XX银行个人金融信息保护管理办法.docx

XX银行个人金融信息保护管理办法第一章总则第一条为提高个人金融信息保护工作水平，保护客户个人合法权益，根据中华人民共和国中国人民银行法中华人民共和国商业银行法个人存款账户实名制规定征信业管理条例个人信用信息基础数据库管理暂行办法等法律法规，以及有关监管规定，制定本办法。第二条本办法所称个人金融信息系指本行在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其它系统获取、加工和保存的以下个人客户信息：（一）个人身份信息。包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等。（二）个人财产信息。包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等。（三）个人账户信息。包括账号、账户开立时间、开户行、账户余额、账户交易情况等。（四）个人信用信息。包括信用卡还款情况、贷款偿还情况,以及个人在经济活动中形成，能够反映其信用状况的其他信息；（五）个人金融交易信息。包括本行在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息，和客户在通过本行与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等。（六）衍生信息。包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息。（七）开展业务过程中获取、保存、形成的其他个人信息。第三条本行在开展业务时，应当妥善保护好客户个人信息和隐私，防止信息泄露和滥用，全行各级机构和员工均有保护客户个人金融信息的法定义务。第四条各级机构应按照法律法规、监管规定以及本行制度开展工作，加强沟通和配合，共同提升个人金融信息保护工作的管理水平，切实维护客户的合法权益。第二章职责分工第五条总行部门个人金融信息保护工作职责（一）内控合规部作为个人金融信息保护工作的归口管理部门,主要负责个人金融信息保护工作的统筹管理、沟通协调以及监督工作。（二）运营管理部负责柜面个人金融信息建立、修改、维护、查询、保存等环节的日常监督、培训检查及相关管理工作，负责个人金融信息投诉和异议处理工作，组织开展客户投诉及异议的演练等相关工作。（三）零售业务管理部负责理财业务、个贷业务、银行卡业务等涉及零售条线个人金融信息保护的相关管理工作。（四）风险管理部负责制定并完善个人征信业务和个人信用信息基础数据库查询适用的管理制度和操作规程、个人信用报告异议信息处理制度，规范个人金融信息的采集、查询、贷后管理和异议处理等工作。（五）信息科技部负责个人金融信息保护工作的技术防范，主要负责查询权限、密钥等金融信息安全管理，制定和完善数据库操作规程，加强个人金融信息保护存储介质管理等。（六）监察室负责个人金融信息保护工作的员工履职承诺管理,以及相关违规违法行为的问责处理。（七）人力资源部负责制定和完善有关劳动合同涉密信息要求、员工保密义务等制度规定，负责与个人金融信息保护相关的员工准入、考核、培训等工作。（八）其他部门负责涉及本条线或本专业范围内的个人金融信息保护的制度建立、日常监督、检查培训、系统建设及相关管理工作。第六条分行个人金融信息保护工作的部门职责可参照总行各部门职责，并结合本机构实际情况确定。第七条支行应根据职能分工和岗位实际，负责落实和执行本网点个人金融信息保护各项工作，形成相互衔接、相互制约、全面有效的个人金融信息保护工作机制。第三章管理内容第八条个人金融信息收集收集个人金融信息时，应当遵循合法、合理原则，不得收集与业务无关的信息或采取不正当方式收集信息；应当在相对封闭环境中以“一对一”的方式进行，避免在公众场合将客户个人金融信息暴露给其他人。履行客户身份识别义务，准确录入客户信息，妥善保存客户填写资料原始凭证；客户资料发生变动时，应及时进行维护更新，保证收集的各项个人金融信息准确、完整。第九条个人金融信息使用不得篡改、违法使用个人金融信息。在使用个人金融信息时,应当符合收集该信息的目的，不得进行以下行为：（一）出售个人金融信息；（二）向本行以外的其他机构和个人提供个人金融信息，但为个人办理相关业务所必需并经个人书面授权或同意的，以及法律法规和中国人民银行另有规定的除外；（三）在个人提出反对的情况下，将个人金融信息用于产生该信息以外的本行其它营销活动；（四）违法使用个人金融信息的其它行为。通过接入中国人民银行征信系统、支付系统以及其它系统获取的个人金融信息，应当严格按照有关系统规定的用途使用，不得违反规定查询和滥用。不得将客户授权或同意将其个人信息用于营销、对外提供等作为与客户建立业务关系的先决条件，但该业务关系的性质决定需要预先作出相关授权或同意的除外。通过格式条款取得客户书面授权或同意的，应当在授权书或协议中明确该授权或同意所适用的向第三方提供个人金融信息的目的、范围、具体内容以及客户的权利等。同时，应当在协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果，并在客户签署协议时提醒其注意上述提示，为客户保障其权利提供必要的信息、途径和手段。经客户同意或授权向第三方提供个人金融信息时，应当明确告知第三方，非经客户同意，第三方不得将从本行获得的个人金融信息进一步提供给其他第三方，法律法规另有规定的除外。第十条个人金融信息保管开户申请书、业务传票等涉及个人金融信息的业务资料，应当确定专人保管、传递，严格限制接触客户信息人员范围，及时整理、装订、入库、归档，不得随意摆放，需维护档案的安全完整。调阅个人金融信息档案资料时，应当严格履行审批手续，并留存审批和调阅记录，以备追溯。不需留存、归档的个人金融信息档案，应当及时退还客户并取得客户的收妥证明；不需退还且保管期限届满的，在符合法律法规和金融监管政策规定的情况下，应当及时销毁，销毁过程应全流程监控，不得随意放置、丢弃或作为废品销售。可根据业务资料的性质，合理确定个人金融信息档案资料的保管期限。加强离岗离行人员有关客户个人金融信息资料交接的管理，做到对档案或资料进行全面、彻底地交接，规范交接监督，防止私自留存或擅自带出。第十一条个人金融信息查询加强个人金融信息查询管理，规范查询本人、代理查询他人个人金融信息的程序，审核查询方有效身份证明文件或有关法律文书，防止个人金融信息泄露。向司法部门、行政管理部门及其他有权机关提供涉及个人金融信息的材料时，应当按照法律法规的相关规定，规范协助查询手续，审核查询方有效身份证明文件和有关法律文书，切实保护客户个人金融信息。第十二条外包服务及其他通过外包开展业务的，应当充分审查、评估外包服务供应商的资质、信誉等，并将其保护个人金融信息的能力作为重要评估指标，审慎选择外包服务供应商。与外包服务供应商签订服务协议时，应明确其保护个人金融信息的职责和保密义务，并采取必要措施保证外包服务供应商履行上述职责和义务，确保个人金融信息安全。外包服务业务终止后，应当监督外包服务供应商及时销毁因外包业务而获得的个人金融信息，销毁的个人金融信息在技术上应不可恢复。与外包服务供应商签订的保密协议（保密条款），应当明确约定外包服务供应商的保密义务不因外包服务的终止而终止。在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行，不得向境外提供在中国境内收集的个人金融信息，法律法规及中国人民银行另有规定的除外。引进国外战略投资者、国外合作机构时，应当对个人金融信息保护作特别约定。第四章监督管理第十三条各级机构应当强化员工的岗位管理，加强个人金融信息保护培训和保密教育;对于涉及个人金融信息核心岗位人员，录用前应加强对其从业经历、个人品行等方面的考察。第十四条各级机构应当加强外包服务人员管理，建立外包服务人员档案制度，对外包服务人员应进行必要的培训和监督，使其知晓在提供外包服务中的个人金融信息保护责任。第十五条各级机构和员工发现相关单位和个人有违反个人金融信息保护法律法规或相关规定行为的，应当向本级行内控合规部门和纪检监察部门报告。第十六条对于违规问题，各级行内控合规部门依照本行有关制度规定进行处理；涉及疑难复杂事件的，移交纪检监察部门进行查处；构成犯罪的，移交司法机关处理。第五章附则第十七条本办法由总行内控合规部负责解释和修订。第十八条本办法自发文之日起执行。