ⅹⅹ銀行業(yè)金融機(jī)構(gòu)客戶(hù)個(gè)人金融信息保護(hù)工作指引(暫行)

1、XX銀行業(yè)金融機(jī)構(gòu)客戶(hù)個(gè)人金融信息保護(hù)工作指引（暫行）第一章總則第一條為提高XX省銀行業(yè)金融機(jī)構(gòu)客戶(hù)個(gè)人金融信息保護(hù)工作水平，保障銀行業(yè)金融機(jī)構(gòu)各項(xiàng)業(yè)務(wù)的正常開(kāi)展，維護(hù)客戶(hù)個(gè)人金融信息安全，保護(hù)客戶(hù)個(gè)人合法權(quán)益，提升銀行業(yè)社會(huì)形象，根據(jù)中國(guó)人民銀行法、商業(yè)銀行法、個(gè)人存款賬戶(hù)實(shí)名制規(guī)定、個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫(kù)管理暫行辦法等法律、法規(guī)和規(guī)章，以及中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知等政策規(guī)定，制定本指引。第二條本指引所稱(chēng)客戶(hù)個(gè)人金融信息，是指銀行業(yè)金融機(jī)構(gòu)在開(kāi)展業(yè)務(wù)時(shí)，或通過(guò)接入中國(guó)人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的以下個(gè)人信息:（ 1） 個(gè)人身份信

2、息，包括個(gè)人姓名、性別、國(guó)籍、民族、身份證件種類(lèi)號(hào)碼及有效期限、職業(yè)、聯(lián)系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等;（ 2） 個(gè)人財(cái)產(chǎn)信息，包括個(gè)人收入狀況、擁有的不動(dòng)產(chǎn)狀況、擁有的車(chē)輛狀況、納稅額、公積金繳存金額等;（ 3） ）個(gè)人賬戶(hù)信息，包括賬號(hào)、賬戶(hù)開(kāi)立時(shí)間、開(kāi)戶(hù)行、賬戶(hù)余額、賬戶(hù)交易情況等;（ 4） ）個(gè)人信用信息，包括信用卡還款情況、貸款償還情況以及個(gè)人在經(jīng)濟(jì)活動(dòng)中形成的，能夠反映其信用狀況的其他信息;（五）個(gè)人金融交易信息，包括銀行業(yè)金融機(jī)構(gòu)在支付結(jié)算、理財(cái)、保險(xiǎn)箱等中間業(yè)務(wù)過(guò)程中獲取、保存、留存的個(gè)人信息和客戶(hù)在通過(guò)銀行業(yè)金融機(jī)構(gòu)與保險(xiǎn)公司、證券公司、基金公司、期貨

3、公司等第三方機(jī)構(gòu)發(fā)生業(yè)務(wù)關(guān)系時(shí)產(chǎn)生的個(gè)人信息等;（ 6） 衍生信息，包括個(gè)人消費(fèi)習(xí)慣、投資意愿等對(duì)原始信息進(jìn)行處理、分析所形成的反映特定個(gè)人某些情況的信息;（ 七） 開(kāi)展業(yè)務(wù)過(guò)程中獲取、保存、 形成的其他個(gè)人信息。第三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依照有關(guān)法律、法規(guī)、規(guī)章和金融監(jiān)管部門(mén)政策規(guī)定，遵循目的明確、公開(kāi)透明、安全保障、知情同意、責(zé)任落實(shí)等基本原則，依法收集、加工、使用、存儲(chǔ)、傳輸個(gè)人金融信息。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)區(qū)分一般個(gè)人金融信息和敏感個(gè)人金融信息，實(shí)行分類(lèi)區(qū)別保護(hù)。針對(duì)敏感個(gè)人金融信息，應(yīng)實(shí)行更高的權(quán)限管理，采取更嚴(yán)格的管理措施。前款所稱(chēng)敏感個(gè)人金融信息，是指可直接反映特定個(gè)人情況的信息。雖

4、不能直接反映特定個(gè)人情況的一般個(gè)人金融信息，與敏感個(gè)人金融信息同時(shí)出現(xiàn)在同一介質(zhì)，可能對(duì)個(gè)人人身和財(cái)產(chǎn)利益帶來(lái)不利后果時(shí)，應(yīng)視同敏感個(gè)人金融信息管理。第四條本指引適用于在XX省內(nèi)依法設(shè)立的從事金融業(yè)務(wù)的國(guó)有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用社（含農(nóng)村商業(yè)銀行、農(nóng)村合作銀行）、郵政儲(chǔ)蓄銀行等銀行業(yè)金融機(jī)構(gòu)。第二章管理體制和工作制度第五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)高度重視，把個(gè)人金融信息保護(hù)作為依法經(jīng)營(yíng)、風(fēng)險(xiǎn)防范的重要內(nèi)容，納入全面風(fēng)險(xiǎn)防控范疇，建立上下級(jí)機(jī)構(gòu)聯(lián)動(dòng)、同級(jí)各部門(mén)協(xié)調(diào)配合的管理體制和工作機(jī)制。銀行業(yè)法人機(jī)構(gòu)、省級(jí)（區(qū)域）分行應(yīng)當(dāng)履行對(duì)轄區(qū)各級(jí)機(jī)構(gòu)個(gè)人金融信息保護(hù)工作的管理職責(zé)，明

5、確各級(jí)機(jī)構(gòu)在個(gè)人金融信息保護(hù)方面的職責(zé)和工作重點(diǎn)，加強(qiáng)對(duì)下指導(dǎo)、檢查、考核，逐步把個(gè)人金融信息保護(hù)工作納入對(duì)下級(jí)機(jī)構(gòu)的考核內(nèi)容。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)有效整合內(nèi)部資源，完善個(gè)人金融信息保護(hù)內(nèi)部工作機(jī)制，明確風(fēng)險(xiǎn)控制、法律合規(guī)、零售、科技、運(yùn)營(yíng)等相關(guān)部門(mén)工作職責(zé)，并可根據(jù)本機(jī)構(gòu)情況明確牽頭部門(mén)扎口管理個(gè)人金融信息保護(hù)工作。第六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)法律法規(guī)規(guī)章和金融監(jiān)管部門(mén)有關(guān)個(gè)人金融信息保護(hù)政策規(guī)定，完善內(nèi)部工作制度，構(gòu)建相互銜接、相互制約、全面有效的個(gè)人金融信息保護(hù)內(nèi)控制度體系。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立全員性的員工行為準(zhǔn)則、保密規(guī)定等個(gè)人信息保護(hù)工作制度，實(shí)現(xiàn)個(gè)人金融信息保護(hù)有關(guān)工作要求的全員覆

6、蓋。涉密崗位人員離崗離行的，應(yīng)當(dāng)通過(guò)書(shū)面承諾等方式，約定其對(duì)在行在崗期間知曉的個(gè)人金融信息的保密義務(wù)。零售、運(yùn)營(yíng)、科技等相關(guān)部門(mén)應(yīng)當(dāng)對(duì)涉及信息收集、加工、使用、存儲(chǔ)、傳輸?shù)膷徫缓铜h(huán)節(jié)，制定相應(yīng)的條線規(guī)定，將個(gè)人金融信息保護(hù)有關(guān)工作要求貫穿到各個(gè)業(yè)務(wù)環(huán)節(jié)，明確操作規(guī)范，強(qiáng)化責(zé)任。第七條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立個(gè)人金融信息保護(hù)工作的監(jiān)督檢查和責(zé)任追究制度。定期開(kāi)展檢查，強(qiáng)化對(duì)重點(diǎn)環(huán)節(jié)、重點(diǎn)人員的監(jiān)督檢查，形成檢查評(píng)估報(bào)告，并向本單位最高經(jīng)營(yíng)管理層報(bào)告。對(duì)監(jiān)督檢查中發(fā)現(xiàn)的違規(guī)行為應(yīng)當(dāng)進(jìn)行責(zé)任追究，督促落實(shí)整改，確保個(gè)人金融信息保護(hù)各項(xiàng)工作制度有效落實(shí)。第八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立良好、有效的客戶(hù)投訴處

7、理機(jī)制，明確工作流程，確?？蛻?hù)訴求能夠及時(shí)有效處理。第九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)完善個(gè)人金融信息保護(hù)應(yīng)急處理機(jī)制，及時(shí)識(shí)別、分析、評(píng)估潛在的風(fēng)險(xiǎn)因素，制定風(fēng)險(xiǎn)應(yīng)對(duì)策略，采取風(fēng)險(xiǎn)控制措施,監(jiān)控風(fēng)險(xiǎn)變化，對(duì)個(gè)人信息處理過(guò)程中可能出現(xiàn)的泄露、丟失、損壞、篡改、不當(dāng)使用等突發(fā)事件制定應(yīng)急預(yù)案，采取相應(yīng)的預(yù)防和應(yīng)對(duì)措施。第三章流程管理第十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)遵循目的明確、確切需要、客戶(hù)知情同意原則收集個(gè)人金融信息，不得收集與業(yè)務(wù)無(wú)關(guān)的信息，不得在客戶(hù)不知情、未參與的情況下，采取非法、隱蔽、間接方式收集個(gè)人金融信息，法律、法規(guī)和規(guī)章另有規(guī)定的除外。第十一條銀行業(yè)金融機(jī)構(gòu)通過(guò)與客戶(hù)建立業(yè)務(wù)關(guān)系收集個(gè)人金融信息時(shí)

8、，應(yīng)當(dāng)在相對(duì)封閉的環(huán)境中以“一對(duì)一”的方式進(jìn)行，避免在公眾場(chǎng)合將客戶(hù)個(gè)人金融信息暴露給其他人。第十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)履行客戶(hù)身份識(shí)別義務(wù)，準(zhǔn)確錄入客戶(hù)信息，妥善保存客戶(hù)填寫(xiě)資料原始憑證;客戶(hù)資料發(fā)生變動(dòng)時(shí)，應(yīng)及時(shí)進(jìn)行維護(hù)更新，保證收集的各項(xiàng)個(gè)人金融信息準(zhǔn)確、完整。第十三條銀行業(yè)金融機(jī)構(gòu)使用個(gè)人金融信息時(shí)，應(yīng)當(dāng)符合收集該信息的目的;通過(guò)接入中國(guó)人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取的個(gè)人金融信息，應(yīng)當(dāng)嚴(yán)格按照有關(guān)系統(tǒng)規(guī)定的用途使用。不得進(jìn)行以下行為:（ 1） 出售個(gè)人金融信息;（二）向本機(jī)構(gòu)以外的其他機(jī)構(gòu)和個(gè)人等第三方提供個(gè)人金融信息，但為個(gè)人辦理相關(guān)業(yè)務(wù)所必需并經(jīng)個(gè)人書(shū)面授權(quán)或同意的，

9、以及法律法規(guī)和中國(guó)人民銀行另有規(guī)定的除外;（三）其他違法使用個(gè)人金融信息的行為。第十四條銀行業(yè)金融機(jī)構(gòu)利用個(gè)人金融信息進(jìn)行客戶(hù)二次開(kāi)發(fā)、營(yíng)銷(xiāo)金融產(chǎn)品時(shí)，在客戶(hù)明確表示拒絕接受營(yíng)銷(xiāo)的情況下，應(yīng)當(dāng)立即停止利用其個(gè)人金融信息營(yíng)銷(xiāo)。第十五條銀行業(yè)金融機(jī)構(gòu)不得將客戶(hù)授權(quán)或同意其個(gè)人信息用于營(yíng)銷(xiāo)、對(duì)外提供等作為與客戶(hù)建立業(yè)務(wù)關(guān)系的先決條件，但第十六條該業(yè)務(wù)關(guān)系的性質(zhì)決定需要預(yù)先做出相關(guān)授權(quán)或同意的除外。通過(guò)格式條款取得個(gè)人書(shū)面授權(quán)或同意的，應(yīng)當(dāng)在授權(quán)書(shū)或協(xié)議中明確該授權(quán)或同意所適用的向第三方提供個(gè)人金融信息的目的、范圍、具體內(nèi)容，以及客戶(hù)的權(quán)利等。同時(shí)，應(yīng)當(dāng)在協(xié)議的醒目位置使用通俗易懂的語(yǔ)言明確提示該授權(quán)

10、或同意的可能后果，并在客戶(hù)簽署協(xié)議時(shí)提醒其注意上述提示，為客戶(hù)保障其權(quán)利提供必要的信息、途徑和手段。經(jīng)客戶(hù)同意或授權(quán)向第三方提供個(gè)人金融信息時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)明確告知第三方，非經(jīng)客戶(hù)同意，第三方不得將從銀行業(yè)金融機(jī)構(gòu)獲得的個(gè)人金融信息進(jìn)一步提供給其他第三方，法律法規(guī)另有規(guī)定的除外。第十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)推進(jìn)個(gè)人金融信息的集中統(tǒng)一管理，并按最小操作權(quán)限原則，加強(qiáng)核心業(yè)務(wù)系統(tǒng)、客戶(hù)關(guān)系系統(tǒng)等涉及客戶(hù)個(gè)人金融信息的業(yè)務(wù)系統(tǒng)的權(quán)限控制，確保確需涉及個(gè)人金融信息的崗位其權(quán)限與職責(zé)相匹配，防止不相關(guān)部門(mén)、崗位和人員未經(jīng)授權(quán)查詢(xún)、泄露、損毀和篡改個(gè)人金融信息。第十八條辦理業(yè)務(wù)過(guò)程產(chǎn)生的開(kāi)戶(hù)申請(qǐng)書(shū)、業(yè)務(wù)

11、傳票等涉及個(gè)人金融信息的業(yè)務(wù)資料，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)確定專(zhuān)人保管、傳遞，嚴(yán)格限制接觸客戶(hù)信息人員范圍，及時(shí)整理、裝訂、入庫(kù)、歸檔，不得隨意擺放，維護(hù)檔案的安全完整。第十九條因工作需要調(diào)閱個(gè)人金融信息檔案資料時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格履行審批手續(xù)，并留存審批和調(diào)閱記錄，以備追溯。第二十條不須留存、歸檔的個(gè)人金融信息檔案，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)及時(shí)退還客戶(hù)并取得客戶(hù)收妥證明;不需退還且保管期限屆滿(mǎn)的，在符合法律法規(guī)規(guī)章和金融監(jiān)管政策規(guī)定的情況下，應(yīng)當(dāng)及時(shí)銷(xiāo)毀，銷(xiāo)毀過(guò)程應(yīng)全流程監(jiān)控，不得隨意放置、丟棄或作為廢品銷(xiāo)售。銀行業(yè)金融機(jī)構(gòu)可根據(jù)業(yè)務(wù)資料的性質(zhì)，合理確定個(gè)人金融信息檔案資料保管期限。第二十一條銀行

12、業(yè)金融機(jī)構(gòu)要加強(qiáng)離崗離行人員客戶(hù)個(gè)人金融信息資料交接的管理，做到檔案或資料交接全面和徹底，規(guī)范交接監(jiān)督，防止個(gè)人金融信息被私自留存或擅自帶出。第二十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)柜面?zhèn)€人金融信息查詢(xún)管理，規(guī)范查詢(xún)本人、代理查詢(xún)他人賬戶(hù)存款等個(gè)人金融信息的程序，審核對(duì)方有效身份證件或有關(guān)法律文書(shū)，防止個(gè)人金融信息泄露。第二十三條向司法部門(mén)、行政管理部門(mén)及其他有權(quán)機(jī)關(guān)提供涉及個(gè)人金融信息的材料時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的相關(guān)規(guī)定，規(guī)范協(xié)助查詢(xún)手續(xù)，審核對(duì)方真實(shí)身份和有關(guān)法律文書(shū)，切實(shí)保護(hù)客戶(hù)個(gè)人金融信息。第二十四條銀行業(yè)金融機(jī)構(gòu)不得向境外提供在中國(guó)境內(nèi)收集的個(gè)人金融信息，法律法規(guī)及中國(guó)人民銀行

13、另有規(guī)定的除外。引進(jìn)國(guó)外戰(zhàn)略投資者、國(guó)外合作機(jī)構(gòu)時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)個(gè)人金融信息保護(hù)作特別約定。第二十五條銀行業(yè)金融機(jī)構(gòu)通過(guò)外包開(kāi)展業(yè)務(wù)的，應(yīng)當(dāng)全面考察評(píng)估外包服務(wù)供應(yīng)商的資質(zhì)、信譽(yù)等，并將其保護(hù)個(gè)人金融信息的能力作為重要評(píng)估指標(biāo),審慎選擇外包服務(wù)供應(yīng)商第二十六條銀行業(yè)金融機(jī)構(gòu)與外包服務(wù)供應(yīng)商簽訂服務(wù)協(xié)議時(shí)，應(yīng)明確其保護(hù)個(gè)人金融信息的職責(zé)和保密義務(wù)，并采取必要措施保證外包服務(wù)供應(yīng)商履行上述職責(zé)和義務(wù)，明確個(gè)人金融信息泄露的補(bǔ)救手段與責(zé)任追究，確保個(gè)人金融信息安全。第二十七條外包服務(wù)業(yè)務(wù)終止后，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督外包服務(wù)供應(yīng)商及時(shí)銷(xiāo)毀因外包業(yè)務(wù)而獲得的個(gè)人金融信息，銷(xiāo)毀的個(gè)人金融信息在技

14、術(shù)上應(yīng)不可恢復(fù)。與外包服務(wù)供應(yīng)商簽訂的保密協(xié)議（保密條款），應(yīng)當(dāng)明確約定外包服務(wù)供應(yīng)商的保密義務(wù)不因外包服務(wù)的終止而終止。第四章技術(shù)防范第二十八條銀行業(yè)金融機(jī)構(gòu)開(kāi)發(fā)金融業(yè)務(wù)系統(tǒng)，應(yīng)逐步推進(jìn)總行統(tǒng)一開(kāi)發(fā)規(guī)劃、分支機(jī)構(gòu)系統(tǒng)開(kāi)發(fā)分級(jí)授權(quán)審批制度。選擇安全技術(shù)路線、開(kāi)發(fā)產(chǎn)品時(shí)，應(yīng)當(dāng)關(guān)注技術(shù)路線、產(chǎn)品使用的安全性，避免出現(xiàn)片面強(qiáng)調(diào)客戶(hù)體驗(yàn)、忽視風(fēng)險(xiǎn)防范的情形。以外包方式進(jìn)行業(yè)務(wù)系統(tǒng)開(kāi)發(fā)、測(cè)試時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)個(gè)人金融信息進(jìn)行屏蔽、切片等技術(shù)處理。外包方需進(jìn)入重要安全區(qū)域進(jìn)行現(xiàn)場(chǎng)作業(yè)的，應(yīng)履行審批手續(xù)，作業(yè)現(xiàn)場(chǎng)應(yīng)當(dāng)進(jìn)行監(jiān)控，電腦外接插口應(yīng)當(dāng)進(jìn)行特殊處理，防止個(gè)人金融信息被間接泄露和非法使用。銀行業(yè)金

15、融機(jī)構(gòu)開(kāi)發(fā)與人民銀行對(duì)接的系統(tǒng)，應(yīng)當(dāng)提前將系統(tǒng)開(kāi)發(fā)方案報(bào)人民銀行當(dāng)?shù)胤种C(jī)構(gòu)。銀行業(yè)金融機(jī)構(gòu)開(kāi)發(fā)的金融業(yè)務(wù)系統(tǒng)，其前、后臺(tái)均應(yīng)置于境內(nèi)。第二十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過(guò)物理隔離、防火墻、入侵檢測(cè)等方式進(jìn)行嚴(yán)格的訪問(wèn)限制，加強(qiáng)網(wǎng)上銀行接入、合作單位外聯(lián)接入、互聯(lián)網(wǎng)行內(nèi)訪問(wèn)等的技術(shù)防范，做好日常檢測(cè)，定期通過(guò)專(zhuān)業(yè)第三方測(cè)評(píng)等方式開(kāi)展網(wǎng)上銀行、手機(jī)銀行等外聯(lián)業(yè)務(wù)系統(tǒng)的安全認(rèn)證，杜絕外部非法入侵竊取個(gè)人金融信息。第三十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過(guò)分級(jí)授權(quán)、日志記錄、敏感信息屏蔽、關(guān)鍵數(shù)據(jù)加密等手段，加強(qiáng)個(gè)人金融信息的訪問(wèn)控制;應(yīng)當(dāng)通過(guò)封閉專(zhuān)用網(wǎng)絡(luò)、視頻監(jiān)控等方式，加強(qiáng)信息加工環(huán)節(jié)管理，防范信息篡改和流失風(fēng)

16、險(xiǎn);應(yīng)當(dāng)加強(qiáng)電腦設(shè)備外接插口、移動(dòng)存儲(chǔ)介質(zhì)、數(shù)據(jù)下載控制管理，通過(guò)業(yè)務(wù)網(wǎng)和辦公網(wǎng)邏輯或物理隔離、外發(fā)郵件安全審計(jì)等方式，切斷內(nèi)部各類(lèi)信息外泄途徑。第三十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)涉及個(gè)人金融信息的各類(lèi)業(yè)務(wù)系統(tǒng)的安全管理，完善用戶(hù)、口令管理制度，明確管理員用戶(hù)、數(shù)據(jù)上報(bào)用戶(hù)和信息查詢(xún)用戶(hù)的職責(zé)及操作規(guī)程。各類(lèi)用戶(hù)應(yīng)專(zhuān)人專(zhuān)用，不得互相兼任，更不得設(shè)置“公共用戶(hù)”。各類(lèi)用戶(hù)應(yīng)科學(xué)設(shè)置、妥善保管、定期更新用戶(hù)密碼。應(yīng)當(dāng)定期對(duì)各類(lèi)系統(tǒng)用戶(hù)口令控制執(zhí)行情況進(jìn)行檢查，并對(duì)違反規(guī)定的用戶(hù)及時(shí)予以停用。第三十二條以電子信息方式向金融監(jiān)管部門(mén)、司法部門(mén)等外部單位提供涉及個(gè)人金融信息的數(shù)據(jù)時(shí)，應(yīng)當(dāng)通過(guò)特定渠道或?qū)ｉT(mén)

17、系統(tǒng)進(jìn)行報(bào)送;無(wú)特定渠道或?qū)ｉT(mén)系統(tǒng)的，應(yīng)經(jīng)數(shù)據(jù)保管、風(fēng)控、科技等相關(guān)部門(mén)審核，并對(duì)信息進(jìn)行加密等技術(shù)處理，確保個(gè)人金融信息安全。第五章人員管理與教育培訓(xùn)第三十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)強(qiáng)化員工準(zhǔn)入管理，涉及個(gè)人金融信息的核心崗位人員，錄用前應(yīng)加強(qiáng)對(duì)其從業(yè)經(jīng)歷、個(gè)人品行等方面的考察，把好員工準(zhǔn)入關(guān)口。第三十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)外包服務(wù)人員管理，建立外包服務(wù)人員檔案制度。對(duì)外包服務(wù)人員，應(yīng)進(jìn)行必要的宣傳、監(jiān)督和評(píng)審，使其知曉在提供外包服務(wù)中的信息保護(hù)責(zé)任。第三十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)員工教育培訓(xùn)，將個(gè)人金融信息保護(hù)相關(guān)知識(shí)培訓(xùn)納入本機(jī)構(gòu)培訓(xùn)計(jì)劃，圍繞相關(guān)法律法規(guī)和規(guī)章，金融監(jiān)管部門(mén)有關(guān)個(gè)人金

18、融信息保護(hù)相關(guān)規(guī)定，以及本機(jī)構(gòu)員工行為準(zhǔn)則、職業(yè)操守等內(nèi)容，廣泛開(kāi)展教育培訓(xùn)。第三十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)針對(duì)不同對(duì)象，確定不同培訓(xùn)重點(diǎn)和方式，提高培訓(xùn)的實(shí)效性。針對(duì)新員工、涉及個(gè)人金融信息的相關(guān)業(yè)務(wù)經(jīng)辦人員和業(yè)務(wù)系統(tǒng)操作人員等人員，上崗前應(yīng)當(dāng)開(kāi)展含有個(gè)人金融信息規(guī)范收集、使用與保密等內(nèi)容的培訓(xùn)和考試，并規(guī)定相應(yīng)的保密義務(wù)，使員工知曉、認(rèn)真執(zhí)行相關(guān)法律政策規(guī)定，充分認(rèn)識(shí)到個(gè)人金融信息非法泄露和濫用對(duì)本機(jī)構(gòu)及本人帶來(lái)的法律后果，提高風(fēng)險(xiǎn)防范意識(shí)。針對(duì)涉密技術(shù)人員，應(yīng)當(dāng)規(guī)定更為嚴(yán)格的信息安全保密義務(wù)，并加強(qiáng)日常合規(guī)教育培訓(xùn)，從學(xué)習(xí)教育層面引導(dǎo)技術(shù)人員做好崗位履職和安全操作，強(qiáng)化技術(shù)人員信息保護(hù)責(zé)任

19、意識(shí)。第六章監(jiān)督管理第三十七條銀行業(yè)金融機(jī)構(gòu)發(fā)生個(gè)人金融信息泄露事件，或發(fā)現(xiàn)下級(jí)機(jī)構(gòu)有違反個(gè)人金融信息保護(hù)行為的，應(yīng)當(dāng)在事件發(fā)生之日或發(fā)現(xiàn)下級(jí)機(jī)構(gòu)違規(guī)行為之日起7個(gè)工作日內(nèi)將相關(guān)情況及初步處理意見(jiàn)報(bào)告中國(guó)人民銀行當(dāng)?shù)胤种C(jī)構(gòu)，并追究有關(guān)責(zé)任人的責(zé)任;涉嫌犯罪的，應(yīng)及時(shí)移送司法機(jī)關(guān)處理。中國(guó)人民銀行分支機(jī)構(gòu)在收到銀行業(yè)金融機(jī)構(gòu)報(bào)告后，應(yīng)當(dāng)視情況予以處理，并逐級(jí)上報(bào)。第三十八條中國(guó)人民銀行受理投訴、接到銀行業(yè)金融機(jī)構(gòu)泄密事件報(bào)告、發(fā)現(xiàn)銀行業(yè)金融機(jī)構(gòu)可能未履行個(gè)人金融信息保護(hù)義務(wù)的，可依法進(jìn)行核查，認(rèn)定銀行業(yè)金融機(jī)構(gòu)存在違反本指引規(guī)定，或存在其他未履行個(gè)人金融信息保護(hù)義務(wù)情形的，可采取以下處理措施:

20、（一）約見(jiàn)其高管人員談話(huà)，要求說(shuō)明情況;（ 2） 責(zé)令銀行業(yè)金融機(jī)構(gòu)限期整改;（ 3） 在金融系統(tǒng)內(nèi)予以通報(bào);（ 4） ）建議銀行業(yè)金融機(jī)構(gòu)對(duì)直接負(fù)責(zé)的高級(jí)管理人員和其他直接責(zé)任人員依法給予處分;（五）涉嫌犯罪的，依法移交司法機(jī)關(guān)處理。第三十九條銀行業(yè)金融機(jī)構(gòu)違反規(guī)定通過(guò)中國(guó)人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)查詢(xún)或?yàn)E用個(gè)人金融信息的，中國(guó)人民銀行及其地市中心支行以上分支機(jī)構(gòu)可按照本指引第三十八條及其他相關(guān)規(guī)定予以處理。銀行業(yè)金融機(jī)構(gòu)違法情節(jié)嚴(yán)重或拒不改正的，中國(guó)人民銀行可決定暫停其使用，或禁止其新設(shè)分支機(jī)構(gòu)接入上述系統(tǒng)。第七章附則第四十條人民銀行南京分行各分支行可以根據(jù)本指引制訂本轄區(qū)個(gè)人

21、金融信息保護(hù)工作實(shí)施細(xì)則。第四十一條本指引與相關(guān)法律、法規(guī)、規(guī)章等相沖突的，以相關(guān)法律、法規(guī)、規(guī)章為準(zhǔn)。第四十二條本指引由中國(guó)人民銀行南京分行負(fù)責(zé)解釋。第四十三條本指引自印發(fā)之日起施行。江蘇省銀行業(yè)金融機(jī)構(gòu)客戶(hù)個(gè)人金融信息保護(hù)工作指引（暫行）第一章總則第一條為提高江蘇省銀行業(yè)金融機(jī)構(gòu)客戶(hù)個(gè)人金融信息保護(hù)工作水平，保障銀行業(yè)金融機(jī)構(gòu)各項(xiàng)業(yè)務(wù)的正常開(kāi)展，維護(hù)客戶(hù)個(gè)人金融信息安全，保護(hù)客戶(hù)個(gè)人合法權(quán)益，提升銀行業(yè)社會(huì)形象，根據(jù)中國(guó)人民銀行法、商業(yè)銀行法、個(gè)人存款賬戶(hù)實(shí)名制規(guī)定、個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫(kù)管理暫行辦法等法律、法規(guī)和規(guī)章，以及中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知等政策

22、規(guī)定，制定本指引。第二條本指引所稱(chēng)客戶(hù)個(gè)人金融信息，是指銀行業(yè)金融機(jī)構(gòu)在開(kāi)展業(yè)務(wù)時(shí)，或通過(guò)接入中國(guó)人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的以下個(gè)人信息:（一）個(gè)人身份信息，包括個(gè)人姓名、性別、國(guó)籍、民族、身份證件種類(lèi)號(hào)碼及有效期限、職業(yè)、聯(lián)系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等;（二）個(gè)人財(cái)產(chǎn)信息，包括個(gè)人收入狀況、擁有的不動(dòng)產(chǎn)狀況、擁有的車(chē)輛狀況、納稅額、公積金繳存金額等;（三）個(gè)人賬戶(hù)信息，包括賬號(hào)、賬戶(hù)開(kāi)立時(shí)間、開(kāi)戶(hù)行、帶格式的:字體:（默認(rèn)）黑體,（中文）黑體,四號(hào)帶格式的:字體:（默認(rèn)）黑體,（中文）黑體,四號(hào)帶格式的:字體:（默認(rèn)）黑體,（中文）黑體

23、帶格式的:字體:（默認(rèn)）黑體,（中文）黑體帶格式的:字體:（默認(rèn)）黑體,（中文）黑體帶格式的:字體:（默認(rèn)）黑體,（中文）黑體帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符帶格式的:字體:加粗12賬戶(hù)余額、賬戶(hù)交易情況等;（四）個(gè)人信用信息，包括信用卡還款情況、貸款償還情況以及個(gè)人在經(jīng)濟(jì)活動(dòng)中形成的，能夠反映其信用狀況的其他信息;（五）個(gè)人金融交易信息，包括銀行業(yè)金融機(jī)構(gòu)在支付結(jié)算、理財(cái)、保險(xiǎn)箱等中間業(yè)務(wù)過(guò)程中獲取、保存、留存的個(gè)人信息和客戶(hù)在通過(guò)銀行業(yè)金融機(jī)構(gòu)與保險(xiǎn)公司、證券公司、基金公司、期貨公司等第三方機(jī)構(gòu)發(fā)生業(yè)務(wù)關(guān)系時(shí)產(chǎn)生的個(gè)人信息等;（六）衍生信息，包括個(gè)人消費(fèi)習(xí)慣、投資意愿等

24、對(duì)原始信息進(jìn)行處理、分析所形成的反映特定個(gè)人某些情況的信息;（七）開(kāi)展業(yè)務(wù)過(guò)程中獲取、保存、形成的其他個(gè)人信息。第三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依照有關(guān)法律、法規(guī)、規(guī)章和金融監(jiān)管部門(mén)政策規(guī)定，遵循目的明確、公開(kāi)透明、安全保障、知情同意、責(zé)任落實(shí)等基本原則，依法收集、加工、使用、存儲(chǔ)、傳輸個(gè)人金融信息。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)區(qū)分一般個(gè)人金融信息和敏感個(gè)人金融信息，實(shí)行分類(lèi)區(qū)別保護(hù)。針對(duì)敏感個(gè)人金融信息，應(yīng)實(shí)行更高的權(quán)限管理，采取更嚴(yán)格的管理措施。前款所稱(chēng)敏感個(gè)人金融信息，是指可直接反映特定個(gè)人情況的信息。雖不能直接反映特定個(gè)人情況的一般個(gè)人金融信息，與敏感個(gè)人金融信息同時(shí)出現(xiàn)在同一介質(zhì)，可能對(duì)個(gè)人人身和財(cái)產(chǎn)

25、利益帶來(lái)不利后果時(shí)，應(yīng)視同敏感個(gè)人金融信息管理。第四條本指引適用于在江蘇省內(nèi)依法設(shè)立的從事金融業(yè)務(wù)的國(guó)有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符12社（含農(nóng)村商業(yè)銀行、農(nóng)村合作銀行）、郵政儲(chǔ)蓄銀行等銀行業(yè)金融機(jī)構(gòu)。第二章管理體制和工作制度第五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)高度重視，把個(gè)人金融信息保護(hù)作為依法經(jīng)營(yíng)、風(fēng)險(xiǎn)防范的重要內(nèi)容，納入全面風(fēng)險(xiǎn)防控范疇，建立上下級(jí)機(jī)構(gòu)聯(lián)動(dòng)、同級(jí)各部門(mén)協(xié)調(diào)配合的管理體制和工作機(jī)制。銀行業(yè)法人機(jī)構(gòu)、省級(jí)（區(qū)域）分行應(yīng)當(dāng)履行對(duì)轄區(qū)各級(jí)機(jī)構(gòu)個(gè)人金融信息保護(hù)工作的管理職

26、責(zé)，明確各級(jí)機(jī)構(gòu)在個(gè)人金融信息保護(hù)方面的職責(zé)和工作重點(diǎn)，加強(qiáng)對(duì)下指導(dǎo)、檢查、考核，逐步把個(gè)人金融信息保護(hù)工作納入對(duì)下級(jí)機(jī)構(gòu)的考核內(nèi)容。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)有效整合內(nèi)部資源，完善個(gè)人金融信息保護(hù)內(nèi)部工作機(jī)制，明確風(fēng)險(xiǎn)控制、法律合規(guī)、零售、科技、運(yùn)營(yíng)等相關(guān)部門(mén)工作職責(zé)，并可根據(jù)本機(jī)構(gòu)情況明確牽頭部門(mén)扎口管理個(gè)人金融信息保護(hù)工作。第六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)法律法規(guī)規(guī)章和金融監(jiān)管部門(mén)有關(guān)個(gè)人金融信息保護(hù)政策規(guī)定，完善內(nèi)部工作制度，構(gòu)建相互銜接、相互制約、全面有效的個(gè)人金融信息保護(hù)內(nèi)控制度體系。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立全員性的員工行為準(zhǔn)則、保密規(guī)定等個(gè)人信息保護(hù)工作制度，實(shí)現(xiàn)個(gè)人金融信息保護(hù)有關(guān)工作要求的

27、全員覆蓋。涉密崗位人員離崗離行的，應(yīng)當(dāng)通過(guò)書(shū)面承諾等方帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符12式，約定其對(duì)在行在崗期間知曉的個(gè)人金融信息的保密義務(wù)。零售、運(yùn)營(yíng)、科技等相關(guān)部門(mén)應(yīng)當(dāng)對(duì)涉及信息收集、加工、使用、存儲(chǔ)、傳輸?shù)膷徫缓铜h(huán)節(jié)，制定相應(yīng)的條線規(guī)定，將個(gè)人金融信息保護(hù)有關(guān)工作要求貫穿到各個(gè)業(yè)務(wù)環(huán)節(jié)，明確操作規(guī)范，強(qiáng)化責(zé)任。第七條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立個(gè)人金融信息保護(hù)工作的監(jiān)督檢查和責(zé)任追究制度。定期開(kāi)展檢查，強(qiáng)化對(duì)重點(diǎn)環(huán)節(jié)、重點(diǎn)人員的監(jiān)督檢查，形成檢查評(píng)估報(bào)告，并向本單位最高經(jīng)營(yíng)管理層報(bào)告。對(duì)監(jiān)督檢查中發(fā)現(xiàn)的違規(guī)行為應(yīng)當(dāng)進(jìn)行責(zé)

28、任追究，督促落實(shí)整改，確保個(gè)人金融信息保護(hù)各項(xiàng)工作制度有效落實(shí)。第八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立良好、有效的客戶(hù)投訴處理機(jī)制，明確工作流程，確保客戶(hù)訴求能夠及時(shí)有效處理。第九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)完善個(gè)人金融信息保護(hù)應(yīng)急處理機(jī)制，及時(shí)識(shí)別、分析、評(píng)估潛在的風(fēng)險(xiǎn)因素，制定風(fēng)險(xiǎn)應(yīng)對(duì)策略，采取風(fēng)險(xiǎn)控制措施，監(jiān)控風(fēng)險(xiǎn)變化，對(duì)個(gè)人信息處理過(guò)程中可能出現(xiàn)的泄露、丟失、損壞、篡改、不當(dāng)使用等突發(fā)事件制定應(yīng)急預(yù)案，采取相應(yīng)的預(yù)防和應(yīng)對(duì)措施。第三章流程管理第十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)遵循目的明確、確切需要、客戶(hù)知情同意原則收集個(gè)人金融信息，不得收集與業(yè)務(wù)無(wú)關(guān)的信息，不得在客戶(hù)不知情、未參與的情況下，采取非法、隱蔽、間帶格

29、式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符12接方式收集個(gè)人金融信息，法律、法規(guī)和規(guī)章另有規(guī)定的除外。第十一條銀行業(yè)金融機(jī)構(gòu)通過(guò)與客戶(hù)建立業(yè)務(wù)關(guān)系收集個(gè)人金融信息時(shí)，應(yīng)當(dāng)在相對(duì)封閉的環(huán)境中以“一對(duì)一”的方式進(jìn)行，避免在公眾場(chǎng)合將客戶(hù)個(gè)人金融信息暴露給其他人。第十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)履行客戶(hù)身份識(shí)別義務(wù)，準(zhǔn)確錄入客戶(hù)信息，妥善保存客戶(hù)填寫(xiě)資料原始憑證;客戶(hù)資料發(fā)生變動(dòng)時(shí)，應(yīng)及時(shí)進(jìn)行維護(hù)更新，保證收集的各項(xiàng)個(gè)人金融信息準(zhǔn)確、完整。第十三條銀行業(yè)金融機(jī)構(gòu)使用個(gè)人金融信息時(shí)，應(yīng)當(dāng)符合收集該信息的目的;通

30、過(guò)接入中國(guó)人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取的個(gè)人金融信息，應(yīng)當(dāng)嚴(yán)格按照有關(guān)系統(tǒng)規(guī)定的用途使用。不得進(jìn)行以下行為:（一）出售個(gè)人金融信息;（二）向本機(jī)構(gòu)以外的其他機(jī)構(gòu)和個(gè)人等第三方提供個(gè)人金融信息，但為個(gè)人辦理相關(guān)業(yè)務(wù)所必需并經(jīng)個(gè)人書(shū)面授權(quán)或同意的，以及法律法規(guī)和中國(guó)人民銀行另有規(guī)定的除外;（三）其他違法使用個(gè)人金融信息的行為。第十四條銀行業(yè)金融機(jī)構(gòu)利用個(gè)人金融信息進(jìn)行客戶(hù)二次開(kāi)發(fā)、營(yíng)銷(xiāo)金融產(chǎn)品時(shí)，在客戶(hù)明確表示拒絕接受營(yíng)銷(xiāo)的情況下， 應(yīng)當(dāng)立即停止利用其個(gè)人金融信息營(yíng)銷(xiāo)。第十五條銀行業(yè)金融機(jī)構(gòu)不得將客戶(hù)授權(quán)或同意其個(gè)人信息用于營(yíng)銷(xiāo)、對(duì)外提供等作為與客戶(hù)建立業(yè)務(wù)關(guān)系的先決條件，但該業(yè)務(wù)關(guān)

31、系的性質(zhì)決定需要預(yù)先做出相關(guān)授權(quán)或同意的除外。帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符帶格式的:字體:加粗12第十六條通過(guò)格式條款取得個(gè)人書(shū)面授權(quán)或同意的，應(yīng)當(dāng)在授權(quán)書(shū)或協(xié)議中明確該授權(quán)或同意所適用的向第三方提供個(gè)人金融信息的目的、范圍、具體內(nèi)容，以及客戶(hù)的權(quán)利等。同時(shí)，應(yīng)當(dāng)在協(xié)議的醒目位置使用通俗易懂的語(yǔ)言明確提示該授權(quán)或同意的可能后果，并在客戶(hù)簽署協(xié)議時(shí)提醒其注意上述提示，為客戶(hù)保障其權(quán)利提供必要的信息、途徑和手段。經(jīng)客戶(hù)同意或授權(quán)向第三方提供個(gè)人金融信息時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)明確告知第三方，非經(jīng)客戶(hù)同意，第三方不得將

32、從銀行業(yè)金融機(jī)構(gòu)獲得的個(gè)人金融信息進(jìn)一步提供給其他第三方，法律法規(guī)另有規(guī)定的除外。第十七條銀行業(yè)并按最小操作權(quán)限原金融機(jī)構(gòu)應(yīng)推進(jìn)個(gè)人金融信息的集中統(tǒng)一管理，則，加強(qiáng)核心業(yè)務(wù)系統(tǒng)、客戶(hù)關(guān)系系統(tǒng)等涉及客戶(hù)個(gè)人金融信息的業(yè)務(wù)系統(tǒng)的權(quán)限控制，確保確需涉及個(gè)人金融信息的崗位其權(quán)限與職責(zé)相匹配，防止不相關(guān)部門(mén)、崗位和人員未經(jīng)授權(quán)查詢(xún)、泄露、損毀和篡改個(gè)人金融信息。第十八條辦理業(yè)務(wù)過(guò)程產(chǎn)生的開(kāi)戶(hù)申請(qǐng)書(shū)、業(yè)務(wù)傳票等涉及個(gè)人金融信息的業(yè)務(wù)資料，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)確定專(zhuān)人保管、傳遞，嚴(yán)格限制接觸客戶(hù)信息人員范圍，及時(shí)整理、裝訂、入庫(kù)、歸檔，不得隨意擺放，維護(hù)檔案的安全完整。第十九條因工作需要調(diào)閱個(gè)人金融信息檔案資

33、料時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格履行審批手續(xù)，并留存審批和調(diào)閱記錄，以備追溯。第二十條不須留存、歸檔的個(gè)人金融信息檔案，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)及時(shí)退還客戶(hù)并取得客戶(hù)收妥證明;不需退還且保管帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:字體:加粗12期限屆滿(mǎn)的，在符合法律法規(guī)規(guī)章和金融監(jiān)管政策規(guī)定的情況下，應(yīng)當(dāng)及時(shí)銷(xiāo)毀，銷(xiāo)毀過(guò)程應(yīng)全流程監(jiān)控，不得隨意放置、丟棄或作為廢品銷(xiāo)售。銀行業(yè)金融機(jī)構(gòu)可根據(jù)業(yè)務(wù)資料的性質(zhì)，合理確定個(gè)人金融信息檔案資料保管期限。第二十一條銀行業(yè)金融機(jī)構(gòu)要加強(qiáng)離崗離行人員客戶(hù)個(gè)人金融信息資料交接的管理，做到檔案

34、或資料交接全面和徹底，規(guī)范交接監(jiān)督，防止個(gè)人金融信息被私自留存或擅自帶出。第二十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)柜面?zhèn)€人金融信息查詢(xún)管理，規(guī)范查詢(xún)本人、代理查詢(xún)他人賬戶(hù)存款等個(gè)人金融信息的程序，審核對(duì)方有效身份證件或有關(guān)法律文書(shū)，防止個(gè)人金融信息泄露。第二十三條向司法部門(mén)、行政管理部門(mén)及其他有權(quán)機(jī)關(guān)提供涉及個(gè)人金融信息的材料時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的相關(guān)規(guī)定，規(guī)范協(xié)助查詢(xún)手續(xù)，審核對(duì)方真實(shí)身份和有關(guān)法律文書(shū)，切實(shí)保護(hù)客戶(hù)個(gè)人金融信息。第二十四條銀行業(yè)金融機(jī)構(gòu)不得向境外提供在中國(guó)境內(nèi)收集的個(gè)人金融信息，法律法規(guī)及中國(guó)人民銀行另有規(guī)定的除外。引進(jìn)國(guó)外戰(zhàn)略投資者、國(guó)外合作機(jī)構(gòu)時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)

35、當(dāng)對(duì)個(gè)人金融信息保護(hù)作特別約定。第二十五條銀行業(yè)金融機(jī)構(gòu)通過(guò)外包開(kāi)展業(yè)務(wù)的，應(yīng)當(dāng)全面考察評(píng)估外包服務(wù)供應(yīng)商的資質(zhì)、信譽(yù)等，并將其保護(hù)個(gè)人金融信息的能力作為重要評(píng)估指標(biāo)，審慎選擇外包服務(wù)供應(yīng)商。第二十六條銀行業(yè)金融機(jī)構(gòu)與外包服務(wù)供應(yīng)商簽訂服務(wù)帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符帶格式的:字體:加粗12協(xié)議時(shí)，應(yīng)明確其保護(hù)個(gè)人金融信息的職責(zé)和保密義務(wù)，并采取必要措施保證外包服務(wù)供應(yīng)商履行上述職責(zé)和義務(wù)，明確個(gè)人金融信息泄露的補(bǔ)救手段與責(zé)任追究，確保個(gè)人金融信息安全。第二十

36、七條外包服務(wù)業(yè)務(wù)終止后，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督外包服務(wù)供應(yīng)商及時(shí)銷(xiāo)毀因外包業(yè)務(wù)而獲得的個(gè)人金融信息，銷(xiāo)毀的個(gè)人金融信息在技術(shù)上應(yīng)不可恢復(fù)。與外包服務(wù)供應(yīng)商簽訂的保密協(xié)議（保密條款），應(yīng)當(dāng)明確約定外包服務(wù)供應(yīng)商的保密義務(wù)不因外包服務(wù)的終止而終止。第四章技術(shù)防范第二十八條銀行業(yè)金融機(jī)構(gòu)開(kāi)發(fā)金融業(yè)務(wù)系統(tǒng)，應(yīng)逐步推進(jìn)總行統(tǒng)一開(kāi)發(fā)規(guī)劃、分支機(jī)構(gòu)系統(tǒng)開(kāi)發(fā)分級(jí)授權(quán)審批制度。選擇安全技術(shù)路線、開(kāi)發(fā)產(chǎn)品時(shí)，應(yīng)當(dāng)關(guān)注技術(shù)路線、產(chǎn)品使用的安全性，避免出現(xiàn)片面強(qiáng)調(diào)客戶(hù)體驗(yàn)、忽視風(fēng)險(xiǎn)防范的情形。以外包方式進(jìn)行業(yè)務(wù)系統(tǒng)開(kāi)發(fā)、測(cè)試時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)個(gè)人金融信息進(jìn)行屏蔽、切片等技術(shù)處理。外包方需進(jìn)入重要安全區(qū)域進(jìn)行現(xiàn)場(chǎng)

37、作業(yè)的，應(yīng)履行審批手續(xù)，作業(yè)現(xiàn)場(chǎng)應(yīng)當(dāng)進(jìn)行監(jiān)控，電腦外接插口應(yīng)當(dāng)進(jìn)行特殊處理，防止個(gè)人金融信息被間接泄露和非法使用。銀行業(yè)金融機(jī)構(gòu)開(kāi)發(fā)與人民銀行對(duì)接的系統(tǒng)，應(yīng)當(dāng)提前將系統(tǒng)開(kāi)發(fā)方案報(bào)人民銀行當(dāng)?shù)胤种C(jī)構(gòu)。銀行業(yè)金融機(jī)構(gòu)開(kāi)發(fā)的金融業(yè)務(wù)系統(tǒng)，其前、后臺(tái)均應(yīng)置于境內(nèi)。帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符12第二十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過(guò)物理隔離、防火墻、入侵檢測(cè)等方式進(jìn)行嚴(yán)格的訪問(wèn)限制，加強(qiáng)網(wǎng)上銀行接入、合作單位外聯(lián)接入、互聯(lián)網(wǎng)行內(nèi)訪問(wèn)等的技術(shù)防范，做好日常檢測(cè)，定期通過(guò)專(zhuān)業(yè)第三方測(cè)評(píng)等方式開(kāi)展網(wǎng)上銀行、手機(jī)銀行等外聯(lián)業(yè)務(wù)系統(tǒng)的安全認(rèn)證，杜絕外部非法入侵竊取個(gè)人金融

38、信息。第三十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過(guò)分級(jí)授權(quán)、日志記錄、敏感信息屏蔽、關(guān)鍵數(shù)據(jù)加密等手段，加強(qiáng)個(gè)人金融信息的訪問(wèn)控制;應(yīng)當(dāng)通過(guò)封閉專(zhuān)用網(wǎng)絡(luò)、視頻監(jiān)控等方式，加強(qiáng)信息加工環(huán)節(jié)管理，防范信息篡改和流失風(fēng)險(xiǎn);應(yīng)當(dāng)加強(qiáng)電腦設(shè)備外接插口、移動(dòng)存儲(chǔ)介質(zhì)、數(shù)據(jù)下載控制管理，通過(guò)業(yè)務(wù)網(wǎng)和辦公網(wǎng)邏輯或物理隔離、外發(fā)郵件安全審計(jì)等方式，切斷內(nèi)部各類(lèi)信息外泄途徑。第三十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)涉及個(gè)人金融信息的各類(lèi)業(yè)務(wù)系統(tǒng)的安全管理，完善用戶(hù)、口令管理制度，明確管理員用戶(hù)、數(shù)據(jù)上報(bào)用戶(hù)和信息查詢(xún)用戶(hù)的職責(zé)及操作規(guī)程。各類(lèi)用戶(hù)應(yīng)專(zhuān)人專(zhuān)用，不得互相兼任，更不得設(shè)置“公共用戶(hù)”。各類(lèi)用戶(hù)應(yīng)科學(xué)設(shè)置、妥善保管、定期更新用

39、戶(hù)密碼。應(yīng)當(dāng)定期對(duì)各類(lèi)系統(tǒng)用戶(hù)口令控制執(zhí)行情況進(jìn)行檢查，并對(duì)違反規(guī)定的用戶(hù)及時(shí)予以停用。第三十二條以電子信息方式向金融監(jiān)管部門(mén)、司法部門(mén)等外部單位提供涉及個(gè)人金融信息的數(shù)據(jù)時(shí)，應(yīng)當(dāng)通過(guò)特定渠道或?qū)ｉT(mén)系統(tǒng)進(jìn)行報(bào)送;無(wú)特定渠道或?qū)ｉT(mén)系統(tǒng)的，應(yīng)經(jīng)數(shù)據(jù)保管、風(fēng)控、科技等相關(guān)部門(mén)審核，并對(duì)信息進(jìn)行加密等技術(shù)處理，確保個(gè)人金融信息安全。帶格式的:字體:加粗帶格式的:縮進(jìn):首行縮進(jìn):2字符帶格式的:字體:加粗帶格式的:字體:加粗帶格式的:字體:加粗12第五章人員管理與教育培訓(xùn)第三十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)強(qiáng)化員工準(zhǔn)入管理，涉及個(gè)人金融信息的核心崗位人員，錄用前應(yīng)加強(qiáng)對(duì)其從業(yè)經(jīng)歷、個(gè)人品行等方面的考察，把好員工準(zhǔn)入關(guān)口。第三十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)外包服務(wù)人員管理，建立外包