金融机构个人金融信息保护知识

• 一、加强银行业金融机构个人金融信息保护的意义
  个人金融信息是金融机构日常业务工作中积累的一项重要基础数据，也是金融机构客户个人隐私的重要内容。如何收集、使用、对外提供个人金融信息，既涉及到银行业金融机构业务的正常开展，也涉及客户信息、个人隐私的保护。如果出现与个人金融信息有关的不当行为，会直接侵害客户个人的合法权益，也会增加银行业金融机构的诉讼风险，加大运营成本。近年来，个人金融信息侵权行为时有发生，并引起社会的广泛关注。因此，强化个人金融信息保护和银行业金融机构法制意识，依法收集、使用和对外提供个人金融信息，十分必要。对个人金融信息的保护是银行业金融机构的一项法定义务。
  二、银行业金融机构个人金融信息的范围
  银行业金融机构个人金融信息，是指银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息：
  （一）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等；
  （二）个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等；
  （三）个人账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等；
  （四）个人信用信息，包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息；
  （五）个人金融交易信息，包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等；
  （六）衍生信息，包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息；
  （七）在与个人建立业务关系过程中获取、保存的其他个人信息。
  三、银行业金融金融机构保护个人金融信息的有关义务
  （一）银行业金融机构在收集、保存、使用、对外提供个人金融信息时，应当严格遵守法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用。特别是在收集个人金融信息时，应当遵循合法、合理原则，不得收集与业务无关的信息或采取不正当方式收集信息。
  （二）银行业金融机构应当建立健全内部控制制度，对易发生个人金融信息泄露的环节进行充分排查，明确规定各部门、岗位和人员的管理责任，加强个人金融信息管理的权限设置，形成相互监督、相互制约的管理机制，切实防止信息泄露或滥用事件的发生。
  银行业金融机构要完善信息安全技术防范措施，确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露。银行业金融机构要加强对从业人员的培训，强化从业人员个人金融信息安全意识，防止从业人员非法使用、泄露、出售个人金融信息。接触个人金融信息岗位的从业人员在上岗前，应当书面做出保密承诺。
  （三）银行业金融机构不得篡改、违法使用个人金融信息。使用个人金融信息时，应当符合收集该信息的目的，并不得进行以下行为：
  1．出售个人金融信息；
  2．向本金融机构以外的其他机构和个人提供个人金融信息，但为个人办理相关业务所必需并经个人书面授权或同意的，以及法律法规和中国人民银行另有规定的除外；
  3．在个人提出反对的情况下，将个人金融信息用于产生该信息以外的本金融机构其他营销活动。银行业金融机构通过格式条款取得客户书面授权或同意的，应当在协议中明确该授权或同意所适用的向他人提供个人金融信息的范围和具体情形。同时，还应当在协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果，并在客户签署协议时提醒其注意上述提示。
  （四）银行业金融机构不得将客户授权或同意其将个人信息用于营销、对外提供等作为与客户建立业务关系的先决条件，但该业务关系的性质决定需要预先做出相关授权或同意的除外。
  （五）在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。
  （六）银行业金融机构通过外包开展业务的，应当充分审查、评估外包服务供应商保护个人金融信息的能力，并将其作为选择外包服务供应商的重要指标。
  银行业金融机构与外包服务供应商签订服务协议时，应当明确其保护个人金融信息的职责和保密义务，并采取必要措施保证外包服务供应商履行上述职责和义务，确保个人金融信息安全。银行业金融机构应要求外包服务供应商在外包业务终止后，及时销毁因外包业务而获得的个人金融信息。
  （七）银行业金融机构通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息，应当严格按照系统规定的用途使用，不得违反规定查询和滥用。
  四、我国现行法律、行政法规对个人金融信息保护一些规定
  （一）《中华人民共和国商业银行法》
  第二十九条：商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。
  对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。
  （二）《中华人民银行共和国反洗钱法》
  第三条：在中华人民共和国境内设立的金融机构和按照规定应当履行反洗钱义务的特定非金融机构，应当依法采取预防、监控措施，建立健全客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度，履行反洗钱义务。
  第五条第一款：对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息，应当予以保密；非依法律规定，不得向任何单位和个人提供。
  第三十一条：金融机构有下列行为之一的，由国务院反洗钱行政主管部门或者其授权的设区的市一级以上派出机构责令限期改正；情节严重的，建议有关金融监督管理机构依法责令金融机构对直接负责的董事、高级管理人员和其他直接责任人员给予纪律处分：
  1.未按照规定建立反洗钱内部控制制度的；
  第三十二条：金融机构有下列行为之一的，由国务院反洗钱行政主管部门或者其授权的设区的市一级以上派出机构责令限期改正；情节严重的，处二十万元以上五十万元以下罚款，并对直接负责的董事、高级管理人员和其他直接责任人员，处一万元以上五万元以下罚款：
  1.未按照规定履行客户身份识别义务的；
  2.未按照规定保存客户身份资料和交易记录的；
  5.违反保密规定，泄露有关信息的；
  金融机构有前款行为，致使洗钱后果发生的，处五十万元以上五百万元以下罚款，并对直接负责的董事、高级管理人员和其他直接责任人员处五万元以上五十万元以下罚款；情节特别严重的，反洗钱行政主管部门可以建议有关金融监督管理机构责令停业整顿或者吊销其经营许可证。
  对有前两款规定情形的金融机构直接负责的董事、高级管理人员和其他直接责任人员，反洗钱行政主管部门可以建议有关金融监督管理机构依法责令金融机构给予纪律处分，或者建议依法取消其任职资格、禁止其从事有关金融行业工作。
  （三）《个人存款账户实名制规定》
  第八条  金融机构及其工作人员负有为个人存款账户情况保守秘密的责任。
  金融机构不得向任何单位或者个人提供有关个人存款账户情况，并有权拒绝任何单位或者个人查询、冻结、扣划个人在金融机构的款项；但是法律应有规定的除外。
  五、银行业金融机构泄露个人金融信息的处理
  银行业金融机构及其工作人员违反规定使用和对外提供个人金融信息，给客户造成损害的，应当依法承担相应的法律责任。
  （一）银行业金融机构对其发生个人金融信息泄露事件的处理
  按照《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）规定，银行业金融机构发生个人金融信息泄露事件的，或银行业金融机构的上级机构发现下级机构有违反规定对外提供个人金融信息及其他违反本通知行为的，应当在事件发生之日或发现下级机构违规行为之日起7个工作日内将相关情况及初步处理意见报告   中国人民银行当地分支机构。
  中国人民银行分支机构在收到银行业金融机构报告后，应视情况予以处理，并及时向中国人民银行报告。
  （二）人民银行对银行业金融机构违反个人信息保护义务的处理
  1．中国人民银行及其地市中心支行以上分支机构受理投诉或发现银行业金融机构可能未履行个人金融信息保护义务的，可依法进行核实，认定银行业金融机构存在违反《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定，或存在其他未履行个人金融信息保护义务情形的，可采取以下处理措施：
  （1）约见其高管人员谈话，要求说明情况；
  （2）责令银行业金融机构限期整改；
  （3）在金融系统内予以通报；
  （4）建议银行业金融机构对直接负责的高级管理人员和其他直接责任人员依法给予处分；
  （5）涉嫌犯罪的，依法移交司法机关处理。
  2．银行业金融机构违反规定通过中国人民银行征信系统、支付系统以及其他系统查询或滥用个人金融信息的，中国人民银行及其地市中心支行以上分支机构可按照《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第十条及其他相关规定予以处理。
  银行业金融机构违法情节严重或拒不改正的，中国人民银行可决定暂停其使用，或禁止其新设分支机构接入上述系统。