商业银行客户信息保护管理办法

  • 格式:wps
  • 大小:77.06 KB
  • 文档页数:17

1 商业银行客户信息保护管理办法 第一章 总 则 第一条 为加强银行客户信息保护管理,确保客户信息安全,根据《中华人民共和国网络安全法》、《中华人民共和国消费者权益保护法》、《中华人民共和国个人信息保护法》、《人民银行金融消费者权益保护实施办法》等法律法规以及相关监管要求,制定本办法。 第二条 本办法所称客户信息,是指本行在开展业务或者提供服务过程中,获取的与客户有关的信息。客户信息中,以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息(不包括匿名化处理后的信息)属于个人信息。 第三条 客户信息保护涉及各部门、各领域的客户信息的收集、传输、加工、使用、保存、查询、报送、公开、删除和供第三方使用等全过程。 第四条 本行客户信息实行分级授权管理,根据客户信息的重要性、敏感度及业务开展需要,在不影响履行反洗钱等法定义务的前提下,采取相应的安全技术措施,合理确定各级员工处理信息的范围、权限及程序。 第五条 客户信息中涉及国家秘密事项,国家主管部门有保密管理规定的,应严格依照相关规定办理。如无相关规定,依照本办法办理。 第六条 本办法适用于本行境内各级机构。 第二章 部门职责 2 第七条 本行客户信息保护遵循“谁主管,谁负责;谁研发,谁负责;谁使用,谁负责”的基本原则。各部门对本条线客户信息保护工作负责,各级行对辖内客户信息保护工作负责。 第八条 总行相关部门的职责为: (一)运营管理部负责牵头制定全行客户信息保护管理办法,负责运营条线涉及客户信息保护的员工行为管控、安全隐患排查、信息分级管理、保护影响评估、跨境流动管理、系统整改优化、尽职监督检查、客户权利请求响应、客户信息安全事件应急处置等工作。 (二)个人金融部牵头,远程银行中心、个人信贷部、私人银行部、农户金融部、网络金融部、信用卡中心等部门配合制定个人客户信息保护管理制度,负责本条线涉及客户信息保护的员工行为管控、安全隐患排查、信息分级管理、保护影响评估、跨境流动管理、系统整改优化、尽职监督检查、客户权利请求响应、客户信息安全事件应急处置等工作。 (三)公司业务部牵头,投资银行部、普惠金融事业部、大客户部、机构业务部、三农对公业务部、信用管理部、国际金融部、网络金融部、托管业务部、信用卡中心、养老金融中心等部门配合制定对公客户信息保护管理制度,负责本条线涉及客户信息保护的员工行为管控、安全隐患排查、信息分级管理、保护影响评估、跨境流动管理、系统整改优化、尽职监督检查、客户权利请求响应、客户信息安全事件应急处置等工作。 (四)信息管理部牵头数据安全管理,将客户数据分级管理、客户数据安全管控、客户信息跨境流动安全评估等保护工作纳入3 全行数据安全管理体系。 (五)科技与产品管理局牵头研发中心、数据中心等科技部门实施相关应用系统改造需求的研发,加强信息化建设的开发、测试、运行全过程信息泄露风险管控,完善技术防控措施,定期排查客户信息安全隐患。 (六)内控合规监督部负责客户信息保护的检查监督统筹管理,将客户信息保护纳入内控评价体系。 (七)法律事务部负责跟踪客户信息安全法律与行政法规,组织制定、更新全行隐私政策,并对业务部门制定的相关制度、协议进行法律审查。 (八)审计局负责定期对全行个人信息处理活动遵守法律、行政法规执行情况进行合规审计。 (九)涉及客户信息的其他各相关部门负责本条线涉及客户信息保护的员工行为管控、安全隐患排查、信息分级管理、保护影响评估、跨境流动管理、系统整改优化、尽职监督检查、客户权利请求响应、客户信息安全事件应急处置等工作。 第九条 凡涉及客户信息的业务、工作,其主管部门在业务流程设计、管理办法制定中,均应提出合理的客户信息保护相关要求,并根据业务发展和手段创新情况,适时调整完善相关要求,确保客户信息保护工作的有效性。 第三章 客户信息的分类 第十条 客户信息根据客户属性分为个人客户信息与对公客户信息,根据载体可分为纸质信息和电子信息。对于以数据方4 式存在的电子信息,按照《客户数据安全分级规范》,进行分级管理。 第十一条 个人客户信息包括身份信息、财产信息、账户信息、信用信息、金融交易信息、衍生信息,以及开展业务过程中获取、保存、形成的其他个人客户信息。具体包括: (一)个人身份信息,包括个人姓名、性别、出生日期、国籍、民族、身份证件类型号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址、指纹等个人生物识别信息、照片等。 (二)个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等。 (三)个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况、账户状态等。 (四)个人信用信息,包括信用卡还款情况、贷款偿还情况、征信情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息。 (五)个人金融交易信息,包括本行在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过本行与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息。 (六)衍生信息,包括个人消费习惯、投资意愿等对原始信息进行分析处理所形成的反映特定个人某些情况的信息。 (七)在与个人建立业务关系过程中获取、保存的其他个人信息。 5 第十二条 对公客户信息包括基本信息、联系信息、证明材料信息、财产信息、征信信息、关联信息、管理信息及开展业务过程中获取、保存、形成的其他对公客户信息。 对公客户信息中能够单独或者与其他信息结合识别自然人个人身份的各种信息为对公客户相关个人信息,其中,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息为对公客户相关敏感个人信息。 上述所称对公客户信息原则上不包括公开渠道查询的信息,法律法规另有规定或合同另有约定的除外。当公开信息存在包括但不限于通过非法渠道被公开、侵害客户重大利益、被客户明确拒绝他人使用等情形时,相关信息按照非公开信息管理。 第四章 客户信息的收集 第十三条 各级行、各部门收集客户信息应当遵循合法、正当、必要、诚信原则,在限于实现处理目的的最小范围内,按照法律、行政法规要求和业务需要收集客户信息,不得收集与业务或所提供服务不直接相关的信息,不得采取不正当方式收集客户信息。 第十四条 各级行、各部门收集客户信息应当公开收集规则,明示收集信息的目的、方式、范围、保存期限以及同意收集信息的可能后果,并经被收集者同意。个人客户信息在收集前须获得其明示同意,敏感个人信息在收集前须获得其单独明示同意并告知处理敏感个人信息的必要性及对个人权益的影响。明示同意是指客户通过书面声明或主动做出肯定性动作,对其个人信息6 进行特定处理的必要性以及对个人权益的影响做出明确授权的行为。 第十五条 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。收集不满十四周岁未成年人个人信息前,应当取得未成年人的父母或者其他监护人的同意。 第十六条 各级行、各部门在从行外的第三方获取客户信息时,应注意以下几点: (一)须要求提供客户信息的第三方说明客户信息来源,对其客户信息来源的合法性进行确认; (二)须了解第三方已获得的客户信息处理的授权同意范围,包括使用目的,信息主体是否授权同意共享、转让、公开披露、跨境流动等; (三)如各级行、各部门开展业务需进行的客户信息处理活动超出第三方获得的同意范围,需要在获取客户信息后的合理期限内或处理客户信息前,征得信息主体的明示同意。 第五章 客户信息的使用 第十七条 使用客户信息时,应当符合收集该信息的目的,且不超过客户授权的使用范围;通过接入征信系统、支付系统以及其他系统获取的客户信息,应当严格按照有关规定或约定的用途使用。 第十八条 各级行、各部门员工应严格遵守法律法规和相关监管要求,对业务过程中知悉的客户信息予以保密,采取有效措7 施加强对客户信息的保护,依法使用工作中获取的客户信息,不得以任何形式进行以下行为: (一)出售客户信息。 (二)向本行以外的其他机构或个人等第三方提供客户信息,但为客户办理相关业务所必需并经客户本人书面授权或单独同意的,以及法律法规和监管部门另有规定的除外。 (三)向行内无关人员或行外人员泄露客户信息。 (四)向其他员工窥探、打听非本人工作职责范围内的客户信息。 (五)未经客户许可在业务宣传、接受采访等活动中公开客户信息。 (六)超出信息主体同意的范围使用客户信息。如因业务需要,确需超出客户同意的范围使用个人信息的,须再次征得信息主体的同意。 (七)其他违法使用客户信息的行为。 第十九条 针对处理敏感个人客户信息、利用个人客户信息进行自动化决策、委托处理个人客户信息、向第三方提供个人客户信息、公开个人客户信息、向境外提供个人客户信息以及其他对个人客户权益有重大影响的个人信息处理活动,各级行、各部门应当开展事前个人信息保护影响评估。评估内容包括但不限于个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权益的影响及安全风险,所采取的保护措施是否合法、有效并与风险程度相适应等。个人信息保护影响评估报告和处理情况记录应当至少保存三年。 8 第二十条 各级行、各部门可根据与客户所签协议,在授权范围内使用客户信息开展营销,但在客户表示拒绝接受的情况下,应当立即停止通过拨打电话、发送短信、微信、邮件等方式营销金融产品。 第二十一条 各级行、各部门利用个人客户信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响决定的,应对客户作出说明。 第二十二条 各行内系统间因业务需要进行数据共享的,应符合该数据信息获取时客户同意的范畴,使用目的、方式等发生变化的,应重新征得客户同意。 第二十三条 各级行、各部门开展外包活动、对外开展业务合作、聘请中介机构提供服务的,应当全面考察评估外包服务供应商的资质、信誉等,并将其保护客户信息的能力作为重要评估指标,审慎选择外包服务供应商。 第二十四条 各级行、各部门须向客户告知开展外包活动、对外开展业务合作、聘请中介机构提供服务过程中涉及共享、转让个人信息的目的、数据接收方的类型,并事先征得客户的授权同意。对外共享、转让敏感个人信息的,还应向客户告知涉及的敏感个人信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。但是,依法不需取得个人同意的或经过匿名化处理的除外。数据接收方应严格按照客户授权及9 本行约定处理个人客户信息,因业务需要确需变更原处理目的、处理方式的,应当重新取得个人信息主体同意。 第二十五条 各级行、各部门应准确记录和保存个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等。 第二十六条 个人信息原则上不得公开披露,除根据法律法规规定或监管要求需公开披露个人客户信息,或事先获得个人客户明示同意或授权的情况。 第二十七条 各级行、各部门与外部合作机构签订的服务协议或合同应明确其处理客户信息的目的、期限、处理方式、种类、保护措施,以及保护客户信息的职责和保密义务等各自的权力义务,并采取必要措施保证、监督外包服务供应商履行上述职责和义务,不超出约定的处理目的、处理方式等处理客户信息,明确客户信息泄露、丢失、毁损、篡改的补救手段与责任追究,确保客户信息安全,要求外包服务供应商在服务协议或合同到期后将客户信息予以返还或删除,不得保留。 第二十八条 各级行、各部门不得篡改、毁损其收集的客户信息;不得私自复制、截屏、拍摄客户信息。 第六章 客户信息的查询 第二十九条 对涉及客户信息的纸质档案进行查询,须严格按有关档案管理规定办理手续。查询客户电子信息的,各级行、各部门要明确各应用系统的岗位操作权限,确保客户信息的使用严格限定在正常业务需求范围内,防止超业务需求随意查询客户