，确保客户个人金融信息安全，防止出现信息泄密和滥用情况。第十六条各单位要强化本单位、各岗位和每位员工个人金融信息保护责任，细化岗位职责，明确个人金融信息保护责任，建立和完善考核制度，有效推进金融信息保护工作开展。第十七条各单位要加强员工个人金融信息保护知识的培训，全面提升全行员工对个人金融信息保护工作重要性的认识；要积极开展个人金融信息保护宣传活动，推进社会公众个人金融信息保护意识的提升和知识的普及。第十八条各单位应按最小操作权限原则，加强核心业务系统、客户关系系统等涉及个人金融信息的业务系统的权限控制，确保确需涉及个人金融信息的岗位其权限与职责相匹配，防止不相关部门、岗位和人员未经授权查询个人金融信息，防范泄露、损毁和篡改个人金融信息的风险。第十九条各单位通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息，应当严格按照有关系统规定的用途使用，严禁以下行为：（一）出售个人金融信息。（二）除法律法规和监管部门另有规定的除外，未经个人书面授权或同意而向本机构以外的其他机构和个人等第三方提供个人金融信息。（三）其他违法使用个人金融信息的行为。第二十条严格规范格式文本条款中个人金融信息保护相关规定，在授权书或协议中应当明确该授权或同意所适用的提供个人金融信息的目的、方式、内容和使用范围，以及客户的权利等，在协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果。第二十一条各单位应严格按照档案管理规定，合理确定个人金融信息档案资料保管期限。对不须留存、归档的个人金融信息档案，应当及时退还客户并取得客户收妥证明；不需退还且保管期限届满的，在符合法律法规规章和金融监管政策规定的情况下，按照我行有关制度规定及时销毁，销毁过程应全流程监控，不得随意放置、丢弃或作为废品销售。第二十二条在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息，应在境内存储、处理和分析。因业务需要，确需向境外机构提供个人金融信息的，应符合相关法律法规的规定。第二十三条各单位通过合作机构（包含外包服务机构和外部合作机构，下同）开展业务的，应全面考察评估合作机构的资质、信誉等，并将其保护个人金融信息的能力作为重要评估指标，审慎选择外包合作机构。各单位与合作机构签订服务协议时，应明确其保护个人金融信息的职责和保密义务，并采取必要措施保证履行相关职责和义务，明确金融信息泄露的补救手段与责任追究，确保金融信息安全。第二十四条监督检查（一）个人金融信息保护工作牵头管理部门和各归口管理部门，应加强对个人金融信息保护工作的指导与检查，对容易发生个人金融信息泄露或滥用的各个环节加强排查，细化管理，防止出现信息泄露或滥用事件。（二）各单位应将个人金融信息保护检查工作纳入常态化工作，及时堵塞漏洞，落实整改。（三）各单位要指定人员，明确责任，落实个人金融信息保护检查计划，切实做好日常检查工作。各单位并于自查结束后一个月内将本单位个人金融信息保护工作检查情况报送总行消费者权益保护部。第四章操作规定第二十五条各单位在收集个人金融信息的环节上，应当遵循“合法、正当、必要、诚信”的原则，不得过度收集或通过误导、欺诈、胁迫等方式收集个人信息。（一）收集前采用书面提醒的方式，向个人信息主体明确告知和警示收集和处理个人金融信息的目的，信息的使用范围及保护措施，投诉渠道，保存期限，更正、删除信息的途径和方法等，并征得经金融消费者明示同意，但是法律、行政法规另有规定的除外。收集未成年人个人金融信息的，应当以显著、清晰的方式告知未成年人监护人，并征得其监护人的同意。（二）通过格式条款取得客户书面授权或同意时，应在协议中明确该授权或同意所适用的向他人提供个人金融信息的范围和情形，在醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果，并在客户签署协议时提醒其注意上述提示。（三）收集个人身份证时，应设定使用范围并采取必要的保护措施。（四）各单位收集客户金融信息用于营销、用户体验改进或者市场调查的，应当以适当方式提供客户自主选择是否同意授权将其金融信息用于上述目的；客户不同意的，各单位不得因此拒绝提供金融产品或服务。（五）各单位不得以客户不同意处理其金融信息为由拒绝提供金融产品或者服务，但处理其金融信息属于提供金融产品或者服务所必需的除外。客户不能或者拒绝提供必要信息，致使我行无法履行反洗钱义务的，我行可以根据《中华人民共和国反洗钱法》的相关规定对其金融活动采取限制性措施；确有必要时，我行可以依法拒绝提供金融产品或者服务。第二十六条客户有权撤回其授权，各单位应当提供便捷的撤回授权的方式。客户撤回授权，不影响撤回前基于客户同意已进行的个人金融信息处理活动的效力。第二十七条各单位在查询个人金融信息的环节上，应严格落实信息使用授权审批程序。根据“业务需要”和“做小权限”原则，在不影响履行反洗钱等法定义务的前提下，根据个人金融信息的重要性、敏感度和业务开展需要，合理确定我行员工调取信息的范围。（二）实行权限控制，严格控制和分配访问、使用个人金融信息的权限，对超权限的，需事先取得授权或审批。（三）数据查询应建立相应登记簿，保存原始查询审批记录。第二十八条各单位在使用个人金融信息的环节上，应充分重视个人金融信息安全风险。（一）应按照法律法规的规定和双方约定的用途使用个人金融信息，不得超出范围使用。（二）查询客户信息程序必须规范，实际用途与申请用途必须相符。（三）与其他机构合作协议中应包含完整的保密条款。（四）协助司法部门及其它有权部门查询个人金融信息时应严密审核，建立登记簿，并留存有效的法律文书。（五）不得披露未成年人的个人金融信息，但法律、行政法规应当披露或者根据与未成年人监护人的约定可以披露的除外。第二十九条除法律法规与监管部门另有规定或开展金融业务所必需的数据共享与转让（如转接清算等）外，我行原则上不应共享、转让其收集个人金融信息，确需共享、转让的，转让信息范围应符合法律法规与监管部门有关规定以及技术标准，并应落实信息安全风险管理要求，具体如下：应向个人金融信息主体告知共享、转让个人金融信息的目的、数据接收方的类型，并事先征得个人金融信息主体明示同意，共享、转让经去标识化处理(不应仅使用加密技术)的个人金融信息，且确保数据接收方无法重新识别个人金融信息主体的除外。应帮助个人金融信息主体了解数据接收方对个人金融信息的存储、使用等情况，包括个人金融信息主体的权利，例如访问、更正、删除、注销账户等；在法律法规规定、监管部门有关规定及个人金融信息主体约定的范围内，个人金融信息主体行使其个人金融信息控制权利，我行应配合响应其请求。第三十条我行原则上不应公开披露收集的个人金融信息，经法律授权或具备合理理由确需公开披露个人金融信息的，公开披露信息范围应符合法律法规与监管部门有关规定以及技术标准。应向个人金融信息主体告知公开披露个人金融信息的目的、类别，并事先征得个人金融信息主体的同意，并向其告知涉及的信息内容，承担因公开披露个人金融信息对个人金融信息主体合法权益造成损害的相应责任。第三十一条因金融产品或服务的需要，将委托合作机构(包含外包服务机构与外部合作机构)处理个人金融信息的，委托处理信息范围应符合法律法规与监管部门有关规定以及技术标准，合作机构应准确记录和保存委托处理个人金融信息的情况。第三十二条各单位在保存个人金融信息的环节上，要严格遵守档案管理规定以及下述要求。（一）按照规定办理查阅手续，并留存查阅记录。（二）办理业务过程中产生的开户申请书、业务传票、个人业务档案资料等涉及个人金融信息的业务资料，应确定专人保管、传递，严格限制接触客户信息人员范围，及时整理、装订、入库、归档，不得随意摆放，维护档案的安全完整。（三）应对电脑实施保护措施，防止客户个人信息泄露。（四）做好数据安全管理，采取加密等措施保存个人金融信息，确保个人金融信息安全。应对个人金融信息访问与个人金融信息的增删改查等操作进行记录，并保证操作日志的完整性、可用性及可追溯性。（五）保存个人金融信息的时限，应满足国家法律法规与监管部门有关规定要求，并符合实现其收集、使用目的所必要的最短期限。超过该期限后，应对收集的个人金融信息进行删除或者匿名化处理。第三十三条各单位在使用个人金融信息时要做好技术保障工作，确保严密性。（一）严格加强生产网络的管理，在办公网、生产网与互联网之间，应做到严格的物理或逻辑隔离。（二）严密管理客户端，在内外网计算机上只能使用经过授权的移动存储介质，关闭操作终端的USB接口和光驱刻录功能；对开放的USB和光驱功能，应建立系统操作记录的追溯机制。（三）针对要害岗位人员，加强技术防范措施，做好有关查询、复制、打印数据的有效监控。第五章征得授权同意的例外规定第三十四条以下情形收集使用个人金融信息无需征得个人金融信息主体的授权同查：（一）与履行国家法律法规及监管部门有关规定的义务相关的；（二）与国家安全、国防安全直接相关的；（三）与公共安全、公共卫生，重大公共利益直接相关的；（四）与犯罪侦查、起诉、审判和判决执行等直接相关的：（五）出于维护个人金融信息主体或其他主体的生命，财产等重大合法权益但又很难得到本人同意的；（六）个人金融信息主体自行向社会公众公开的：（七）根据个人金融信息主体要求签订和履行合同所必需的；（八）从合法公开按露的信息中收集个人金融信息的，如合法的新闻报道，政府信息公开等渠道：（九）用于维护所提供的金融产品或服务的安全稳定运行所必须的，例如识别、处置金融产品或服务中的欺诈或被盗用或故障等。第三十五条以下情形共享、转让、公开披露个人金融信息无需征得个人金融信息主体的授权同意：（一）与履行法律法规及监管部门规定的义务相关的；（二）与国家安全、国防安全直接相关的；（三）与公共安全、公共卫生、重大公共利益直接相关的；（四）与犯罪使查、起诉、审判和判决执行等直接相关的；（五）出于维护个人金融信息主体或其他主体的生命、财产等重大合法权益但又很难得到本人同意的；（六）个人金融信息主体自行向社会公众公开的；（七）从合法公开披露的信息中收集个人金融信息的，如合法的新闻报道、政府信息公开等渠道。第六章合作机构管理第三十六条各单位在选择合作机构时，应重点加强对合作机构个人金融信息保护方面的资质审查和风险评估，评估其个人金融信息的保护能力是否达到国家、监管部门与我行的管理要求。第三十七条各单位应通过协议或合同书面明确约定合作机构保护客户个人金融信息的职责，书面明确合作机构应协助响应个人金融信息主体的请求，书面明确委托处理信息范围应符合法律法规与监管部门有关规定以及技术标准，明确未经书面授权合作机构不应将其处理的个人金融信息再次委托给其他机构进行处理。应与合作机构签订保密协议（保密条款），明确约定合作机构的保密义务不因合作服务的终止（或解除）而终止；明确合作业务终止后合作机构应及时移交或销毁所获得的个人金融信息。应要求合作机构按照我行的要求处理个人金融信息，如因特殊原因受委托着未能按照要求处理个人金融信息或无法提供足够的信息安全保护水平或发生安全事件，应及时告知我行，并配合我行进行信息安全评估，并采取补救措施以保护个人金融信息的安全，必要时应终止其对个人金融