《江苏赣商村镇银行个人金融信息保护管理办法.docx》由会员分享,可在线阅读,更多相关《江苏赣商村镇银行个人金融信息保护管理办法.docx(17页珍藏版)》请在第一文库网上搜索。
1、江苏某赣商村镇银行个人金融信息保护管理办法(修订)第一章总则第一条为保护消费者的个人金融信息,规范个人金融信息的收集、保存和使用,根据中华人民共和国个人信息保护法中华人民共和国商业银行法中华人民共和国银行业监督管理法个人信用信息基础数据库管理暂行办法及中国人民银行金融消费者权益保护实施办法等法律法规,制定本办法。第二条辖属各支行、部门的个人金融信息保护工作适用本办法。第三条个人金融信息保护工作是指本行能够接触个人金融信息的所有人员在处理个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息的保护,确保信息安全,防止信息泄露和滥用。第四条个人金融信息的处理包括个人金融信息的收集、存
2、储、使用、加工、传输、提供、公开、删除等。第二章个人金融信息保护内容第五条个人金融信息保护内容本办法所称个人金融信息,是指本行通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他特定消费者购买、使用金融产品或者服务相关的信息,具体如下:(一)个人身份信息:包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等。(二)个人财产信息:包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等。(三)个人账户信息:包括账号、账户开立时间、开户行、账户余额、
3、账户交易情况等。(四)个人信用信息:包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息。(五)个人金融交易信息:包括我行在支付结算、理财、保管箱等中间业务过程中获取、保存、留存的个人信息,以及客户在通过我行与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等。(六)衍生信息:包括个人消费习惯、投资意愿等对原始信息处理、分析所形成的反映特定个人某些情况信息。(七)其他信息:在与个人建立业务关系过程中获取、保存的其他个人信息。第三章基本原则第六条本行处理个人金融信息,遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处
4、理个人信息,需经金融消费者或者其监护人明示同意,但法律、行政法规另有规定的除外。不得收集法律、行政法规禁止采集的其他个人信息,不得收集与业务无关的个人金融信息,不得采取不正当方式收集个人金融信息,不得变相强制收集个人金融信息。各机构不得以金融消费者不同意处理其金融信息为由,拒绝提供金融产品或服务,但处理其金融信息属于提供金融产品或者服务所必需的除外。金融消费者不能或者拒绝提供必要信息,致使本行无法履行反洗钱义务的,各机构可以根据中华人民共和国反洗钱法的相关规定对其金融活动采取限制性措施;确有必要时,可以依法拒绝提供金融产品或者服务。第七条各机构收集个人金融信息当按照法律法规的规定和双方约定的用
5、途使用消费者金融信息,不得超出范围使用。收集的个人金融信息用于营销、用户体验改进或者市场调查的,应以适当方式供金融消费者自主选择是否同意将其金融信息用于上述目的;金融消费者不同意的,不得因此拒绝提供金融产品或者服务。各机构向金融消费者发送金融营销信息的,应当向其提供拒绝继续接收金融营销信息的方式。第八条各机构应处理个人金融信息应遵循公开、透明原则,公开个人金融信息处理规则,明示处理个人金融信息的目的、方式和范围,并留存有关证明资料。通过格式条款取得个人金融信息收集、使用同意的,应当在格式条款中明确收集个人金融信息的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示
6、该同意的可能后果。通过线上渠道使用格式条款获取个人信息授权的,不得设置默认同意的选项。第九条各机构处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人金融信息。第十条本行应当建立以分级授权为核心的消费者金融信息使用管理制度,根据金融信息的重要性、敏感度及业务开展需要,在不影响本机构履行反洗钱等法定义务的前提下,合理确定本机构工作人员调取信息的范围、权限,严格落实信息使用授权审批程序。第十一条各机构应当按照国家档案管理和电子数据管理等规定,采取技术措施和其他必要措施,妥善保管和存储所收集的个人
7、金融信息,防止信息遗失、毁损、泄露或者被篡改。各机构应当对个人金融信息严格保密,不得泄露或者非法向他人提供。在确认信息发生泄露、毁损、丢失时,责任机构应当立即采取补救措施,并向个人金融信息保护领导小组报告;信息泄露、毁损、丢失可能危及金融消费者人身、财产安全的,应当立即向责任机构所地的中国人民银行分支机构报告并告知金融消费者;信息泄露、毁损、丢失可能对金融消费者产生其他不利影响的,应当及时告知金融消费者,并在72小时以内报告责任机构所在地的中国人民银行分支机构。第十二条本行个人金融信息实行分类分级管理,根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高
8、到低分为C3、C2、C1三个类别。(一)C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害,包括但不限于:账户登录密码、交易密码、查询密码、银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、用于用户鉴别的个人生物识别信息。(二)C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害,包括但不限于:支付账号及其等效信息,如支付账号、证件
9、类识别标识与证件信息(身份证、护照等);直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息;用于金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等;用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息;其他能够识别出特定主体的信息,如家庭地址等。(三)C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响,包括但
10、不限于:账户开立时间、开户机构;基于账户信息产生的支付标记信息;C2和C3类别信息中未包含的其他个人金融信息。第十三条个人金融信息分级分类管理的总体要求(一)个人金融信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情况下,方可处理个人金融信息。(二)严格执行分级授权查询,查询申请应明确数据使用、传输、公开范围、数据销毁时间等。(三)满足业务需求,且兼顾最小必要原则,最大限度地保护个人客户金融信息,在执行数据有效性验证时,对敏感数据做脱敏处理。个人金融信息分级分类管理及各级别敏感数据脱敏方案的具体落实,参照相关业务数据安全管理规范执行,个人金融信息C3、C2、C1三个类别分别对应高
11、级、中级、低级三个数据安全等级。第四章组织机构与岗位设置第十四条本行个人金融信息保护工作按照总一支二级管理架构,实行统一领导、分级管理,各层级在组织架构范围内履行职责。第十五条本行设立个人金融信息保护领导小组,负责全行个人金融信息保护工作的组织与管理,领导小组组长由分管业务发展部的行领导担任,副组长由业务发展部负责人担任,成员由综合管理部、计划统计财务部、风险合规部、授信审批部、审计部、清收中心、各支行负责人组成。本行个人金融信息保护领导小组下设办公室,办公室设在业务发展部,负责本行个人金融信息保护的日常管理工作。第十六条本行个人金融信息保护领导小组主要承担以下职责:(一)统筹协调、统一规划、
12、监督指导本行个人金融信息保护工作;(二)协调各成员部门开展个人金融信息保护工作;(三)就个人金融信息保护问题向各部门、支行提出工作意见或建议;(四)需要落实的其他事项。第十七条各支行应分别成立个人金融信息保护工作领导小组,组长由支行行长担任,其他组员由支行人员担任。第十八条各支行个人金融信息保护工作领导小组一般职责:(一)落实支行个人金融信息保护工作,组织实施本机构发生个人金融信息泄露事件的补救措施。(二)落实本机构个人金融信息保护岗位人员,明确本机构个人金融信息保护岗位人员的工作职责。(三)监督本机构个人金融信息保护工作实施情况,对本机构可能发生的客户信息泄露、毁损、丢失事件,在24小时内向
13、本行个人金融信息保护领导小组报告。第五章职责分工第十九条本行各部门是个人金融信息保护工作的重要执行部门,其中业务发展部、授信审批部、计划统计财务部、风险合规部承担以下工作事项:(一)负责落实涉及本条线个人金融信息保护的事前协调和管控机制,在产品和服务的设计开发、协议制定、营销推介及售后管理等各个业务环节,落实有关个人金融信息保护的监管要求,使个人金融信息保护措施在产品和服务进入市场前得以实施;(二)负责对自主开发设计的产品和服务进行评估。应当在消费者授权同意的基础上与合作方处理消费者个人信息,将个人金融信息保护相关要求纳入存在合作关系的中介机构和第三方尽职调查、风险评估、准入和退出机制中,在合
14、作协议中应当约定数据保护责任、保密义务、违约责任、合同终止和突发情况下的处置条款。合作过程中,应当严格控制合作方行为与权限,通过加密传输、安全隔离、权限管控、监测报警、去标识化等方式,防范数据滥用或者泄露风险。督促和规范与其合作的互联网平台企业有效保护消费者个人信息,未经消费者同意,不得在不同平台间传递消费者个人信息,法律法规另有规定的除外。(三)通过外包服务开展业务的,应充分审查、评估外包服务供应商保护个人金融信息的能力,并将其作为选择外包服务供应商的重要指标。与外包服务供应商签订服务协议时,应当明确其保护个人金融信息的职责和保密义务,并采取必要措施保证其履行上述职责;(四)负责对本部门牵头
15、建设的系统(如风险合规部征信系统,授信审批部信贷系统,计划统计财务部柜面系统、手机银行等)制定相应制度或其他规范文件,明确用户管理,相关岗位和人员的管理责任,遵循权责对应、最小必要原则设置访问、操作权限,落实信息查询、使用、传输等授权审批流程,实现异常操作行为的有效监控和干预。(五)各业务部门对外发布App、小程序收集使用客户信息的,应制定相应的隐私政策,并提交风险合规部审查。隐私政策应通过弹窗等明显方式向客户提供。隐私政策应包括但不限于以下内容:1收集使用个人信息的规则;2 .收集使用个人信息的目的、方式和范围;3 .注销账号或取消授权的渠道;4 .个人信息投诉、举报渠道。(六)负责开展本条
16、线(部门)个人金融信息保护工作监督检查;(七)协助开展个人金融信息保护工作考核评价;(A)报送本条线个人金融信息保护工作开展情况,及时报送涉及个人金融信息保护的重大事项;(九)业务管理部门应将个人金融信息保护要求嵌入本条线业务操作流程并予以实施;(十)各条线部门应根据具体情况审核数据查询内容的必要性、合规性以及合法性,确保数据查询必要、合规、合法。(十一)根据个人金融信息保护管理要求,需要履行的其它职责。第二十条业务发展部是全行个人金融信息保护的牵头部门,除履行本办法第十九条规定职责,还应负责以下职责:(一)牵头组织和落实全行个人金融信息保护相关法律法规、部门规章及本行制度;依照国家相关法律法规、部门规章及本行相关制度,建立健全本行个人金融信息保护制度并组织实施;(二)负责本行个