附件2:
江苏省银行业金融机构
客户个人金融信息保护工作指引(暂行)
第一章  总 则
第一条  为提高江苏省银行业金融机构客户个人金融信息保护工作水平保障银行业金融机构各项业务的正常开展,维护客户个人金融信息安全,保护个人敏感信息客户个人合法权益,提升银行业社会形象,根据《中国人民银行法》、《商业银行法》、《个人存款账户实名制规定》、《个人信用信息基础数据库管理暂行办法》等法律、法规和规章,以及《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等政策规定,制定本指引。
第二条  本指引所称客户个人金融信息,是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:
(一)个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、、婚姻状况、家庭状况、住所或工作单位地址及照片等;
(二)个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;
(三)个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等;
(四)个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息;
(五)个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;
(六)衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;
(七)开展业务过程中获取、保存、形成的其他个人信息。
第三条  银行业金融机构应当依照有关法律、法规、规章和金融监管部门政策规定,遵循目
的明确、公开透明、安全保障、知情同意、责任落实等基本原则,依法收集、加工、使用、存储、传输个人金融信息
银行业金融机构应当区分一般个人金融信息和敏感个人金融信息,实行分类区别保护。针对敏感个人金融信息,应实行更高的权限管理,采取更严格的管理措施。
前款所称敏感个人金融信息,是指可直接反映特定个人情况的信息。虽不能直接反映特定个人情况的一般个人金融信息,与敏感个人金融信息同时出现在同一介质,可能对个人人身和财产利益带来不利后果时,应视同敏感个人金融信息管理。
第四条  本指引适用于在江苏省内依法设立的从事金融业务的国有商业银行、股份制商业银行、城市商业银行、农村信用社(含农村商业银行、农村合作银行)、邮政储蓄银行等银行业金融机构。
第二章  管理体制和工作制度
第五条  银行业金融机构应当高度重视,把个人金融信息保护作为依法经营、风险防范的重要内容,纳入全面风险防控范畴,建立上下级机构联动、同级各部门协调配合的管理体制和
工作机制。
银行业法人机构、省级(区域)分行应当履行对辖区各级机构个人金融信息保护工作的管理职责,明确各级机构在个人金融信息保护方面的职责和工作重点,加强对下指导、检查、考核,逐步把个人金融信息保护工作纳入对下级机构的考核内容。
银行业金融机构应当有效整合内部资源,完善个人金融信息保护内部工作机制,明确风险控制、法律合规、零售、科技、运营等相关部门工作职责,并可根据本机构情况明确牵头部门扎口管理个人金融信息保护工作。
第六条  银行业金融机构应当根据法律法规规章和金融监管部门有关个人金融信息保护政策规定,完善内部工作制度,构建相互衔接、相互制约、全面有效的个人金融信息保护内控制度体系。
银行业金融机构应当建立全员性的员工行为准则、保密规定等个人信息保护工作制度,实现个人金融信息保护有关工作要求的全员覆盖。涉密岗位人员离岗离行的,应当通过书面承诺等方式,约定其对在行在岗期间知晓的个人金融信息的保密义务。
零售、运营、科技等相关部门应当对涉及信息收集、加工、使用、存储传输的岗位和环节,制定相应的条线规定,将个人金融信息保护有关工作要求贯穿到各个业务环节,明确操作规范,强化责任。
第七条  银行业金融机构建立个人金融信息保护工作的监督检查和责任追究制度。定期开展检查,强化对重点环节、重点人员的监督检查,形成检查评估报告,并向本单位最高经营管理层报告。对监督检查中发现的违规行为应当进行责任追究,督促落实整改,确保个人金融信息保护各项工作制度有效落实。
第八条  银行业金融机构应当建立良好、有效的客户投诉处理机制,明确工作流程,确保客户诉求能够及时有效处理。
第九条  银行业金融机构当完善个人金融信息保护应急处理机制,及时识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等突发事件制定应急预案,采取相应的预防和应对措施。
第三章  流程管理
第十条  银行业金融机构应当遵循目的明确、确切需要、客户知情同意原则收集个人金融信息,不得收集与业务无关的信息,不得在客户不知情、未参与的情况下采取非法、隐蔽、间接方式收集个人金融信息,法律、法规和规章另有规定的除外
第十一条  银行业金融机构通过与客户建立业务关系收集个人金融信息时,应当在相对封闭的环境中以“一对一”的方式进行,避免在公众场合将客户个人金融信息暴露给其他人。
第十二条  银行业金融机构应当履行客户身份识别义务,准确录入客户信息妥善保存客户填写资料原始凭证;客户资料发生变动时,应及时进行维护更新,保证收集的各项个人金融信息准确、完整
第十三条 银行业金融机构使用个人金融信息时,应当符合收集该信息的目的;通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息,应当严格按照有关系统规定的用途使用。不得进行以下行为:
(一)出售个人金融信息;
(二)向本机构以外的其他机构和个人等第三方提供个人金融信息,但为个人办理相关业务
所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外;
(三)其他违法使用个人金融信息的行为。