进行,避免在公众场合将客户个人金融信息暴露给其他人。
第十二条 银行业金融机构应当履行客户身份识别义务,准确录入客户信息,妥善保存客户填写资料原始凭证;客户资料发生变动时,应及时进行维护更新,保证收集的各项个人金融信息准确、完整。
第十三条 银行业金融机构使用个人金融信息时,应当符合收集该信息的目的;通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息,应当严格按照有关系统规定的用途使用。不得进行以下行为:
(一)出售个人金融信息;
(二)向本机构以外的其他机构和个人等第三方提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外;
(三)其他违法使用个人金融信息的行为。
第十四条 银行业金融机构利用个人金融信息进行客户二次开发、营销金融产品时,在客户明确表示拒绝接受营销的情况下,应当立即停止利用其个人金融信息营销。
第十五条 银行业金融机构不得将客户授权或同意其个人信息用于营销、对外提供等作为与客户建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或同意的除外。
第十六条 通过格式条款取得个人书面授权或同意的,应当在授权书或协议中明确该授权或同意所适用的向第三方提供个人金融信息的目的、范围、具体内容,以及客户的权利等。同时,
应当在协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果,并在客户签署协议时提醒其注意上述提示,为客户保障其权利提供必要的信息、途径和手段。
经客户同意或授权向第三方提供个人金融信息时,银行业金融机构应当明确告知第三方,非经客户同意,第三方不得将从银行业金融机构获得的个人金融信息进一步提供给其他第三方,法律法规另有规定的除外。
第十七条 银行业金融机构应推进个人金融信息的集中统一管理,并按最小操作权限原则,加强核心业务系统、客户关系系统等涉及客户个人金融信息的业务系统的权限控制,确保确需涉及个人金融信息的岗位其权限与职责相匹配,防止不相关部门、岗位和人员未经授权查询、泄露、损毁和篡改个人金融信息。
第十八条 办理业务过程产生的开户申请书、业务传票等涉及个人金融信息的业务资料,银行业金融机构应当确定专人保管、传递,严格限制接触客户信息人员范围,及时整理、装订、入库、归档,不得随意摆放,维护档案的安全完整。
第十九条 因工作需要调阅个人金融信息档案资料时,银行业金融机构应当严格履行审批手续,并留存审批和调阅记录,以备追溯。
第二十条 不须留存、归档的个人金融信息档案,银行业金融机构应当及时退还客户并取得客户收妥证明;不需退还且保管期限届满的,在符合法律法规规章和金融监管政策规定的情况下,应当及时销毁,销毁过程应全流程监控,不得随意放置、丢弃或作为废品销售。
银行业金融机构可根据业务资料的性质,合理确定个人金融信息档案资料保管期限。
第二十一条 银行业金融机构要加强离岗离行人员客户个人金融信息资料交接的管理,做到档案或资料交接全面和彻底,规范交接监督,防止个人金融信息被私自留存或擅自带出。
第二十二条 银行业金融机构应当加强柜面个人金融信息查询管理,规范查询本人、代理查询他人账户存款等个人金融信息的程序,审核对方有效身份证件或有关法律文书,防止个人金融信息泄露。
第二十三条 向司法部门、行政管理部门及其他有权机关提供涉及个人金融信息的材料时,银行业金融机构应当按照法律法规的相关规定,规范协助查询手续,审核对方真实身份和有关法律文书,切实保护客户个人金融信息。
第二十四条 银行业金融机构不得向境外提供在中国境内收集的个人金融信息,法律法规及中国人民银行另有规定的除外。
引进国外战略投资者、国外合作机构时,银行业金融机构应当对个人金融信息保护作特别约定。
第二十五条 银行业金融机构通过外包开展业务的,应当全面考察评估外包服务供应商的资质、信誉等,并将其保护个人金融信息的能力作为重要评估指标,审慎选择外包服务供应商。
第二十六条 银行业金融机构与外包服务供应商签订服务协议时,应明确其保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务,明确个人金融信息泄露的补救手段与责任追究,确保个人金融信息安全。
第二十七条 外包服务业务终止后,银行业金融机构应当监督外包服务供应商及时销毁因外包业务而获得的个人金融信息,销毁的个人金融信息在技术上应不可恢复。与外包服务供应商签订的保密协议(保密条款),应当明确约定外包服务供应商的保密义务不因外包服务的终止而终止。
第四章 技术防范
第二十八条 银行业金融机构开发金融业务系统,应逐步推进总行统一开发规划、分支机构系统开发分级授权审批制度。选择安全技术路线、开发产品时,应当关注技术路线、产品使用的安全性,避免出现片面强调客户体验、忽视风险防范的情形。
以外包方式进行业务系统开发、测试时,银行业金融机构应当对个人金融信息进行屏蔽、切片等技术处理。外包方需进入重要安全区域进行现场作业的,应履行审批手续,作业现场应当进行监控,电脑外接插口应当进行特殊处理,防止个人金融信息被间接泄露和非法使用。
银行业金融机构开发与人民银行对接的系统,应当提前将系统开发方案报人民银行当地分支机构。
银行业金融机构开发的金融业务系统,其前、后台均应置于境内。
第二十九条 银行业金融机构应当通过物理隔离、防火墙、入侵检测等方式进行严格的访问限制,加强网上银行接入、合作单位外联接入、互联网行内访问等的技术防范,做好日常检测,定期通过专业第三方测评等方式开展网上银行、手机银行等外联
