1、农商银行客户信息保护管理办法第一章总则第一条 为提高XX农商银行(以下简称“本行”)客户 信息保护工作水平,保障各项业务的正常开展,维护个人客 户信息安全,保护客户个人合法权益,提升本行社会形象, 根据中国人民银行法、商业银行法、个人存款账户实 名制规定等法律、法规和规章,以及中国人民银行关于 银行业金融机构做好个人客户信息保护工作的通知等政策 规定,制定本管理办法。第二条 本管理办法所称个人客户信息,是指本行在开 展业务时,或通过接入中国人民银行征信系统、支付系统以 及其他系统获取、加工和保存的以下个人信息:(一)个人身份信息,包括个人姓名、性别、国籍、民 族、身份证件种类号码及有效期限、职
2、业、联系方式、婚姻 状况、家庭状况、住所或工作单位地址及照片等;(二)个人财产信息,包括个人收入状况、拥有的不动 产状况、拥有的车辆状况、纳税额、公积金缴存金额等;(三)个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等;(四)个人信用信息,包括信用卡还款情况、贷款偿还 情况以及个人在经济活动中形成的,能够反映其信用状况的 其他信息;(五)个人金融交易信息,包括银行业金融机构在支付 结算、理财、保险箱等中间业务过程中获取、保存、留存的 个人信息和客户在通过银行业金融机构与保险公司、证券公 司、基金公司、期货公司等第三方机构发生业务关系时产生 的个人信息等;(六)衍生信息,包
3、括个人消费习惯、投资意愿等对原 始信息进行处理、分析所形成的反映特定个人某些情况的信 息;(七)开展业务过程中获取、保存、形成的其他个人信 息。第三条 依照有关法律、法规、规章和金融监管部门政 策规定,遵循目的明确、公开透明、安全保障、知情同意、 责任落实等基本原则,依法收集、加工、使用、存储、传输 个人客户信息。区分一般个人客户信息和敏感个人客户信息,实行分类 区别保护。针对敏感个人客户信息,实行更高的权限管理, 采取更严格的管理措施。第四条前款所称敏感个人客户信息,是指可直接反映 特定个人情况的信息。虽不能直接反映特定个人情况的一般 个人客户信息,与敏感个人客户信息同时出现在同一介质, 可
4、能对个人人身和财产利益带来不利后果时,应视同敏感个 人客户信息管理。第五条 本办法适用于XX农商银行各部门、各支行、各 分理处(以下简称“各单位”)。第二章管理体制和工作制度第六条 总行明确由信息科技部牵头管理客户信息保 护工作,并按照银监部门相关制度要求,加强信息科技第二、 三道防线履职,由风险管理部负责信息科技风险管理,定期 组织开展信息安全专项风险评估,包括环境、用户、数据敏 感性和外包等各要求,识别威胁客户信息安全的风险隐患, 以及风险控制制度和措施的充分性;合规管理部应定期组织 各部室及时梳理制度、流程,加强合规文件建设,开展合规 检查,规范员工行为,加强客户信息安全领域的合规风险管
5、 理;审计稽核部应定期开展信息安全专项审计,加大审计频 度和力度,全面识别风险隐患,督促问题整改。各部室要严 格按照法律法规、制度要求,制定本专业的客户信息保护相 关的制度、操作规程、行为准则、保密规定以及客户信息分 类以及分类标准,并督导本部门以及各支行、分理处落实到 位。第七条各单位要高度重视客户信息管理工作,积极有 效整合内部资源,完善个人客户信息保护内部工作机制,积 极履行对本单位个人客户信息保护工作的管理职责,把个人 客户信息保护作为依法经营、风险防范的重要内容,纳入全 面风险防控范畴,明确风险控制、分级授权、重要岗位相互 制约等风险防控措施,建立上下级机构网点联动、同级各部 门协调
6、配合的管理体制和工作机制。总行各部门要加强对下 指导、检查、考核,把个人客户信息保护工作纳入对下级机 构网点的考核内容。第八条各单位要根据法律法规规章和金融监管部门 有关个人客户信息保护政策规定,完善内部工作制度,构建 相互衔接、相互制约、全面有效的个人客户信息保护内控制 度体系。建立健全全员性的员工行为准则、保密规定等个人 信息保护工作制度,实现个人客户信息保护有关工作要求的 全员覆盖。涉密岗位人员离岗离行的,要通过书面承诺等方 式,约定其对在行在岗期间知晓的个人客户信息的保密义 务。总行各部门要制定本专业的客户信息分类与分级标准, 明确不同等级信息的保护要求,对涉及信息收集、加工、使 用、
7、存储、传输的岗位和环节,制定相应的条线规定,将个 人客户信息保护有关工作要求贯穿到各个业务环节,明确岗 位权限和操作规程,强化责任。第九条 总行要形成全行的客户信息保护行为准则和 保密规定,涵盖全行所有条线部门和所有业务。各单位要加 强对分支和直属机构的指导、考核,强化对重点环节、重点 人员的监督检查,形成检查整改报告,并向本行经营管理层 报告。对监督检查中发现的违规行为要进行责任追究,督促 落实整改,确保个人客户信息保护各项工作制度有效落实。第十条总行要形成全行的客户投诉处理管理办法,涵 盖全行所有条线部门和所有业务;要建立良好、有效的客户 投诉处理机制,明确工作流程,确保客户诉求能够及时有
8、效 处理。第十一条完善个人客户信息保护应急处理机制,及时 识别、分析、评估潜在的风险因素,制定风险应对策略,采 取风险控制措施,监控风险变化,对个人信息处理过程中可 能出现的泄露、丢失、损坏、篡改、不当使用等突发事件制 定应急预案,采取相应的预防和应对措施。第三章流程管理第十二条 遵循目的明确、确切需要、客户知情同意原 则收集个人客户信息,不得收集与业务无关的信息,不得在 客户不知情、未参与的情况下,采取非法、隐蔽、间接方式 收集个人客户信息,法律、法规和规章另有规定的除外。第十三条 通过与客户建立业务关系收集个人客户信 息时,要在相对封闭的环境中以“一对一”的方式进行,避 免在公众场合将个人
9、客户信息暴露给其他人。第十四条 履行客户身份识别义务,准确录入客户信 息,妥善保存客户填写资料原始凭证;客户资料发生变动时, 应及时进行维护更新,保证收集的各项个人客户信息准确、 完整。第十五条使用个人客户信息时,要符合收集该信息的 目的;通过接入中国人民银行征信系统、支付系统以及其他 系统获取的个人客户信息,要严格按照有关系统规定的用途 使用。不得进行以下行为:(-)出售个人客户信息;(二)向本行以外的其他机构和个人等第三方提供个人 客户信息,但为个人办理相关业务所必需并经个人书面授权 或同意的,以及法律法规和中国人民银行另有规定的除外;(三)其他违法使用个人客户信息的行为。第十六条利用个人
10、客户信息进行客户二次开发、营销 金融产品时,在客户明确表示拒绝接受营销的情况下,要立 即停止利用其个人客户信息营销。第十七条 不得将客户授权或同意其个人信息用于营 销、对外提供等作为与客户建立业务关系的先决条件,但该 业务关系的性质决定需要预先做出相关授权或同意的除外。第十八条 通过格式条款取得个人书面授权或同意的, 要在授权书或协议中明确该授权或同意所适用的向第三方 提供个人客户信息的目的、范围、具体内容,以及客户的权 利等。同时,要在协议的醒目位置使用通俗易懂的语言明确 提示该授权或同意的可能后果,并在客户签署协议时提醒其 注意上述提示,为客户保障其权利提供必要的信息、途径和 手段。经客户
11、同意或授权向第三方提供个人客户信息时,要明 确告知第三方,非经客户同意,第三方不得将从本行获得的 个人客户信息进一步提供给其他第三方,法律法规另有规定 的除外。第十九条 推进个人客户信息的集中统一管理,并按最 小操作权限原则,加强核心业务系统、客户关系系统等涉及 客户个人客户信息的业务系统的权限控制,确保确需涉及个 人客户信息的岗位其权限与职责相匹配,防止不相关部门、 岗位和人员未经授权查询、泄露、损毁和篡改个人客户信息。第二十条办理业务过程产生的开户申请书、业务传票 等涉及个人客户信息的业务资料,要确定专人保管、传递, 严格限制接触客户信息人员范围,及时整理、装订、入库、 归档,不得随意摆放
12、,维护档案的安全完整。第二十一条因工作需要调阅个人客户信息档案资料 时,要严格履行审批手续,并留存审批和调阅记录,以备追 溯。第二十二条 不须留存、归档的个人客户信息档案,要 及时退还客户并取得客户收妥证明;不需退还且保管期限届 满的,在符合法律法规规章和金融监管政策规定的情况下, 要及时销毁,销毁过程应全流程监控,不得随意放置、丢弃 或作为废品销售。各部门可根据业务资料的性质,根据本专业的相关制度 要求,合理确定个人客户信息档案资料保管期限。第二十三条加强离岗离行人员客户个人客户信息资 料交接的管理,做到档案或资料全面和彻底交接,规范交接 监督,防止个人客户信息被私自留存或擅自带出。第二十四
13、条加强柜面个人客户信息查询管理,规范查 询本人、代理查询他人账户存款等个人客户信息的程序,审 核对方有效身份证件或有关法律文书,防止个人客户信息泄 露。第二十五条 向司法部门、行政管理部门及其他有权机 关提供涉及个人客户信息的材料时,要按照法律法规的相关 规定,规范协助查询手续,审核对方真实身份和有关法律文 书,切实保护客户个人客户信息。第二十六条不得向境外提供在中国境内收集的个人 客户信息,法律法规及中国人民银行另有规定的除外。引进国外战略投资者、国外合作机构时,本行应当对个 人客户信息保护作特别约定。第二十七条通过外包开展业务的,要全面考察评估外 包服务供应商的资质、信誉等,并将其保护个人
14、客户信息的 能力作为重要评估指标,审慎选择外包服务供应商。第二十八条 与外包服务供应商签订服务协议时,要明 确其保护个人客户信息的职责和保密义务,并采取必要措施 保证外包服务供应商履行上述职责和义务,明确个人客户信 息泄露的补救手段与责任追究,确保个人客户信息安全。第二十九条外包服务业务终止后,要监督外包服务供 应商及时销毁因外包业务而获得的个人客户信息,销毁的个 人客户信息在技术上应不可恢复。与外包服务供应商签订的 保密协议(保密条款),要明确约定外包服务供应商的保密 义务不因外包服务的终止而终止。第四章技术防范和保密规定第三十条 各单位要对具有访问客户敏感信息权限的 账号进行梳理和核查,加
15、强重点业务和重点岗位管理,遵循 “权责对应”的原则,对具有访问客户敏感信息权限的系统 账号实行实名制管理,明确责任人。要加强本单位员工操作 行为管控和审计,禁止违规查询、下载、复制、保存客户信 息。各单位要制定落实涉及客户敏感信息的操作审批流程, 建立健全用户管理、客户敏感信息访问和下载等行为的监 督、审计制度。第三十一条各单位要加强档案室、营业室等能够访问 客户信息的重点区域的安全管理,强化出入管理、视频监控 管理,对于可能接触到敏感信息的重要操作,必须 使用视 频监控系统进行监控和记录。第三十二条 各单位要加强内部信息管理,加强网络准 入控制和用户实名制管理,所有接入内部网络的计算机及终
16、端,必须按照要求进行申请,经有权人批准后,由信息科技 部统一组织实施网络接入。第三十三条各单位要切实加强本单位的计算机以及终 端安全管理,及时安装系统补丁和更新防病毒等安全管理软 件,并定期启动防病毒软件进行病毒查杀,禁止使用未经批 准或授权的蓝牙、红外、调制解调器等外部设备。第三十四条 各单位要加强移动存储设备管理,防止违 规信息外发、拷贝等信息泄露行为,严禁涉密的移动存储设 备在非涉密信息系统中使用。第三十五条 各单位要严格通过分级授权、日志记录、 敏感信息屏蔽、关键数据加密等手段,加强个人客户信息的 访问控制;要加强客户信息传输管理,对客户敏感信息采取 加密存储、传输等措施。严禁在测试环境中使用真实的客户 密码、生产密钥等敏感信息。第三十六条加强涉及个人客户信息的各类业务系统 的安全管理,完善用户、口令管理制度,明确管理员用户
