江苏省银行业金融机构客户个人金融信息保护工作指引暂行完整版.docx
《江苏省银行业金融机构客户个人金融信息保护工作指引暂行完整版.docx》由会员分享,可在线阅读,更多相关《江苏省银行业金融机构客户个人金融信息保护工作指引暂行完整版.docx(9页珍藏版)》请在冰点文库上搜索。
江苏省银行业金融机构客户个人金融信息保护工作指引暂行完整版
附件2:
江苏省银行业金融机构
客户个人金融信息保护工作指引(暂行)
第一章总 则
第一条为提高江苏省银行业金融机构客户个人金融信息保护工作水平,保障银行业金融机构各项业务的正常开展,维护客户个人金融信息安全,保护客户个人合法权益,提升银行业社会形象,根据《中国人民银行法》、《商业银行法》、《个人存款账户实名制规定》、《个人信用信息基础数据库管理暂行办法》等法律、法规和规章,以及《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等政策规定,制定本指引。
第二条本指引所称客户个人金融信息,是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:
(一)个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等;
(二)个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;
(三)个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等;
(四)个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息;
(五)个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;
(六)衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;
(七)开展业务过程中获取、保存、形成的其他个人信息。
第三条银行业金融机构应当依照有关法律、法规、规章和金融监管部门政策规定,遵循目的明确、公开透明、安全保障、知情同意、责任落实等基本原则,依法收集、加工、使用、存储、传输个人金融信息。
银行业金融机构应当区分一般个人金融信息和敏感个人金融信息,实行分类区别保护。
针对敏感个人金融信息,应实行更高的权限管理,采取更严格的管理措施。
前款所称敏感个人金融信息,是指可直接反映特定个人情况的信息。
虽不能直接反映特定个人情况的一般个人金融信息,与敏感个人金融信息同时出现在同一介质,可能对个人人身和财产利益带来不利后果时,应视同敏感个人金融信息管理。
第四条本指引适用于在江苏省内依法设立的从事金融业务的国有商业银行、股份制商业银行、城市商业银行、农村信用社(含农村商业银行、农村合作银行)、邮政储蓄银行等银行业金融机构。
第二章管理体制和工作制度
第五条银行业金融机构应当高度重视,把个人金融信息保护作为依法经营、风险防范的重要内容,纳入全面风险防控范畴,建立上下级机构联动、同级各部门协调配合的管理体制和工作机制。
银行业法人机构、省级(区域)分行应当履行对辖区各级机构个人金融信息保护工作的管理职责,明确各级机构在个人金融信息保护方面的职责和工作重点,加强对下指导、检查、考核,逐步把个人金融信息保护工作纳入对下级机构的考核内容。
银行业金融机构应当有效整合内部资源,完善个人金融信息保护内部工作机制,明确风险控制、法律合规、零售、科技、运营等相关部门工作职责,并可根据本机构情况明确牵头部门扎口管理个人金融信息保护工作。
第六条银行业金融机构应当根据法律法规规章和金融监管部门有关个人金融信息保护政策规定,完善内部工作制度,构建相互衔接、相互制约、全面有效的个人金融信息保护内控制度体系。
银行业金融机构应当建立全员性的员工行为准则、保密规定等个人信息保护工作制度,实现个人金融信息保护有关工作要求的全员覆盖。
涉密岗位人员离岗离行的,应当通过书面承诺等方式,约定其对在行在岗期间知晓的个人金融信息的保密义务。
零售、运营、科技等相关部门应当对涉及信息收集、加工、使用、存储、传输的岗位和环节,制定相应的条线规定,将个人金融信息保护有关工作要求贯穿到各个业务环节,明确操作规范,强化责任。
第七条银行业金融机构应当建立个人金融信息保护工作的监督检查和责任追究制度。
定期开展检查,强化对重点环节、重点人员的监督检查,形成检查评估报告,并向本单位最高经营管理层报告。
对监督检查中发现的违规行为应当进行责任追究,督促落实整改,确保个人金融信息保护各项工作制度有效落实。
第八条银行业金融机构应当建立良好、有效的客户投诉处理机制,明确工作流程,确保客户诉求能够及时有效处理。
第九条银行业金融机构应当完善个人金融信息保护应急处理机制,及时识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等突发事件制定应急预案,采取相应的预防和应对措施。
第三章流程管理
第十条银行业金融机构应当遵循目的明确、确切需要、客户知情同意原则收集个人金融信息,不得收集与业务无关的信息,不得在客户不知情、未参与的情况下,采取非法、隐蔽、间接方式收集个人金融信息,法律、法规和规章另有规定的除外。
第十一条银行业金融机构通过与客户建立业务关系收集个人金融信息时,应当在相对封闭的环境中以“一对一”的方式进行,避免在公众场合将客户个人金融信息暴露给其他人。
第十二条银行业金融机构应当履行客户身份识别义务,准确录入客户信息,妥善保存客户填写资料原始凭证;客户资料发生变动时,应及时进行维护更新,保证收集的各项个人金融信息准确、完整。
第十三条银行业金融机构使用个人金融信息时,应当符合收集该信息的目的;通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息,应当严格按照有关系统规定的用途使用。
不得进行以下行为:
(一)出售个人金融信息;
(二)向本机构以外的其他机构和个人等第三方提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外;
(三)其他违法使用个人金融信息的行为。
第十四条银行业金融机构利用个人金融信息进行客户二次开发、营销金融产品时,在客户明确表示拒绝接受营销的情况下,应当立即停止利用其个人金融信息营销。
第十五条银行业金融机构不得将客户授权或同意其个人信息用于营销、对外提供等作为与客户建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或同意的除外。
第十六条通过格式条款取得个人书面授权或同意的,应当在授权书或协议中明确该授权或同意所适用的向第三方提供个人金融信息的目的、范围、具体内容,以及客户的权利等。
同时,应当在协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果,并在客户签署协议时提醒其注意上述提示,为客户保障其权利提供必要的信息、途径和手段。
经客户同意或授权向第三方提供个人金融信息时,银行业金融机构应当明确告知第三方,非经客户同意,第三方不得将从银行业金融机构获得的个人金融信息进一步提供给其他第三方,法律法规另有规定的除外。
第十七条银行业金融机构应推进个人金融信息的集中统一管理,并按最小操作权限原则,加强核心业务系统、客户关系系统等涉及客户个人金融信息的业务系统的权限控制,确保确需涉及个人金融信息的岗位其权限与职责相匹配,防止不相关部门、岗位和人员XX查询、泄露、损毁和篡改个人金融信息。
第十八条办理业务过程产生的开户申请书、业务传票等涉及个人金融信息的业务资料,银行业金融机构应当确定专人保管、传递,严格限制接触客户信息人员范围,及时整理、装订、入库、归档,不得随意摆放,维护档案的安全完整。
第十九条因工作需要调阅个人金融信息档案资料时,银行业金融机构应当严格履行审批手续,并留存审批和调阅记录,以备追溯。
第二十条不须留存、归档的个人金融信息档案,银行业金融机构应当及时退还客户并取得客户收妥证明;不需退还且保管期限届满的,在符合法律法规规章和金融监管政策规定的情况下,应当及时销毁,销毁过程应全流程监控,不得随意放置、丢弃或作为废品销售。
银行业金融机构可根据业务资料的性质,合理确定个人金融信息档案资料保管期限。
第二十一条银行业金融机构要加强离岗离行人员客户个人金融信息资料交接的管理,做到档案或资料交接全面和彻底,规范交接监督,防止个人金融信息被私自留存或擅自带出。
第二十二条银行业金融机构应当加强柜面个人金融信息查询管理,规范查询本人、代理查询他人账户存款等个人金融信息的程序,审核对方有效身份证件或有关法律文书,防止个人金融信息泄露。
第二十三条向司法部门、行政管理部门及其他有权机关提供涉及个人金融信息的材料时,银行业金融机构应当按照法律法规的相关规定,规范协助查询手续,审核对方真实身份和有关法律文书,切实保护客户个人金融信息。
第二十四条银行业金融机构不得向境外提供在中国境内收集的个人金融信息,法律法规及中国人民银行另有规定的除外。
引进国外战略投资者、国外合作机构时,银行业金融机构应当对个人金融信息保护作特别约定。
第二十五条银行业金融机构通过外包开展业务的,应当全面考察评估外包服务供应商的资质、信誉等,并将其保护个人金融信息的能力作为重要评估指标,审慎选择外包服务供应商。
第二十六条银行业金融机构与外包服务供应商签订服务协议时,应明确其保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务,明确个人金融信息泄露的补救手段与责任追究,确保个人金融信息安全。
第二十七条外包服务业务终止后,银行业金融机构应当监督外包服务供应商及时销毁因外包业务而获得的个人金融信息,销毁的个人金融信息在技术上应不可恢复。
与外包服务供应商签订的保密协议(保密条款),应当明确约定外包服务供应商的保密义务不因外包服务的终止而终止。
第四章技术防范
第二十八条银行业金融机构开发金融业务系统,应逐步推进总行统一开发规划、分支机构系统开发分级授权审批制度。
选择安全技术路线、开发产品时,应当关注技术路线、产品使用的安全性,避免出现片面强调客户体验、忽视风险防范的情形。
以外包方式进行业务系统开发、测试时,银行业金融机构应当对个人金融信息进行屏蔽、切片等技术处理。
外包方需进入重要安全区域进行现场作业的,应履行审批手续,作业现场应当进行监控,电脑外接插口应当进行特殊处理,防止个人金融信息被间接泄露和非法使用。
银行业金融机构开发与人民银行对接的系统,应当提前将系统开发方案报人民银行当地分支机构。
银行业金融机构开发的金融业务系统,其前、后台均应置于境内。
第二十九条银行业金融机构应当通过物理隔离、防火墙、入侵检测等方式进行严格的访问限制,加强网上银行接入、合作单位外联接入、互联网行内访问等的技术防范,做好日常检测,定期通过专业第三方测评等方式开展网上银行、手机银行等外联业务系统的安全认证,杜绝外部非法入侵窃取个人金融信息。
第三十条银行业金融机构应当通过分级授权、日志记录、敏感信息屏蔽、关键数据加密等手段,加强个人金融信息的访问控制;应当通过封闭专用网络、视频监控等方式,加强信息加工环节管理,防范信息篡改和流失风险;应当加强电脑设备外接插口、移动存储介质、数据下载控制管理,通过业务网和办公网逻辑或物理隔离、外发邮件安全审计等方式,切断内部各类信息外泄途径。
第三十一条银行业金融机构应当加强涉及个人金融信息的各类业务系统的安全管理,完善用户、口令管理制度,明确管理员用户、数据上报用户和信息查询用户的职责及操作规程。
各类用户应专人专用,不得互相兼任,更不得设置“公共用户”。
各类用户应科学设置、妥善保管、定期更新用户密码。
应当定期对各类系统用户口令控制执行情况进行检查,并对违反规定的用户及时予以停用。
第三十二条以电子信息方式向金融监管部门、司法部门等外部单位提供涉及个人金融信息的数据时,应当通过特定渠道或专门系统进行报送;无特定渠道或专门系统的,应经数据保管、风控、科技等相关部门审核,并对信息进行加密等技术处理,确保个人金融信息安全。
第五章人员管理与教育培训
第三十三条银行业金融机构应当强化员工准入管理,涉及个人金融信息的核心岗位人员,录用前应加强对其从业经历、个人品行等方面的考察,把好员工准入关口。
第三十四条银行业金融机构应当加强外包服务人员管理,建立外包服务人员档案制度。
对外包服务人员,应进行必要的宣传、监督和评审,使其知晓在提供外包服务中的信息保护责任。
第三十五条银行业金融机构应当加强员工教育培训,将个人金融信息保护相关知识培训纳入本机构培训计划,围绕相关法律法规和规章,金融监管部门有关个人金融信息保护相关规定,以及本机构员工行为准则、职业操守等内容,广泛开展教育培训。
第三十六条银行业金融机构应当针对不同对象,确定不同培训重点和方式,提高培训的实效性。
针对新员工、涉及个人金融信息的相关业务经办人员和业务系统操作人员等人员,上岗前应当开展含有个人金融信息规范收集、使用与保密等内容的培训和考试,并规定相应的保密义务,使员工知晓、认真执行相关法律政策规定,充分认识到个人金融信息非法泄露和滥用对本机构及本人带来的法律后果,提高风险防范意识。
针对涉密技术人员,应当规定更为严格的信息安全保密义务,并加强日常合规教育培训,从学习教育层面引导技术人员做好岗位履职和安全操作,强化技术人员信息保护责任意识。
第六章监督管理
第三十七条银行业金融机构发生个人金融信息泄露事件,或发现下级机构有违反个人金融信息保护行为的,应当在事件发生之日或发现下级机构违规行为之日起7个工作日内将相关情况及初步处理意见报告中国人民银行当地分支机构,并追究有关责任人的责任;涉嫌犯罪的,应及时移送司法机关处理。
中国人民银行分支机构在收到银行业金融机构报告后,应当视情况予以处理,并逐级上报。
第三十八条中国人民银行受理投诉、接到银行业金融机构泄密事件报告、发现银行业金融机构可能未履行个人金融信息保护义务的,可依法进行核查,认定银行业金融机构存在违反本指引规定,或存在其他未履行个人金融信息保护义务情形的,可采取以下处理措施:
(一)约见其高管人员谈话,要求说明情况;
(二)责令银行业金融机构限期整改;
(三)在金融系统内予以通报;
(四)建议银行业金融机构对直接负责的高级管理人员和其他直接责任人员依法给予处分;
(五)涉嫌犯罪的,依法移交司法机关处理。
第三十九条银行业金融机构违反规定通过中国人民银行征信系统、支付系统以及其他系统查询或滥用个人金融信息的,中国人民银行及其地市中心支行以上分支机构可按照本指引第三十八条及其他相关规定予以处理。
银行业金融机构违法情节严重或拒不改正的,中国人民银行可决定暂停其使用,或禁止其新设分支机构接入上述系统。
第七章附则
第四十条人民银行南京分行各分支行可以根据本指引制订本辖区个人金融信息保护工作实施细则。
第四十一条本指引与相关法律、法规、规章等相冲突的,以相关法律、法规、规章为准。
第四十二条本指引由中国人民银行南京分行负责解释。
第四十三条本指引自印发之日起施行。
升级会员 