金融机构客户信息管理办法

金融机构客户信息管理办法一、总则（一）制定目的为规范金融机构客户信息管理行为，保护客户信息安全与合法权益，维护金融市场秩序，依据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国商业银行法》等法律法规，结合金融行业业务特点，制定本办法。（二）适用范围本办法适用于依法设立的银行业金融机构、证券业金融机构、保险业金融机构、信托公司、金融租赁公司等（以下统称“金融机构”）在开展业务活动中，对自然人客户（以下简称“个人客户”）和非自然人客户（含企业、事业单位、社会团体等，以下简称“机构客户”）信息的采集、存储、使用、共享、传输、销毁等全生命周期管理活动。（三）管理原则1.合法合规原则：客户信息管理活动需严格遵守国家法律法规、监管要求及行业规范，确保每一项操作均有合法依据或客户有效授权。2.最小必要原则：采集、使用客户信息以业务开展的“必要、合理”为限，不采集与业务无关的信息，不超出授权范围使用信息。3.知情同意原则：采集个人客户信息前，需以清晰、易懂的方式告知信息处理的目的、范围、方式及权利义务，获得客户明示同意；机构客户信息的采集需遵循其内部授权流程或法律规定。4.安全保密原则：建立全流程安全管控机制，采取技术与管理措施防止客户信息泄露、篡改、丢失，确保信息处于安全可控状态。5.权责统一原则：明确各部门、岗位在客户信息管理中的权责，确保“谁管理、谁负责，谁使用、谁担责”。二、客户信息分类与范围（一）个人客户信息包括但不限于：身份信息：姓名、身份证件类型及号码、出生日期、性别、民族、户籍地址、居住地址、联系电话等；账户信息：账户类型、账号、开户行、账户余额、交易限额等；交易信息：交易对手、交易金额、交易时间、交易用途、资金来源与去向等；生物识别信息：指纹、声纹、面部特征等用于身份验证的生物特征数据；其他信息：职业、收入、资产状况、信用记录、风险偏好等与金融服务相关的个人信息。（二）机构客户信息包括但不限于：基本信息：名称、统一社会信用代码、注册地址、法定代表人、经营范围等；账户与交易信息：账户开立情况、资金往来、交易对手、融资需求、财务报表等；经营管理信息：股权结构、内部治理、关联交易、行业风险特征等。三、客户信息采集管理（一）采集依据1.基于金融机构依法开展的业务需要（如开户、贷款审批、理财服务等）；2.获得客户（或其合法授权代表）的明确同意；3.法律法规规定的其他情形（如反洗钱调查、司法机关依法调取等）。（二）采集要求1.告知义务：采集前以书面（含电子协议）、口头说明等方式向客户告知：信息采集的目的（如身份核验、风险评估、服务提供等）；采集的信息范围、类型；信息的使用方式、共享范围（如有）；客户的权利（如查询、更正、删除信息的途径）。2.禁止性规定：不得强制或变相强制客户提供与业务无关的信息；不得通过欺诈、误导等方式获取客户同意；不得以“默认勾选”“捆绑授权”等形式规避客户的明示同意。四、客户信息存储管理（一）存储方式1.金融机构应采用符合国家信息安全等级保护要求的存储系统（如本地服务器、合规云平台），确保存储环境的安全性、稳定性；2.对敏感信息（如个人客户身份证号、银行卡号、生物识别信息）需进行加密存储（如采用国密算法），并与非敏感信息分层管理。（二）存储期限1.个人客户信息的存储期限应遵循《个人信息保护法》及监管要求，原则上不超过业务存续期及法定留存期；客户注销账户后，非必要信息应及时删除。2.机构客户信息的存储期限应结合业务合同约定、审计要求及监管规定确定，确保可追溯、可核查。（三）存储安全管理1.建立访问控制机制，仅授权必要岗位人员访问客户信息，操作需记录日志（含访问时间、人员、操作内容）；2.定期对存储系统进行安全检测（如漏洞扫描、渗透测试），及时修复安全隐患；3.制定数据备份策略，确保信息在意外丢失、损坏时可恢复。五、客户信息使用管理1.仅限与业务相关的岗位（如客户经理、风控人员、运营人员）在授权范围内使用，使用前需确认信息的准确性、完整性；2.禁止将客户信息用于营销、推广等未经客户同意的活动（法律法规另有规定或客户明确授权的除外）；3.建立使用台账，记录信息使用的时间、人员、用途，便于追溯与审计。（二）外部使用1.向合作方提供：需与合作方签订《客户信息安全保障协议》，明确信息使用范围、保密义务、违约责任；要求合作方具备相应的信息安全管理能力，定期开展合规性评估；个人客户信息的对外提供需再次获得客户单独授权（法律法规另有规定的除外）。2.向监管/司法机关提供：依据法律法规或监管要求，配合提供客户信息，需留存相关法律文书或监管文件；提供的信息范围以要求的“最小必要”为限，不得超范围提供。六、客户信息共享管理（一）同业共享1.涉及征信信息、反洗钱信息等依法需共享的内容，严格按照《征信业管理条例》《反洗钱法》等规定执行，确保共享流程合规、信息准确；2.非法定共享的同业信息交流，需获得客户明确授权，且仅用于业务协同（如银团贷款、联合风控等）。（二）集团内共享金融机构集团内部（如母、子公司）共享客户信息时，需：1.向客户告知共享的主体、范围、目的，获得客户授权；2.建立集团内信息安全管理标准，确保各主体的信息管理水平一致；3.禁止利用集团优势强制客户授权信息共享。（三）第三方共享向外部第三方（非金融机构、非监管/司法机关）共享客户信息时，需：1.履行严格的内部审批流程（如合规部门审核、高管层审批）；2.获得客户的书面授权，明确共享的信息类型、用途、第三方责任；3.对第三方的信息使用情况进行监督，发现违规行为立即终止合作并追究责任。七、安全保障与应急处置（一）技术保障措施1.部署防火墙、入侵检测系统（IDS）、数据防泄漏（DLP）等安全设备，防范外部攻击；2.对客户信息传输过程进行加密（如采用TLS协议），防止传输中被窃取；3.建立数据脱敏机制，对非必要场景下的客户信息进行脱敏处理（如隐藏身份证号后6位、银行卡号中间8位）。（二）管理保障措施1.制定《客户信息安全管理制度》，明确各部门的安全职责，定期开展全员信息安全培训；2.对接触客户信息的岗位人员进行背景审查，签订《保密协议》；3.定期开展客户信息安全审计，检查制度执行情况、系统安全状况，形成审计报告并整改。（三）应急处置1.制定《客户信息安全应急预案》，明确数据泄露、系统故障等事件的处置流程；2.发生信息安全事件后，立即启动应急预案，采取技术措施止损（如切断攻击源、恢复备份数据）；3.及时向监管部门报告事件情况（按监管要求的时限、方式），并向受影响客户告知事件详情、补救措施（如信用修复、身份验证重置）。八、监督与问责（一）内部监督1.合规管理部门定期对客户信息管理活动进行合规检查，重点核查采集、使用、共享的合法性，安全措施的有效性；2.内部审计部门每年度开展客户信息管理专项审计，审计结果向董事会、监事会报告。（二）外部监督1.接受中国人民银行、银保监会、证监会等监管部门的监督检查，按要求提供管理文档、系统日志等资料；2.设立客户投诉渠道（如客服热线、线上反馈平台），及时处理客户关于信息管理的投诉，在15个工作日内回复处理结果。（三）违规问责1.对违反本办法的内部人员，视情节轻重给予警告、记过、降职、开除等处分，涉嫌犯罪的移交司法机关；2.因违规管理客户信息给客户造成损失的，依法承担赔偿责任；3.金