第一条 为提高XXX客户信息保护工作水平,保障各项业务的正常开展,维护个人客户信息安全,保护客户个人合法权益,提升我司社会形象,根据XXX、XXX等法律、法规和规章,以及XXX等政策规定,制定本管理办法。
第二条 本管理办法所称个人客户信息,是指XXX在开展业务时,获取、加工和保存的以下个人信息:
(一)个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、、婚姻状况、家庭状况、住所或工作单位地址及照片等;
(二)个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;
(三)个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息;
(四)个人金融交易信息;
(五)衍生信息,包括个人消费习惯等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;
(六)开展业务过程中获取、保存、形成的其他个人信息。
第三条 依照有关法律、法规、规章和XX监管部门政策规定,遵循目的明确、公开透明、安全保障、知情同意、责任落实等基本原则,依法收集、加工、使用、存储、传输个人客户信息。
区分一般个人客户信息和敏感个人客户信息,实行分类区别保护。针对敏感个人客户信息,实行更高的权限管理,采取更严格的管理措施。
第四条 前款所称敏感个人客户信息,是指可直接反映特定个人情况的信息。虽不能直接反映特定个人情况的一般个人客户信息,与敏感个人客户信息同时出现在同一介质可能对个人人身和财产利益带来不利后果时,应视同敏感个人客户信息管理。
第五条 明确由信息科技部牵头管理客户信息保护工作,并按照银监部门相关制度要求,加强信息科技第二、三道防线履职,由风险管理部负责信息科技风险管理,定期组织开展信息安
全专项风险评估,包括环境、用户、数据敏感性和外包等各要求,识别威胁客户信息安全的风险隐患,以及风险控制制度和措施的充分性;合规管理部应定期组织各部室及时梳理制度、流程,加强合规文件建设,开展合规检查,规范员工行为,加强客户信息安全领域的合规风险管理;审计稽核部应定期开展信息安全专项审计,加大审计频度和力度,全面识别风险隐患,督促问题整改。各部室要严格按照法律法规、制度要求,制定本专业的客户信息保护相关的制度、操作规程、行为准则、保密规定以及客户信息分类以及分类标准,并督导落实到位。
第六条 要高度重视客户信息管理工作,积极有效整合内部资源,完善个人客户信息保护内部工作机制,积极履行对本单位个人客户信息保护工作的管理职责,把个人客户信息保护作为依法经营、风险防范的重要内容,纳入全面风险防控范畴,明确风险控制、分级授权、重要岗位相互制约等风险防控措施。
第七条 要根据法律法规规章和XX监管部门有关个人客户信息保护政策规定,完善内部工作制度,构建相互衔接、相互制约、全面有效的个人客户信息保护内控制度体系。建立健全全员性的员工行为准则、保密规定等个人信息保护工作制度,实现个人客户信息保护有关工作
要求的全员覆盖。涉密岗位人员离岗离职的,要通过书面承诺等方式,约定其对在职在岗期间知晓的个人客户信息的保密义务。
制定本专业的客户信息分类与分级标准,明确不同等级信息的保护要求,对涉及信息收集、加工、使用、存储、传输的岗位和环节,制定相应的规定,将个人客户信息保护有关工作要求贯穿到各个业务环节,明确岗位权限和操作规程,强化责任。
第八条 要形成客户投诉处理管理办法,涵盖所有部门和所有业务;要建立良好、有效的客户投诉处理机制,明确工作流程,确保客户诉求能够及时有效处理。
第九条 完善个人客户信息保护应急处理机制,及时识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等突发事件制定应急预案,采取相应的预防和应对措施。
第十条 遵循目的明确、确切需要、客户知情同意原则收集个人客户信息,不得收集与业务无关的信息,不得在客户不知情、未参与的情况下,采取非法、隐蔽、间接方式收集个人客户信息,法律、法规和规章另有规定的除外。个人敏感信息
第十一条 通过与客户建立业务关系收集个人客户信息时,要在相对封闭的环境中以“一对一”的方式进行,避免在公众场合将个人客户信息暴露给其他人。
第十二条 履行客户身份识别义务,准确录入客户信息,妥善保存客户填写资料原始凭证;客户资料发生变动时,应及时进行维护更新,保证收集的各项个人客户信息准确、完整。
第十三条 使用个人客户信息时,要符合收集该信息的目的。不得进行以下行为:
(一)出售个人客户信息;
(二)向以外的其他机构和个人等第三方提供个人客户信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规规定的除外;
(三)其他违法使用个人客户信息的行为。
第十四条 要对具有访问客户敏感信息权限的账号进行梳理和核查,加强重点业务和重点岗位管理,遵循“权责对应”的原则,对具有访问客户敏感信息权限的系统账号实行实名制管理,明确责任人。要加强员工操作行为管控和审计,禁止违规查询、下载、复制、保存客户信息。
要制定落实涉及客户敏感信息的操作审批流程,建立健全用户管理、客户敏感信息访问和下载等行为的监督、审计制度。
第十五条 要加强能够访问客户信息的重点区域的安全管理,强化出入管理、视频监控管理,对于可能接触到敏感信息的重要操作,必须使用视频监控系统进行监控和记录。
第十六条 要切实加强计算机以及终端安全管理,及时安装系统补丁和更新防病毒等安全管理软件,并定期启动防病毒软件进行病毒查杀,禁止使用未经批准或授权的蓝牙、红外、调制解调器等外部设备。
第十七条 要加强移动存储设备管理,防止违规信息外发、拷贝等信息泄露行为,严禁涉密的移动存储设备在非涉密信息系统中使用。
第十八条 发生个人客户信息泄露事件,或发现有违反个人客户信息保护行为的,要在事件发生之日或发现违规行为之日起7个工作日内将相关情况及初步处理意见报告XX,并追究有关责任人的责任;涉嫌犯罪的,应及时移送司法机关处理。
第十九条 受理投诉、接到泄密事件报告、发现可能未履行个人客户信息保护义务的,要依法
进行核查,认定存在违反本管理办法,或存在其他未履行个人客户信息保护义务情形的,可采取以下处理措施:
(一)约见主要负责人谈话,要求说明情况;
(二)予以通报;
(三)建议对直接负责的高级管理人员和其他直接责任人员依法给予处分;
(四)涉嫌犯罪的,依法移交司法机关处理。
发布评论