人民银行关于银行业金融机构
做好个人金融信息保护工作的通知

银发〔2011〕17号　　

人民银行上海总部，各分行、营业管理部，各省会（首府）城市中心支行，国有商业银行，股份制商业银行，中国邮政储蓄银行：
　　个人金融信息是金融机构日常业务工作中积累的一项重要基础数据，也是金融机构客户个人隐私的重要内容。如何收集、使用、对外提供个人金融信息，既涉及到银行业金融机构业务的正常开展，也涉及客户信息、个人隐私的保护。如果出现与个人金融信息有关的不当行为，不但会直接侵害客户的合法权益，也会增加银行业金融机构的诉讼风险，加大运营成本。近年来，个人金融信息侵权行为时有发生，并引起社会的广泛关注。因此，强化个人金融信息保护和银行业金融机构法制意识，依法收集、使用和对外提供个人金融信息，十分必要。对个人金融信息的保护是银行业金融机构的一项法定义务。为了规范银行业金融机构收集、使用和对外提供个人金融信息行为，保护金融消费者合法权益，维护金融稳定，根据《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国反洗钱法》、《个人存款账户实名制规定》等法律、法规的规定，现就个人金融信息保护的有关事项通知如下：
　　一、本通知所称个人金融信息，是指银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息：
　　（一）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等；
　　（二）个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等；
　　（三）个人账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等；
　　（四）个人信用信息，包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息；
　　（五）个人金融交易信息，包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等；
　　（六）衍生信息，包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息；
　　（七）在与个人建立业务关系过程中获取、保存的其他个人信息。
　　二、银行业金融机构在收集、保存、使用、对外提供个人金融信息时，应当严格遵守法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用。特别是在收集个人金融信息时，应当遵循合法、合理原则，不得收集与业务无关的信息或采取不正当方式收集信息。
　　三、银行业金融机构应当建立健全内部控制制度，对易发生个人金融信息泄露的环节进行充分排查，明确规定各部门、岗位和人员的管理责任，加强个人金融信息管理的权限设置，形成相互监督、相互制约的管理机制，切实防止信息泄露或滥用事件的发生。
　　银行业金融机构要完善信息安全技术防范措施，确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露。
　　银行业金融机构要加强对从业人员的培训，强化从业人员个人金融信息安全意识，防止从业人员非法使用、泄露、出售个人金融信息。接触个人金融信息岗位的从业人员在上岗前，应当书面做出保密承诺。
　　四、银行业金融机构不得篡改、违法使用个人金融信息。使用个人金融信息时，应当符合收集该信息的目的，并不得进行以下行为：
　　（一）出售个人金融信息；
　　（二）向本金融机构以外的其他机构和个人提供个人金融信息，但为个人办理相关业务所必需并经个人书面授权或同意的，以及法律法规和中国人民银行另有规定的除外；
　　（三）在个人提出反对的情况下，将个人金融信息用于产生该信息以外的本金融机构其他营销活动。
　　银行业金融机构通过格式条款取得客户书面授权或同意的，应当在协议中明确该授权或同意所适用的向他人提供个人金融信息的范围和具体情形。同时，还应当在协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果，并在客户签署协议时提醒其注意上述提示。
　　五、银行业金融机构不得将客户授权或同意其将个人信息用于营销、对外提供等作为与客户建立业务关系的先决条件，但该业务关系的性质决定需要预先做出相关授权或同意的除外。
　　六、在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。
　　七、银行业金融机构通过外包开展业务的，应当充分审查、评估外包服务供应商保护个人金融信息的能力，并将其作为选择外包服务供应商的重要指标。
　　银行业金融机构与外包服务供应商签订服务协议时，应当明确其保护个人金融信息的职责和保密义务，并采取必要措施保证外包服务供应商履行上述职责和义务，确保个人金融信息安全。银行业金融机构应要求外包服务供应商在外包业务终止后，及时销毁因外包业务而获得的个人金融信息。
　　八、银行业金融机构通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息，应当严格按照系统规定的用途使用，不得违反规定查询和滥用。
　　九、银行业金融机构发生个人金融信息泄露事件的，或银行业金融机构的上级机构发现下级机构有违反规定对外提供个人金融信息及其他违反本通知行为的，应当在事件发生之日或发现下级机构违规行为之日起7个工作日内将相关情况及初步处理意见报告中国人民银行当地分支机构。
　　中国人民银行分支机构在收到银行业金融机构报告后，应视情况予以处理，并及时向中国人民银行报告。
　　十、中国人民银行及其地市中心支行以上分支机构受理投诉或发现银行业金融机构可能未履行个人金融信息保护义务的，可依法进行核实，认定银行业金融机构存在违反本通知规定，或存在其他未履行个人金融信息保护义务情形的，可采取以下处理措施：
　　（一）约见其高管人员谈话，要求说明情况；
　　（二）责令银行业金融机构限期整改；
　　（三）在金融系统内予以通报；
　　（四）建议银行业金融机构对直接负责的高级管理人员和其他直接责任人员依法给予处分；
　　（五）涉嫌犯罪的，依法移交司法机关处理。
　　十一、银行业金融机构违反规定通过中国人民银行征信系统、支付系统以及其他系统查询或滥用个人金融信息的，中国人民银行及其地市中心支行以上分支机构可按照本通知第十条及其他相关规定予以处理。
　　银行业金融机构违法情节严重或拒不改正的，中国人民银行可决定暂停其使用，或禁止其新设分支机构接入上述系统。
　　十二、银行业金融机构及其工作人员违反规定使用和对外提供个人金融信息，给客户造成损害的，应当依法承担相应的法律责任。
　　本通知自2011年5月1日起执行。请中国人民银行上海总部，各分行、营业管理部、省会（首府）城市中心支行将本通知转发至辖区内各银行业金融机构。本通知执行过程中发现的新情况、新问题，请及时向中国人民银行报告。

人民银行　　　　　　　　　　　　
二〇一一年一月二十一日