人民银行关于银行业金融机构做好个人金融信息保护工作的通知（2011年）

发布机关人民银行

效力现行有效

人民银行上海总部，各分行、营业管理部，各省会（首府）城市中心支行，国有商业银行，股份制商业银行，中国邮政储蓄银行：个人金融信息是金融机构日常业务工作中积累的一项重要基础数据，也是金融机构客户个人隐私的重要内容。如何收集、使用、对外提供个人金融信息，既涉及到银行业金融机构业务…

一、本通知所称个人金融信息，是指银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息：

（一）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等；（二）个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等；（三）个人账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等；（四）个人信用信息，包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息；（五）个人金融交易信息，包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、… （六）衍生信息，包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息；（七）在与个人建立业务关系过程中获取、保存的其他个人信息。

二、银行业金融机构在收集、保存、使用、对外提供个人金融信息时，应当严格遵守法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用。特别是在收集个人金融信息时，应当遵循合法、合理原则，不得收集与业务无关的信息或采取不正当方式收集信息。

三、银行业金融机构应当建立健全内部控制制度，对易发生个人金融信息泄露的环节进行充分排查，明确规定各部门、岗位和人员的管理责任，加强个人金融信息管理的权限设置，形成相互监督、相互制约的管理机制，切实防止信息泄露或滥用事件的发生。

四、银行业金融机构不得篡改、违法使用个人金融信息。使用个人金融信息时，应当符合收集该信息的目的，并不得进行以下行为：

（一）出售个人金融信息；（二）向本金融机构以外的其他机构和个人提供个人金融信息，但为个人办理相关业务所必需并经个人书面授权或同意的，以及法律法规和中国人民银行另有规定的除外；（三）在个人提出反对的情况下，将个人金融信息用于产生该信息以外的本金融机构其他营销活动。银行业金融机构通过格式条款取得客户书面授权或同意的，应当在协议中明确该授权或同意所适用的向他人提供个人金融信息的范围和具体情形。同时，还应当在协议的醒目位置使用…

五、银行业金融机构不得将客户授权或同意其将个人信息用于营销、对外提供等作为与客户建立业务关系的先决条件，但该业务关系的性质决定需要预先做出相关授权或同意的除外。

六、在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。

七、银行业金融机构通过外包开展业务的，应当充分审查、评估外包服务供应商保护个人金融信息的能力，并将其作为选择外包服务供应商的重要指标。

八、银行业金融机构通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息，应当严格按照系统规定的用途使用，不得违反规定查询和滥用。

九、银行业金融机构发生个人金融信息泄露事件的，或银行业金融机构的上级机构发现下级机构有违反规定对外提供个人金融信息及其他违反本通知行为的，应当在事件发生之日或发现下级机构违规行为之日起7个工作日内将相关情况及初步处理意见报告中国人民银行当地分支机构。

十、中国人民银行及其地市中心支行以上分支机构受理投诉或发现银行业金融机构可能未履行个人金融信息保护义务的，可依法进行核实，认定银行业金融机构存在违反本通知规定，或存在其他未履行个人金融信息保护义务情形的，可采取以下处理措施：

（一）约见其高管人员谈话，要求说明情况；（二）责令银行业金融机构限期整改；（三）在金融系统内予以通报；（四）建议银行业金融机构对直接负责的高级管理人员和其他直接责任人员依法给予处分；（五）涉嫌犯罪的，依法移交司法机关处理。

十一、银行业金融机构违反规定通过中国人民银行征信系统、支付系统以及其他系统查询或滥用个人金融信息的，中国人民银行及其地市中心支行以上分支机构可按照本通知第十条及其他相关规定予以处理。

十二、银行业金融机构及其工作人员违反规定使用和对外提供个人金融信息，给客户造成损害的，应当依法承担相应的法律责任。