銀行業金融機構客戶個人金融信息保護工作指引暫行第一章總則第一條為提高省銀行業金融機構客戶個人金融信息保護工作水平，保障銀行業金融機構各項業務的正常開展，維護客戶個人金融信息安全，保護客戶個人合法權益，提升銀行業社會形象，根據中國人民銀行法、商業銀行法、個人存款賬戶實名制規定、個人信用信息基礎數據庫管理暫行辦法等法律、法規和規章，以及中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知等政策規定，制定本指引。第二條本指引所稱客戶個人金融信息，是指銀行業金融機構在開展業務時，或通過接入中國人民銀行征信系統、支付系統以及其他系統獲取、加工和保存的以下個人信息一個人身份信息，包括個人姓名、性別、國籍、民族、身份證件種類號碼及有效期限、職業、聯系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等二個人財產信息，包括個人收入狀況、擁有的不動產狀況、擁有的車輛狀況、納稅額、公積金繳存金額等三個人賬戶信息，包括賬號、賬戶開立時間、開戶行、賬戶余額、賬戶交易情況等四個人信用信息，包括信用卡還款情況、貸款償還情況以及個人在經濟活動中形成的，能夠反映其信用狀況的其他信息五個人金融交易信息，包括銀行業金融機構在支付結算、理財、保險箱等中間業務過程中獲取、保存、留存的個人信息和客戶在通過銀行業金融機構與保險公司、證券公司、基金公司、期貨公司等第三方機構發生業務關系時產生的個人信息等六衍生信息，包括個人消費習慣、投資意愿等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息七開展業務過程中獲取、保存、形成的其他個人信息。第三條銀行業金融機構應當依照有關法律、法規、規章和金融監管部門政策規定，遵循目的明確、公開透明、安全保障、知情同意、責任落實等基本原則，依法收集、加工、使用、存儲、傳輸個人金融信息。銀行業金融機構應當區分一般個人金融信息和敏感個人金融信息，實行分類區別保護。針對敏感個人金融信息，應實行更高的權限管理，采取更嚴格的管理措施。前款所稱敏感個人金融信息，是指可直接反映特定個人情況的信息。雖不能直接反映特定個人情況的一般個人金融信息，與敏感個人金融信息同時出現在同一介質，可能對個人人身和財產利益帶來不利后果時，應視同敏感個人金融信息管理。第四條本指引適用于在省內依法設立的從事金融業務的國有商業銀行、股份制商業銀行、城市商業銀行、農村信用社含農村商業銀行、農村合作銀行、郵政儲蓄銀行等銀行業金融機構。第二章管理體制和工作制度第五條銀行業金融機構應當高度重視，把個人金融信息保護作為依法經營、風險防范的重要內容，納入全面風險防控范疇，建立上下級機構聯動、同級各部門協調配合的管理體制和工作機制。銀行業法人機構、省級區域分行應當履行對轄區各級機構個人金融信息保護工作的管理職責，明確各級機構在個人金融信息保護方面的職責和工作重點，加強對下指導、檢查、考核，逐步把個人金融信息保護工作納入對下級機構的考核內容。銀行業金融機構應當有效整合內部資源，完善個人金融信息保護內部工作機制，明確風險控制、法律合規、零售、科技、運營等相關部門工作職責，并可根據本機構情況明確牽頭部門扎口管理個人金融信息保護工作。第六條銀行業金融機構應當根據法律法規規章和金融監管部門有關個人金融信息保護政策規定，完善內部工作制度，構建相互銜接、相互制約、全面有效的個人金融信息保護內控制度體系。銀行業金融機構應當建立全員性的員工行為準則、保密規定等個人信息保護工作制度，實現個人金融信息保護有關工作要求的全員覆蓋。涉密崗位人員離崗離行的，應當通過書面承諾等方式，約定其對在行在崗期間知曉的個人金融信息的保密義務。零售、運營、科技等相關部門應當對涉及信息收集、加工、使用、存儲、傳輸的崗位和環節，制定相應的條線規定，將個人金融信息保護有關工作要求貫穿到各個業務環節，明確操作規范，強化責任。第七條銀行業金融機構應當建立個人金融信息保護工作的監督檢查和責任追究制度。定期開展檢查，強化對重點環節、重點人員的監督檢查，形成檢查評估報告，并向本單位最高經營管理層報告。對監督檢查中發現的違規行為應當進行責任追究，督促落實整改，確保個人金融信息保護各項工作制度有效落實。第八條銀行業金融機構應當建立良好、有效的客戶投訴處理機制，明確工作流程，確保客戶訴求能夠及時有效處理。第九條銀行業金融機構應當完善個人金融信息保護應急處理機制，及時識別、分析、評估潛在的風險因素，制定風險應對策略，采取風險控制措施，監控風險變化，對個人信息處理過程中可能出現的泄露、丟失、損壞、篡改、不當使用等突發事件制定應急預案，采取相應的預防和應對措施。第三章流程管理第十條銀行業金融機構應當遵循目的明確、確切需要、客戶知情同意原則收集個人金融信息，不得收集與業務無關的信息，不得在客戶不知情、未參與的情況下，采取非法、隱蔽、間接方式收集個人金融信息，法律、法規和規章另有規定的除外。第十一條銀行業金融機構通過與客戶建立業務關系收集個人金融信息時，應當在相對封閉的環境中以“一對一”的方式進行，避免在公眾場合將客戶個人金融信息暴露給其他人。第十二條銀行業金融機構應當履行客戶身份識別義務，準確錄入客戶信息，妥善保存客戶填寫資料原始憑證客戶資料發生變動時，應及時進行維護更新，保證收集的各項個人金融信息準確、完整。第十三條銀行業金融機構使用個人金融信息時，應當符合收集該信息的目的通過接入中國人民銀行征信系統、支付系統以及其他系統獲取的個人金融信息，應當嚴格按照有關系統規定的用途使用。不得進行以下行為一出售個人金融信息二向本機構以外的其他機構和個人等第三方提供個人金融信息，但為個人辦理相關業務所必需并經個人書面授權或同意的，以及法律法規和中國人民銀行另有規定的除外三其他違法使用個人金融信息的行為。第十四條銀行業金融機構利用個人金融信息進行客戶二次開發、營銷金融產品時，在客戶明確表示拒絕接受營銷的情況下，應當立即停止利用其個人金融信息營銷。第十五條銀行業金融機構不得將客戶授權或同意其個人信息用于營銷、對外提供等作為與客戶建立業務關系的先決條件，但該業務關系的性質決定需要預先做出相關授權或同意的除外。第十六條通過格式條款取得個人書面授權或同意的，應當在授權書或協議中明確該授權或同意所適用的向第三方提供個人金融信息的目的、范圍、具體內容，以及客戶的權利等。同時，應當在協議的醒目位置使用通俗易懂的語言明確提示該授權或同意的可能后果，并在客戶簽署協議時提醒其注意上述提示，為客戶保障其權利提供必要的信息、途徑和手段。經客戶同意或授權向第三方提供個人金融信息時，銀行業金融機構應當明確告知第三方，非經客戶同意，第三方不得將從銀行業金融機構獲得的個人金融信息進一步提供給其他第三方，法律法規另有規定的除外。第十七條銀行業金融機構應推進個人金融信息的集中統一管理，并按最小操作權限原則，加強核心業務系統、客戶關系系統等涉及客戶個人金融信息的業務系統的權限控制，確保確需涉及個人金融信息的崗位其權限與職責相匹配，防止不相關部門、崗位和人員未經授權查詢、泄露、損毀和篡改個人金融信息。第十八條辦理業務過程產生的開戶申請書、業務傳票等涉及個人金融信息的業務資料，銀行業金融機構應當確定專人保管、傳遞，嚴格限制接觸客戶信息人員范圍，及時整理、裝訂、入庫、歸檔，不得隨意擺放，維護檔案的安全完整。第十九條因工作需要調閱個人金融信息檔案資料時，銀行業金融機構應當嚴格履行審批手續，并留存審批和調閱記錄，以備追溯。第二十條不須留存、歸檔的個人金融信息檔案，銀行業金融機構應當及時退還客戶并取得客戶收妥證明不需退還且保管期限屆滿的，在符合法律法規規章和金融監管政策規定的情況下，應當及時銷毀，銷毀過程應全流程監控，不得隨意放置、丟棄或作為廢品銷售。銀行業金融機構可根據業務資料的性質，合理確定個人金融信息檔案資料保管期限。第二十一條銀行業金融機構要加強離崗離行人員客戶個人金融信息資料交接的管理，做到檔案或資料交接全面和徹底，規范交接監督，防止個人金融信息被私自留存或擅自帶出。第二十二條銀行業金融機構應當加強柜面個人金融信息查詢管理，規范查詢本人、代理查詢他人賬戶存款等個人金融信息的程序，審核對方有效身份證件或有關法律文書，防止個人金融信息泄露。第二十三條向司法部門、行政管理部門及其他有權機關提供涉及個人金融信息的材料時，銀行業金融機構應當按照法律法規的相關規定，規范協助查詢手續，審核對方真實身份和有關法律文書，切實保護客戶個人金融信息。第二十四條銀行業金融機構不得向境外提供在中國境內收集的個人金融信息，法律法規及中國人民銀行另有規定的除外。引進國外戰略投資者、國外合作機構時，銀行業金融機構應當對個人金融信息保護作特別約定。第二十五條銀行業金融機構通過外包開展業務的，應當全面考察評估外包服務供應商的資質、信譽等，并將其保護個人金融信息的能力作為重要評估指標，審慎選擇外包服務供應商。第二十六條銀行業金融機構與外包服務供應商簽訂服務協議時，應明確其保護個人金融信息的職責和保密義務，并采取必要措施保證外包服務供應商履行上述職責和義務，明確個人金融信息泄露的補救手段與責任追究，確保個人金融信息安全。第二十七條外包服務業務終止后，銀行業金融機構應當監督外包服務供應商及時銷毀因外包業務而獲得的個人金融信息，銷毀的個人金融信息在技術上應不可恢復。與外包服務供應商簽訂的保密協議保密條款，應當明確約定外包服務供應商的保密義務不因外包服務的終止而終止。第四章技術防范第二十八條銀行業金融機構開發金融業務系統，應逐步推進總行統一開發規劃、分支機構系統開發分級授權審批制度。選擇安全技術路線、開發產品時，應當關注技術路線、產品使用的安全性，避免出現片面強調客戶體驗、忽視風險防范的情形。以外包方式進行業務系統開發、測試時，銀行業金融機構應當對個人金融信息進行屏蔽、切片等技術處理。外包方需進入重要安全區域進行現場作業的，應履行審批手續，作業現場應當進行監控，電腦外接插口應當進行特殊處理，防止個人金融信息被間接泄露和非法使用。銀行業金融機構開發與人民銀行對接的系統，應當提前將系統開發方案報人民銀行當地分支機構。銀行業金融機構開發的金融業務系統，其前、后臺均應置于境內。第二十九條銀行業金融機構應當通過物理隔離、防火墻、入侵檢測等方式進行嚴格的訪問限制，加強網上銀行接入、合作單位外聯接入、互聯網行內訪問等的技術防范，做好日常檢測，定期通過專業第三方測評等方式開展網上銀行、手機銀行等外聯業務系統的安全認證，杜絕外部非法入侵竊取個人金融信息。第三十條銀行業金融機構應當通過分級授權、日志記錄、敏感信息屏蔽、關鍵數據加密等手段，加強個人金融信息的訪問控制應當通過封閉專用網絡、視頻監控等方式，加強信息加工環節管理，防范信息篡改和流失風險應當加強電腦設備外接插口、移動存儲介質、數據下載控制管理，通過業務網和辦公網邏輯或物理隔離、外發郵件安全審計等方式，切斷內部各類信息外泄途徑。第三十一條銀行業金融機構應當加強涉及個人金融信息的各類業務系統的安全管理，完善用戶、口令管理制度，明確管理員用戶、數據上報用戶和信息查詢用戶的職責及操作規程。各類用戶應專人專用，不得互相兼任，更不得設置“公共用戶”。各類用戶應科學設置、妥善保管、定期更新用戶密碼。應當定期對各類系統用戶口令控制執行情況進行檢查，并對違反規定的用戶及時予以停用。第三十二條以電子信息方式向金融監管部門、司法部門等外部單位提供涉及個人金融信息的數據時，應當通過特定渠道或專門系統進行報送無特定渠道或專門系統的，應經數據保管、風控、科技等相關部門審核，并對信息進行加密等技術處理，確保個人金融信息安全。第五章人員管理與教育培訓第三十三條銀行業金融機構應當強化員工準入管理，涉及個人金融信息的核心崗位人員，錄用前應加強對其從業經歷、個人品行等方面的考察，把好員工準入關口。第三十四條銀行業金融機構應當加強外包服務人員管理，建立外包服務人員檔案制度。對外包服務人員，應進行必要的宣傳、監督和評審，使其知曉在提供外包服務中的信息保護責任。第三十五條銀行業金融機構應當加強員工教育培訓，將個人金融信息保護相關知識培訓納入本機構培訓計劃，圍繞相關法律法規和規章，金融監管部門有關個人金融信息保護相關規定，以及本機構員工行為準則、職業操守等內容，廣泛開展教育培訓。第三十六條銀行業金融機構應當針對不同對象，確定不同培訓重點和方式，提高培訓的實效性。針對新員工、涉及個人金融信息的相關業務經辦人員和業務系統操作人員等人員，上崗前應當開展含有個人金融信息規范收集、使用與保密等內容的培訓和考試，并規定相應的保密義務，使員工知曉、認真執行相關法律政策規定，充分認識到個人金融信息非法泄露和濫用對本機構及本人帶來的法律后果，提高風險防范意識。針對涉密技術人員，應當規定更為嚴格的信息安全保密義務，并加強日常合規教育培訓，從學習教育層面引導技術人員做好崗位履職和安全操作，強化技術人員信息保護責任意識。第六章監督管理第三十七條銀行業金融機構發生個人金融信息泄露事件，或發現下級機構有違反個人金融信息保護行為的，應當在事件發生之日或發現下級機構違規行為之日起7個工作日內將相關情況及初步處理意見報告中國人民銀行當地分支機構，并追究有關責任人的責任涉嫌犯罪的，應及時移送司法機關處理。中國人民銀行分支機構在收到銀行業金融機構報告后，應當視情況予以處理，并逐級上報。第三十八條中國人民銀行受理投訴、接到銀行業金融機構泄密事件報告、發現銀行業金融機構可能未履行個人金融信息保護義務的，可依法進行核查，認定銀行業金融機構存在違反本指引規定，或存在其他未履行個人金融信息保護義務情形的，可采取以下處理措施一約見其高管人員談話，要求說明情況二責令銀行業金融機構限期整改三在金融系統內予以通報四建議銀行業金融機構對直接負責的高級管理人員和其他直接責任人員依法給予處分五涉嫌犯罪的，依法移交司法機關處理。第三十九條銀行業金融機構違反規定通過中國人民銀行征信系統、支付系統以及其他系統查詢或濫用個人金融信息的，中國人民銀行及其地市中心支行以上分支機構可按照本指引第三十八條及其他相關規定予以處理。銀行業金融機構違法情節嚴重或拒不改正的，中國人民銀行可決定暫停其使用，或禁止其新設分支機構接入上述系統。第七章附則第四十條人民銀行南京分行各分支行可以根據本指引制訂本轄區個人金融信息保護工作實施細則。第四十一條本指引與相關法律、法規、規章等相沖突的，以相關法律、法規、規章為準。第四十二條本指引由中國人民銀行南京分行負責解釋。第四十三條本指引自印發之日起施行。江蘇省銀行業金融機構客戶個人金融信息保護工作指引暫行第一章總則第一條為提高江蘇省銀行業金融機構客戶個人金融信息保護工作水平，保障銀行業金融機構各項業務的正常開展，維護客戶個人金融信息安全，保護客戶個人合法權益，提升銀行業社會形象，根據中國人民銀行法、商業銀行法、個人存款賬戶實名制規定、個人信用信息基礎數據庫管理暫行辦法等法律、法規和規章，以及中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知等政策規定，制定本指引。第二條本指引所稱客戶個人金融信息，是指銀行業金融機構在開展業務時，或通過接入中國人民銀行征信系統、支付系統以及其他系統獲取、加工和保存的以下個人信息一個人身份信息，包括個人姓名、性別、國籍、民族、身份證件種類號碼及有效期限、職業、聯系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等二個人財產信息，包括個人收入狀況、擁有的不動產狀況、擁有的車輛狀況、納稅額、公積金繳存金額等三個人賬戶信息，包括賬號、賬戶開立時間、開戶行、帶格式的字體默認黑體,中文黑體,四號帶格式的字體默認黑體,中文黑體,四號帶格式的字體默認黑體,中文黑體帶格式的字體默認黑體,中文黑體帶格式的字體默認黑體,中文黑體帶格式的字體默認黑體,中文黑體帶格式的字體加粗帶格式的縮進首行縮進2字符帶格式的字體加粗12賬戶余額、賬戶交易情況等四個人信用信息，包括信用卡還款情況、貸款償還情況以及個人在經濟活動中形成的，能夠反映其信用狀況的其他信息五個人金融交易信息，包括銀行業金融機構在支付結算、理財、保險箱等中間業務過程中獲取、保存、留存的個人信息和客戶在通過銀行業金融機構與保險公司、證券公司、基金公司、期貨公司等第三方機構發生業務關系時產生的個人信息等六衍生信息，包括個人消費習慣、投資意愿等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息七開展業務過程中獲取、保存、形成的其他個人信息。第三條銀行業金融機構應當依照有關法律、法規、規章和金融監管部門政策規定，遵循目的明確、公開透明、安全保障、知情同意、責任落實等基本原則，依法收集、加工、使用、存儲、傳輸個人金融信息。銀行業金融機構應當區分一般個人金融信息和敏感個人金融信息，實行分類區別保護。針對敏感個人金融信息，應實行更高的權限管理，采取更嚴格的管理措施。前款所稱敏感個人金融信息，是指可直接反映特定個人情況的信息。雖不能直接反映特定個人情況的一般個人金融信息，與敏感個人金融信息同時出現在同一介質，可能對個人人身和財產利益帶來不利后果時，應視同敏感個人金融信息管理。第四條本指引適用于在江蘇省內依法設立的從事金融業務的國有商業銀行、股份制商業銀行、城市商業銀行、農村信用帶格式的字體加粗帶格式的縮進首行縮進2字符帶格式的字體加粗帶格式的縮進首行縮進2字符12社含農村商業銀行、農村合作銀行、郵政儲蓄銀行等銀行業金融機構。第二章管理體制和工作制度第五條銀行業金融機構應當高度重視，把個人金融信息保護作為依法經營、風險防范的重要內容，納入全面風險防控范疇，建立上下級機構聯動、同級各部門協調配合的管理體制和工作機制。銀行業法人機構、省級區域分行應當履行對轄區各級機構個人金融信息保護工作的管理職責，明確各級機構在個人金融信息保護方面的職責和工作重點，加強對下指導、檢查、考核，逐步把個人金融信息保護工作納入對下級機構的考核內容。銀行業金融機構應當有效整合內部資源，完善個人金融信息保護內部工作機制，明確風險控制、法律合規、零售、科技、運營等相關部門工作職責，并可根據本機構情況明確牽頭部門扎口管理個人金融信息保護工作。第六條銀行業金融機構應當根據法律法規規章和金融監管部門有關個人金融信息保護政策規定，完善內部工作制度，構建相互銜接、相互制約、全面有效的個人金融信息保護內控制度體系。銀行業金融機構應當建立全員性的員工行為準則、保密規定等個人信息保護工作制度，實現個人金融信息保護有關工作要求的全員覆蓋。涉密崗位人員離崗離行的，應當通過書面承諾等方帶格式的字體加粗帶格式的縮進首行縮進2字符帶格式的字體加粗帶格式的縮進首行縮進2字符12式，約定其對在行在崗期間知曉的個人金融信息的保密義務。零售、運營、科技等相關部門應當對涉及信息收集、加工、使用、存儲、傳輸的崗位和環節，制定相應的條線規定，將個人金融信息保護有關工作要求貫穿到各個業務環節，明確操作規范，強化責任。第七條銀行業金融機構應當建立個人金融信息保護工作的監督檢查和責任追究制度。定期開展檢查，強化對重點環節、重點人員的監督檢查，形成檢查評估報告，并向本單位最高經營管理層報告。對監督檢查中發現的違規行為應當進行責任追究，督促落實整改，確保個人金融信息保護各項工作制度有效落實。第八條銀行業金融機構應當建立良好、有效的客戶投訴處理機制，明確工作流程，確保客戶訴求能夠及時有效處理。第九條銀行業金融機構應當完善個人金融信息保護應急處理機制，及時識別、分析、評估潛在的風險因素，制定風險應對策略，采取風險控制措施，監控風險變化，對個人信息處理過程中可能出現的泄露、丟失、損壞、篡改、不當使用等突發事件制定應急預案，采取相應的預防和應對措施。第三章流程管理第十條銀行業金融機構應當遵循目的明確、確切需要、客戶知情同意原則收集個人金融信息，不得收集與業務無關的信息，不得在客戶不知情、未參與的情況下，采取非法、隱蔽、間帶格式的字體加粗帶格式的縮進首行縮進2字符帶格式的字體加粗帶格式的字體加粗帶格式的字體加粗帶格式的縮進首行縮進2字符12接方式收集個人金融信息，法律、法規和規章另有規定的除外。第十一條銀行業金融機構通過與客戶建立業務關系收集個人金融信息時，應當在相對封閉的環境中以“一對一”的方式進行，避免在公眾場合將客戶個人金融信息暴露給其他人。第十二條銀行業金融機構應當履行客戶身份識別義務，準確錄入客戶信息，妥善保存客戶填寫資料原始憑證客戶資料發生變動時，應及時進行維護更新，保證收集的各項個人金融信息準確、完整。第十三條銀行業金融機構使用個人金融信息時，應當符合收集該信息的目的通過接入中國人民銀行征信系統、支付系統以及其他系統獲取的個人金融信息，應當嚴格按照有關系統規定的用途使用。不得進行以下行為一出售個人金融信息二向本機構以外的其他機構和個人等第三方提供個人金融信息，但為個人辦理相關業務所必需并經個人書面授權或同意的，以及法律法規和中國人民銀行另有規定的除外三其他違法使用個人金融信息的行為。第十四條銀行業金融機構利用個人金融信息進行客戶二次開發、營銷金融產品時，在客戶明確表示拒絕接受營銷的情況下，應當立即停止利用其個人金融信息營銷。第十五條銀行業金融機構不得將客戶授權或同意其個人信息用于營銷、對外提供等作為與客戶建立業務關系的先決條件，但該業務關系的性質決定需要預先做出相關授權或同意的除外。帶格式的字體加粗帶格式的字體加粗帶格式的字體加粗帶格式的字體加粗帶格式的縮進首行縮進2字符帶格式的字體加粗12第十六條通過格式條款取得個人書面授權或同意的，應當在授權書或協議中明確該授權或同意所適用的向第三方提供個人金融信息的目的、范圍、具體內容，以及客戶的權利等。同時，應當在協議的醒目位置使用通俗易懂的語言明確提示該授權或同意的可能后果，并在客戶簽署協議時提醒其注意上述提示，為客戶保障其權利提供必要的信息、途徑和手段。經客戶同意或授權向第三方提供個人金融信息時，銀行業金融機構應當明確告知第三方，非經客戶同意，第三方不得將從銀行業金融機構獲得的個人金融信息進一步提供給其他第三方，法律法規另有規定的除外。第十七條銀行業金融機構應推進個人金融信息的集中統一管理，并按最小操作權限原則，加強核心業務系統、客戶關系系統等涉及客戶個人金融信息的業務系統的權限控制，確保確需涉及個人金融信息的崗位其權限與職責相匹配，防止不相關部門、崗位和人員未經授權查詢、泄露、損毀和篡改個人金融信息。第十八條辦理業務過程產生的開戶申請書、業務傳票等涉及個人金融信息的業務資料，銀行業金融機構應當確定專人保管、傳遞，嚴格限制接觸客戶信息人員范圍，及時整理、裝訂、入庫、歸檔，不得隨意擺放，維護檔案的安全完整。第十九條因工作需要調閱個人金融信息檔案資料時，銀行業金融機構應當嚴格履行審批手續，并留存審批和調閱記錄，以備追溯。第二十條不須留存、歸檔的個人金融信息檔案，銀行業金融機構應當及時退還客戶并取得客戶收妥證明不需退還且保管帶格式的字體加粗帶格式的字體加粗帶格式的縮進首行縮進2字符帶格式的字體加粗帶格式的字體加粗帶格式的字體加粗12期限屆滿的，在符合法律法規規章和金融監管政策規定的情況下，應當及時銷毀，銷毀過程應全流程監控，不得隨意放置、丟棄或作為廢品銷售。銀行業金融機構可根據業務資料的性質，合理確定個人金融信息檔案資料保管期限。第二十一條銀行業金融機構要加強離崗離行人員客戶個人金融信息資料交接的管理，做到檔案或資料交接全面和徹底，規范交接監督，防止個人金融信息被私自留存或擅自帶出。第二十二條銀行業金融機構應當加強柜面個人金融信息查詢管理，規范查詢本人、代理查詢他人賬戶存款等個人金融信息的程序，審核對方有效身份證件或有關法律文書，防止個人金融信息泄露。第二十三條向司法部門、行政管理部門及其他有權機關提供涉及個人金融信息的材料時，銀行業金融機構應當按照法律法規的相關規定，規范協助查詢手續，審核對方真實身份和有關法律文書，切實保護客戶個人金融信息。第二十四條銀行業金融機構不得向境外提供在中國境內收集的個人金融信息，法律法規及中國人民銀行另有規定的除外。引進國外戰略投資者、國外合作機構時，銀行業金融機構應當對個人金融信息保護作特別約定。第二十五條銀行業金融機構通過外包開展業務的，應當全面考察評估外包服務供應商的資質、信譽等，并將其保護個人金融信息的能力作為重要評估指標，審慎選擇外包服務供應商。第二十六條銀行業金融機構與外包服務供應商簽訂服務帶格式的字體加粗帶格式的縮進首行縮進2字符帶格式的字體加粗帶格式的字體加粗帶格式的字體加粗帶格式的字體加粗帶格式的縮進首行縮進2字符帶格式的字體加粗12協議時，應明確其保護個人金融信息的職責和保密義務，并采取必要措施保證外包服務供應商履行上述職責和義務，明確個人金融信息泄露的補救手段與責任追究，確保個人金融信息安全。第二十七條外包服務業務終止后，銀行業金融機構應當監督外包服務供應商及時銷毀因外包業務而獲得的個人金融信息，銷毀的個人金融信息在技術上應不可恢復。與外包服務供應商簽訂的保密協議保密條款，應當明確約定外包服務供應商的保密義務不因外包服務的終止而終止。第四章技術防范第二十八條銀行業金融機構開發金融業務系統，應逐步推進總行統一開發規劃、分支機構系統開發分級授權審批制度。選擇安全技術路線、開發產品時，應當關注技術路線、產品使用的安全性，避免出現片面強調客戶體驗、忽視風險防范的情形。以外包方式進行業務系統開發、測試時，銀行業金融機構應當對個人金融信息進行屏蔽、切片等技術處理。外包方需進入重要安全區域進行現場作業的，應履行審批手續，作業現場應當進行監控，電腦外接插口應當進行特殊處理，防止個人金融信息被間接泄露和非法使用。銀行業金融機構開發與人民銀行對接的系統，應當提前將系統開發方案報人民銀行當地分支機構。銀行業金融機構開發的金融業務系統，其前、后臺均應置于境內。帶格式的字體加粗帶格式的字體加粗帶格式的縮進首行縮進2字符12第二十九條銀行業金融機構應當通過物理隔離、防火墻、入侵檢測等方式進行嚴格的訪問限制，加強網上銀行接入、合作單位外聯接入、互聯網行內訪問等的技術防范，做好日常檢測，定期通過專業第三方測評等方式開展網上銀行、手機銀行等外聯業務系統的安全認證，杜絕外部非法入侵竊取個人金融信息。第三十條銀行業金融機構應當通過分級授權、日志記錄、敏感信息屏蔽、關鍵數據加密等手段，加強個人金融信息的訪問控制應當通過封閉專用網絡、視頻監控等方式，加強信息加工環節管理，防范信息篡改和流失風險應當加強電腦設備外接插口、移動存儲介質、數據下載控制管理，通過業務網和辦公網邏輯或物理隔離、外發郵件安全審計等方式，切斷內部各類信息外泄途徑。第三十一條銀行業金融機構應當加強涉及個人金融信息的各類業務系統的安全管理，完善用戶、口令管理制度，明確管理員用戶、數據上報用戶和信息查詢用戶的職責及操作規程。各類用戶應專人專用，不得互相兼任，更不得設置“公共用戶”。各類用戶應科學設置、妥善保管、定期更新用戶密碼。應當定期對各類系統用戶口令控制執行情況進行檢查，并對違反規定的用戶及時予以停用。第三十二條以電子信息方式向金融監管部門、司法部門等外部單位提供涉及個人金融信息的數據時，應當通過特定渠道或專門系統進行報送無特定渠道或專門系統的，應經數據保管、風控、科技等相關部門審核，并對信息進行加密等技術處理，確保個人金融信息安全。帶格式的字體加粗帶格式的縮進首行縮進2字符帶格式的字體加粗帶格式的字體加粗帶格式的字體加粗12第五章人員管理與教育培訓第三十三條銀行業金融機構應當強化員工準入管理，涉及個人金融信息的核心崗位人員，錄用前應加強對其從業經歷、個人品行等方面的考察，把好員工準入關口。第三十四條銀行業