ⅹⅹ銀行業(yè)金融機(jī)構(gòu)客戶個人金融信息保護(hù)工作指引(暫行)

XX銀行業(yè)金融機(jī)構(gòu)客戶個人金融信息保護(hù)工作指引（暫行）

第一章總則

第一條為提高XX省銀行業(yè)金融機(jī)構(gòu)客戶個人金融信息保護(hù)工作水平，保障銀行業(yè)金

融機(jī)構(gòu)各項業(yè)務(wù)的正常開展，維護(hù)客戶個人金融信息安全，保護(hù)客戶個人合法權(quán)益，提

升銀行業(yè)社會形象，根據(jù)《中國人民銀行法》、《商業(yè)銀行法》、《個人存款賬戶實名制規(guī)定》、

《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》等法律、法規(guī)和規(guī)章，以及《中國人民銀行關(guān)

于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》等政策規(guī)定，制定本指引。

第二條本指引所稱客戶個人金融信息，是指銀行業(yè)金融機(jī)構(gòu)在開展業(yè)務(wù)時，或通過

接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的以下個人信息：

（-）個人身份信息，包括個人姓名、性別、國籍、民族、身份證件種類號碼及有效

期限、職業(yè)、聯(lián)系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等；

（二）個人財產(chǎn)信息，包括個人收入狀況、擁有的不動產(chǎn)狀況、擁有的車輛狀況、納

稅額、公積金繳存金額等；

（=）個人賬戶信息，包括賬號、賬戶開立時間、開戶行、賬戶余額、賬戶交易

情況等；

（四）個人信用信息，包括信用卡還款情況、貸款償還情況以及個人在經(jīng)濟(jì)活動中形成

的，能夠反映其信用狀況的其他信息;（五）個人金融交易信息，包括銀行業(yè)金融機(jī)構(gòu)在支付

結(jié)算、理財、保險箱等中間業(yè)務(wù)過程中獲取、保存、留存的個人信息和客戶在通過銀行業(yè)

金融機(jī)構(gòu)與保險公司、證券公司、基金公司、期貨公司等第三方機(jī)構(gòu)發(fā)生業(yè)務(wù)關(guān)系時產(chǎn)生的

個人信息等；

（六）衍生信息，包括個人消費(fèi)習(xí)慣、投資意愿等對原始信息進(jìn)行處理、分析所形成的

反映特定個人某些情況的信息；

（七）開展業(yè)務(wù)過程中獲取、保存、形成的其他個人信息。第三條銀行業(yè)金融機(jī)構(gòu)應(yīng)

當(dāng)依照有關(guān)法律、法規(guī)、規(guī)章和金融監(jiān)管部門政策規(guī)定，遵循目的明確、公開透明、安

全保障、知情同意、責(zé)任落實等基本原則，依法收集、加工、使用、存儲、傳輸個人金

融信息。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)區(qū)分一般個人金融信息和敏感個人金融信息，實行分類區(qū)別

保護(hù)。針對敏感個人金融信息，應(yīng)實行更高的權(quán)限管理，采取更嚴(yán)格的管理措施。前款所

稱敏感個人金融信息，是指可直接反映特定個人情況的信息。雖不能直接反映特定個人情況

的一般個人金融信息，與敏感個人金融信息同時出現(xiàn)在同一介質(zhì)，可能對個人人身和財產(chǎn)利

益帶來不利后果時，應(yīng)視同敏感個人金融信息管理。第四條本指引適用于在XX省內(nèi)依

法設(shè)立的從事金融業(yè)務(wù)的國有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用社（含

農(nóng)村商業(yè)銀行、農(nóng)村合作銀行）、郵政儲蓄銀行等銀行業(yè)金融機(jī)構(gòu)。

第二章管理體制和工作制度

第五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)高度重視，把個人金融信息保護(hù)作為依法經(jīng)營、風(fēng)險防范

的重要內(nèi)容，納入全面風(fēng)險防控范疇，建立上下級機(jī)構(gòu)聯(lián)動、同級各部門協(xié)調(diào)配合的管理體

制和工作機(jī)制。銀行業(yè)法人機(jī)構(gòu)、省級（區(qū)域）分行應(yīng)當(dāng)履行對轄區(qū)各級機(jī)構(gòu)個人金融信息

保護(hù)工作的管理職責(zé)，明確各級機(jī)構(gòu)在個人金融信息保護(hù)方面的職責(zé)和工作重點(diǎn)，加強(qiáng)對下

指導(dǎo)、檢查、考核，逐步把個人金融信息保護(hù)工作納入對下級機(jī)構(gòu)的考核內(nèi)容。銀行業(yè)金

融機(jī)構(gòu)應(yīng)當(dāng)有效整合內(nèi)部資源，完善個人金融信息保護(hù)內(nèi)部工作機(jī)制，明確風(fēng)險控制、法

律合規(guī)、零售、科技、運(yùn)營等相關(guān)部門工作職責(zé)，并可根據(jù)本機(jī)構(gòu)情況明確牽頭部門扎口

管理個人金融信息保護(hù)工作。

第六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)法律法規(guī)規(guī)章和金融監(jiān)管部門有關(guān)個人金融信息保護(hù)

政策規(guī)定，完善內(nèi)部工作制度，構(gòu)建相互銜接、相互制約、全面有效的個人金融信息保護(hù)

內(nèi)控制度體系。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立全員性的員工行為準(zhǔn)則、保密規(guī)定等個人信息保

護(hù)工作制度，實現(xiàn)個人金融信息保護(hù)有關(guān)工作要求的全員覆蓋。涉密兩位人員離詢離行的，

應(yīng)當(dāng)通過書面承諾等方式，約定其對在行在崗期間知曉的個人金融信息的保密義務(wù)。零售、

運(yùn)營、科技等相關(guān)部門應(yīng)當(dāng)對涉及信息收集、加工、使用、存儲、傳輸?shù)脑~位和環(huán)節(jié)，制

定相應(yīng)的條線規(guī)定，將個人金融信息保護(hù)有關(guān)工作要求貫穿到各個業(yè)務(wù)環(huán)節(jié)，明確操作規(guī)

范，強(qiáng)化責(zé)任。

第七條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立個人金融信息保護(hù)工作的監(jiān)督檢查和責(zé)任追究制度。

定期開展檢查，強(qiáng)化對重點(diǎn)環(huán)節(jié)、重點(diǎn)人員的監(jiān)督檢查，形成檢查評估報告，并向本單位

最高經(jīng)營管理層報告。對監(jiān)督檢查中發(fā)現(xiàn)的違規(guī)行為應(yīng)當(dāng)進(jìn)行責(zé)任追究，督促落實整改，確

保個人金融信息保護(hù)各項H作制度有效落實。

第八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立良好、有效的客戶投訴處理機(jī)制，明確工作流程，確

?？蛻粼V求能夠及時有效處理。第九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)完善個人金融信息保護(hù)應(yīng)急處

理機(jī)制，及時識別、分析、評估潛在的風(fēng)險因素，制定風(fēng)險應(yīng)對策略，采取風(fēng)險控制措

施，監(jiān)控風(fēng)險變化，對個人信息處理過程中可能出現(xiàn)的泄露、丟失、損壞、篡改、不當(dāng)

使用等突發(fā)事件制定應(yīng)急預(yù)案，采取相應(yīng)的預(yù)防和應(yīng)對措施。

信息用于營銷、對外提供等作為與客戶建立業(yè)務(wù)關(guān)系的先決條件，但該業(yè)務(wù)關(guān)系的性質(zhì)

決定需要預(yù)先做出相關(guān)授權(quán)或同意的除外。第十六條通過格式條款取得個人書面授權(quán)或同意

的，應(yīng)當(dāng)在授權(quán)書或協(xié)議中明確該授權(quán)或同意所適用的向第三方提供個人金融信息的目

的、范圍、具體內(nèi)容，以及客戶的權(quán)利等。同時，應(yīng)當(dāng)在協(xié)議的醒目位置使用通俗易

懂的語言明確提示該授權(quán)或同意的可能后果，并在客戶簽署協(xié)議時提醒其注意上述提示，

為客戶保障其權(quán)利提供必要的信息、途徑和手段。經(jīng)客戶同意或授權(quán)向第三方提供個人金

融信息時，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)明確告知第三方，非經(jīng)客戶同意，第三方不得將從銀行業(yè)

金融機(jī)構(gòu)獲得的個人金融信息進(jìn)一步提供給其他第三方，法律法規(guī)另有規(guī)定的除外。第十

七條銀行業(yè)金融機(jī)構(gòu)應(yīng)推個人金融信息的集中統(tǒng)一管理，并按最小操作權(quán)限原則，加強(qiáng)

核心業(yè)務(wù)系統(tǒng)、客戶關(guān)系系統(tǒng)等涉及客戶個人金融信息的業(yè)務(wù)系統(tǒng)的權(quán)限控制，確保確需

涉及個人金融信息的崗位其權(quán)限與職責(zé)相匹配，防止不相關(guān)部門、崗位和人員未經(jīng)授權(quán)

查詢、泄露、損毀和篡改個人金融信息。第十八條辦理業(yè)務(wù)過程產(chǎn)生的開戶申請書、業(yè)

務(wù)傳票等涉及個人金融信息的業(yè)務(wù)費(fèi)料，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)確定專人保管、傳遞，嚴(yán)格

限制接觸客戶信息人員范圍，及時整理、裝訂、入庫、歸檔，不得隨意擺放，維護(hù)檔

案的安全完整。

第十九條因工作需要調(diào)閱個人金融信息檔案資料時，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格履行審批

手續(xù)，并留存審批和調(diào)閱記錄，以備追溯。

第二十條不須留存、歸檔的個人金融信息檔案，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)及時退還客戶并

取得客戶收妥證明；不需退還且保管期限屆滿的，在符合法律法規(guī)規(guī)章和金融監(jiān)管政策規(guī)定

的情況下，應(yīng)當(dāng)及時銷毀，銷毀過程應(yīng)全流程監(jiān)控，不得隨意放置、丟棄或作為廢品銷售。

銀行業(yè)金融機(jī)構(gòu)可根據(jù)業(yè)務(wù)資料的性質(zhì)，合理確定個人金融信息檔案資料保管期限。

第二十一條銀行業(yè)金融機(jī)構(gòu)要加強(qiáng)離鹵離行人員客戶個人金融信息費(fèi)料交接的管理，

做到檔案或資料交接全面和徹底，規(guī)范交接監(jiān)督，防止個人金融信息被私自留存或擅自帶

出。

第二十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)柜面?zhèn)€人金融信息查詢管理，規(guī)范查詢本人、代

理直詢他人賬戶存款等個人金融信息的程序，審核對方有效身份證件或有關(guān)法律文書，防

止個人金融信息泄露。

第二十三條向司法部門、行政管理部門及其他有權(quán)機(jī)關(guān)提供涉及個人金融信息的材料

時，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的相關(guān)規(guī)定，規(guī)范協(xié)助蟄詢手續(xù)，審核對方真實身

份和有關(guān)法律文書，切實保護(hù)客戶個人金融信息。

第二十四條銀行業(yè)金融機(jī)構(gòu)不得向境外提供在中國境內(nèi)收集的個人金融信息，法律法規(guī)

及中國人民銀行另有規(guī)定的除外。引進(jìn)國外戰(zhàn)略投資者、國外合作機(jī)構(gòu)時，銀行業(yè)金融

機(jī)構(gòu)應(yīng)當(dāng)對個人金融信息保護(hù)作特別約定。

第二十五條銀行業(yè)金融機(jī)構(gòu)通過外包開展業(yè)務(wù)的，應(yīng)當(dāng)全面考察評估外包服務(wù)供應(yīng)商的

資質(zhì)、信譽(yù)等，并將其保護(hù)個人金融信息的能力作為重要評估指標(biāo)，審慎選擇外包服務(wù)供

應(yīng)商。

第二十六條銀行業(yè)金融機(jī)構(gòu)與外包服務(wù)供應(yīng)商簽訂服務(wù)協(xié)議時，應(yīng)明確其保護(hù)個人金

融信息的職責(zé)和保密義務(wù)，并采取必要措施保證外包服務(wù)供應(yīng)商履行上述職責(zé)和義務(wù)，明確

個人金融信息泄露的補(bǔ)救手段與責(zé)任追究，確保個人金融信息安全。

第二十七條外包服務(wù)業(yè)務(wù)絳止后，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督外包服務(wù)供應(yīng)商及時銷毀

因外包業(yè)務(wù)而獲得的個人金融信息，銷毀的個人金融信息在技術(shù)上應(yīng)不可恢復(fù)。與外包服務(wù)

供應(yīng)商簽訂的保密協(xié)議（保密條款），應(yīng)當(dāng)明確約定外包服務(wù)供應(yīng)商的保密義務(wù)不因外包服務(wù)

的終止而終止。第四章技術(shù)防范第二十八條銀行業(yè)金融機(jī)構(gòu)開發(fā)金融業(yè)務(wù)系統(tǒng)，應(yīng)逐步

推進(jìn)總行統(tǒng)一開發(fā)規(guī)劃、分支機(jī)構(gòu)系統(tǒng)開發(fā)分級授權(quán)審批制度。選擇安全技術(shù)路線、開發(fā)

產(chǎn)品時，應(yīng)當(dāng)關(guān)注技術(shù)路線、產(chǎn)品使用的安全性，避免出現(xiàn)片面強(qiáng)調(diào)客戶體驗、忽視風(fēng)

險防范的情形。以外包方式進(jìn)行業(yè)務(wù)系統(tǒng)開發(fā)、測試時，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對個人金融

信息進(jìn)行屏蔽、切片等技術(shù)處理。外包方需進(jìn)入重要安全區(qū)域進(jìn)行現(xiàn)場作業(yè)的，應(yīng)履行審

批手續(xù)，作業(yè)現(xiàn)場應(yīng)當(dāng)進(jìn)行監(jiān)控，電腦外接插口應(yīng)當(dāng)進(jìn)行特殊處理，防止個人金融信息被

間接泄露和非法使用。銀行業(yè)金融機(jī)構(gòu)開發(fā)與人民銀行對接的系統(tǒng)，應(yīng)當(dāng)提前將系統(tǒng)開發(fā)方

案報人民銀行當(dāng)?shù)胤种C(jī)構(gòu)。銀行業(yè)金融機(jī)構(gòu)開發(fā)的金融業(yè)務(wù)系統(tǒng)，其前、后臺均應(yīng)置于

境內(nèi)。

第二十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過物理隔離、防火墻、入侵檢測等方式進(jìn)行嚴(yán)格的訪

問限制，加強(qiáng)網(wǎng)上銀行接入、合作單位外聯(lián)接入、互聯(lián)網(wǎng)行內(nèi)訪問等的技術(shù)防范，做好日

常檢測，定期通過專業(yè)第三方測評等方式開展網(wǎng)上銀行、手機(jī)銀行等外聯(lián)業(yè)務(wù)系統(tǒng)的安全認(rèn)

證，杜絕外部非法入侵竊取個人金融信息。

第三十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過分級授權(quán)、日志記錄、敏感｛言息屏蔽、關(guān)健數(shù)據(jù)加

密等手段，加強(qiáng)個人金融信息的訪問控制；應(yīng)當(dāng)通過封閉專用網(wǎng)絡(luò)、視頻監(jiān)控等方式，加強(qiáng)

信息加工環(huán)節(jié)管理，防范信息篡改和流失風(fēng)險；應(yīng)當(dāng)加強(qiáng)電腦設(shè)備外接插口、移動存儲介質(zhì)、

數(shù)據(jù)下載控制管理，通過業(yè)務(wù)網(wǎng)和辦公網(wǎng)邏輯或物理隔離、外發(fā)郵件安全審計等方式，切

斷內(nèi)部各類信息外泄途徑。

第三十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)涉及個人金融信息的各類業(yè)務(wù)系統(tǒng)的安全管理，

完善用戶、口令管理制度，明確管理員用戶、數(shù)據(jù)上報用戶和信息蟄詢用戶的職責(zé)

及操作規(guī)程。各類用戶應(yīng)專人專用，不得互相兼任，更不得設(shè)置“公共用戶”。各類用

戶應(yīng)科學(xué)設(shè)置、妥善保管、定期更新用戶密碼。應(yīng)當(dāng)定期對各類系統(tǒng)用戶口令控制執(zhí)

行情況進(jìn)行檢查，并對違反規(guī)定的用戶及時予以停用。

第三十二條以電子信息方式向金融監(jiān)管部門、司法部門等外部單位提供涉及個人金融信

息的數(shù)據(jù)時，應(yīng)當(dāng)通過特定渠道或?qū)ｉT系統(tǒng)進(jìn)行報送；無特定渠道或?qū)ｉT系統(tǒng)的，應(yīng)經(jīng)數(shù)據(jù)

保管、風(fēng)控、科技等相關(guān)部門審核，并對信息進(jìn)行加密等技術(shù)處理，確保個人金融信息安

全。第五章人員管理與教育培訓(xùn)

第三十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)強(qiáng)化員工準(zhǔn)入管理，涉及個人金融信息的核心詢位人

員，錄用前應(yīng)加強(qiáng)對其從業(yè)經(jīng)歷、個人品行等方面的考察，把好員工準(zhǔn)入關(guān)口。

第三十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)外包服務(wù)人員管理，建立外包服務(wù)人員檔案制度。

對外包服務(wù)人員，應(yīng)進(jìn)行必要的宣傳、監(jiān)督和評審，使其知曉在提供外包服務(wù)中的信息保

護(hù)責(zé)任。

第三十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)員工教育培訓(xùn)，將個人金融信息保護(hù)相關(guān)知識培

訓(xùn)納入本機(jī)構(gòu)培訓(xùn)it劃，圍繞相關(guān)法律法規(guī)和規(guī)章，金融監(jiān)管部門有關(guān)個人金融信息保護(hù)相

關(guān)規(guī)定，以及本機(jī)構(gòu)員工行為準(zhǔn)則、職業(yè)操守等內(nèi)容，廣泛開展教育培訓(xùn)。

第三十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)針對不同對象，確定不同培訓(xùn)重點(diǎn)和方式，提高培訓(xùn)

的實效性。針對新員工、涉及個人金融信息的相關(guān)業(yè)務(wù)經(jīng)辦人員和業(yè)務(wù)系統(tǒng)操作人員等

人員，上崗前應(yīng)當(dāng)開展含有個人金融信息規(guī)范收集、使用與保密等內(nèi)容的培訓(xùn)和考試，并

規(guī)定相應(yīng)的保密義務(wù)，使員工知曉、認(rèn)真執(zhí)行相關(guān)法律政策規(guī)定，充分認(rèn)識到個人金融信

息非法泄露和濫用對本機(jī)構(gòu)及本人帶來的法律后果，提高風(fēng)險防范意識。針對涉密技術(shù)人

員，應(yīng)當(dāng)規(guī)定更為嚴(yán)格的信息安全保密義務(wù)，并加強(qiáng)日常合規(guī)教育培訓(xùn)，從學(xué)習(xí)教育層

面引導(dǎo)技術(shù)人員做好崗位履職和安全操作，強(qiáng)化技術(shù)人員信息保護(hù)責(zé)任意識。

第六章監(jiān)督管理

第三十七條銀行業(yè)金融機(jī)構(gòu)發(fā)生個人金融信息泄露事件，或發(fā)現(xiàn)下級機(jī)構(gòu)有違反個人金

融信息保護(hù)行為的，應(yīng)當(dāng)在事件發(fā)生之日或發(fā)現(xiàn)下級機(jī)構(gòu)違規(guī)行為之日起7個工作日內(nèi)

將相關(guān)情況及初步處理意見報告中國人民銀行當(dāng)?shù)胤种C(jī)構(gòu)，并追究有關(guān)責(zé)任人的責(zé)任；涉

嫌犯罪的，應(yīng)及時移送司法機(jī)關(guān)處理。中國人民銀行分支機(jī)構(gòu)在收到銀行業(yè)金融機(jī)構(gòu)報告后，

應(yīng)當(dāng)視情況予以處理，井逐級上報。

第三十八條中國人民銀行受理投訴、接到銀行業(yè)金融機(jī)構(gòu)泄密事件報告、發(fā)現(xiàn)銀行業(yè)

金融機(jī)構(gòu)可能未履行個人金融信息保護(hù)義務(wù)的，可依法進(jìn)行核查，認(rèn)定銀行業(yè)金融機(jī)構(gòu)存在

違反本指引規(guī)定，或存在其他未履行個人金融信息保護(hù)義務(wù)情形的，可采取以下處理措施:

(-)約見其高管人員談話，要求說明情況；

(二)責(zé)令銀行業(yè)金融機(jī)構(gòu)限期整改；

(=)在金融系統(tǒng)內(nèi)予以通報；

(四)建議銀行業(yè)金融機(jī)構(gòu)對直接負(fù)責(zé)的高級管理人員和其他直接責(zé)任人員依法給予處

分;

（五）涉嫌犯罪的，依法移交司法機(jī)關(guān)處理。

第三十九條銀行業(yè)金融機(jī)構(gòu)違反規(guī)定通過中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系

統(tǒng)查詢或濫用個人金融信息的，中國人民銀行及其地市中心支行以上分支機(jī)構(gòu)可按照本指引

第三十八條及其他相關(guān)規(guī)定予以處理。銀行業(yè)金融機(jī)構(gòu)違法情節(jié)嚴(yán)重或拒不改正的，中

國人民銀行可決定暫停其使用，或禁止其新設(shè)分支機(jī)構(gòu)接入上述系統(tǒng)。第七章附則第四

十條人民銀行南京分行各分支行可以根據(jù)本指引制訂本轄區(qū)個人金融信息保護(hù)工作實施細(xì)

則。第四十一條本指引與相關(guān)法律、法規(guī)、規(guī)章等相沖突的，以相關(guān)法律、法規(guī)、規(guī)

章為準(zhǔn)。

第四十二條本指引由中國人民銀行南京分行負(fù)責(zé)解釋。

第四十三條本指引自印發(fā)之日起施行。

江蘇省銀行業(yè)金融機(jī)構(gòu)客戶個人金融信息保護(hù)工作指引（暫行）第一章總則第一條為

提高江蘇省銀行業(yè)金融機(jī)構(gòu)客戶個人金融信息保護(hù)工作水平，保障銀行業(yè)金融機(jī)構(gòu)各項業(yè)務(wù)

的正常開展，維護(hù)客戶個人金融信息安全，保護(hù)客戶個人合法權(quán)益，提升銀行業(yè)社會形

象，根據(jù)《中國人民銀行法》、《商業(yè)銀行法》、《個人存款賬戶實名制規(guī)定》、《個人信用信

息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》等法律、法規(guī)和規(guī)章，以及《中國人民銀行關(guān)于銀行業(yè)金融

機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》等政策規(guī)定，制定本指引。第二條本指引所稱

客戶個人金融信息，是指銀行業(yè)金融機(jī)構(gòu)在開展業(yè)務(wù)時，或通過接入中國人民銀行征信系統(tǒng)、

支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的以下個人信息:（-）個人身份信息，包括個人姓

名、性別、國籍、民族、身份證件種類號碼及有效期限、職業(yè)、聯(lián)系方式、婚姻狀況、

家庭狀況、住所或工作單位地址及照片等；（二）個人財產(chǎn)信息，包括個人收入狀況、擁有

的不動產(chǎn)狀況、擁有的車輛狀況、納稅額、公積金繳存金額等乂=）個人賬戶信息，包括

賬號、賬戶開立時間、開戶行、帶格式的：字體:（默認(rèn)）黑體,（中文）黑體，四號帶格式的：字

體：（默認(rèn)）黑體,（中文）黑體，四號帶格式的：字體：（默認(rèn)）黑體,（中文）黑體帶格式的：字體:

（默認(rèn)）黑體,（中文）黑體帶格式的：字體：（默認(rèn)）黑體,（中文）黑體帶格式的：字體：（默認(rèn)）黑

體,（中文）黑體帶格式的：字體：加粗帶格式的：縮進(jìn)：首行縮進(jìn):2字符帶格式的：字體：加粗

12賬戶余額、賬戶交易情況等;（四）個人信用信息，包括信用卡還款情況、貸款償還情

況以及個人在經(jīng)濟(jì)活動中形成的，能夠反映其信用狀況的其他信息;（五）個人金融交易信息，

包括銀行業(yè)金融機(jī)構(gòu)在支付結(jié)算、理財、保險箱等中間業(yè)務(wù)過程中獲取、保存、留存的個

人信息和客戶在通過銀行業(yè)金融機(jī)構(gòu)與保險公司、證券公司、基金公司、期貨公司等第三

方機(jī)構(gòu)發(fā)生業(yè)務(wù)關(guān)系時產(chǎn)生的個人信息等；（六）衍生信息，包括個人消費(fèi)習(xí)慣、投我意愿等

對原始信息進(jìn)行處理、分析所形成的反映特定個人某些情況的信息；（七）開展業(yè)務(wù)過程中獲

取、保存、形成的其他個人信息。第三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依照有關(guān)法律、法規(guī)、規(guī)

章和金融監(jiān)管部門政策規(guī)定，遵循目的明確、公開透明、安全保障、知情同意、責(zé)任落

實等基本原則，依法收集、加工、使用、存儲、傳輸個人金融信息。銀行業(yè)金融機(jī)構(gòu)應(yīng)

當(dāng)區(qū)分一般個人金融信息和敏感個人金融信息，實行分類區(qū)別保護(hù)。針對敏感個人金融信

息，應(yīng)實行更高的權(quán)限管理，采取更嚴(yán)格的管理措施。前款所稱敏感個人金融信息，是指

可直接反映特定個人情況的信息。雖不能直接反映特定個人情況的一般個人金融信息，與敏

感個人金融信息同時出現(xiàn)在同一介質(zhì)，可能對個人人身和財產(chǎn)利益帶來不利后果時，應(yīng)視同

敏感個人金融信息管理。第四條本指引適用于在江蘇省內(nèi)依法設(shè)立的從事金融業(yè)務(wù)的國有

商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用帶格式的：字體：加粗帶格式的：縮

進(jìn)：首行縮迸：2字符帶格式的：字體：加粗帶格式的：縮進(jìn)：首行縮進(jìn)：2字符12社（含農(nóng)

村商業(yè)銀行、農(nóng)村合作銀行）、郵政儲蓄銀行等銀行業(yè)金融機(jī)構(gòu)。第二章管理體制和工作制

度第五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)高度重視，把個人金融信息保護(hù)作為依法經(jīng)營、風(fēng)險防范的

重要內(nèi)容，納入全面風(fēng)險防控范疇，建立上下級機(jī)構(gòu)聯(lián)動、同級各部門協(xié)調(diào)配合的管理體制

和工作機(jī)制。銀行業(yè)法人機(jī)構(gòu)、省級（區(qū)域）分行應(yīng)當(dāng)履行對轄區(qū)各級機(jī)構(gòu)個人金融信息保

護(hù)工作的管理職責(zé)，明確各級機(jī)構(gòu)在個人金融信息保護(hù)方面的職責(zé)和工作重點(diǎn)，加強(qiáng)對下指

導(dǎo)、檢查、考核，逐步把個人金融信息保護(hù)工作納入對下級機(jī)構(gòu)的考核內(nèi)容。銀行業(yè)金融

機(jī)構(gòu)應(yīng)當(dāng)有效整合內(nèi)部資源，完善個人金融信息保護(hù)內(nèi)部工作機(jī)制，明確風(fēng)險控制、法律

合規(guī)、零售、科技、運(yùn)營等相關(guān)部門工作職責(zé)，并可根據(jù)本機(jī)構(gòu)情況明確奉頭部門扎口管

理個人金融信息保護(hù)工作。第六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)法律法規(guī)規(guī)章和金融監(jiān)管部門

有關(guān)個人金融信息保護(hù)政策規(guī)定，完善內(nèi)部工作制度，構(gòu)建相互銜接、相互制約、全面有

效的個人金融信息保護(hù)內(nèi)控制度體系。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立全員性的員工行為準(zhǔn)則、保

密規(guī)定等個人信息保護(hù)工作制度，實現(xiàn)個人金融信息保護(hù)有關(guān)工作要求的全員覆蓋。涉密

崗位人員離函離行的，應(yīng)當(dāng)通過書面承諾等方帶格式的：字體：加粗帶格式的：縮進(jìn)：首行縮

進(jìn):2字符帶格式的：字體：加粗帶格式的：縮進(jìn)：首行縮進(jìn):2字符12式，約定其對在行在

崗期間知曉的個人金融信息的保密義務(wù)。零售、運(yùn)營、科技等相關(guān)部門應(yīng)當(dāng)對涉及信息收

集、加工、使用、存儲、傳輸?shù)膷徫缓铜h(huán)節(jié)，制定相應(yīng)的條線規(guī)定，將個人金融信息保

護(hù)有關(guān)工作要求貫穿到各個業(yè)務(wù)環(huán)節(jié)，明確操作規(guī)范，強(qiáng)化責(zé)任。第七條銀行業(yè)金融機(jī)構(gòu)

應(yīng)當(dāng)建立個人金融信息保護(hù)工作的監(jiān)督檢查和責(zé)任追究制度。定期開展檢查，強(qiáng)化對重點(diǎn)環(huán)

節(jié)、重點(diǎn)人員的監(jiān)督檢查，形成檢查評估報告，并向本單位最高經(jīng)營管理層報告。對監(jiān)督

檢查中發(fā)現(xiàn)的違規(guī)行為應(yīng)當(dāng)進(jìn)行責(zé)任追究，督促落實整改，確保個人金融信息保護(hù)各項工作

制度有效落實。第八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立良好、有效的客戶投訴處理機(jī)制，明確

工作流程，確?？蛻粼V求能夠及時有效處理。第九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)完善個人金融

信息保護(hù)應(yīng)急處理機(jī)制，及時識別、分析、評估潛在的風(fēng)險因素，制定風(fēng)險應(yīng)對策略，采

取風(fēng)險控制措施，監(jiān)控風(fēng)險變化，對個人信息處理過程中可能出現(xiàn)的泄露、丟失、損壞、

篡改、不當(dāng)使用等突發(fā)事件制定應(yīng)急預(yù)案，采取相應(yīng)的預(yù)防和應(yīng)對I音施。第三章流程管理

第十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)遵循目的明確、確切需要、客戶知情同意原則收集個人金融

信息，不得收集與業(yè)務(wù)無關(guān)的信息，不得在客戶不知情、未參與的情況下，采取非法、

隱蔽、間帶格式的：字體：加粗帶格式的：縮進(jìn)：首行縮進(jìn):2字符帶格式的：字體：加粗帶格

式的：字體：加粗帶格式的：字體：加粗帶格式的：縮進(jìn)：首行縮進(jìn)：2字符12接方式收集個

人金融信息，法律、法規(guī)和規(guī)章另有規(guī)定的除外。第十一條銀行業(yè)金融機(jī)構(gòu)通過與客戶建

立業(yè)務(wù)關(guān)系收集個人金融信息時，應(yīng)當(dāng)在相對封閉的環(huán)境中以“一對一”的方式進(jìn)行，避

免在公眾場合將客戶個人金融信息暴露給其他人。第十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)履行客戶身

份識別義務(wù)，準(zhǔn)確錄入客戶信息，妥善保存客戶填寫資料原始憑證；客戶資料發(fā)生變動時，

應(yīng)及時進(jìn)行維護(hù)更新，保證收集的各項個人金融信息準(zhǔn)確、完整。第十三條銀行業(yè)金融機(jī)

構(gòu)使用個人金融信息時，應(yīng)當(dāng)符合收集該信息的目的；通過接入中國人民銀行征信系統(tǒng)、支

付系統(tǒng)以及其他系統(tǒng)獲取的個人金融信息，應(yīng)當(dāng)嚴(yán)格按照有關(guān)系統(tǒng)規(guī)定的用途使用。不得進(jìn)

行以下行為：（一）出售個人金融信息；（二）向本機(jī)構(gòu)以外的其他機(jī)構(gòu)和個人等第三方提供個

人金融信息，但為個人辦理相關(guān)業(yè)務(wù)所必需并經(jīng)個人書面授權(quán)或同意的，以及法律法規(guī)和中

國人民銀行另有規(guī)定的除外；（=）其他違法使用個人金融信息的行為。第十四條銀行業(yè)金融

機(jī)構(gòu)利用個人金融信息進(jìn)行客戶二次開發(fā)、營銷金融產(chǎn)品時，在客戶明確表示拒絕接受營

銷的情況下，應(yīng)當(dāng)立即停止利用其個人金融信息營銷。第十五條銀行業(yè)金融機(jī)構(gòu)不得將客

戶授權(quán)或同意其個人信息用于營銷、對外提供等作為與客戶建立業(yè)務(wù)關(guān)系的先決條件，

但該業(yè)務(wù)關(guān)系的性質(zhì)決定需要預(yù)先做出相關(guān)授權(quán)或同意的除外。帶格式的：字體：加粗帶格式

的：字體：加粗帶格式的：字體：加粗帶格式的：字體：加粗帶格式的：縮進(jìn)：首行縮進(jìn):2字符

帶格式的：字體：加粗12第十六條通過格式條款取得個人書面授權(quán)或同意的，應(yīng)當(dāng)在授權(quán)

書或協(xié)議中明確該授權(quán)或同意所適用的向第三方提供個人金融信息的目的、范圍、具體內(nèi)

容，以及客戶的權(quán)利等。同時，應(yīng)當(dāng)在協(xié)議的醒目位置使用通俗易懂的語言明確提示該

授權(quán)或同意的可能后果，并在客戶簽署協(xié)議時提醒其注意上述提示，為客戶保障其權(quán)利提

供必要的信息、途徑和手段。經(jīng)客戶同意或授權(quán)向第三方提供個人金融信息時，銀行業(yè)金

融機(jī)構(gòu)應(yīng)當(dāng)明確告知第三方，非經(jīng)客戶同意，第三方不得將從銀行業(yè)金融機(jī)構(gòu)獲得的個人金

融信息進(jìn)一步提供給其他第三方，法律法規(guī)另有規(guī)定的除外。第十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)

推進(jìn)個人金融信息的集中統(tǒng)一管理，并按最小操作權(quán)限原則，加強(qiáng)核心業(yè)務(wù)系統(tǒng)、客戶關(guān)

系系統(tǒng)等涉及客戶個人金融信息的業(yè)務(wù)系統(tǒng)的權(quán)限控制，確保確需涉及個人金融信息的崗位

其權(quán)限與職責(zé)相匹配，防止不相關(guān)部門、詢位和人員未經(jīng)授權(quán)查詢、泄露、損毀和篡改

個人金融信息。第十八條辦理業(yè)務(wù)過程產(chǎn)生的開戶申請書、業(yè)務(wù)傳票等涉及個人金融信息

的業(yè)務(wù)資料，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)確定專人保管、傳遞，嚴(yán)格限制接觸客戶信息人員范

圍，及時整理、裝訂、入庫、歸檔，不得隨意擺放，維護(hù)檔案的安全完整。第十九條因

工作需要調(diào)閱個人金融信息檔案奧料時，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格履行審批手續(xù)，并留存審

批和調(diào)閱記錄，以備追溯。第二十條不須留存、歸檔的個人金融信息檔案，銀行業(yè)金融

機(jī)構(gòu)應(yīng)當(dāng)及時退還客戶并取得客戶收妥證明；不需退還且保管帶格式的：字體：加粗帶格式的:

字體：加粗帶格式的：縮進(jìn)：首行縮進(jìn)：2字符帶格式的：字體：加粗帶格式的：字體：加粗帶

格式的：字體：加粗12期限屆滿的，在符合法律法規(guī)規(guī)章和金融監(jiān)管政策規(guī)定的情況下，應(yīng)

當(dāng)及時銷毀，銷毀過程應(yīng)全流程監(jiān)控，不得隨意放置、丟棄或作為廢品銷售。銀行業(yè)金融

機(jī)構(gòu)可根據(jù)業(yè)務(wù)資料的性質(zhì)，合理確定個人金融信息檔案資料保管期限。第二十一條銀行

業(yè)金融機(jī)構(gòu)要加強(qiáng)離訪離行人員客戶個人金融信息資料交接的管理，做到檔案或資料交接

全面和徹底，規(guī)范交接監(jiān)督，防止個人金融信息被私自留存或擅自帶出。第二十二條銀

行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)柜面?zhèn)€人金融信息查詢管理，規(guī)范查詢本人、代理查詢他人賬戶存

款等個人金融信息的程序，審核對方有效身份證件或有關(guān)法律文書，防止個人金融信息泄露。

第二十三條向司法部門、行政管理部門及其他有權(quán)機(jī)關(guān)提供涉及個人金融信息的材料時，銀

行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的相關(guān)規(guī)定，規(guī)范協(xié)助查詢手續(xù)，審核對方真實身份和有關(guān)

法律文書，切實保護(hù)客戶個人金融信息。第二十四條銀行業(yè)金融機(jī)構(gòu)不得向境外提供在中

國境內(nèi)收集的個人金融信息，法律法規(guī)及中國人民銀行另有規(guī)定的除外。引進(jìn)國外戰(zhàn)略投

費(fèi)者、國外合作機(jī)構(gòu)時，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對個人金融信息保護(hù)作特別約定。第二十五

條銀行業(yè)金融機(jī)構(gòu)通過外包開展業(yè)務(wù)的，應(yīng)當(dāng)全面考察評估外包服務(wù)供應(yīng)商的資質(zhì)、信譽(yù)

等，并將其保護(hù)個人金融信息的能力作為重要評估指標(biāo)，審慎選擇外包服務(wù)供應(yīng)商。第二

十六條銀行業(yè)金融機(jī)構(gòu)與外包服務(wù)供應(yīng)商簽訂服務(wù)帶格式的：字體：加粗帶格式的：縮進(jìn):

首行縮進(jìn)：2字符帶格式的：字體：加粗帶格式的：字體：加粗帶格式的：字體：加粗帶格式的:

字體：加粗帶格式的：縮進(jìn)：首行縮進(jìn):2字符帶格式的：字體：加粗12協(xié)議時，應(yīng)明確其保

護(hù)個人金融信息的職責(zé)和保密義務(wù)，井采取必要措施保證外包服務(wù)供應(yīng)商履行上述職責(zé)和義

務(wù)，明確個人金融信息泄露的補(bǔ)救手段與責(zé)任追究，確保個人金融信息安全。第二十七條外

包服務(wù)業(yè)務(wù)終止后，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督外包服務(wù)供應(yīng)商及時銷毀因外包業(yè)務(wù)而獲得的

個人金融信息，銷毀的個人金融信息在技術(shù)上應(yīng)不可恢復(fù)。與外包服務(wù)供應(yīng)商簽訂的保密協(xié)

議（保密條款），應(yīng)當(dāng)明確約定外包服務(wù)供應(yīng)商的保密義務(wù)不因外包服務(wù)的終止而終止。第四

章技術(shù)防范第二十八條銀行業(yè)金融機(jī)構(gòu)開發(fā)金融業(yè)務(wù)系統(tǒng)，應(yīng)逐步推進(jìn)總行統(tǒng)一開發(fā)規(guī)

劃、分支機(jī)構(gòu)系統(tǒng)開發(fā)分級授權(quán)審批制度。選擇安全技術(shù)路線、開發(fā)產(chǎn)品時，應(yīng)當(dāng)關(guān)注技

術(shù)路線、產(chǎn)品使用的安全性，避免出現(xiàn)片面強(qiáng)調(diào)客戶體驗、忽視風(fēng)險防范的情形。以外

包方式進(jìn)行業(yè)務(wù)系統(tǒng)開發(fā)、測試時，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對個人金融信息進(jìn)行屏蔽、切片

等技術(shù)處理。外包方需進(jìn)入重要安全區(qū)域進(jìn)行現(xiàn)場作業(yè)的，應(yīng)履行審批手續(xù)，作業(yè)現(xiàn)場應(yīng)

當(dāng)進(jìn)行監(jiān)控，電腦外接插口應(yīng)當(dāng)進(jìn)行特殊處理，防止個人金融信息被間接泄露和非法使用。

銀行業(yè)金融機(jī)構(gòu)開發(fā)與人民銀行對接的系統(tǒng)，應(yīng)當(dāng)提前將系統(tǒng)開發(fā)方案報人民銀行當(dāng)?shù)胤种?/p>

機(jī)構(gòu)。銀行業(yè)金融機(jī)構(gòu)開發(fā)的金融業(yè)務(wù)系統(tǒng)，其前、后臺均應(yīng)置于境內(nèi)。帶格式的：字體:

加粗帶格式的：字體：加粗帶格式的：縮進(jìn)：首行縮進(jìn)：2字符12第二十九條銀行業(yè)金融機(jī)

構(gòu)應(yīng)當(dāng)通過物理隔離、防火墻、入侵檢測等方式進(jìn)行嚴(yán)格的訪問限制，加強(qiáng)網(wǎng)上銀行接入、

合作單位外聯(lián)接入、互聯(lián)網(wǎng)行內(nèi)訪問等的技術(shù)防范，做好日常檢測，定期通過專業(yè)第三方

測評等方式開展網(wǎng)上銀行、手機(jī)銀行等外聯(lián)業(yè)務(wù)系統(tǒng)的安全認(rèn)證，杜絕外部非法入侵竊取個

人金融信息。第三十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過分級授權(quán)、日志記錄、敏感信息屏蔽、關(guān)

鍵數(shù)據(jù)加密等手段，加強(qiáng)個人金融信息的訪問控制；應(yīng)當(dāng)通過封閉專用網(wǎng)絡(luò)、視頻監(jiān)控等方

式，加強(qiáng)信息加工環(huán)節(jié)管理，防范信息篡改和流失風(fēng)險；應(yīng)當(dāng)加強(qiáng)電腦設(shè)備外接插口、移

動存儲介質(zhì)、數(shù)據(jù)下載控制管理，通過業(yè)務(wù)網(wǎng)和辦公網(wǎng)邏輯或物理隔離、外發(fā)郵件安全審

計等方式，切斷內(nèi)部各類信息外泄途徑。第三十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)涉及個人金

融信息的各類業(yè)務(wù)系統(tǒng)的安全管理，完善用戶、口令管理制度，明確管理員用戶、數(shù)

據(jù)上報用戶和信息查詢用戶的職責(zé)及操作規(guī)程。各類用戶應(yīng)專人專用，不得互相兼任，更

不得設(shè)置〃公共用戶”。各類用戶應(yīng)科學(xué)設(shè)置、妥善保管、定期更新用戶密碼。應(yīng)當(dāng)定

期對各類系統(tǒng)用戶口令控制執(zhí)行情況進(jìn)行檢查，并對違反規(guī)定的用戶及時予以停用。第三

十二條以電子信息方式向金融監(jiān)管部門、司法部門等外部單位提供涉及個人金融信息的數(shù)據(jù)

時，應(yīng)當(dāng)通過特定渠道或?qū)ｉT系統(tǒng)進(jìn)行報送；無特定渠道或?qū)ｉT系統(tǒng)的，應(yīng)經(jīng)數(shù)據(jù)保管、風(fēng)

控、科技等相關(guān)部門審核，并對信息進(jìn)行加密等技術(shù)處理，確保個人金融信息安全。帶格

式的：字體：加粗帶格式的：縮進(jìn)：首行縮進(jìn):2字符帶格式的：字體：加粗帶格式的：字體：加

粗帶格式的：字體：加粗12第五章人員管理與教育培訓(xùn)第三十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)

強(qiáng)化員工準(zhǔn)入管理，涉及個人金融信息的核心崗位人員，錄用前應(yīng)加強(qiáng)對其從業(yè)經(jīng)歷、個

人品行等方面的考察，把好員工準(zhǔn)入關(guān)口。第三十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)外包服務(wù)

人員管理，建立外包服務(wù)人員檔案制度。對外包服務(wù)人員，應(yīng)進(jìn)行必要的宣傳、