人民銀行關於銀行業金融機構
做好個人金融信息保護工作的通知

銀發〔2011〕17號　　

人民銀行上海總部，各分行、營業管理部，各省會（首府）城市中心支行，國有商業銀行，股份制商業銀行，中國郵政儲蓄銀行：
　　個人金融信息是金融機構日常業務工作中積累的一項重要基礎數據，也是金融機構客戶個人隱私的重要內容。如何收集、使用、對外提供個人金融信息，既涉及到銀行業金融機構業務的正常開展，也涉及客戶信息、個人隱私的保護。如果出現與個人金融信息有關的不當行為，不但會直接侵害客戶的合法權益，也會增加銀行業金融機構的訴訟風險，加大運營成本。近年來，個人金融信息侵權行為時有發生，並引起社會的廣泛關注。因此，強化個人金融信息保護和銀行業金融機構法制意識，依法收集、使用和對外提供個人金融信息，十分必要。對個人金融信息的保護是銀行業金融機構的一項法定義務。為了規範銀行業金融機構收集、使用和對外提供個人金融信息行為，保護金融消費者合法權益，維護金融穩定，根據《中華人民共和國中國人民銀行法》、《中華人民共和國商業銀行法》、《中華人民共和國反洗錢法》、《個人存款賬戶實名制規定》等法律、法規的規定，現就個人金融信息保護的有關事項通知如下：
　　一、本通知所稱個人金融信息，是指銀行業金融機構在開展業務時，或通過接入中國人民銀行徵信系統、支付系統以及其他系統獲取、加工和保存的以下個人信息：
　　（一）個人身份信息，包括個人姓名、性別、國籍、民族、身份證件種類號碼及有效期限、職業、聯絡方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等；
　　（二）個人財産信息，包括個人收入狀況、擁有的不動産狀況、擁有的車輛狀況、納稅額、公積金繳存金額等；
　　（三）個人賬戶信息，包括賬號、賬戶開立時間、開戶行、賬戶餘額、賬戶交易情況等；
　　（四）個人信用信息，包括信用卡還款情況、貸款償還情況以及個人在經濟活動中形成的，能夠反映其信用狀況的其他信息；
　　（五）個人金融交易信息，包括銀行業金融機構在支付結算、理財、保險箱等中間業務過程中獲取、保存、留存的個人信息和客戶在通過銀行業金融機構與保險公司、證券公司、基金公司、期貨公司等第三方機構發生業務關係時産生的個人信息等；
　　（六）衍生信息，包括個人消費習慣、投資意願等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息；
　　（七）在與個人建立業務關係過程中獲取、保存的其他個人信息。
　　二、銀行業金融機構在收集、保存、使用、對外提供個人金融信息時，應當嚴格遵守法律規定，採取有效措施加強對個人金融信息保護，確保信息安全，防止信息洩露和濫用。特別是在收集個人金融信息時，應當遵循合法、合理原則，不得收集與業務無關的信息或採取不正當方式收集信息。
　　三、銀行業金融機構應當建立健全內部控制制度，對易發生個人金融信息洩露的環節進行充分排查，明確規定各部門、崗位和人員的管理責任，加強個人金融信息管理的權限設置，形成相互監督、相互制約的管理機制，切實防止信息洩露或濫用事件的發生。
　　銀行業金融機構要完善信息安全技術防範措施，確保個人金融信息在收集、傳輸、加工、保存、使用等環節中不被洩露。
　　銀行業金融機構要加強對從業人員的培訓，強化從業人員個人金融信息安全意識，防止從業人員非法使用、洩露、出售個人金融信息。接觸個人金融信息崗位的從業人員在上崗前，應當書面做出保密承諾。
　　四、銀行業金融機構不得篡改、違法使用個人金融信息。使用個人金融信息時，應當符合收集該信息的目的，並不得進行以下行為：
　　（一）出售個人金融信息；
　　（二）向本金融機構以外的其他機構和個人提供個人金融信息，但為個人辦理相關業務所必需並經個人書面授權或同意的，以及法律法規和中國人民銀行另有規定的除外；
　　（三）在個人提出反對的情況下，將個人金融信息用於産生該信息以外的本金融機構其他營銷活動。
　　銀行業金融機構通過格式條款取得客戶書面授權或同意的，應當在協議中明確該授權或同意所適用的向他人提供個人金融信息的範圍和具體情形。同時，還應當在協議的醒目位置使用通俗易懂的語言明確提示該授權或同意的可能後果，並在客戶簽署協議時提醒其注意上述提示。
　　五、銀行業金融機構不得將客戶授權或同意其將個人信息用於營銷、對外提供等作為與客戶建立業務關係的先決條件，但該業務關係的性質決定需要預先做出相關授權或同意的除外。
　　六、在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外，銀行業金融機構不得向境外提供境內個人金融信息。
　　七、銀行業金融機構通過外包開展業務的，應當充分審查、評估外包服務供應商保護個人金融信息的能力，並將其作為選擇外包服務供應商的重要指標。
　　銀行業金融機構與外包服務供應商簽訂服務協議時，應當明確其保護個人金融信息的職責和保密義務，並採取必要措施保證外包服務供應商履行上述職責和義務，確保個人金融信息安全。銀行業金融機構應要求外包服務供應商在外包業務終止後，及時銷毀因外包業務而獲得的個人金融信息。
　　八、銀行業金融機構通過接入中國人民銀行徵信系統、支付系統以及其他系統獲取的個人金融信息，應當嚴格按照系統規定的用途使用，不得違反規定查詢和濫用。
　　九、銀行業金融機構發生個人金融信息洩露事件的，或銀行業金融機構的上級機構發現下級機構有違反規定對外提供個人金融信息及其他違反本通知行為的，應當在事件發生之日或發現下級機構違規行為之日起7個工作日內將相關情況及初步處理意見報告中國人民銀行當地分支機構。
　　中國人民銀行分支機構在收到銀行業金融機構報告後，應視情況予以處理，並及時向中國人民銀行報告。
　　十、中國人民銀行及其地市中心支行以上分支機構受理投訴或發現銀行業金融機構可能未履行個人金融信息保護義務的，可依法進行核實，認定銀行業金融機構存在違反本通知規定，或存在其他未履行個人金融信息保護義務情形的，可採取以下處理措施：
　　（一）約見其高管人員談話，要求説明情況；
　　（二）責令銀行業金融機構限期整改；
　　（三）在金融系統內予以通報；
　　（四）建議銀行業金融機構對直接負責的高級管理人員和其他直接責任人員依法給予處分；
　　（五）涉嫌犯罪的，依法移交司法機關處理。
　　十一、銀行業金融機構違反規定通過中國人民銀行徵信系統、支付系統以及其他系統查詢或濫用個人金融信息的，中國人民銀行及其地市中心支行以上分支機構可按照本通知第十條及其他相關規定予以處理。
　　銀行業金融機構違法情節嚴重或拒不改正的，中國人民銀行可決定暫停其使用，或禁止其新設分支機構接入上述系統。
　　十二、銀行業金融機構及其工作人員違反規定使用和對外提供個人金融信息，給客戶造成損害的，應當依法承擔相應的法律責任。
　　本通知自2011年5月1日起執行。請中國人民銀行上海總部，各分行、營業管理部、省會（首府）城市中心支行將本通知轉發至轄區內各銀行業金融機構。本通知執行過程中發現的新情況、新問題，請及時向中國人民銀行報告。

人民銀行　　　　　　　　　　　　
二〇一一年一月二十一日