商业银行金融消费者权益保护个人金融信息保护办法

金融消费者权益保护个人金融信息保护办法

第一章总则

第一条为规范商业银行（以下筒称本行）金融消费者权益

保护工作，切实保障金融消费者合法权益，根据（中国人民银行

令（2020）第5号）、《全省农村商业银行金融消费者权益俣护工

作指导意见（试行）》等相关法律、法规、规章及规范性文件，

制定本办法。

第二条本行及分支机构适用本办法。

第三条本办法所称金融消费者，是指购买或使用本行的金

融产品或接受本行金融服务的自然人。

第四条本办法所称个人金融信息，是指本行及分支机构在

开展业务时，通过但不限于综合业务系统、信贷管理系统、人行

征信系统、支付系统、公安联网身份证查询系统等其他系统获取、

使用、加工、对外提供和保存的个人金融信息。包括个人身份信

息、财产信息、账户信息、信用信息、金融交易信息及其他反映

特定个人某些情况的信息。

第五条金融消费者个人金融信息保护工作由业务发展部

牵头组织实施。

-1

第二章主要内容

第六条本办法所称个人金融信息包括但不限于以下内容：

（一）个人身份信息，包括个人姓名、性别、国籍、夫族、

身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家

庭状况、住所或工作单位地址；

（二）个人财产信息包括个人收入状况、拥有的不动产状况、

车辆状况、纳税额、公积金缴存金额，以及购买的保险、股金、

基金等理财产品等；

（三）个人账户信息，包括账号、账户开立时间、开户行、

账户余额及交易情况；

（四）个人信用信息，包括征信状况、信用额度、信用卡还

款情况、贷款偿还情况以及其他能够反映其信用状况的其他信

息；

（五）个人金融交易信息，包括本行在支付结算、理财、保

险箱等中间业务过程中获取、留存的个人信息和本行与保险、证

券公司等第三方机构发生业务关系时产生的个人信息等；

（六）衍生信息，包括个人消费习惯、风险偏好、投资意愿

等对原始信息进行处理、分析形成的反映特定个人某些情况的信

-2-

息；

（七）媒体信息，包括金融消费者购买理财或其他交易活动

的录音录像信息及电子日志信息等；

（A）在与个人建立业务关系过程中获取、保存的其他个人

信息。

第七条本行个人金融信息收集、加工及使用，应当遵循

“合法、准确、安全”的原则。

第三章职责分工

第八条本行业务发展部负责牵头本行个人金融信息保护

工作。各部门、各分支机构负责人为本条线、机构个人金融信息

保护工作的直接责任人，配合做好全行个人金融信息保护工作。

第九条业务发展部职责：

（一）执行并完善本行个人金融信息保护制度和内控制度；

（二）督促各部门、各分支机构做好个人金融信息保护工作;

（三）牵头组织开展全行个人金融信息保护检查；

（四）其他相关工作。

第十条各条线部门职责：

财务会计部负责前后台柜面各类业务信息的收集、使用、整

-3-

（三）认真开展金融消费者个人金融信息保护的自查。

第四章收集、管理和使用

第十二条本办法所称个人金融信息保护相关人员，是指办

理存款、贷款、结算、票据、代理、代保管等业务相关部门能够

接触到个人金融信息收集、使用、查询、保管等环节的人员，包

括但不限于下列人员：

（一）柜面类：柜面人员，代保管人员，卡业务办理人员，

主管会计、网点负责人；

（-）信贷类：客户经理，审查审批人员；

（三）清收类：资产管理人员，清收人员，资产管理及清收

部门负责人；

（四）网络类：计算机后台及管理人员；

（五）检查类：审计人员，事后监督人员；

（六）外部人员：聘请的法律顾问、律师，外部审计人员及

业务外包单位项目参与人员等。

第十三条个人金融信息保护相关人员在收集个人金融信

息时应当遵循以下条件：

（一）在收集个人金融信息前采取适当的提醒方式，向个人

-5-

信息主体明确告知相关内容。在收集个人金融信息前，采取适当

的方式，向个人信息主体明确告知和警示收集和处理个人金融信

息的目的、方式、类别、内容和留存时限，个人信息的使用范围

和保护措施，个人信息主体的投诉渠道以及提供个人信息后可能

存在的风险等内容。

（二）不得收集与业务无关或者采取不正当的方式收集信

息。

1.不得收集法律、行政法规禁止采集的其他个人信息；

2.不得收集与业务无关的信息；

3.不得采取不正当的方式收集信息。

（三）收集个人金融信息前应当取得金融消费者授权。

（四）不得以概括授权的方式，索取与金融产品和服务无关

的个人金融信息使用授权或者同意。个人金融信息保护牵头部

门、金融消费权益保护部门应当参与对信息主体个人金融信息使

用授权书的审查工作。通过格式合同、授权书方式取得信息主体

授权的，应当明确授权的具体内容。不得索取与金融产品和服务

无关的个人金融信息使用授权或者同意。

（五）使用格式条款收集个人金融信息时应当履行告知义

务。金融机构利用格式条款收集个人金融信息时，应当在条款中

明确该授权或者同意所适用的向他人提供个人金融信息的范围

-6-

和具体情形，应当在协议的醒目位置使用通俗易懂的语言明确向

金融消费者提示该授权或者同意的可能后果。

（六）应当采取符合国家档案管理和电子数据管理规定的措

施，妥善保管所收集的个人金融信息，防止信息遗失、毁损、泄

露或者篡改。在发生或者可能发生个人金融信息遗失、毁损、泄

露或者篡改等情况时，应当立即采取补救措施，及时告知金融消

费者并向有关部门报告。

第十四条个人金融信息保护相关人员应当对业务过程中

知悉的个人金融信息予以保密，不得非法复制、非法存储、非法

使用、向他人出售或者以其他非法形式泄露个人金融信息。

第十五条因监管、审计、数据分析等原因需要使用个人金

融信息数据的，应当严格执行内部授权审批程序，并采取有效技

术措施，确保信息在内部使用及对外提供等流转环节的安全，防

范信息泄露风险。

第十六条个人金融信息保护相关人员通过格式条款取得

个人金融信息书面使用授权或者同意的，应当在条款中明确该授

权或者同意所适用的向他人提供个人金融信息的范围和具体情

形，应当在协议的醒目位置使用通俗易懂的语言明确向金融消费

者提示该授权或者同意的可能后果。不得以概括授权的方式，索

取与金融产品和服务无关的个人金融信息使用授权或者同意。

-7-

第十七条本行应依法采取有效措施加强对个人金融信息

保护，确保信息安全，防止信息泄露和滥用。对以原件复印采集

获取的信息加以明确“与原件核对一致”标注，明确标注信息仅

用于相应类别业务范围。

第十八条不得将金融消费者授权或同意其将个人金融信

息用于营销、对外提供等作为与金融消费者建立业务关系的先决

条件，但业务性质决定需要预先作出相关授权或同意的除外。

第十九条在中国境内收集的个人金融信息的储存、处理和

分析应当在中国境内进行。除法律法规另有规定外，不得向境外

提供境内个人金融信息。

本行为处理跨境业务且经当事人授权，向境外机构（含总公

司、母公司或者分公司、子公司及其他为完成该业务所必需的关

联机构）传输境内收集的相关个人金融信息的，应当符合法律、

行政法规和相关监管部门的规定，并通过签订协议、现场核查等

有效措施，要求境外机构为所获得的个人金融信息保密。

第二十条业务外包的，应当充分审查、评估外包企业的涉

密资质和保护个人金融信息的能力，并将其作为选择外包服务商

的重要指标。在与外包企业签订服务协议时，必须签订保密协议,

协议应当明确其保护个人金融信息的职责和保密义务，在外包业

务终止后，及时销毁因外包业务而获得的个人金融信息。要采取

-8-

必要的措施保证外包企业履行上述职责和义务，确保个人金融信

息安全。本行保护消费者个人金融信息安全的义务不因其与外包

服务供应商合作而转移、减免。

第二十一条凡通过接入人行征信系统、支付系统、公安联

网身份证查询系统等其他外部系统获取个人金融信息的，严格按

照系统规定的用途使用，不得越权查询个人金融信息，滥用查询

结果。

第二十二条本行信贷、理财专区在销售金融产品或服务时

实行同步录音录像管理，利用录音录像设备，完整客观地记录营

销推介、相关风险和关键信息提示、金融消费者确认和反馈等重

点销售环节。

第五章风险控制

第二十三条各条线部门要建立、健全各自条线的个人金融

信息保护内控制度，明确金融消费者及本行在个人金融信息保护

工作上的权利和义务，明确规定个人金融信息持有人的知情权、

修改权和索赔权，并在各自条线范围为加强操作人员的教育培

训，提升个人金融信息安全保护意识。

第二十四条本行核心业务系统、信贷管理系统、智慧营销

-9-

系统等涉及到个人金融信息的信息系统，以及纸质个人金融信息

资料和电子个人金融信息资料，应明确专人的，不应委托第三方

进行处理，不应共享转让，需采取针对性的保护措施，特殊情况

应在不影响其履行反洗钱等法定义务的前提下，经业务主管部门

负责人书面授权；涉及重要性、敏感度较高的个人金融信息需经

分管行长授权后调阅，严格执行分级授权管理制度。

第二十五条个人金融信息资料的调阅、使用、复制、摘抄

等操作执行个人金融信息保护登记备案制度，监管部门和上级主

管部门、各条线部门有规定的从其规定，没有规定的填写《商业

银行金融消费者个人金融信息使用登记备案表》（见附件1）,使

用人应严格按照个人金融信息分级授权管理制度合规操作，实际

情况取得相应业务条线或所在机构负责人的审批。特殊情况按一

事一议报有关分管领导批准。

第二十六条业务发展部应关注、督促各条线个人金融信息

保护工作，严防各类信息泄露风险，对易发生个人金融信息泄露

的环节应进行充分排查或检查。

第二十七条个人金融信息保护相关人员应当按年度一次

性签订《商业银行金融消费者个人金融信息保护安全承诺书》（见

附件2）,并由所在部门妥善保管。

第二十八条个人金融信息保护相关人员在个人金融信息

-10

收集、处理、使用过程中，应利用所学知识和经验主动识别、分

析潜在的风险因素，并及时向上级主管部门报告。

第二十九条个人金融信息保护相关人员或业务相关部门

不得擅自或非法设立个人征信机构。不得不当提供、拒绝提供个

人信用报告。不得散播虚假、错误的个人金融信息。不得利用所

掌握的个人金融信息对相关人员进行信息骚扰。

第三十条本行所有个人金融信息资料保管部门、单位、人

员需采取必要的措施并制定相应应急预案，保证个人金融信息存

储、保存环境的安全，包括防火、防盗及防范其他自然灾害、意

外事故、人为因素等。

第三十一条个人金融信息相关信息、资料保管期满后，由

档案管理部门提出销毁申请，各条线部门核定，分管领导审批，

批准后按规定销毁。如果保管期满的信息、资料中有未结清债权

债务或其他未了事项的，应单独立卷保存，待结清所有未完事项

后才能销毁。

第三十二条业务发展部应至少每半年组织（或督促相关条

线部门组织）一次个人金融信息安全隐患排查或检查。排查或检

查结束后，应出具相应报告或意见，并督促按照规定整改；对损

害金融消费者合法权益的集体或个人给予处理。

-11

第六章信访投诉及处理

第三十三条本行如发生个人金融信息泄露事件或发现有

违反规定对外提供个人金融信息及其他违法违章行为的，应在事

件发生之日或发现违规行为之日起三个工作日内将相关情况及

初步处理意见上报本行金融消费者权益保护工作办公室。

第三十四条本行接到金融消费者关于个人金融信息的信

访投诉后，信访投诉管理部门要对信访投诉事项进行调查核实，

及时给予答复。短时间不能解决的，做好与金融消费者的沟通解

释工作，并及时做好请示汇报。

第三十五条对认定存在违反本办法规定，或存在其他未履

行个人金融信息保护义务的个人或集体，可采取以下处理措施：

（一）根据《农村商业银行员工违规行为处理办法》相关规

定处理；

（二）涉嫌犯罪的，依法移交司法机关处理；

（三）给客户造成损失的，个人或集体应当依规赔偿，并承

担相应的法律责任。

第七章附则

第三十六条本办法由商业银行制定，解释、修改亦同。

12-

第三十七条本办法自印发之日起施行。

-13-

附件1:

商业银行金融消费者个人金融信息

使用登记备案表

日期：年月日编号:

使用文件名

称

使用人联系方式证件

使用目的

使用方法使用时间归还时间

所在单位

意见

文件资料保

管单位意见

授权人意见

备注：本表一式两份，分别由相应管理部门和个人金融信息使用部门留存。

-14-

附件2：

商业银行

金融消费者个人金融信息保护安全承诺书

根据《关于