江蘇省銀行業(yè)金融機構客戶個人金融信息保護工作指引(暫行)-2025

帶格式的：字體：（默認）黑體，（中文）黑體，四號

，附件2：.帶格式的：字體：（默認）黑體，（中文）黑體，四評1

帶格式的：字體：（默認》軀體,（中文）盥體J

江蘇省銀行業(yè)金融機構，帶格式的:字體：（默認》黑體，（中文）黑體]

帝格式的「字體：（默認）出體，（中文）黑體]

▲客戶個人金融信息愛護工作指引（暫行）▲帶格式的：字體：（默認）黑體，（中文）黑體]

第一章總則

:帶格式的二字體：加粗j

，第一條為提高江蘇省銀行業(yè)金融機構客戶個人金融信息：帶格式的；縮進：首行縮進：2字符

愛護工作水平，保障銀行業(yè)金融機構各項業(yè)務的正常開展，維護

客戶個人金融信息平安，愛護客戶個人合法權益，提升銀行業(yè)社

會形象，依據(jù)《中國人民銀行法》、《商業(yè)銀行法》、《個人存款贓

戶實名制規(guī)定》、《個人信用信息基礎數(shù)據(jù)庫管理暫行方法》等法

律、法規(guī)和規(guī)章，以及《中國人民銀行關于銀行業(yè)金融機構做好

個人金融信息愛護工作的通知》等政策規(guī)定，制定本指引。

帶格式的：字體:加書1

其次條本指引所稱客戶個人金融信息，是指銀行業(yè)金融機

A----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

構在開展業(yè)務時，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)

以及其他系統(tǒng)獲得、加工和保存的以下個人信息：

（一）個人身份信息，包括個人姓名、性別、國籍、民族、

身份證件種類號碼及有效期限、職業(yè)、聯(lián)系方式、婚姻狀況、家

庭狀況、居處或工作單位地址及照片等；

（二）.個人財產(chǎn)信息，包括個人收入狀況、擁有的不動產(chǎn)狀

況、擁有的車輛狀況、納稅額、公積金繳存金額等；

（三）個人賬戶信息，包括賬號、賬戶開立時間、開戶行、

賬戶余額、賬戶交易狀況等;

（四）個人信用信息，包括信用卡還款狀況、貸款償還狀況

以及個人在經(jīng)濟活動中形成的，能夠反映其信用狀況的其他信

息；

（五）個人金融交易信息，包括銀行業(yè)金融機構在支付結(jié)算、

理財、保險箱等中間業(yè)務過程中獲得、保存、留存的個人信息和

客戶在通過銀行業(yè)金融機構與保險公司、證券公司、基金公司、

期貨公司等第三方機構發(fā)生業(yè)務關系時產(chǎn)生的個人信息等；

（六）衍生信息，包括個人消費習慣、投資意愿等對原始信

息進行處理、分析所形成的反映特定個人某些狀況的信息；

（七）開展業(yè)務過程中獲得、保存、形成的其他個人信息。

:帶格式的.字體：m粗

第三條銀行業(yè)金融機構應當依照有關法律、法規(guī)、規(guī)章和?

▲1帶格式的；縮進：首行縮進：2方方

金融監(jiān)管部門政策規(guī)定，遵循目的明確、公開透亮、平安保障、

知情同意、責任落實等基本原則，依法收集、加工、運用、存儲、

傳輸個人金融信息。

銀行業(yè)金融機構應當區(qū)分一般個人金融信息和敏感個人金

融信息，實行分類區(qū)分愛護。針對敏感個人金融信息，應實行更

高的權限管理，實行更嚴格的管理措施。

前款所稱敏感個人金融信息，是指可干脆反映特定個人狀況

的信息。雖不能干脆反映特定個人狀況的一般個人金融信息，與

敏感個人金融信息同時出現(xiàn)在同一介質(zhì)，可能對個人人身和財產(chǎn)

利益帶來不利后果時，應視同敏感個人金融信息管理。

，第四條本指引適用于在江蘇省內(nèi)依法設立的從事金融業(yè)"；帶格式的:能進：首行縮進：2字符

務的國有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用

2

社（含農(nóng)村商業(yè)銀行、農(nóng)村合作銀行）、郵政儲蓄銀行等銀行W

金融機構。

其次章管理體制和工作制度

1帶格式的匚字體：加相

▲第五條銀行業(yè)金融機構應當高度重視，把個人金融信息費.;而格式的；縮進：首行縮進：2萬'

護作為依法經(jīng)營、風險防范的重要內(nèi)容，納入全面風險防控范躊

建立上下級機構聯(lián)動、同級各部門協(xié)調(diào)協(xié)作的管理體制和工作機

制。

銀行業(yè)法人機構、省級（區(qū)域）分行應當履行對轄區(qū)各級機

構個人金融信息愛護工作的管理職責，明確各級機構在個人金融

信息愛護方面的職責和工作重點，加強對下指導、檢查、考核，

逐步把個人金融信息愛護工作納入對下級機構的考核內(nèi)容。

銀行業(yè)金融機構應當有效整合內(nèi)部資源，完善個人金融信臬

愛護內(nèi)部工作機制，明確風險限制、法律合規(guī)、零售、科技、運

營等相關部門工作職責，并可依據(jù)本機構狀況明確牽頭部門扎匚

管理個人金融信息愛護工作。

帶格式的：字體：加粗

▲第六條銀行業(yè)金融機構應當依據(jù)法律法規(guī)規(guī)章和金融監(jiān).帶格式的：縮進：首行縮進：2字符

管部門有關個人金融信息愛護政策規(guī)定，完善內(nèi)部工作制度，桐

建相互連接、相互制約、全面有效的個人金融信息愛護內(nèi)限制度

體系。

銀行業(yè)金融機構應當建立全員性的員工行為準則、保密規(guī)定

等個人信息愛護工作制度，實現(xiàn)個人金融信息愛護有關工作要求

的全員覆蓋。涉密崗位人員離崗離行的，應當通過書面承諾等方

a

式，約定其對在行在崗期間知曉的個人金融信息的保密義務。

零售、運營、科技等相關部門應當對涉及信息收集、加工、

運用、存儲、傳輸?shù)膷徫缓铜h(huán)節(jié)，制定相應的條線規(guī)定，將個人

金融信息愛護有關工作要求貫穿到各個業(yè)務環(huán)節(jié)，明確操作規(guī)

范，強化責任。

，第七條銀行業(yè)金融機構應當建立個人金融信息愛護工作":帶格式的：1進：首行縮進：2字符

的監(jiān)督檢查和責任追究制度。定期開展檢查，強化對重點環(huán)節(jié)、

重點人員的監(jiān)督檢查，形成檢查評估報告，并向本單位最高經(jīng)營

管理層報告。對監(jiān)督檢查中發(fā)覺的違規(guī)行為應當進行責任追究，

督促落實整改，確保個人金融信息愛護各項工作制度有效落實。

第八條銀行業(yè)金融機構應當建立良好、有效的客戶投訴處（帶格式的：字體：加粗-------

▲

理機制，明確工作流程，確保客戶訴求能夠剛好有效處理。

第九條銀行業(yè)金融機構應當完善個人金融信息愛護應急用格式的—粗

▲

處理機制，剛好識別、分析、評估潛在的風險因素，制定風險應

對策略，實行風險限制措施，監(jiān)控風險改變，對個人信息處理過

程中可能出現(xiàn)的泄露、丟失、損壞、篡改、不當運用等突發(fā)事務

制定應急預案，實行相應的預防和應對措施。

第三章流程管理

，第十條銀行業(yè)金融機構應當遵循目的明確、準確須要、客.：專碣亟縮進：首行縮進：2字符

戶知情同意原則收集個人金融信息，不得收集與業(yè)務無關的信

息，不得在客戶不知情、未參加的狀況下，實行非法、隱藏、間

接方式收集個人金融信息，法律、法規(guī)和規(guī)章另有規(guī)定的除外。

:帶格式的：字體：加相

▲第十一條銀行業(yè)金融機構通過與客戶建立業(yè)務關系收集

個人金融信息時，應當在相對封閉的環(huán)境中以“一對一”的方式

進行，避開在公眾場合將客戶個人金融信息暴露給其他人。

（帶格式的：字體：加相

▲第十二條銀行業(yè)金融機構應當履行客戶身份識別義務，精

確錄入客戶信息，妥當保存客戶填寫資料原始憑證；客戶資料發(fā)

生變動時，應剛好進行維護更新，保證收集的各項個人金融信息

精確、完整。

:帶格式的：字體：加州

▲第十三條銀行業(yè)金融機構運用個人金融信息時，應當符合

收集該信息的目的；通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)

以及其他系統(tǒng)獲得的個人金融信息，應當嚴格依據(jù)有關系統(tǒng)規(guī)發(fā)

的用途運用。不得進行以下行為：

（一）出售個人金融信息；

（二）向本機構以外的其他機構和個人等第三方供應個人金

融信息，但為個人辦理相關業(yè)務所必需并經(jīng)個人書面授權或同意

的，以及法律法規(guī)和中國人民銀行另有規(guī)定的除外；

（三）其他違法運用個人金融信息的行為。

:帶格式的：字體：加粗]

▲第十四條銀行業(yè)金融機構利用個人金融信息進行客戶二.:帶格式的：縮進：首行縮進：2字符

次開發(fā)、營銷金融產(chǎn)品時，在客戶明確表示拒絕接受營銷的狀況

下，應當馬上停止利用其個人金融信息營銷。

1帶格式的：字體：加粗

第十五條銀行業(yè)金融機構不得將客戶授權或同意其個人

A

信息用于營銷、對外供應等作為與客戶建立業(yè)務關系的先決條

件，但該業(yè)務關系的性質(zhì)確定須要預先做出相關授權或同意的陳

外。

a

帶格式的：字體：加粗

▲第十六條通過格式條款取得個人書面授權或同意的，應當

在授權書或協(xié)議中明確該授權或同意所適用的向第三方供應個

人金融信息的目的、范圍、詳細內(nèi)容，以及客戶的權利等,同時，

應當在協(xié)議的醒目位置運用通俗易懂的語言明確提示該授權或

同意的可能后果，并在客戶簽署協(xié)議時提示其留意上述提示，為

客戶保障其權利供應必要的信息、途徑和手段。

經(jīng)客戶同意或授權向第三方供應個人金融信息時，銀行業(yè)金

融機構應當明確告知第三方，非經(jīng)客戶同意，第三方不得將從銀

行業(yè)金融機構獲得的個人金融信息進一步供應應其他第三方，法

律法規(guī)另有規(guī)定的除外。

:帶格式的：字體：加粗j

▲第十七條銀行業(yè)金融機構應推動個人金融信息的集中統(tǒng).:帶格式的：縮進：言行縮進：2字符

一管理，并按最小操作權限原則，加強核心業(yè)務系統(tǒng)、客戶關系

系統(tǒng)等涉及客戶個人金融信息的業(yè)務系統(tǒng)的權限限制，確保確需

涉及個人金融信息的崗位其權限與職責相匹配，防止不相關部

門、崗位和人員未經(jīng)授權查詢、泄露、損毀和篡改個人金融信息。

:帶格式的：字體：加祖]

第十八條辦理業(yè)務過程產(chǎn)生的開戶申請書、業(yè)務傳票等涉

--，，，，，，，，，，一...............................，

及個人金融信息的業(yè)務資料，銀行業(yè)金融機構應當確定專人保

管、傳遞，嚴格限制接觸客戶信息人員范圍，剛好整理、裝訂、

入庫、歸檔，不得隨意擺放，維護檔案的平安完整。

:帶格式的：字體：加粗

▲第十九條因工作須要調(diào)閱個人金融信息檔案資料時，銀行

業(yè)金融機構應當嚴格履行審批手續(xù)，并留存審批和調(diào)閱記錄，以

備追溯。

:帶格式的：字體：m相~1

其次十條不須留存、歸檔的個人金融信息檔案，銀行業(yè)金

■,,,,,,,-.，，一，一，，，，，，，一

融機構應當剛好退還客戶并取得客戶收妥證明；不需退還且保管

期限屆滿的，在符合法律法規(guī)規(guī)章和金融監(jiān)管政策規(guī)定的狀況

下，應當剛好銷毀，銷毀過程應全流程監(jiān)控，不得隨意放置、I-

棄或作為廢品銷售。

銀行業(yè)金融機構可依據(jù)業(yè)務資料的性質(zhì)，合理確定個人金恥

信息檔案資料保管期限。

1帶格式的)字體：加粗j

▲其次十一條銀行業(yè)金融機構要加強離崗離行人員客戶個.格式的；縮進：首行縮進：2字符

人金融信息資料交接的管理，做到檔案或資料交接全面和徹底，

規(guī)范交接監(jiān)督，防止個人金融信息被私自留存或擅自帶出。

:帶格式的：字體：加祖

,其次十二條銀行業(yè)金融機構應當加強柜面?zhèn)€人金融信息查

詢管理，規(guī)范查詢本人、代理查詢他人賬戶存款等個人金融信息

的程序，審核對方有效身份證件或有關法律文書，防止個人金融

信息泄露。

【帶格式的：字體：加祖]

▲其次十三條向司法部門、行政管理部門及其他有權機關供

應涉及個人金融信息的材料時，銀行業(yè)金融機構應當依據(jù)法律法

規(guī)的相關規(guī)定，規(guī)范幫助查詢手續(xù)，審核對方真實身份和有關濟

律文書，切實愛護客戶個人金融信息。

1帶格式的：字體：加祖1

其次十四條銀行業(yè)金融機構不得向境外供應在中國境內(nèi)收

A

集的個人金融信息，法律法規(guī)及中國人民銀行另有規(guī)定的除外。

引進國外戰(zhàn)略投資者、國外合作機構時，銀行業(yè)金融機構直

當對個人金融信息愛護作特殊約定。

:帶格式的！字體：加粗)

▲其次十五條銀行業(yè)金融機構通過外包開展業(yè)務的，應當會:帶格式的：縮進：首行縮進：2字符

面考察評估外包服務供應商的資質(zhì)、信譽等，并將其愛護個人心

融信息的實力作為重要評值指標，審慎選擇外包服務供應商。

:帶格式的：字體：加粗1

▲其次十六條銀行業(yè)金融機構與外包服務供應商簽訂服務

a

協(xié)議時，應明確其愛護個人金融信息的職責和保密義務，并實行

必要措施保證外包服務供應商履行上述職責和義務，明確個人金

融信息泄露的補救手段與責任追究，確保個人金融信息平安。

▲其次十七條外包服務業(yè)務終止后，銀行業(yè)金融機構應當監(jiān)

督外包服務供應商剛好銷毀因外包業(yè)務而獲得的個人金融信息，

銷毀的個人金融信息在技術上應不行復原。與外包服務供應商簽

訂的保密協(xié)議（保密條款），應當明確約定外包服務供應商的保

密義務不因外包服務的終止而終止。

第匹章技術防范

:帶格式的.與體：加租j

其次十八條銀行業(yè)金融機構開發(fā)金融業(yè)務系統(tǒng)，應逐步推.1帶格式的；縮進：首行縮進：2字符j

動總行統(tǒng)一開發(fā)規(guī)劃、分支機構系統(tǒng)開發(fā)分級授權審批制度。選

擇平安技術路途、開發(fā)產(chǎn)品時，應當關注技術路途、產(chǎn)品運用的

平安性，避開出現(xiàn)片面強調(diào)客戶體驗、忽視風險防范的情形。

以外包方式進行業(yè)務系統(tǒng)開發(fā)、測試時，銀行業(yè)金融機構應

當對個人金融信息進行屏蔽、切片等技術處理。外包方需進入重

要平安區(qū)域進行現(xiàn)場作業(yè)的，應履行審批手續(xù)，作業(yè)現(xiàn)場應當進

行監(jiān)控，電腦外接插口應當進行特殊處理，防止個人金融信息被

間接泄露和非法運用。

銀行業(yè)金融機構開發(fā)與人民銀行對接的系統(tǒng)，應當提前將系

統(tǒng)開發(fā)方案報人民銀行當?shù)胤种C構。

銀行業(yè)金融機構開發(fā)的金融業(yè)務系統(tǒng)，其前、后臺均應置于

境內(nèi)。

8

（帶格式的：字體：加粗

帶格式的：縮進：首行縮進：字符_____

▲其次十九條銀行業(yè)金融機構應當通過物理隔離、防火墻、i2__1

入侵檢測等方式進行嚴格的訪問限制，加強網(wǎng)上銀行接入、合作

的位外聯(lián)接入、互朕網(wǎng)行內(nèi)訪問等的技術防范，做好日常檢測，

定期通過專業(yè)第三方測評等方式開展網(wǎng)上銀行、手機銀行等外聯(lián)

業(yè)務系統(tǒng)的平安認證，杜絕外部非法入侵竊取個人金融信息。

帶格式的：字體：加粗

第三十條銀行業(yè)金融機構應當通過分級授權、日志記錄、

A

敏感信息屏蔽、關鍵數(shù)據(jù)加密等手段，加強個人金融信息的訪忖

限制；應當通過封閉專用網(wǎng)絡、視頻監(jiān)控等方式，加強信息加工

環(huán)節(jié)管理，防范信息篡改和流失風險；應當加強電腦設備外接插

口、移動存儲介質(zhì)、數(shù)據(jù)下載限制管理，通過業(yè)務網(wǎng)和辦公網(wǎng)遺

輯或物理隔離、外發(fā)郵件平安審計等方式，切斷內(nèi)部各類信息外

泄途徑。

帶格式的：字體：加粗

▲第三十一條銀行業(yè)金融機構應當加強涉及個人金融信息

的各類業(yè)務系統(tǒng)的平安管理，完善用戶、口令管理制度，明確管

理員用戶、數(shù)據(jù)上報用戶和信息查洵用戶的職責及操作規(guī)程。各

類用戶應專人專用，不得相互兼任，更不得設置“公共用戶工

各類用戶應科學設置、妥當保管、定期更新用戶密碼。應當定期

對各類系統(tǒng)用戶口令限制執(zhí)行狀況進行檢查，并對違反規(guī)定的片

戶剛好予以停用。

帶格式的：字體：加利

▲第三十二條以電子信息方式向金融監(jiān)管部門、司法部門等

外部單位供應涉及個人金融信息的數(shù)據(jù)時，應當通過特定渠道或

特地系統(tǒng)進行報送；無特定渠道或特地系統(tǒng)的，應經(jīng)數(shù)據(jù)保管、

風控、科技等相關部門審核，并對信息進行加密等技術處理，確

保個人金融信息平安。

a

第五章人員管理與教化培訓

:帶格式的：字體：加粗j

▲第三十三條銀行業(yè)金融機構應當強化員工準入管理，涉及.:帶格式的：縮進：首行縮進：2字符

個人金融信息的核心崗位人員，錄用前應加強對其從業(yè)經(jīng)驗、個

人品德等方面的考察，把好員工準入關口。

:帶格式的：字體7W

A第三十四條銀行業(yè)金融機構應當加強外包服務人員管理，

建立外包服務人員檔案制度。對外包服務人員，應進行必要的宣

揚、監(jiān)督和評審，使其知曉在供應外包服務中的信息愛護責任。

1帶格式的：字體：加機〕

▲第三十五條銀行業(yè)金融機構應當加強員工教化培訓I,將個

人金融信息愛護相關學問培訓納入本機構培訓安排，圍繞相關法

律法規(guī)和規(guī)章，金融監(jiān)管胡門有關個人金融信息愛護相關規(guī)定，

以及本機構員工行為準則、職業(yè)操守等內(nèi)容，廣泛開展教化培訓。

1帶格式的：字體：加粗

A第三十六條銀行業(yè)金融機構應當針對不同對象，確定不同

培訓重點和方式，提高培訓的實效性。

針對新員工、涉及個人金融信息的相關業(yè)務經(jīng)辦人員和業(yè)務

系統(tǒng)操作人員等人員，上崗前應當開展含有個人金融信息規(guī)范收

集、運用與保密等內(nèi)容的培訓和考試，并規(guī)定相應的保密義務，

使員工知曉、仔細執(zhí)行相關法律政策規(guī)定，充分相識到個人金融

信息非法泄露和濫用對本機構及本人帶來的法律后果，提高風險

防范意識。

針對涉密技術人員，應當規(guī)定更為嚴格的信息平安保密義

務，并加強日常合規(guī)教化培訓，從學習教化層面引導技術人員做

好崗位履職和平安操作，強化技術人員信息愛護責隨意識。

10

第六章監(jiān)督管理

:帶格式的：字體：加粗

▲第三十七條銀行業(yè)金融機構發(fā)生個人金融信息泄露事務，.:帶格式的：縮進：首行縮進：2礪'

或發(fā)覺下級機構有違反個人金融信息愛護行為的，應當在事務發(fā)

生之日或發(fā)覺下級機構違規(guī)行為之日起7個工作日內(nèi)將相關狀

況及初步處理看法報告中國人民銀行當?shù)胤种C構，并追究有關

責任人的責任；涉嫌犯罪的，應剛好移送司法機關處理。

中國人民銀行分支機構在收到銀行業(yè)金融機構報告后，應W

視狀況予以處理，并逐級上報。

帶格式的：字體：加粗

▲