銀行業(yè)金融機(jī)構(gòu)客戶個(gè)人金融信息保護(hù)工作指引

銀行業(yè)金融機(jī)構(gòu)客戶個(gè)人金融信息保護(hù)工作指引(暫行)第一章總則第一條為提高ⅩⅩ省銀行業(yè)金融機(jī)構(gòu)客戶個(gè)人金融信息保護(hù)工作水平，保障銀行業(yè)金融機(jī)構(gòu)各項(xiàng)業(yè)務(wù)的正常開展，維護(hù)客戶個(gè)人金融信息安全，保護(hù)客戶個(gè)人合法權(quán)益，提升銀行業(yè)社會(huì)形象，根據(jù)《中國人民銀行法》、《商業(yè)銀行法》、《個(gè)人存款賬戶實(shí)名制規(guī)定》、《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》等法律、法規(guī)和規(guī)章，以及《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》等政策規(guī)定，制定本指引。第二條本指引所稱客戶個(gè)人金融信息，是指銀行業(yè)金融機(jī)構(gòu)在開展業(yè)務(wù)時(shí)，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的以下個(gè)人信息:(一)個(gè)人身份信息，包括個(gè)人姓名、性別、國籍、民族、身份證件種類號(hào)碼及有效期限、職業(yè)、聯(lián)系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等;(二)個(gè)人財(cái)產(chǎn)信息，包括個(gè)人收入狀況、擁有的不動(dòng)產(chǎn)狀況、擁有的車輛狀況、納稅額、公積金繳存金額等;(三)個(gè)人賬戶信息，包括賬號(hào)、賬戶開立時(shí)間、開戶行、賬戶余額、賬戶交易情況等;(四)個(gè)人信用信息，包括信用卡還款情況、貸款償還情況以及個(gè)人在經(jīng)濟(jì)活動(dòng)中形成的，能夠反映其信用狀況的其他信息;(五)個(gè)人金融交易信息，包括銀行業(yè)金融機(jī)構(gòu)在支付結(jié)算、理財(cái)、保險(xiǎn)箱等中間業(yè)務(wù)過程中獲取、保存、留存的個(gè)人信息和客戶在通過銀行業(yè)金融機(jī)構(gòu)與保險(xiǎn)公司、證券公司、基金公司、期貨公司等第三方機(jī)構(gòu)發(fā)生業(yè)務(wù)關(guān)系時(shí)產(chǎn)生的個(gè)人信息等;(六)衍生信息，包括個(gè)人消費(fèi)習(xí)慣、投資意愿等對(duì)原始信息進(jìn)行處理、分析所形成的反映特定個(gè)人某些情況的信息;(七)開展業(yè)務(wù)過程中獲取、保存、形成的其他個(gè)人信息。第三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依照有關(guān)法律、法規(guī)、規(guī)章和金融監(jiān)管部門政策規(guī)定，遵循目的明確、公開透明、安全保障、知情同意、責(zé)任落實(shí)等基本原則，依法收集、加工、使用、存儲(chǔ)、傳輸個(gè)人金融信息。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)區(qū)分一般個(gè)人金融信息和敏感個(gè)人金融信息，實(shí)行分類區(qū)別保護(hù)。針對(duì)敏感個(gè)人金融信息，應(yīng)實(shí)行更高的權(quán)限管理，采取更嚴(yán)格的管理措施。前款所稱敏感個(gè)人金融信息，是指可直接反映特定個(gè)人情況的信息。雖不能直接反映特定個(gè)人情況的一般個(gè)人金融信息，與敏感個(gè)人金融信息同時(shí)出現(xiàn)在同一介質(zhì)，可能對(duì)個(gè)人人身和財(cái)產(chǎn)利益帶來不利后果時(shí)，應(yīng)視同敏感個(gè)人金融信息管理。第四條本指引適用于在ⅩⅩ省內(nèi)依法設(shè)立的從事金融業(yè)務(wù)的國有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用社(含農(nóng)村商業(yè)銀行、農(nóng)村合作銀行)、郵政儲(chǔ)蓄銀行等銀行業(yè)金融機(jī)構(gòu)。第二章管理體制和工作制度第五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)高度重視，把個(gè)人金融信息保護(hù)作為依法經(jīng)營、風(fēng)險(xiǎn)防范的重要內(nèi)容，納入全面風(fēng)險(xiǎn)防控范疇，建立上下級(jí)機(jī)構(gòu)聯(lián)動(dòng)、同級(jí)各部門協(xié)調(diào)配合的管理體制和工作機(jī)制。銀行業(yè)法人機(jī)構(gòu)、省級(jí)(區(qū)域)分行應(yīng)當(dāng)履行對(duì)轄區(qū)各級(jí)機(jī)構(gòu)個(gè)人金融信息保護(hù)工作的管理職責(zé)，明確各級(jí)機(jī)構(gòu)在個(gè)人金融信息保護(hù)方面的職責(zé)和工作重點(diǎn)，加強(qiáng)對(duì)下指導(dǎo)、檢查、考核，逐步把個(gè)人金融信息保護(hù)工作納入對(duì)下級(jí)機(jī)構(gòu)的考核內(nèi)容。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)有效整合內(nèi)部資源，完善個(gè)人金融信息保護(hù)內(nèi)部工作機(jī)制，明確風(fēng)險(xiǎn)控制、法律合規(guī)、零售、科技、運(yùn)營等相關(guān)部門工作職責(zé)，并可根據(jù)本機(jī)構(gòu)情況明確牽頭部門扎口管理個(gè)人金融信息保護(hù)工作。第六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)法律法規(guī)規(guī)章和金融監(jiān)管部門有關(guān)個(gè)人金融信息保護(hù)政策規(guī)定，完善內(nèi)部工作制度，構(gòu)建相互銜接、相互制約、全面有效的個(gè)人金融信息保護(hù)內(nèi)控制度體系。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立全員性的員工行為準(zhǔn)則、保密規(guī)定等個(gè)人信息保護(hù)工作制度，實(shí)現(xiàn)個(gè)人金融信息保護(hù)有關(guān)工作要求的全員覆蓋。涉密崗位人員離崗離行的，應(yīng)當(dāng)通過書面承諾等方式，約定其對(duì)在行在崗期間知曉的個(gè)人金融信息的保密義務(wù)。零售、運(yùn)營、科技等相關(guān)部門應(yīng)當(dāng)對(duì)涉及信息收集、加工、使用、存儲(chǔ)、傳輸?shù)膷徫缓铜h(huán)節(jié)，制定相應(yīng)的條線規(guī)定，將個(gè)人金融信息保護(hù)有關(guān)工作要求貫穿到各個(gè)業(yè)務(wù)環(huán)節(jié)，明確操作規(guī)范，強(qiáng)化責(zé)任。第七條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立個(gè)人金融信息保護(hù)工作的監(jiān)督檢查和責(zé)任追究制度。定期開展檢查，強(qiáng)化對(duì)重點(diǎn)環(huán)節(jié)、重點(diǎn)人員的監(jiān)督檢查，形成檢查評(píng)估報(bào)告，并向本單位最高經(jīng)營管理層報(bào)告。對(duì)監(jiān)督檢查中發(fā)現(xiàn)的違規(guī)行為應(yīng)當(dāng)進(jìn)行責(zé)任追究，督促落實(shí)整改，確保個(gè)人金融信息保護(hù)各項(xiàng)工作制度有效落實(shí)。第八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立良好、有效的客戶投訴處理機(jī)制，明確工作流程，確?？蛻粼V求能夠及時(shí)有效處理。第九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)完善個(gè)人金融信息保護(hù)應(yīng)急處理機(jī)制，及時(shí)識(shí)別、分析、評(píng)估潛在的風(fēng)險(xiǎn)因素，制定風(fēng)險(xiǎn)應(yīng)對(duì)策略，采取風(fēng)險(xiǎn)控制措施，監(jiān)控風(fēng)險(xiǎn)變化，對(duì)個(gè)人信息處理過程中可能出現(xiàn)的泄露、丟失、損壞、篡改、不當(dāng)使用等突發(fā)事件制定應(yīng)急預(yù)案，采取相應(yīng)的預(yù)防和應(yīng)對(duì)措施。第三章流程管理第十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)遵循目的明確、確切需要、客戶知情同意原則收集個(gè)人金融信息，不得收集與業(yè)務(wù)無關(guān)的信息，不得在客戶不知情、未參與的情況下，采取非法、隱蔽、間接方式收集個(gè)人金融信息，法律、法規(guī)和規(guī)章另有規(guī)定的除外。第十一條銀行業(yè)金融機(jī)構(gòu)通過與客戶建立業(yè)務(wù)關(guān)系收集個(gè)人金融信息時(shí)，應(yīng)當(dāng)在相對(duì)封閉的環(huán)境中以“一對(duì)一”的方式進(jìn)行，避免在公眾場合將客戶個(gè)人金融信息暴露給其他人。第十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)履行客戶身份識(shí)別義務(wù)，準(zhǔn)確錄入客戶信息，妥善保存客戶填寫資料原始憑證;客戶資料發(fā)生變動(dòng)時(shí)，應(yīng)及時(shí)進(jìn)行維護(hù)更新，保證收集的各項(xiàng)個(gè)人金融信息準(zhǔn)確、完整。第十三條銀行業(yè)金融機(jī)構(gòu)使用個(gè)人金融信息時(shí)，應(yīng)當(dāng)符合收集該信息的目的;通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取的個(gè)人金融信息，應(yīng)當(dāng)嚴(yán)格按照有關(guān)系統(tǒng)規(guī)定的用途使用。不得進(jìn)行以下行為:(一)出售個(gè)人金融信息;(二)向本機(jī)構(gòu)以外的其他機(jī)構(gòu)和個(gè)人等第三方提供個(gè)人金融信息，但為個(gè)人辦理相關(guān)業(yè)務(wù)所必需并經(jīng)個(gè)人書面授權(quán)或同意的，以及法律法規(guī)和中國人民銀行另有規(guī)定的除外;(三)其他違法使用個(gè)人金融信息的行為。第十四條銀行業(yè)金融機(jī)構(gòu)利用個(gè)人金融信息進(jìn)行客戶二次開發(fā)、營銷金融產(chǎn)品時(shí)，在客戶明確表示拒絕接受營銷的情況下，應(yīng)當(dāng)立即停止利用其個(gè)人金融信息營銷。第十五條銀行業(yè)金融機(jī)構(gòu)不得將客戶授權(quán)或同意其個(gè)人信息用于營銷、對(duì)外提供等作為與客戶建立業(yè)務(wù)關(guān)系的先決條件，但該業(yè)務(wù)關(guān)系的性質(zhì)決定需要預(yù)先做出相關(guān)授權(quán)或同意的除外。第十六條通過格式條款取得個(gè)人書面授權(quán)或同意的，應(yīng)當(dāng)在授權(quán)書或協(xié)議中明確該授權(quán)或同意所適用的向第三方提供個(gè)人金融信息的目的、范圍、具體內(nèi)容，以及客戶的權(quán)利等。同時(shí)，應(yīng)當(dāng)在協(xié)議的醒目位置使用通俗易懂的語言明確提示該授權(quán)或同意的可能后果，并在客戶簽署協(xié)議時(shí)提醒其注意上述提示，為客戶保障其權(quán)利提供必要的信息、途徑和手段。經(jīng)客戶同意或授權(quán)向第三方提供個(gè)人金融信息時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)明確告知第三方，非經(jīng)客戶同意，第三方不得將從銀行業(yè)金融機(jī)構(gòu)獲得的個(gè)人金融信息進(jìn)一步提供給其他第三方，法律法規(guī)另有規(guī)定的除外。第十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)推進(jìn)個(gè)人金融信息的集中統(tǒng)一管理，并按最小操作權(quán)限原則，加強(qiáng)核心業(yè)務(wù)系統(tǒng)、客戶關(guān)系系統(tǒng)等涉及客戶個(gè)人金融信息的業(yè)務(wù)系統(tǒng)的權(quán)限控制，確保確需涉及個(gè)人金融信息的崗位其權(quán)限與職責(zé)相匹配，防止不相關(guān)部門、崗位和人員未經(jīng)授權(quán)查詢、泄露、損毀和篡改個(gè)人金融信息。第十八條辦理業(yè)務(wù)過程產(chǎn)生的開戶申請(qǐng)書、業(yè)務(wù)傳票等涉及個(gè)人金融信息的業(yè)務(wù)資料，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)確定專人保管、傳遞，嚴(yán)格限制接觸客戶信息人員范圍，及時(shí)整理、裝訂、入庫、歸檔，不得隨意擺放，維護(hù)檔案的安全完整。第十九條因工作需要調(diào)閱個(gè)人金融信息檔案資料時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格履行審批手續(xù)，并留存審批和調(diào)閱記錄，以備追溯。第二十條不須留存、歸檔的個(gè)人金融信息檔案，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)及時(shí)退還客戶并取得客戶收妥證明;不需退還且保管期限屆滿的，在符合法律法規(guī)規(guī)章和金融監(jiān)管政策規(guī)定的情況下，應(yīng)當(dāng)及時(shí)銷毀，銷毀過程應(yīng)全流程監(jiān)控，不得隨意放置、丟棄或作為廢品銷售。銀行業(yè)金融機(jī)構(gòu)可根據(jù)業(yè)務(wù)資料的性質(zhì)，合理確定個(gè)人金融信息檔案資料保管期限。第二十一條銀行業(yè)金融機(jī)構(gòu)要加強(qiáng)離崗離行人員客戶個(gè)人金融信息資料交接的管理，做到檔案或資料交接全面和徹底，規(guī)范交接監(jiān)督，防止個(gè)人金融信息被私自留存或擅自帶出。第二十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)柜面?zhèn)€人金融信息查詢管理，規(guī)范查詢本人、代理查詢他人賬戶存款等個(gè)人金融信息的程序，審核對(duì)方有效身份證件或有關(guān)法律文書，防止個(gè)人金融信息泄露。第二十三條向司法部門、行政管理部門及其他有權(quán)機(jī)關(guān)提供涉及個(gè)人金融信息的材料時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的相關(guān)規(guī)定，規(guī)范協(xié)助查詢手續(xù)，審核對(duì)方真實(shí)身份和有關(guān)法律文書，切實(shí)保護(hù)客戶個(gè)人金融信息。第二十四條銀行業(yè)金融機(jī)構(gòu)不得向境外提供在中國境內(nèi)收集的個(gè)人金融信息，法律法規(guī)及中國人民銀行另有規(guī)定的除外。引進(jìn)國外戰(zhàn)略投資者、國外合作機(jī)構(gòu)時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)個(gè)人金融信息保護(hù)作特別約定。第二十五條銀行業(yè)金融機(jī)構(gòu)通過外包開展業(yè)務(wù)的，應(yīng)當(dāng)全面考察評(píng)估外包服務(wù)供應(yīng)商的資質(zhì)、信譽(yù)等，并將其保護(hù)個(gè)人金融信息的能力作為重要評(píng)估指標(biāo)，審慎選擇外包服務(wù)供應(yīng)商。第二十六條銀行業(yè)金融機(jī)構(gòu)與外包服務(wù)供應(yīng)商簽訂服務(wù)協(xié)議時(shí)，應(yīng)明確其保護(hù)個(gè)人金融信息的職責(zé)和保密義務(wù)，并采取必要措施保證外包服務(wù)供應(yīng)商履行上述職責(zé)和義務(wù)，明確個(gè)人金融信息泄露的補(bǔ)救手段與責(zé)任追究，確保個(gè)人金融信息安全。第二十七條外包服務(wù)業(yè)務(wù)終止后，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督外包服務(wù)供應(yīng)商及時(shí)銷毀因外包業(yè)務(wù)而獲得的個(gè)人金融信息，銷毀的個(gè)人金融信息在技術(shù)上應(yīng)不可恢復(fù)。與外包服務(wù)供應(yīng)商簽訂的保密協(xié)議(保密條款)，應(yīng)當(dāng)明確約定外包服務(wù)供應(yīng)商的保密義務(wù)不因外包服務(wù)的終止而終止。第四章技術(shù)防范第二十八條銀行業(yè)金融機(jī)構(gòu)開發(fā)金融業(yè)務(wù)系統(tǒng)，應(yīng)逐步推進(jìn)總行統(tǒng)一開發(fā)規(guī)劃、分支機(jī)構(gòu)系統(tǒng)開發(fā)分級(jí)授權(quán)審批制度。選擇安全技術(shù)路線、開發(fā)產(chǎn)品時(shí)，應(yīng)當(dāng)關(guān)注技術(shù)路線、產(chǎn)品使用的安全性，避免出現(xiàn)片面強(qiáng)調(diào)客戶體驗(yàn)、忽視風(fēng)險(xiǎn)防范的情形。以外包方式進(jìn)行業(yè)務(wù)系統(tǒng)開發(fā)、測試時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)個(gè)人金融信息進(jìn)行屏蔽、切片等技術(shù)處理。外包方需進(jìn)入重要安全區(qū)域進(jìn)行現(xiàn)場作業(yè)的，應(yīng)履行審批手續(xù)，作業(yè)現(xiàn)場應(yīng)當(dāng)進(jìn)行監(jiān)控，電腦外接插口應(yīng)當(dāng)進(jìn)行特殊處理，防止個(gè)人金融信息被間接泄露和非法使用。銀行業(yè)金融機(jī)構(gòu)開發(fā)與人民銀行對(duì)接的系統(tǒng)，應(yīng)當(dāng)提前將系統(tǒng)開發(fā)方案報(bào)人民銀行當(dāng)?shù)胤种C(jī)構(gòu)。銀行業(yè)金融機(jī)構(gòu)開發(fā)的金融業(yè)務(wù)系統(tǒng)，其前、后臺(tái)均應(yīng)置于境內(nèi)。第二十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過物理隔離、防火墻、入侵檢測等方式進(jìn)行嚴(yán)格的訪問限制，加強(qiáng)網(wǎng)上銀行接入、合作單位外聯(lián)接入、互聯(lián)網(wǎng)行內(nèi)訪問等的技術(shù)防范，做好日常檢測，定期通過專業(yè)第三方測評(píng)等方式開展網(wǎng)上銀行、手機(jī)銀行等外聯(lián)業(yè)務(wù)系統(tǒng)的安全認(rèn)證，杜絕外部非法入侵竊取個(gè)人金融信息。第三十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過分級(jí)授權(quán)、日志記錄、敏感信息屏蔽、關(guān)鍵數(shù)據(jù)加密等手段，加強(qiáng)個(gè)人金融信息的訪問控制;應(yīng)當(dāng)通過封閉專用網(wǎng)絡(luò)、視頻監(jiān)控等方式，加強(qiáng)信息加工環(huán)節(jié)管理，防范信息篡改和流失風(fēng)險(xiǎn);應(yīng)當(dāng)加強(qiáng)電腦設(shè)備外接插口、移動(dòng)存儲(chǔ)介質(zhì)、數(shù)據(jù)下載控制管理，通過業(yè)務(wù)網(wǎng)和辦公網(wǎng)邏輯或物理隔離、外發(fā)郵件安全審計(jì)等方式，切斷內(nèi)部各類信息外泄途徑。第三十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)涉及個(gè)人金融信息的各類業(yè)務(wù)系統(tǒng)的安全管理，完善用戶、口令管理制度，明確管理員用戶、數(shù)據(jù)上報(bào)用戶和信息查詢用戶的職責(zé)及操作規(guī)程。各類用戶應(yīng)專人專用，不得互相兼任，更不得設(shè)置“公共用戶”。各類用戶應(yīng)科學(xué)設(shè)置、妥善保管、定期更新用戶密碼。應(yīng)當(dāng)定期對(duì)各類系統(tǒng)用戶口令控制執(zhí)行情況進(jìn)行檢查，并對(duì)違反規(guī)定的用戶及時(shí)予以停用。第三十二條以電子信息方式向金融監(jiān)管部門、司法部門等外部單位提供涉及個(gè)人金融信息的數(shù)據(jù)時(shí)，應(yīng)當(dāng)通過特定渠道或?qū)ｉT系統(tǒng)進(jìn)行報(bào)送;無特定渠道或?qū)ｉT系統(tǒng)的，應(yīng)經(jīng)數(shù)據(jù)保管、風(fēng)控、科技等相關(guān)部門審核，并對(duì)信息進(jìn)行加密等技術(shù)處理，確保個(gè)人金融信息安全。第五章人員管理與教育培訓(xùn)第三十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)強(qiáng)化員工準(zhǔn)入管理，涉及個(gè)人金融信息的核心崗位人員，錄用前應(yīng)加強(qiáng)對(duì)其從業(yè)經(jīng)歷、個(gè)人品行等方面的考察，把好員工準(zhǔn)入關(guān)口。第三十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)外包服務(wù)人員管理，建立外包服務(wù)人員檔案制度。對(duì)外包服務(wù)人員，應(yīng)進(jìn)行必要的宣傳、監(jiān)督和評(píng)審，使其知曉在提供外包服務(wù)中的信息保護(hù)責(zé)任。第三十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)員工教育培訓(xùn)，將個(gè)人金融信息保護(hù)相關(guān)知識(shí)培訓(xùn)納入本機(jī)構(gòu)培訓(xùn)計(jì)劃，圍繞相關(guān)法律法規(guī)和規(guī)章，金融監(jiān)管部門有關(guān)個(gè)人金融信息保護(hù)相關(guān)規(guī)定，以及本機(jī)構(gòu)員工行為準(zhǔn)則、職業(yè)操守等內(nèi)容，廣泛開展教育培訓(xùn)。第三十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)針對(duì)不同對(duì)象，確定不同培訓(xùn)重點(diǎn)和方式，提高培訓(xùn)的實(shí)效性。針對(duì)新員工、涉及個(gè)人金融信息的相關(guān)業(yè)務(wù)經(jīng)辦人員和業(yè)務(wù)系統(tǒng)操作人員等人員，上崗前應(yīng)當(dāng)開展含有個(gè)人金融信息規(guī)范收集、使用與保密等內(nèi)容的培訓(xùn)和考試，并規(guī)定相應(yīng)的保密義務(wù)，使員工知曉、認(rèn)真執(zhí)行相關(guān)法律政策規(guī)定，充分認(rèn)識(shí)到個(gè)人金融信息非法泄露和濫用對(duì)本機(jī)構(gòu)及本人帶來的法律后果，提高風(fēng)險(xiǎn)防范意識(shí)。針對(duì)涉密技術(shù)人員，應(yīng)當(dāng)規(guī)定更為嚴(yán)格的信息安全保密義務(wù)，并加強(qiáng)日常合規(guī)教育培訓(xùn)，從學(xué)習(xí)教育層面引導(dǎo)技術(shù)人員做好崗位履職和安全操作，強(qiáng)化技術(shù)人員信息保護(hù)責(zé)任意識(shí)。第六章監(jiān)督管理第三十七條銀行業(yè)金融機(jī)構(gòu)發(fā)生個(gè)人金融信息泄露事件，或發(fā)現(xiàn)下級(jí)機(jī)構(gòu)有違反個(gè)人金融信息保護(hù)行為的，應(yīng)當(dāng)在事件發(fā)生之日或發(fā)現(xiàn)下級(jí)機(jī)構(gòu)違規(guī)行為之日起7個(gè)工作日內(nèi)將相關(guān)情況及初步處理意見報(bào)告中國人民銀行當(dāng)?shù)胤种C(jī)構(gòu)，并追究有關(guān)責(zé)任人的責(zé)任;涉嫌犯罪的，應(yīng)及時(shí)移送司法機(jī)關(guān)處理。中國人民銀行分支機(jī)構(gòu)在收到銀行業(yè)金融機(jī)構(gòu)報(bào)告后，應(yīng)當(dāng)視情況予以處理，并逐級(jí)上報(bào)。第三十八條中國人民銀行受理投訴、接到銀行業(yè)金融機(jī)構(gòu)泄密事件報(bào)告、發(fā)現(xiàn)銀行業(yè)金融機(jī)構(gòu)可能未履行個(gè)人金融信息保護(hù)義務(wù)的，可依法進(jìn)行核查，認(rèn)定銀行業(yè)金融機(jī)構(gòu)存在違反本指引規(guī)定，或存在其他未履行個(gè)人金融信息保護(hù)義務(wù)情形的，可采取以下處理措施:(一)約見其高管人員談話，要求說明情況;(二)責(zé)令銀行業(yè)金融機(jī)構(gòu)限期整改;(三)在金融系統(tǒng)內(nèi)予以通報(bào);(四)建議銀行業(yè)金融機(jī)構(gòu)對(duì)直接負(fù)責(zé)的高級(jí)管理人員和其他直接責(zé)任人員依法給予處分;(五)涉嫌犯罪的，依法移交司法機(jī)關(guān)處理。第三十九條銀行業(yè)金融機(jī)構(gòu)違反規(guī)定通過中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)查詢或?yàn)E用個(gè)人金融信息的，中國人民銀行及其地市中心支行以上分支機(jī)構(gòu)可按照本指引第三十八條及其他相關(guān)規(guī)定予以處理。銀行業(yè)金融機(jī)構(gòu)違法情節(jié)嚴(yán)重或拒不改正的，中國人民銀行可決定暫停其使用，或禁止其新設(shè)分支機(jī)構(gòu)接入上述系統(tǒng)。第七章附則第四十條人民銀行南京分行各分支行可以根據(jù)本指引制訂本轄區(qū)個(gè)人金融信息保護(hù)工作實(shí)施細(xì)則。第四十一條本指引與相關(guān)法律、法規(guī)、規(guī)章等相沖突的，以相關(guān)法律、法規(guī)、規(guī)章為準(zhǔn)。第四十二條本指引由中國人民銀行南京分行負(fù)責(zé)解釋。第四十三條本指引自印發(fā)之日起施行。江蘇省銀行業(yè)金融機(jī)構(gòu)客戶個(gè)人金融信息保護(hù)工作指引(暫行)第一章總則第一條為提高江蘇省銀行業(yè)金融機(jī)構(gòu)客戶個(gè)人金融信息保護(hù)工作水平，保障銀行業(yè)金融機(jī)構(gòu)各項(xiàng)業(yè)務(wù)的正常開展，維護(hù)客戶個(gè)人金融信息安全，保護(hù)客戶個(gè)人合法權(quán)益，提升銀行業(yè)社會(huì)形象，根據(jù)《中國人民銀行法》、《商業(yè)銀行法》、《個(gè)人存款賬戶實(shí)名制規(guī)定》、《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》等法律、法規(guī)和規(guī)章，以及《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》等政策規(guī)定，制定本指引。第二條本指引所稱客戶個(gè)人金融信息，是指銀行業(yè)金融機(jī)構(gòu)在開展業(yè)務(wù)時(shí)，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的以下個(gè)人信息:(一)個(gè)人身份信息，包括個(gè)人姓名、性別、國籍、民族、身份證件種類號(hào)碼及有效期限、職業(yè)、聯(lián)系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等;(二)個(gè)人財(cái)產(chǎn)信息，包括個(gè)人收入狀況、擁有的不動(dòng)產(chǎn)狀況、擁有的車輛狀況、納稅額、公積金繳存金額等;(三)個(gè)人賬戶信息，包括賬號(hào)、賬戶開立時(shí)間、開戶行、賬戶余額、賬戶交易情況等;(四)個(gè)人信用信息，包括信用卡還款情況、貸款償還情況以及個(gè)人在經(jīng)濟(jì)活動(dòng)中形成的，能夠反映其信用狀況的其他信息;(五)個(gè)人金融交易信息，包括銀行業(yè)金融機(jī)構(gòu)在支付結(jié)算、理財(cái)、保險(xiǎn)箱等中間業(yè)務(wù)過程中獲取、保存、留存的個(gè)人信息和客戶在通過銀行業(yè)金融機(jī)構(gòu)與保險(xiǎn)公司、證券公司、基金公司、期貨公司等第三方機(jī)構(gòu)發(fā)生業(yè)務(wù)關(guān)系時(shí)產(chǎn)生的個(gè)人信息等;(六)衍生信息，包括個(gè)人消費(fèi)習(xí)慣、投資意愿等對(duì)原始信息進(jìn)行處理、分析所形成的反映特定個(gè)人某些情況的信息;(七)開展業(yè)務(wù)過程中獲取、保存、形成的其他個(gè)人信息。第三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依照有關(guān)法律、法規(guī)、規(guī)章和金融監(jiān)管部門政策規(guī)定，遵循目的明確、公開透明、安全保障、知情同意、責(zé)任落實(shí)等基本原則，依法收集、加工、使用、存儲(chǔ)、傳輸個(gè)人金融信息。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)區(qū)分一般個(gè)人金融信息和敏感個(gè)人金融信息，實(shí)行分類區(qū)別保護(hù)。針對(duì)敏感個(gè)人金融信息，應(yīng)實(shí)行更高的權(quán)限管理，采取更嚴(yán)格的管理措施。前款所稱敏感個(gè)人金融信息，是指可直接反映特定個(gè)人情況的信息。雖不能直接反映特定個(gè)人情況的一般個(gè)人金融信息，與敏感個(gè)人金融信息同時(shí)出現(xiàn)在同一介質(zhì)，可能對(duì)個(gè)人人身和財(cái)產(chǎn)利益帶來不利后果時(shí)，應(yīng)視同敏感個(gè)人金融信息管理。第四條本指引適用于在江蘇省內(nèi)依法設(shè)立的從事金融業(yè)務(wù)的國有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用社(含農(nóng)村商業(yè)銀行、農(nóng)村合作銀行)、郵政儲(chǔ)蓄銀行等銀行業(yè)金融機(jī)構(gòu)。第二章管理體制和工作制度第五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)高度重視，把個(gè)人金融信息保護(hù)作為依法經(jīng)營、風(fēng)險(xiǎn)防范的重要內(nèi)容，納入全面風(fēng)險(xiǎn)防控范疇，建立上下級(jí)機(jī)構(gòu)聯(lián)動(dòng)、同級(jí)各部門協(xié)調(diào)配合的管理體制和工作機(jī)制。銀行業(yè)法人機(jī)構(gòu)、省級(jí)(區(qū)域)分行應(yīng)當(dāng)履行對(duì)轄區(qū)各級(jí)機(jī)構(gòu)個(gè)人金融信息保護(hù)工作的管理職責(zé)，明確各級(jí)機(jī)構(gòu)在個(gè)人金融信息保護(hù)方面的職責(zé)和工作重點(diǎn)，加強(qiáng)對(duì)下指導(dǎo)、檢查、考核，逐步把個(gè)人金融信息保護(hù)工作納入對(duì)下級(jí)機(jī)構(gòu)的考核內(nèi)容。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)有效整合內(nèi)部資源，完善個(gè)人金融信息保護(hù)內(nèi)部工作機(jī)制，明確風(fēng)險(xiǎn)控制、法律合規(guī)、零售、科技、運(yùn)營等相關(guān)部門工作職責(zé)，并可根據(jù)本機(jī)構(gòu)情況明確牽頭部門扎口管理個(gè)人金融信息保護(hù)工作。第六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)法律法規(guī)規(guī)章和金融監(jiān)管部門有關(guān)個(gè)人金融信息保護(hù)政策規(guī)定，完善內(nèi)部工作制度，構(gòu)建相互銜接、相互制約、全面有效的個(gè)人金融信息保護(hù)內(nèi)控制度體系。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立全員性的員工行為準(zhǔn)則、保密規(guī)定等個(gè)人信息保護(hù)工作制度，實(shí)現(xiàn)個(gè)人金融信息保護(hù)有關(guān)工作要求的全員覆蓋。涉密崗位人員離崗離行的，應(yīng)當(dāng)通過書面承諾等方式，約定其對(duì)在行在崗期間知曉的個(gè)人金融信息的保密義務(wù)。零售、運(yùn)營、科技等相關(guān)部門應(yīng)當(dāng)對(duì)涉及信息收集、加工、使用、存儲(chǔ)、傳輸?shù)膷徫缓铜h(huán)節(jié)，制定相應(yīng)的條線規(guī)定，將個(gè)人金融信息保護(hù)有關(guān)工作要求貫穿到各個(gè)業(yè)務(wù)環(huán)節(jié)，明確操作規(guī)范，強(qiáng)化責(zé)任。第七條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立個(gè)人金融信息保護(hù)工作的監(jiān)督檢查和責(zé)任追究制度。定期開展檢查，強(qiáng)化對(duì)重點(diǎn)環(huán)節(jié)、重點(diǎn)人員的監(jiān)督檢查，形成檢查評(píng)估報(bào)告，并向本單位最高經(jīng)營管理層報(bào)告。對(duì)監(jiān)督檢查中發(fā)現(xiàn)的違規(guī)行為應(yīng)當(dāng)進(jìn)行責(zé)任追究，督促落實(shí)整改，確保個(gè)人金融信息保護(hù)各項(xiàng)工作制度有效落實(shí)。第八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立良好、有效的客戶投訴處理機(jī)制，明確工作流程，確?？蛻粼V求能夠及時(shí)有效處理。第九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)完善個(gè)人金融信息保護(hù)應(yīng)急處理機(jī)制，及時(shí)識(shí)別、分析、評(píng)估潛在的風(fēng)險(xiǎn)因素，制定風(fēng)險(xiǎn)應(yīng)對(duì)策略，采取風(fēng)險(xiǎn)控制措施，監(jiān)控風(fēng)險(xiǎn)變化，對(duì)個(gè)人信息處理過程中可能出現(xiàn)的泄露、丟失、損壞、篡改、不當(dāng)使用等突發(fā)事件制定應(yīng)急預(yù)案，采取相應(yīng)的預(yù)防和應(yīng)對(duì)措施。第三章流程管理第十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)遵循目的明確、確切需要、客戶知情同意原則收集個(gè)人金融信息，不得收集與業(yè)務(wù)無關(guān)的信息，不得在客戶不知情、未參與的情況下，采取非法、隱蔽、間接方式收集個(gè)人金融信息，法律、法規(guī)和規(guī)章另有規(guī)定的除外。第十一條銀行業(yè)金融機(jī)構(gòu)通過與客戶建立業(yè)務(wù)關(guān)系收集個(gè)人金融信息時(shí)，應(yīng)當(dāng)在相對(duì)封閉的環(huán)境中以“一對(duì)一”的方式進(jìn)行，避免在公眾場合將客戶個(gè)人金融信息暴露給其他人。第十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)履行客戶身份識(shí)別義務(wù)，準(zhǔn)確錄入客戶信息，妥善保存客戶填寫資料原始憑證;客戶資料發(fā)生變動(dòng)時(shí)，應(yīng)及時(shí)進(jìn)行維護(hù)更新，保證收集的各項(xiàng)個(gè)人金融信息準(zhǔn)確、完整。第十三條銀行業(yè)金融機(jī)構(gòu)使用個(gè)人金融信息時(shí)，應(yīng)當(dāng)符合收集該信息的目的;通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取的個(gè)人金融信息，應(yīng)當(dāng)嚴(yán)格按照有關(guān)系統(tǒng)規(guī)定的用途使用。不得進(jìn)行以下行為:(一)出售個(gè)人金融信息;(二)向本機(jī)構(gòu)以外的其他機(jī)構(gòu)和個(gè)人等第三方提供個(gè)人金融信息，但為個(gè)人辦理相關(guān)業(yè)務(wù)所必需并經(jīng)個(gè)人書面授權(quán)或同意的，以及法律法規(guī)和中國人民銀行另有規(guī)定的除外;(三)其他違法使用個(gè)人金融信息的行為。第十四條銀行業(yè)金融機(jī)構(gòu)利用個(gè)人金融信息進(jìn)行客戶二次開發(fā)、營銷金融產(chǎn)品時(shí)，在客戶明確表示拒絕接受營銷的情況下，應(yīng)當(dāng)立即停止利用其個(gè)人金融信息營銷。第十五條銀行業(yè)金融機(jī)構(gòu)不得將客戶授權(quán)或同意其個(gè)人信息用于營銷、對(duì)外提供等作為與客戶建立業(yè)務(wù)關(guān)系的先決條件，但該業(yè)務(wù)關(guān)系的性質(zhì)決定需要預(yù)先做出相關(guān)授權(quán)或同意的除外。第十六條通過格式條款取得個(gè)人書面授權(quán)或同意的，應(yīng)當(dāng)在授權(quán)書或協(xié)議中明確該授權(quán)或同意所適用的向第三方提供個(gè)人金融信息的目的、范圍、具體內(nèi)容，以及客戶的權(quán)利等。同時(shí)，應(yīng)當(dāng)在協(xié)議的醒目位置使用通俗易懂的語言明確提示該授權(quán)或同意的可能后果，并在客戶簽署協(xié)議時(shí)提醒其注意上述提示，為客戶保障其權(quán)利提供必要的信息、途徑和手段。經(jīng)客戶同意或授權(quán)向第三方提供個(gè)人金融信息時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)明確告知第三方，非經(jīng)客戶同意，第三方不得將從銀行業(yè)金融機(jī)構(gòu)獲得的個(gè)人金融信息進(jìn)一步提供給其他第三方，法律法規(guī)另有規(guī)定的除外。第十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)推進(jìn)個(gè)人金融信息的集中統(tǒng)一管理，并按最小操作權(quán)限原則，加強(qiáng)核心業(yè)務(wù)系統(tǒng)、客戶關(guān)系系統(tǒng)等涉及客戶個(gè)人金融信息的業(yè)務(wù)系統(tǒng)的權(quán)限控制，確保確需涉及個(gè)人金融信息的崗位其權(quán)限與職責(zé)相匹配，防止不相關(guān)部門、崗位和人員未經(jīng)授權(quán)查詢、泄露、損毀和篡改個(gè)人金融信息。第十八條辦理業(yè)務(wù)過程產(chǎn)生的開戶申請(qǐng)書、業(yè)務(wù)傳票等涉及個(gè)人金融信息的業(yè)務(wù)資料，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)確定專人保管、傳遞，嚴(yán)格限制接觸客戶信息人員范圍，及時(shí)整理、裝訂、入庫、歸檔，不得隨意擺放，維護(hù)檔案的安全完整。第十九條因工作需要調(diào)閱個(gè)人金融信息檔案資料時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格履行審批手續(xù)，并留存審批和調(diào)閱記錄，以備追溯。第二十條不須留存、歸檔的個(gè)人金融信息檔案，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)及時(shí)退還客戶并取得客戶收妥證明;不需退還且保管期限屆滿的，在符合法律法規(guī)規(guī)章和金融監(jiān)管政策規(guī)定的情況下，應(yīng)當(dāng)及時(shí)銷毀，銷毀過程應(yīng)全流程監(jiān)控，不得隨意放置、丟棄或作為廢品銷售。銀行業(yè)金融機(jī)構(gòu)可根據(jù)業(yè)務(wù)資料的性質(zhì)，合理確定個(gè)人金融信息檔案資料保管期限。第二十一條銀行業(yè)金融機(jī)構(gòu)要加強(qiáng)離崗離行人員客戶個(gè)人金融信息資料交接的管理，做到檔案或資料交接全面和徹底，規(guī)范交接監(jiān)督，防止個(gè)人金融信息被私自留存或擅自帶出。第二十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)柜面?zhèn)€人金融信息查詢管理，規(guī)范查詢本人、代理查詢他人賬戶存款等個(gè)人金融信息的程序，審核對(duì)方有效身份證件或有關(guān)法律文書，防止個(gè)人金融信息泄露。第二十三條向司法部門、行政管理部門及其他有權(quán)機(jī)關(guān)提供涉及個(gè)人金融信息的材料時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的相關(guān)規(guī)定，規(guī)范協(xié)助查詢手續(xù)，審核對(duì)方真實(shí)身份和有關(guān)法律文書，切實(shí)保護(hù)客戶個(gè)人金融信息。第二十四條銀行業(yè)金融機(jī)構(gòu)不得向境外提供在中國境內(nèi)收集的個(gè)人金融信息，法律法規(guī)及中國人民銀行另有規(guī)定的除外。引進(jìn)國外戰(zhàn)略投資者、國外合作機(jī)構(gòu)時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)個(gè)人金融信息保護(hù)作特別約定。第二十五條銀行業(yè)金融機(jī)構(gòu)通過外包開展業(yè)務(wù)的，應(yīng)當(dāng)全面考察評(píng)估外包服務(wù)供應(yīng)商的資質(zhì)、信譽(yù)等，并將其保護(hù)個(gè)人金融信息的能力作為重要評(píng)估指標(biāo)，審慎選擇外包服務(wù)供應(yīng)商。第二十六條銀行業(yè)金融機(jī)構(gòu)與外包服務(wù)供應(yīng)商簽訂服務(wù)協(xié)議時(shí)，應(yīng)明確其保護(hù)個(gè)人金融信息的職責(zé)和保密義務(wù)，并采取必要措施保證外包服務(wù)供應(yīng)商履行上述職責(zé)和義務(wù)，明確個(gè)人金融信息泄露的補(bǔ)救手段與責(zé)任追究，確保個(gè)人金融信息安全。第二十七條外包服務(wù)業(yè)務(wù)終止后，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督外包服務(wù)供應(yīng)商及時(shí)銷毀因外包業(yè)務(wù)而獲得的個(gè)人金融信息，銷毀的個(gè)人金融信息在技術(shù)上應(yīng)不可恢復(fù)。與外包服務(wù)供應(yīng)商簽訂的保密協(xié)議(保密條款)，應(yīng)當(dāng)明確約定外包服務(wù)供應(yīng)商的保密義務(wù)不因外包服務(wù)的終止而終止。第四章技術(shù)防范第二十八條銀行業(yè)金融機(jī)構(gòu)開發(fā)金融業(yè)務(wù)系統(tǒng)，應(yīng)逐步推進(jìn)總行統(tǒng)一開發(fā)規(guī)劃、分支機(jī)構(gòu)系統(tǒng)開發(fā)分級(jí)授權(quán)審批制度。選擇安全技術(shù)路線、開發(fā)產(chǎn)品時(shí)，應(yīng)當(dāng)關(guān)注技術(shù)路線、產(chǎn)品使用的安全性，避免出現(xiàn)片面強(qiáng)調(diào)客戶體驗(yàn)、忽視風(fēng)險(xiǎn)防范的情形。以外包方式進(jìn)行業(yè)務(wù)系統(tǒng)開發(fā)、測試時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)個(gè)人金融信息進(jìn)行屏蔽、切片等技術(shù)處理。外包方需進(jìn)入重要安全區(qū)域進(jìn)行現(xiàn)場作業(yè)的，應(yīng)履行審批手續(xù)，作業(yè)現(xiàn)場應(yīng)當(dāng)進(jìn)行監(jiān)控，電腦外接插口應(yīng)當(dāng)進(jìn)行特殊處理，防止個(gè)人金融信息被間接泄露和非法使用。銀行業(yè)金融機(jī)構(gòu)開發(fā)與人民銀行對(duì)接的系統(tǒng)，應(yīng)當(dāng)提前將系統(tǒng)開發(fā)方案報(bào)人民銀行當(dāng)?shù)胤种C(jī)構(gòu)。銀行業(yè)金融機(jī)構(gòu)開發(fā)的金融業(yè)務(wù)系統(tǒng)，其前、后臺(tái)均應(yīng)置于境內(nèi)。第二十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過物理隔離、防火墻、入侵檢測等方式進(jìn)行嚴(yán)格的訪問限制，加強(qiáng)網(wǎng)上銀行接入、合作單位外聯(lián)接入、互聯(lián)網(wǎng)行內(nèi)訪問等的技術(shù)防范，做好日常檢測，定期通過專業(yè)第三方測評(píng)等方式開展網(wǎng)上銀行、手機(jī)銀行等外聯(lián)業(yè)務(wù)系統(tǒng)的安全認(rèn)證，杜絕外部非法入侵竊取個(gè)人金融信息。第三十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過分級(jí)授權(quán)、日志記錄、敏感信息屏蔽、關(guān)鍵數(shù)據(jù)加密等手段，加強(qiáng)個(gè)人金融信息的訪問控制;應(yīng)當(dāng)通過封閉專用網(wǎng)絡(luò)、視頻監(jiān)控等方式，加強(qiáng)信息加工環(huán)節(jié)管理，防范信息篡改和流失風(fēng)險(xiǎn);應(yīng)當(dāng)加強(qiáng)電腦設(shè)備外接插口、移動(dòng)存儲(chǔ)介質(zhì)、數(shù)據(jù)下載控制管理，通過業(yè)務(wù)網(wǎng)和辦公網(wǎng)邏輯或物理隔離、外發(fā)郵件安全審計(jì)等方式，切斷內(nèi)部各類信息外泄途徑。第三十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)涉及個(gè)人金融信息的各類業(yè)務(wù)系統(tǒng)的安全管理，完善用戶、口令管理制度，明確管理員用戶、數(shù)據(jù)上報(bào)用戶和信息查詢用戶的職責(zé)及操作規(guī)程。各類用戶應(yīng)專人專用，不得互相兼任，更不得設(shè)置“公共用戶”。各類用戶應(yīng)科學(xué)設(shè)置、妥善保管、定期更新用戶密碼。應(yīng)當(dāng)定期對(duì)各類系統(tǒng)用戶口令控制執(zhí)行情況進(jìn)行檢查，并對(duì)違反規(guī)定的用戶及時(shí)予以停用。第三十二條以電子信息方式向金融監(jiān)管部門、司法部門等外部單位提供涉及個(gè)人金融信息的數(shù)據(jù)時(shí)，應(yīng)當(dāng)通過特定渠道或?qū)ｉT系統(tǒng)進(jìn)行報(bào)送;無特定渠道或?qū)ｉT系統(tǒng)的，應(yīng)經(jīng)數(shù)據(jù)保管、風(fēng)控、科技等相關(guān)部門審核，并對(duì)信息進(jìn)行加密等技術(shù)處理，確保個(gè)人金融信息安全。第五章人員