![[金融,个人,信息]个人金融信息保护工作实践与探索](https://img.doczj.com/imge0/1q9wymj4iy5j05om1vvufy7viti4b2uv-01.webp)
![[金融,个人,信息]个人金融信息保护工作实践与探索](https://img.doczj.com/imge0/1q9wymj4iy5j05om1vvufy7viti4b2uv-f2.webp)
个人金融信息保护工作实践与探索
摘要:个人金融信息保护工作是金融机构尊重和保护客户隐私权的重要体现,更是维护
金融业良好声誉,促进金融业长期稳定发展的重要保障。本文立足于基层在个人金融信息保护工作方面的具体实践,深入分析当前个人金融保护工作面临问题,在借鉴国外先进经验基础上,提出完善和加强个人金融信息保护工作的建议。
关键词:个人金融信息保护;国外经验借鉴;实践探索
在当前金融业虚拟化和网络化程度不断提升的背景下,个人金融信息蕴含的商业价值被深度开发,出现了一些不当和非法使用个人金融信息谋利的行为,在对个人财产、名誉、信息等权益造成侵害的同时,也对正常的金融秩序带来了冲击和负面影响。本文立足于基层在个人金融信息保护工作方面的具体实践,深入分析当前个人金融保护工作面临突出问题,在借鉴国外先进经验基础上,提出完善和加强个人金融信息保护工作的建议。
一、个人金融信息保护工作国外经验
个人金融信息是个人在进行金融交易时向金融机构提供的个人资料以及在金融机构内储存的相关金融交易记录。个人金融信息体现的是一般人格利益、隐私利益,是一项基本人权,一旦泄露或失实就会损害个人信息主体的基本权利和自由,个人金融信息可能成为电信诈骗的“原材料”,也为冒名办理信用卡套现、复制银行卡盗取资金提供了便利,滋生的大量垃圾信息也打扰了个人的正常生活,对消费者的信用、财产安全和正常生活的权利造成了极大损害。个人金融信息主要通过金融机构、商户及支付服务机构、不法分子非法入侵三种渠道泄露,这其中既有金融机构为牟取利益而主动向第三方透漏,也有因监管缺位导致内部人员作案和服务外包商越权接触引发个人金融信息泄露,从数据统计看,内部作案占到信息泄露案件的70%-80%。
当前世界各国普遍形成了把个人金融信息保护权利作为人权理念中的重要内容加以保护的共识,个人金融信息保护已成为金融领域保障公民基本人权的需要和具体体现,各国依据本国的社会价值观和立法理念逐步形成了各具特色的个人金融信息保护做法和经验。
(一)采取统一立法对客户信息进行综合保护。欧盟通过制定统一的《个人数据处理和自由流动保护指令》数据保护法来保护个人资料的安全,把包括个人金融信息在内的一切信息统称为个人数据,明确个人数据处理的一般原则、数据主体权利、向第三国传输个人数据规则、司法救济和监管机构,通过统一立法,旨在实现全盟范围内数据的最低限度保护和数据流通。欧洲各国普遍注重对个人金融信息的保护。如英国规定收集个人信息只能经个人同意,不得采取欺骗手段获得,采集的个人信息只能用于合法目的,使用与披露个人信息应与本人无利害冲突,对于遗失、毁损或未经许可透露用户信息的,数据拥有主体有权要求赔偿;法国规定了保密信息的种类及披露责任,持有人约束与信息分享人约束,金
融机构不得向代理人、客户继承人主张职业保密,并主张以惯例为依据。
(二)分行业分领域对客户隐私权进行专门保护。美国将金融隐私权作为一项独立的法定权利而存在,按照不同行业对金融隐私权分别予以保护,银行业主要是以联邦法律保护隐私权,而保险业主要是以州法律保护隐私权。美国就个人金融信息保护陆续推出了《银行保密法》、《金融隐私权法》、《金融服务现代化法》、《公平正确信用交易法》和《消费者财务隐私保密最终规则》等大量法律。当金融隐私权与政府知情权发生冲突时,美国法律以公共利益优先、权利协调以及最大限度保护人格尊严为原则。同时美国对于信息的二次使用明确了“选择退出”的规定,即获取消费者信用报告的金融机构可以用信用文件中的信息作为主动提供新产品或发送服务广告的依据,但消费者只要通过简单程序要求金融机构将自己的资料从有关名单中删除,以后金融机构就不能再寄送广告。这一制度使信息共享与隐私权保护的矛盾得以平衡,实现了个人隐私权保护下最大限度的信息共享。
(三)采取基本法+特别法+行业自律的综合保护模式。日本现行的个人信息保护制度,形式上接近与欧盟的立法模式。其出台的《个人信息保护法》是个人信息保护领域的基本法,该法对公共机构及非公共机构采取统一的立法模式。而在该基本法的框架下,日本对个人金融信息的保护又制定了相应的特别法。同时,还鼓励金融行业的行业自律,并引进了各种民间性的纠纷解决机制。总体上看,日本对个人信息保护的立法模式主要试图在保护个人信息权益与保障信息流通之间寻求平衡。
二、我国个人金融信息保护工作现状及实践
总体上看,我国现行保护模式只是把信息保护权利作为个人名誉权进行间接保护,保护法规零散、笼统,覆盖面较窄,缺乏具体的可操作性,立法层级也偏低,以行政法规和部门规章保护为主,缺乏基本法层面的保护,权威性不高,相关主体在个人金融信息收集、处理、传递、使用、销毁以及救济等方面无明确操作标准可依,个人金融信息保护工作与发达国家相比还存在较大差距。(二)基层实践。近年来,辖区基层金融机构把个人金融
信息保护工作作为依法经营、风险防范的重要内容,围绕构建有效的制衡机制、加强环节流程管控、强化技术防控措施、加强员工保密安全教育等方面,结合各自优势采取行之有效的措施,切实防范和杜绝个人金融信息泄露和不当使用的行为,取得了积极效果。
一是健全完善内控机制。工商银行成立了由行长担任组长的客户个人金融信息保护工作领导小组,统筹协调个人金融信息保护工作,指定专职部门牵头管理,形成了上下联动、纵横协调的工作机制。建立了全员性信息保密管理规定以及监督责任追究制度,零售、运营、科技等业务部门按照保护要求对涉及信息收集、加工、使用、存储、传输等环节分条线制定相应规定,层层签订保密承诺书,明确保密责任和义务,实现了客户个人金融信息保护要求的全员覆盖,定期开展内部稽核检查,评估安全风险隐患,严肃查处违规行为并进行责任追究,确保各项制度要求严格落实。建立了包括电话银行、网上银行和营业网点等在内的多渠道投诉管理体系,及时有效地处置客户投诉,畅通客户救济保护渠道。
二是加强环节流程管控。农业银行在信息征集阶段,详细向客户说明信息征集的用途和使用范围,在涉及二次营销和需向第三方提供信息时事先必须征得客户同意授权,无授权不能办理或开通相关业务,业务办理中严格履行客户身份识别义务,准确录入客户信息、客户资料变更时及时更新维护,并妥善保存客户信息资料原始凭证;在信息使用阶段,全部
采用系统授权,实行岗位权限与职责相匹配的最小权限操作,防止不相关部门和岗位人员查询、泄露、损毁和篡改个人金融信息;在信息存储、传输阶段,采取了客户业务资料集
中存放、集中管理的方式,网点柜员当日将所有客户资料扫描后上传至省分行资料中心,并将纸质资料封存寄出,由省分行统一保管、统一授权查询使用;在信息调阅查询时,对
内严格按照使用部门申请-主管行领导审批-省分行资料中心查证授权的模式进行审批,对外只配合有法定权限的执法部门进行调阅查询,先由执法部门提供相应法律文件,经查证核实并逐级报审后可调阅查询,并留存法律文件原件及审批调阅记录,以备追溯。
三是强化技术防控措施。建设银行通过物理隔离、防火墙、入侵检测等方式进行严格的访问限制,做好网上银行、合作单位外联接入、互联网行内访问的技术防范和日常检测工作,定期开展网上银行、手机银行等外联业务系统的安全认证,有效防范外部非法入侵窃取个人金融信息。通过分级授权、日志记录、敏感信息屏蔽、关键数据加密、建立违规操作信息系统安全预警机制等手段,严格对数据信息查询、使用进行访问控制。通过由后台监控中心对柜面及自助设备进行实时监控,强化信息加工环节管控,防范信息篡改和流失风险。通过严格控制电脑设备外接插口、移动存储介质使用,物理隔离城市金融网与办公网络,有效堵塞信息外泄漏洞。严格执行各项业务系统用户安全管理制度,科学设置、妥善保管并定期更新用户密码,保证各项业务系统安全运行。
四是加强员工保密安全教育。邮政储蓄银行把保密安全教育纳入年度员工培训计划,围绕个人金融信息保护规定、本行员工行为准则、职业操守等内容,通过警示教育、专题学习、会议强调等形式,加强对保护客户个人金融信息重要性的解读和宣传,同时把个人金融信息保护操作规范纳入新上岗人员上岗前必考内容,教育引导员工充分认识个人金融信息泄露和不当使用对本机构及本人带来的法律后果,提高员工的保密责任意识和风险防范意识。并通过晨会和周例会端正规范员工的言行举止,防止员工在营销和日常生活中泄露客户信息,专门制定了《员工行为排查管理办法》对员工日常行为进行全方位排查,防止内部员工接触不法分子,泄露客户个人金融信息。
三、个人金融信息保护工作中面临的问题
(一)法制建设严重滞后。一是缺乏法律保障。目前我国还没有把个人信息作为隐私权而赋予独立的法定保护权利,缺失专门的《个人信息保护法》,导致个人信息主体的权利定位难以明确,个人信息保护工作无法可依。二是权责不对等。现行法律规章中仅从保密角度明确了金融机构对个人金融信息负有保密义务,而对哪些个人金融信息属于保密义务、出现侵害时金融机构和侵害方应承担的责任和赔偿义务却没有明确,导致权责不对等,可能造成金融机构不尽职、少尽职等行为的发生。三是行政法责任缺失。目前我国对未构成刑事犯罪的个人金融信息侵害行为没有直接适用的行政法罚则,导致金融监管部门对银行违规泄漏客户信息的行为只能依靠“核实、约见谈话、责令整改、通报“等柔性处理措施进行“软约束”,行政约束和制约力不足。四是救济保护措施不足。我国对个人金融信息侵害行为的民事赔偿责任部分缺乏规定或是规定得过于抽象,当事人在权利遭到侵害时缺乏完善的救济措施。
(二)金融机构内控建设仍需加强。一是保护机制不健全。大多数金融机构的个人金融信息保护相关制度主要分散于各类业务管理制度中,没有形成体系化,制度之间缺少衔接性,使得制度体系还不能完全实现对个人信息采集、使用、保管、销毁的所有环节的无缝覆盖。二是内控管理仍有薄弱环节。主要表现在没有形成体系化的个人信息管理组织架构,个人信息保护职能分散在不同的管理条线内,难以对个人信息实现有效地保护;涉及个人信息
保护的专项、全面检查少,内部监督检查力度偏弱;信息查询审计跟踪能力不足,缺乏对
信息调阅查询等行为以及信息交接过程的记录,难于跟踪个人信息使用的过程。三是信息系统建设管理还不完善。当前,金融机构普遍未对各业务系统存储的个人金融信息实施整合管理,各业务系统中的信息互为孤岛,既不利于信息资源的有效利用,也不利于信息的统一保护。
(三)外部监督管理存在缺失。一是监管部门不明确。《中国人民银行法》、《商业银行法》、《银行业监督管理法》等法律法规没有明确规定商业银行个人客户信息保护工作的监督管理部门。目前,虽一直致力于推进个人金融信息保护工作,但由于缺乏明确地法律支持,对个人金融信息保护履行监管职责的范围和手段受到限制,保护效果不明显。二是现有监管制度的全面性和操作性不强。现行监管法规仅针对储蓄存款业务、电子银行业务、信用卡业务等领域的客户个人信息保护作出个别规定,无法覆盖金融机构所有业务,同时原则性规定较多,多数只规定保护的基本原则,缺乏具体条款,可操作性不强。(四)
信息主体自我保护意识有待加强。一方面,金融机构在日常业务和宣传活动中对个人金融信息保护的普及工作还不到位,表现在金融机构在履行客户告知义务和提示风险方面存在不告知或少告知的现象,面向社会公众开展的宣传教育力度相对不足;另一方面,金融机
构客户层次有差异,部分客户风险防范意识较弱,对个人信息的重要性认识不足,缺乏个人信息保护的风险防范意识,向不法分子泄露了个人信息,导致资金受损。
四、推进个人金融信息保护工作的政策建议
(一)完善和加强法制建设。一是明晰法制保护思路。考虑到我国现有国情,采用一步到位的综合立法监管模式条件还不成熟,应采取循序渐进方式在不同发展时期采取不同的监管模式,在初期,应采取分业保护为主,行业自律为辅的监管模式,在中远期应采取立法规制、综合保护为主,行业自律为辅的监管模式。二是健全完善法律保护体系。适时制定出台《个人信息保护法》,作为个人信息保护的基本法,明确个人信息的法律性质、立法宗旨、基本原则、信息主体对本人信息享有的权利、侵犯个人信息权利的救济等重要问题,搭建起个人金融信息保护法律框架。鉴于目前个人信息保护基本法出台难度较大,建议先由国务院制定《个人金融信息保护条例》,明确个人金融信息保护的基本原则、内容范围、主体权利、法律责任、监督管理等主要内容,再由金融监管部门依据条例制定个人信息保护部门规章,对客户个人信息的采集、使用、保密及保密例外、监督处罚等环节做出详细明确地规定,作为个人金融信息保护法律体系的有益补充,最终形成基本法加特殊法加部门规章的一套成熟的个人金融信息保护模式。三是建立民事赔偿制度。对因金融机构或其工作人员违反守秘义务侵犯客户金融隐私权造成损害的但不构成犯罪的,应给予民事赔偿和救济,并由金融监管部门给予涉案金融机构行政处罚,畅通客户个人金融信息保护救济渠道。
(二)加强金融机构内部管理。一是健全完善内控机制。金融机构要突出事前预防的理念,适时完善客户个人信息管理的规章制度,细化操作流程,对纸质和电子信息实行集中统一管理,定期对信息安全状况进行评估、审计和检查监督,及时发现和纠正客户信息管理工作中的隐患和漏洞。二是完善信息系统建设与管理。进一步整合信息系统,真正实现由“以账户为中心”向“以客户为中心”的转变,为实现个人信息统一保护管理奠定基础。同时还要综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,有效防范来自于外部的攻击,确保信息系统安全。三是加强员工管理。严格遵守“为客户保密”的原则;把保密教育纳入员工培训必学必考内容,让保密教育入心入脑,不断增强员工的保密和法律意识。加强对业务外包单位及合作单位工作人员的管理,采取措施防范和避免其利用工作之便接触客户信息,及时堵塞风险漏洞,消除风险隐患。
(三)强化外部监督管理效力。一是明确监管部门。鉴于目前金融业分业监管的现实,为更好地推进个人金融信息保护工作落实,应建立个人金融信息跨部门监管协作机制,并明确一个部门作为牵头监管机构,其他监管部门作为协助机构,共同开展对个人金融信息保护工作的监督管理,有效降低监管成本,提升监管效果。二是依托金融机构行业自律组织,建立金融客户个人信息保护的规范和标准,促进金融机构个人信息保护工作的体制机制的形成,通过行业自律更好地保护个人信息。
(四)提升信息主体的风险防范意识。一方面金融机构要建立个人金融信息保护宣传长效机制,在日常业务办理中,主动向客户提示存在的金融信息风险,提醒客户注意保护自己的信息安全;在开展金融知识宣传中,加强对个人金融信息相关法规、制度的宣传深度,
增强社会公众自我保护意识和风险防范能力,营造良好的金融消费环境。另一方面客户本人也要充分认识到自身金融信息的价值,培养良好的金融服务使用习惯,谨慎使用信用卡,不向无关人员透漏或出卖自己的信息特别是金融信息,切实提高自我防范和保护意识。
个人金融信息保护自查 报告 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】
X X支行个人金融信息保护自查报告 根据《中国人民银行毕节市中心支行办公室关于下发2015年金融消费权益保护监督检查实施方案的通知》(毕银办发[2015]33号精神,我行认真组织各部门进行了自查,现根据相关要求将自查工作汇报如下: 一、组织管理 成立以XX为组长,XX、XX为成员的自查工作小组。 二、自查情况 自查工作小组首先就个人进行信息保护工作的相关规章制度在全司进行了宣导,让大家对保护个人金融信息的重要性有了一个充分的认识。同时对我机构涉及到个人金融信息相关部门进行了检查,重点对涉及到财会部、信贷部两个部门进行了检查,进一步完善了内控制度建设,明确了各部门负责人为第一责任人。 在检查过程中,我小组对客户个人金融信息收集、使用和保管情况,涉及个人金融信息保护的投诉案件的处理情况等情况进行了摸排,未发现有违规操作现象,并且未发生过与个人金融信息泄露有关的金融案件。 通过此次自查工作的开展,我行充分认识到了个人金融信息保护工作的重要性,在今后的工作中将严格按照相关法律规定切实做好个人金融信息的保护工作,为有效防范金融风险,维护正常的经济金融秩序和社会稳定的市场环境做出自身应有的贡献。
一、检查本行是否强化个人金融信息保护和银行业金融机构法制意识,是否依法收集、使用和对外提供个人金融信息。其中所指的金融信息是指个人身份信息、财产信息、账户信息、信用信息、金融交易信息和其中衍生的一些信息等。 二、检查本行在收集、使用、保存、对外提供个人金融信息时,是否严格遵守法律规定,采取有效措施加强对个人金融信息保护,是否有信息泄露和信息滥用的现象。 三、检查我行是否建立健全的内部控制制度,对查易发生个人金融信息泄露的环节是否充分排查。 四、检查我行是否篡改、违法使用个人金融信息等。 依照人行相关规定我行对相关业务逐一对照自查。通过自查,发现我行涉及个人金融信息的业务基本落实到位,不存在违规行为。但是,在以后的工作中我行仍旧要加强对个人金融信息的保护,明确各岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露和滥用事件的发生。
个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。 2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据
泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。
XX银行个人金融信息保护管理办法 第一章总则 第一条为提高个人金融信息保护工作水平,保护客户个人合法权益,根据《中华人民共和国中国人民银行法》《中华人民共和国商业银行法》《个人存款账户实名制规定》《征信业管理条例》《个人信用信息基础数据库管理暂行办法》等法律法规,以及有关监管规定,制定本办法。 第二条本办法所称个人金融信息系指本行在开展业 务时,或通过接入中国人民银行征信系统、支付系统以及其它系统获取、加工和保存的以下个人客户信息: (一)个人身份信息。包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等。 (二)个人财产信息。包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等。 (三)个人账户信息。包括账号、账户开立时间、开户行、账户余额、账户交易情况等。 (四)个人信用信息。包括信用卡还款情况、贷款偿还情况,以及个人在经济活动中形成,能够反映其信用状况的其他信息; (五)个人金融交易信息。包括本行在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息,和
客户在通过本行与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等。 (六)衍生信息。包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息。 (七)开展业务过程中获取、保存、形成的其他个人信息。 第三条本行在开展业务时,应当妥善保护好客户个人信息和隐私,防止信息泄露和滥用,全行各级机构和员工均有保护客户个人金融信息的法定义务。 第四条各级机构应按照法律法规、监管规定以及本行制度开展工作,加强沟通和配合,共同提升个人金融信息保护工作的管理水平,切实维护客户的合法权益。 第二章职责分工 第五条总行部门个人金融信息保护工作职责 (一)内控合规部作为个人金融信息保护工作的归口管理部门,主要负责个人金融信息保护工作的统筹管理、沟通协调以及监督工作。 (二)运营管理部负责柜面个人金融信息建立、修改、维护、查询、保存等环节的日常监督、培训检查及相关管理工作,负责个人金融信息投诉和异议处理工作,组织开展客户投诉及异议的演练等相关工作。
关于做好客户个人金融信息保护工作自查报告银行才中心支行: 根据人民银行中心支行《转发<中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知>》(银发[2012]65号)要求,我行成立了领导小组,对本单位个人金融信息保护工作规贯彻落实情况进行自查,现将自查情况汇报如下: 一、组织领导为确保本次自查工作有效开展,特成立自查领导小组。组长:。。副组长:。。成员:。。二、自查时间 三、自查内容 个人金融信息保护工作相关法律法规贯彻落实情况、本机构相关内控制度、信息安全防范技术措施的制定和实施情况、员工的培训教育情况。四、自查结果 (一)个人金融信息保护工作相关法律法规贯彻落实情况能够进行个人信息查询的相关岗位工作人员及业务主管都能够熟悉相关金融信息查询的有关规定,深刻了解法律法规、制度办法,有较强的法律意识、安全意识和责任意识,能够自觉进行个人金融信息保护工作,有效规避业务风险。 (二)本机构相关内控制度、信息安全防范技术措施的制定和实施情况 1.总行制定了《农村商业银行股份有限公司个人征信业务管理暂行规定》、《农村商业银行股份有限公司个人信用基础信息数据库查询使用管理实施细则》、《农村商业银行股份有限公司个人信用信息基础
数据库操作规程》、《农村商业银行股份有限公司个人信用报告异议信息处理管理暂行办法》、《农村商业股份有限公司反洗钱保密业务制度》、《农村商业银行股份有限公司金融机构大额交易和可疑交易报告制度》、《农村商业银行股份有限公司金融机构客户身份识别和客户身份资料及交易记录保存制度》、《农村商业银行股份有限公司反洗钱业务操作规程》等10余项相关制度。 2.总行拟对个人金融信息管理和使用的检查制度、数据库管理员操作规章制度及报告制度等相关内控制度进行逐步完善,并按照制度要求定期检查。对各支行个人金融信息采集、查询的授权、管理等方面进行不定期抽查,发现问题能够及时整改。 3.我行原有的综合业务处理系统对个人金融信息的查 询有权限设置但没有业务人员查询过程的痕迹保留,不便于事后追溯问题责任人。由于我行正在研发新的综合业务操作系统,业务管理人员已经根据相关的文件要求对新系统提出了保留查询痕迹的需求。 (三)员工的培训教育情况 通过对业务主管的专题培训,使业务主管对个人金融信息管理、使用的法律法规及制度办法有了深刻、透彻的了解。业务主管对支行员工进行了全面系统的二级培训,使相关岗位的工作人员都能够深入了解相关制度及业务操作,为有效规避业务风险奠定基础。 在人民银行中心支行的指导下,农村商业银行积极部署,完成了
浅谈个人信息保护制度的完善 【摘要】个人信息是社会发展中的重要资源,信息技术的发展为个人信息的收集和处理提供了便利,同时在个人信息本身蕴含的利益驱动下,搜集与贩卖个人信息并从中牟利的事件频发并且成为了危害公众利益和社会秩序的不良现象,所以从法律层面强化个人信息的保护十分重要。本文从民法角度出发,对个人信息保护制度的完善做出探讨。 【关键词】个人信息;个人信息权;保护制度 一、在民法中对个人信息权进行明确规定 个人的信息不仅具有人格权属性,同时也具有财产权属性,对社会个体的个人信息进行保护同时也是对社会个体人格尊严的保护,所以个人信息权构建的理论基础为人格权理论。我国在《侵权责任法》以及《民法通则》中对肖像权、隐私权、名誉权等人格权利的保护进行了明确规定,所以在民法中对个人信息权进行明确规定符合我国在保护人格权方面的立法习惯。个人信息权所包括的内容应当体现为以下四个方面:一是社会个体对个人信息享有控制权。社会个体对个人信息的使用以及处置是社会个体支配人格利益的重要表现;二是社会个体对个人信息享有查询权。社会个体有权了解个人信息被使用以及被收集的情况,并且以这些内容为依据来对侵害个人信息权的行为提出异议;三是社会个体享有对个人信息进行更正的权利。社会个体为了让个人信息保持完整和正确,有权要求收集与使用个人信息的行为人采取相应措施对个人信息进行更正。如果社会个体发现个人信息出现错误后,不仅享有更正个人信息的权利,同时享有要求收集与处理个人信息的行为人将自身个人信息进行删除的权利;四是社会个体对个人信息享有救济权。当社会个体的个人信息被非法存储和传播时,社会个体有权利要求侵害个人信息的行为人停止侵害行为并赔偿相应损失。个人信息权保护的原则可以以《隐私保护与个人数据跨国流通指南》中的八项原则为参照,此八项原则分别为限制收集原则、信息完整正确原则、特地目的原则、限制利用原则、安全保护原则、公开原则、个人参与原则以及责任原则。 二、对个人信息财产利益的保护进行强化 在现实社会生活中,侵害他人个人信息的行为大部分都是受到经济利益的驱动,所以要对个人信息进行有效的保护,就应当从法律层面明确对个人信息财产利益的保护,在此前提下,如果没有经过信息主体的许可就利用其个人信息获取商业利益的行为,个人信息的拥有者则能够根据法律规定的救济权来请求民事赔偿。尤其是对于商业机构而言,其行为产生的主要动力是经济利益所发挥的驱动作用,而当商业机构必须为自身的侵权行为承担民事责任时,商业机构通过侵害他人个人信息所获得经济利益会被剥夺,在此基础上,商业机构选择放弃或者是降低侵害他人个人信息的倾向会更加明显,从而在很大程度上对侵害他人个人信息的行为进行抑制与预防。由于我国当前法律并没有明确个人的信息应当属于个人的财产范围,即个人的信息并没有财产权的属性,所以当个人信息受到侵害时,
电信和互联网用户个人信息保护规定 (2013年6月28日中华人民共和国工业和信息化部第2次部务会议审议通过2013 年7月16日中华人民共和国工业和信息化部第24号令公布自2013年9月1日起施行) 第一章总则 第一条为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。 第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。 第三条工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。 第四条本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。 第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。 第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。 第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。 第二章信息收集和使用规范 第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。 第九条未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。 电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。 电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
完善银行客户个人信息保护机制的思考 一、我国银行客户个人信息保护的法律法规建设情况 (一)国家法律法规建设情况 我国《民法通则》、《刑法》和《商业银行法》均对银行客户个人信息保护作出规定。《民法通则》第99—101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案(七)》将侵犯公民个人信息的行为纳入刑事犯罪的范畴,规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第29条则规定:“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”。“为存款人保密”是指商银行业对存款人的姓名、住址、存款金额、储蓄种类、存款次数、提取情况、印鉴以及其他各种情况都要严格的保守秘密,不得披露。对个人储蓄银存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。这一原则是保护存款人合法权益的最基本要求,是商业银行在办理个人存款业务时必须遵循的原则。 (二)部门规章建设情况 人民银行、银监会等部门在其规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息保护作出规定。如《电子银行业务管理办法》第52条规定:“金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”;《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第28条规定:“金融机构应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息”;银监会《商业银行信息科技风险管理指引》第四章以专章形式规定了信息安全,对信息安全管理职能、信息安全级别划分和信息安全措施等作出具体规定。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第2条规定:“银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用”;《商业银行信用卡业务监督管理办法》第3条规定:“商业银行经营信用卡业务(https://www.doczj.com/doc/ed1127480.html,整理提供),应当依法保护客户合法权益和相关信息安全。未经客户授权,不得将相关信息用于本行信用卡业务以外的其他用途”。 二、我国银行客户个人信息保护存在的主要问题 (一)客户个人信息保护法律法规缺失 1.行政法责任缺失。我国尚未制订专门的《个人信息保护法》,对个人信息
附件2: 江苏省银行业金融机构 客户个人金融信息保护工作指引(暂行) 第一章总则 第一条为提高江苏省银行业金融机构客户个人金融信息保护工作水平,保障银行业金融机构各项业务的正常开展,维护客户个人金融信息安全,保护客户个人合法权益,提升银行业社会形象,根据《中国人民银行法》、《商业银行法》、《个人存款账户实名制规定》、《个人信用信息基础数据库管理暂行办法》等法律、法规和规章,以及《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等政策规定,制定本指引。 第二条本指引所称客户个人金融信息,是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息: (一)个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等; (二)个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等; (三)个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等;
(四)个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息; (五)个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等; (六)衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息; (七)开展业务过程中获取、保存、形成的其他个人信息。 第三条银行业金融机构应当依照有关法律、法规、规章和金融监管部门政策规定,遵循目的明确、公开透明、安全保障、知情同意、责任落实等基本原则,依法收集、加工、使用、存储、传输个人金融信息。 银行业金融机构应当区分一般个人金融信息和敏感个人金融信息,实行分类区别保护。针对敏感个人金融信息,应实行更高的权限管理,采取更严格的管理措施。 前款所称敏感个人金融信息,是指可直接反映特定个人情况的信息。虽不能直接反映特定个人情况的一般个人金融信息,与敏感个人金融信息同时出现在同一介质,可能对个人人身和财产利益带来不利后果时,应视同敏感个人金融信息管理。 第四条本指引适用于在江苏省内依法设立的从事金融业务的国有商业银行、股份制商业银行、城市商业银行、农村信用社(含农村商业银行、农村合作银行)、邮政储蓄银行等银行业
****进一步做好客户个人金融信息保护工作 实施方案 为了进一步强化本行个人金融信息保护工作,保护金融消费者合法权益,维护金融稳定,根据中国人民银行****支行《转发<中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知>》(银发〔***〕**号)要求,结合我行实际情况特制定本方案。 一、组织实施 (一)成立组织、加强领导。 为切实抓好客户个人金融信息保护工作,长春农商银行成立信息保护工作小组,负责客户个人信息保护工作人员培训、日常工作管理、监督、实施、报告及检查等相关事宜。 组长: 副组长: 成员: (二)明确责任、抓好落实。 工作小组成员要根据部门职责制定计划、履职尽责、全面落实,做好管理监督工作。各成员要做到相互协调、沟通通畅,促进工作顺利进行、得到显着效果。 二、组织培训 总行通过电话会议专门对支行人员进行培训,以便支行
人员熟悉掌握客户个人金融信息保护工作的目的、依据、有关政策意图及原则、方法、步骤等。 (一)培训时间:***** (二)培训内容:《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》(银发〔****〕***号)、《转发<中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知>》(银发〔***〕***号)、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔***〕***号)等文件精神。 (三)培训目标:要求每名一线工作人员都能掌握客户个人金融信息保护工作的政策法律依据,并能按照相关要求解答客户的问题。 三、完善机制,明确责任 (一)明确部门相关责任。 零售业务部主要负责制定本项工作的开展方案、组织培训、汇总支行上报的泄漏或滥用个人金融信息等问题并及时上报总行及对个人金融信息保护工作的日常管理等; 风险管理部主要负责制定及完善个人征信业务和个人信用基础信息数据库查询使用的管理制度和操作规程、个人信用报告异议信息处理制度,规范个人金融信息的采集、查询、贷后管理和异议处理等操作流程,确保个人信用报告的安全合法使用。 信息科技部主要负责查询权限、密钥等金融信息安全管理、完善数据库管理员操作规章制度、加强客户个人金融信
保护个人信息安全的六大措施 现今,数据泄露渐成常态,在此种环境下,如何保护个人的信息安全,成为每个人都应该注意并为之采取措施的问题。 1.网上注册内容时不要填写个人私密信息 互联网时代用户数和用户信息量已然和企业的盈利关联了起来,企业希望尽可能多地获取用户信息。但是很多企业在数据保护上所做的工作存在缺陷,时常会有用户信息泄露事件发生,对于我们普通用户而言,无法干预到企业的采取数据安全保护措施,只能从己方着手,尽可能少地暴露自己的用户信息。 2.尽量远离社交平台涉及的互动类活动 现在很多社交平台,会有一些填写个人信息即可生成有趣内容并可以和朋友分享的活动,看似有趣的表面,实质上却以游戏的手段获取了大量的用户信息,遇到那些奔着个人隐私信息去的“趣味”活动,建议不要参与。 3.安装病毒防护软件 不管是计算机还是智能手机,都已经成为信息泄露的高发地带,往往由于不小心间点击一个链接、下载一个文件,就成功被不法分子攻破,安装防病毒软件进行病毒防护和病毒查杀成为设备使用时的必要手段。 4.不要连接未知WiFi 现在公共场所常常会有些免费WiFi,有些是为了人们提供便利而专门设置的,但是不能忽视的是不法分子也会在公共场所设置钓鱼WiFi,一旦连接到他们的钓鱼WiFi,我们的设备就会被他们反扫描,如果在使用过程中输入账号密码等信息,就会被对方获得。在公众场所尽量不要去连接免费WiFi。 5.警惕手机诈骗 科技在进步,骗子的手段也变得层出不穷,常见莫过于利用短信骗取手机用户的信息。更有可能进行财产诈骗,让受害者遭受重大损失。警惕手机短信里的手机账户异常、银行账户异常、银行系统升级等信息,有可能是骗子利用伪基站发送的诈骗信息。遇到这种短信不要管它,去联系官方工作人员,询问情况。 6.妥善处理好涉及到个人信息的单据 在快递单上会有我们的手机、地址等信息,一些消费小票上也包含部分姓名、银行卡号、消费记录等信息,翼火蛇提示对于已经废弃掉的单据,需要进行妥善处置。
ⅩⅩ银行业金融机构客户个人金融信息保护工作指引(暂行) 第一章总则 第一条为提高ⅩⅩ省银行业金融机构客户个人金融信息保护工作水平,保障银行业金融机构各项业务的正常开展,维护客户个人金融信息安全,保护客户个人合法权益,提升银行业社会形象,根据《中国人民银行法》、《商业银行法》、《个人存款账户实名制规定》、《个人信用信息基础数据库管理暂行办法》等法律、法规和规章,以及《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等政策规定,制定本指引。 第二条本指引所称客户个人金融信息,是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息: ( 一) 个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状
况、住所或工作单位地址及照片等; ( 二) 个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等; ( 三) 个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等; ( 四) 个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息; ( 五)个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等; ( 六) 衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息; ( 七) 开展业务过程中获取、保存、形成的其他个人信息。第三
做好个人金融信息保护工 作的排查报告 Prepared on 22 November 2020
关于做好客户个人金融信息保护 工作的自查报告 为了强化本机构个人金融信息保护工作,保护消费者合法权益,维护金融稳定,我社在认真学习《xxxxxxx》文件精神的基础上,组织全体员工对客户个人金融信息保护工作进行了全面的自查,现将自查结果汇报如下: 一、成立了自查领导小组 组长: 副组长: 成员: 二、自查内容 为确保此项工作落实到实处,我社对本机构相关内控制度、信息安全防范技术措施的制定实施情况以及员工培训教育情况进行了全面检查。 1.要求前台柜员对客户信息查询必须出具实名证件并进行照片比对。 2.对客户提供资料及填写客户信息表格及时装订入档保管、不得随意摆放。 3.对营业厅内客户填写的客户信息废表或作废的身份证件复印件,要求及时清理并碎掉,以免一些有作案动机的不法分子有可趁之机。 4.强调员工工作以外言行举止,防止在日常生活闲谈中无意
泄露客户信息。 三、自查结果及以后的工作重点 经过全面的自查,没有发现有客户个人金融信息泄露的情况发生,但其他金融机构暴露的案件也为我们敲响了警钟。我社会在以后的工作中严格执行相关规章制度,及时发现风险隐患,切实做好客户金融信息保护。 同时我社将进一步加强员工的风险防范和职业道德教育,采取多种形式组织员工认真学习上级下达的文件及通报的泄露客户信息的案例,引导员工认清危害,吸取教训,确保此类案件不在我社发生。同时加强员工的职业道德教育,严格遵守银行业从业人员职业操守、行内各项规章制度,不得违反禁止性规定,自觉树立金融机构从业人员的良好形象,增强风险防范意识和职业道德操守,自我约束、自觉远离各种违法违纪的行为,踏踏实实工作,树立正确的人生观、世界观和价值观,杜绝泄露客户信息等违规、违法等行为的发生。
网络与信息安全保障措施用户信息安全管理制度…1.4.4 武汉九千年中医门诊部网站为充分保护用户的个人隐私、保障用户信息安全,特制订用户信息安全管理制度。 1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安武汉九千年中医门诊部门户全的重要性,严格遵守相应规章制度。 2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。 3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其 个人信息及保存在本网站中的非公开内容,但下列情况除外: ①违反相关法律法规或本网站服务协议规定; ②按照主管部门的要求,有必要向相关法律部门提供备案的内容; ③因维护社会个体和公众的权利、财产或人身安全的需要; ④被侵害的第三人提出合法的权利主张; ⑤为维护用户及社会公共利益、本网站的合法权益的需要; ⑥事先获得用户的明确授权或其它符合需要公开的相关要求。 4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。 5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。 6、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。 武汉九千年中医门诊部将严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。 单位(章): 年月日
中国人民银行关于银行业金融机构 做好个人金融信息保护工作的通知 人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,国有商业银行,股份制商业银行,中国邮政储蓄银行: 个人金融信息是金融机构日常业务工作中积累的一项重要基础数据,也是金融机构客户个人隐私的重要内容。如何收集、使用、对外提供个人金融信息,既涉及到银行业金融机构业务的正常开展,也涉及客户信息、个人隐私的保护。如果出现与个人金融信息有关的不当行为,不但会直接侵害客户的合法权益,也会增加银行业金融机构的诉讼风险,加大运营成本。近年来,个人金融信息侵权行为时有发生,并引起社会的广泛关注。因此,强化个人金融信息保护和银行业金融机构法制意识,依法收集、使用和对外提供个人金融信息,十分必要。对个人金融信息的保护是银行业金融机构的一项法定义务。为了规范银行业金融机构收集、使用和对外提供个人金融信息行为,保护金融消费者合法权益,维护金融稳定,根据《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国反洗钱法》、《个人存款账户实名制规定》等法律、法规的规定,现就个人金融信息保护的有关事项通知如下: 一、本通知所称个人金融信息,是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:
(一)个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等; (二)个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等; (三)个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等; (四)个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息; (五)个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等; (六)衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息; (七)在与个人建立业务关系过程中获取、保存的其他个人信息。 二、银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。
用户信息安全管理制度标准化文件发布号:(9312-EUATWW-MWUB-WUNN-INNUL-DQQTY-
用户信息安全管理制度 网站为充分保护用户的个人隐私、保障用户信息安全,特制订用户信息安全管理制度。 1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。 2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。 3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外: ①违反相关法律法规或本网站服务协议规定; ②按照主管部门的要求,有必要向相关法律部门提供备案的内容; ③因维护社会个体和公众的权利、财产或人身安全的需要; ④被侵害的第三人提出合法的权利主张; ⑤为维护用户及社会公共利益、本网站的合法权益的需要; ⑥事先获得用户的明确授权或其它符合需要公开的相关要求。 4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。
5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。 6、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。 严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。
XX支行 个人金融信息保护自查报告 根据《中国人民银行毕节市中心支行办公室关于下发2015年金融消费权益保护监督检查实施方案的通知》(毕银办发[2015]33号精神,我行认真组织各部门进行了自查,现根据相关要求将自查工作汇报如下: 一、组织管理 成立以XX为组长,XX、XX为成员的自查工作小组。 二、自查情况 自查工作小组首先就个人进行信息保护工作的相关规章制度在全司进行了宣导,让大家对保护个人金融信息的重要性有了一个充分的认识。同时对我机构涉及到个人金融信息相关部门进行了检查,重点对涉及到财会部、信贷部两个部门进行了检查,进一步完善了内控制度建设,明确了各部门负责人为第一责任人。 在检查过程中,我小组对客户个人金融信息收集、使用和保管情况,涉及个人金融信息保护的投诉案件的处理情况等情况进行了摸排,未发现有违规操作现象,并且未发生过与个人金融信息泄露有关的金融案件。 通过此次自查工作的开展,我行充分认识到了个人金融信息保护工作的重要性,在今后的工作中将严格按照相关法
律规定切实做好个人金融信息的保护工作,为有效防范金融风险,维护正常的经济金融秩序和社会稳定的市场环境做出自身应有的贡献。 一、检查本行是否强化个人金融信息保护和银行业金融机构法制意识,是否依法收集、使用和对外提供个人金融信息。其中所指的金融信息是指个人身份信息、财产信息、账户信息、信用信息、金融交易信息和其中衍生的一些信息等。 二、检查本行在收集、使用、保存、对外提供个人金融信息时,是否严格遵守法律规定,采取有效措施加强对个人金融信息保护,是否有信息泄露和信息滥用的现象。 三、检查我行是否建立健全的内部控制制度,对查易发生个人金融信息泄露的环节是否充分排查。 四、检查我行是否篡改、违法使用个人金融信息等。 依照人行相关规定我行对相关业务逐一对照自查。通过自查,发现我行涉及个人金融信息的业务基本落实到位,不存在违规行为。但是,在以后的工作中我行仍旧要加强对个人金融信息的保护,明确各岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露和滥用事件的发生。
大连软件及信息服务业个人信息保护评价指南 前言 大连软件及信息服务业个人信息保护评价指南,以下简称“指南”,是依据《大连软件及信息服务业个人信息保护规范》的要求,为大连软件及信息服务单位个人信息保护制度的建立提供的一个参考资料,主要包括单位个人信息保护的策略制定、风险评估、组织机构、规章制度的建立、实施、培训教育、监查、维护及改善的过程,单位可以参考“指南”,根据本单位的性质、业务范围、业务量等实际情况,同时参考国家相关信息安全标准和法规,建立本单位的个人信息保护制度。。 目录 一组织机构的建立和职能确定 二个人信息安全风险评估 三策略制定与宣传 四基本规章的制定 五详细规章制定 六运行实施 七运行状况的监查 八持续改善
一、组织机构的建立和职能确定 建立单位个人信息保护组织机构和确定单位个人信息保护负责人,并形成文件加以保存,在人员变动时应及时补充,保证单位个人信息保护组织机构的完整。单位领导者应在资金和资源上给予支持。 1、管理层: 任命个人信息保护负责人,负责单位个人信息保护体制的建立和整体规划,负责全单位的个人信息保护工作的开展,组织制定单位个人信息保护策略,组织单位个人信息保护基本规章制度的制定,组织部门个人信息保护责任人共同制定部门管理细则,组织培训教育及监查工作的实施; 2、部门负责人 1) 单位要明确各部门的个人信息保护权限及职责,并形成文件。指定各部门的个人信息保护责任人,负责本部门个人信息保护工作的开展和配合单位个人信息保护负责人制定本部门个人信息保护管理规定; 2) 指定个人信息保护培训与教育工作负责人,配合制定培训教育规定,制定培训教育计划,并负责教育计划的实施; 3、监查责任人 监查负责人可以在单位内部指定,也可以在单位外部聘请,监查负责人应该在单位领导者的直接领导下并具有独立性。负责定期或不定期对单位个人信息保护情况进行监查,负责写出监查报告并提出改进意见。 4、指定客户窗口责任人,负责接受客户和消费者的意见和建议,提出处理意见和促进意见的落实和反馈;在出现问题时负责与客户和消费沟通和讨论补偿措施及损失赔偿 二、个人信息安全风险评估 个人信息安全风险评估是制定个人信息保护安全措施的基础,单位应指派专人对单位个人信息安全风险进行评估,个人信息安全风险评估要按照单位业务、规模、自身能力和个人信息的使用过程中可能存在的问题进行分析,考虑到获取上的风险、利用上的风险、提供上的风险等,还要考虑到残余风险的存在和对策、考虑工作过程中新发生的个人信息的操作过程和新业务发生时新产生的风险,考虑到技术变化和环境变化可能会产生的风险。理解风险与规章的关系、风险与教育和监查的关系。个人信息安全风险评估主要应包括: 1、整理单位拥有的所有个人信息,并进行分类; 2、明确个人信息的使用过程、保存形式、保管方法、保存位置、接触人员,并做出流程
完善银行客户个人信息保护机制的思 考 一、我国银行客户个人信息保护的法律法规建设情况(一)国家法律法规建设情况 我国《民法通则》、《刑法》和《商业银行法》均对银行客户个人信息保护作出规定。《民法通则》第99—101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案(七)》将侵犯公民个人信息的行为纳入刑事犯罪的范畴,规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第29条则规定:“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”。“为存款人保密”是指商银行业对存款人的姓名、住址、存款金额、储蓄种类、存款次数、提取情况、印鉴以及其他各种情况都要严格的保守秘密,不得披露。对个人储蓄银存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。这一原则是保护存款人合法权益的最基本要求,是商业银行在办理个人存款业务时必须遵循的原则。 (二)部门规章建设情况 人民银行、银监会等部门在其规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息保护作出规定。如《电子银行业务管理办法》第52条规定:“金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”;《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第28条规定:“金融机构应采取必要管理措施和技术措施,防止客户身份资料 和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息”;银监会《商业银行信息科技风险管理指引》第四章以专章形式规定了信息安全,对信息安全管理职能、信息安全级别划分和信息安全措施等作出具体规定。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第2条规定:“银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息
##银行做好客户个人金融信息保护工作自查报告 ##银行##中心支行: 根据人民银行##中心支行《转发<##银行关于金融机构进一步做好客户个人金融信息保护工作的通知>》(长银发[##]65号)要求,我行成立了领导小组,对本单位个人金融信息保护工作规贯彻落实情况进行自查,现将自查情况汇报如下: 一、组织领导 为确保本次自查工作有效开展,特成立自查领导小组。 组长:。。 副组长:。。 成员:。。 二、自查时间 ##年5月2日—##年5月15日 三、自查内容 个人金融信息保护工作相关法律法规贯彻落实情况、本机构相关内控制度、信息安全防范技术措施的制定和实施情况、员工的培训教育情况。 四、自查结果 (一)个人金融信息保护工作相关法律法规贯彻落实情况 能够进行个人信息查询的相关岗位工作人员及业务主
管都能够熟悉相关金融信息查询的有关规定,深刻了解法律法规、制度办法,有较强的法律意识、安全意识和责任意识,能够自觉进行个人金融信息保护工作,有效规避业务风险。 (二)本机构相关内控制度、信息安全防范技术措施的制定和实施情况 1.总行制定了《##农村商业银行股份有限公司个人征信业务管理暂行规定》、《##农村商业银行股份有限公司个人信用基础信息数据库查询使用管理实施细则》、《##农村商业银行股份有限公司个人信用信息基础数据库操作规程》、《##农村商业银行股份有限公司个人信用报告异议信息处理管理暂行办法》、《##农村商业股份有限公司反洗钱保密业务制度》、《##农村商业银行股份有限公司金融机构大额交易和可疑交易报告制度》、《##农村商业银行股份有限公司金融机构客户身份识别和客户身份资料及交易记录保存制度》、《##农村商业银行股份有限公司反洗钱业务操作规程》等10余项相关制度。 2.总行拟对个人金融信息管理和使用的检查制度、数据库管理员操作规章制度及报告制度等相关内控制度进行逐步完善,并按照制度要求定期检查。对各支行个人金融信息采集、查询的授权、管理等方面进行不定期抽查,发现问题能够及时整改。 3.我行原有的综合业务处理系统对个人金融信息的查询有权限设置但没有业务人员查询过程的痕迹保留,不便于事后追溯问题责任人。由于我行正在研发新的综合业务操作系