江苏省银行业金融机构客户个人金融信息保护工作指引(暂行)-2025

带格式的：字体：（默认）黑体，（中文）黑体，四号

，附件2：.带格式的：字体：（默认）黑体，（中文）黑体，四评1

带格式的：字体：（默认》躯体,（中文）盥体J

江苏省银行业金融机构，带格式的:字体：（默认》黑体，（中文）黑体]

帝格式的「字体：（默认）出体，（中文）黑体]

▲客户个人金融信息爱护工作指引（暂行）▲带格式的：字体：（默认）黑体，（中文）黑体]

第一章总则

:带格式的二字体：加粗j

，第一条为提高江苏省银行业金融机构客户个人金融信息：带格式的；缩进：首行缩进：2字符

爱护工作水平，保障银行业金融机构各项业务的正常开展，维护

客户个人金融信息平安，爱护客户个人合法权益，提升银行业社

会形象，依据《中国人民银行法》、《商业银行法》、《个人存款赃

户实名制规定》、《个人信用信息基础数据库管理暂行方法》等法

律、法规和规章，以及《中国人民银行关于银行业金融机构做好

个人金融信息爱护工作的通知》等政策规定，制定本指引。

带格式的：字体:加书1

其次条本指引所称客户个人金融信息，是指银行业金融机

A----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

构在开展业务时，或通过接入中国人民银行征信系统、支付系统

以及其他系统获得、加工和保存的以下个人信息：

（一）个人身份信息，包括个人姓名、性别、国籍、民族、

身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家

庭状况、居处或工作单位地址及照片等；

（二）.个人财产信息，包括个人收入状况、拥有的不动产状

况、拥有的车辆状况、纳税额、公积金缴存金额等；

（三）个人账户信息，包括账号、账户开立时间、开户行、

账户余额、账户交易状况等;

（四）个人信用信息，包括信用卡还款状况、贷款偿还状况

以及个人在经济活动中形成的，能够反映其信用状况的其他信

息；

（五）个人金融交易信息，包括银行业金融机构在支付结算、

理财、保险箱等中间业务过程中获得、保存、留存的个人信息和

客户在通过银行业金融机构与保险公司、证券公司、基金公司、

期货公司等第三方机构发生业务关系时产生的个人信息等；

（六）衍生信息，包括个人消费习惯、投资意愿等对原始信

息进行处理、分析所形成的反映特定个人某些状况的信息；

（七）开展业务过程中获得、保存、形成的其他个人信息。

:带格式的.字体：m粗

第三条银行业金融机构应当依照有关法律、法规、规章和・

▲1带格式的；缩进：首行缩进：2方方

金融监管部门政策规定，遵循目的明确、公开透亮、平安保障、

知情同意、责任落实等基本原则，依法收集、加工、运用、存储、

传输个人金融信息。

银行业金融机构应当区分一般个人金融信息和敏感个人金

融信息，实行分类区分爱护。针对敏感个人金融信息，应实行更

高的权限管理，实行更严格的管理措施。

前款所称敏感个人金融信息，是指可干脆反映特定个人状况

的信息。虽不能干脆反映特定个人状况的一般个人金融信息，与

敏感个人金融信息同时出现在同一介质，可能对个人人身和财产

利益带来不利后果时，应视同敏感个人金融信息管理。

，第四条本指引适用于在江苏省内依法设立的从事金融业"；带格式的:能进：首行缩进：2字符

务的国有商业银行、股份制商业银行、城市商业银行、农村信用

2

社（含农村商业银行、农村合作银行）、邮政储蓄银行等银行W

金融机构。

其次章管理体制和工作制度

1带格式的匚字体：加相

▲第五条银行业金融机构应当高度重视，把个人金融信息费.;而格式的；缩进：首行缩进：2万'

护作为依法经营、风险防范的重要内容，纳入全面风险防控范踌

建立上下级机构联动、同级各部门协调协作的管理体制和工作机

制。

银行业法人机构、省级（区域）分行应当履行对辖区各级机

构个人金融信息爱护工作的管理职责，明确各级机构在个人金融

信息爱护方面的职责和工作重点，加强对下指导、检查、考核，

逐步把个人金融信息爱护工作纳入对下级机构的考核内容。

银行业金融机构应当有效整合内部资源，完善个人金融信臬

爱护内部工作机制，明确风险限制、法律合规、零售、科技、运

营等相关部门工作职责，并可依据本机构状况明确牵头部门扎匚

管理个人金融信息爱护工作。

带格式的：字体：加粗

▲第六条银行业金融机构应当依据法律法规规章和金融监.带格式的：缩进：首行缩进：2字符

管部门有关个人金融信息爱护政策规定，完善内部工作制度，桐

建相互连接、相互制约、全面有效的个人金融信息爱护内限制度

体系。

银行业金融机构应当建立全员性的员工行为准则、保密规定

等个人信息爱护工作制度，实现个人金融信息爱护有关工作要求

的全员覆盖。涉密岗位人员离岗离行的，应当通过书面承诺等方

a

式，约定其对在行在岗期间知晓的个人金融信息的保密义务。

零售、运营、科技等相关部门应当对涉及信息收集、加工、

运用、存储、传输的岗位和环节，制定相应的条线规定，将个人

金融信息爱护有关工作要求贯穿到各个业务环节，明确操作规

范，强化责任。

，第七条银行业金融机构应当建立个人金融信息爱护工作":带格式的：1进：首行缩进：2字符

的监督检查和责任追究制度。定期开展检查，强化对重点环节、

重点人员的监督检查，形成检查评估报告，并向本单位最高经营

管理层报告。对监督检查中发觉的违规行为应当进行责任追究，

督促落实整改，确保个人金融信息爱护各项工作制度有效落实。

第八条银行业金融机构应当建立良好、有效的客户投诉处（带格式的：字体：加粗-------

▲

理机制，明确工作流程，确保客户诉求能够刚好有效处理。

第九条银行业金融机构应当完善个人金融信息爱护应急用格式的—粗

▲

处理机制，刚好识别、分析、评估潜在的风险因素，制定风险应

对策略，实行风险限制措施，监控风险改变，对个人信息处理过

程中可能出现的泄露、丢失、损坏、篡改、不当运用等突发事务

制定应急预案，实行相应的预防和应对措施。

第三章流程管理

，第十条银行业金融机构应当遵循目的明确、准确须要、客.：专碣亟缩进：首行缩进：2字符

户知情同意原则收集个人金融信息，不得收集与业务无关的信

息，不得在客户不知情、未参加的状况下，实行非法、隐藏、间

接方式收集个人金融信息，法律、法规和规章另有规定的除外。

:带格式的：字体：加相

▲第十一条银行业金融机构通过与客户建立业务关系收集

个人金融信息时，应当在相对封闭的环境中以“一对一”的方式

进行，避开在公众场合将客户个人金融信息暴露给其他人。

（带格式的：字体：加相

▲第十二条银行业金融机构应当履行客户身份识别义务，精

确录入客户信息，妥当保存客户填写资料原始凭证；客户资料发

生变动时，应刚好进行维护更新，保证收集的各项个人金融信息

精确、完整。

:带格式的：字体：加州

▲第十三条银行业金融机构运用个人金融信息时，应当符合

收集该信息的目的；通过接入中国人民银行征信系统、支付系统

以及其他系统获得的个人金融信息，应当严格依据有关系统规发

的用途运用。不得进行以下行为：

（一）出售个人金融信息；

（二）向本机构以外的其他机构和个人等第三方供应个人金

融信息，但为个人办理相关业务所必需并经个人书面授权或同意

的，以及法律法规和中国人民银行另有规定的除外；

（三）其他违法运用个人金融信息的行为。

:带格式的：字体：加粗]

▲第十四条银行业金融机构利用个人金融信息进行客户二.:带格式的：缩进：首行缩进：2字符

次开发、营销金融产品时，在客户明确表示拒绝接受营销的状况

下，应当马上停止利用其个人金融信息营销。

1带格式的：字体：加粗

第十五条银行业金融机构不得将客户授权或同意其个人

A

信息用于营销、对外供应等作为与客户建立业务关系的先决条

件，但该业务关系的性质确定须要预先做出相关授权或同意的陈

外。

a

带格式的：字体：加粗

▲第十六条通过格式条款取得个人书面授权或同意的，应当

在授权书或协议中明确该授权或同意所适用的向第三方供应个

人金融信息的目的、范围、详细内容，以及客户的权利等,同时，

应当在协议的醒目位置运用通俗易懂的语言明确提示该授权或

同意的可能后果，并在客户签署协议时提示其留意上述提示，为

客户保障其权利供应必要的信息、途径和手段。

经客户同意或授权向第三方供应个人金融信息时，银行业金

融机构应当明确告知第三方，非经客户同意，第三方不得将从银

行业金融机构获得的个人金融信息进一步供应应其他第三方，法

律法规另有规定的除外。

:带格式的：字体：加粗j

▲第十七条银行业金融机构应推动个人金融信息的集中统.:带格式的：缩进：言行缩进：2字符

一管理，并按最小操作权限原则，加强核心业务系统、客户关系

系统等涉及客户个人金融信息的业务系统的权限限制，确保确需

涉及个人金融信息的岗位其权限与职责相匹配，防止不相关部

门、岗位和人员未经授权查询、泄露、损毁和篡改个人金融信息。

:带格式的：字体：加祖]

第十八条办理业务过程产生的开户申请书、业务传票等涉

--，，，，，，，，，，一...............................，

及个人金融信息的业务资料，银行业金融机构应当确定专人保

管、传递，严格限制接触客户信息人员范围，刚好整理、装订、

入库、归档，不得随意摆放，维护档案的平安完整。

:带格式的：字体：加粗

▲第十九条因工作须要调阅个人金融信息档案资料时，银行

业金融机构应当严格履行审批手续，并留存审批和调阅记录，以

备追溯。

:带格式的：字体：m相~1

其次十条不须留存、归档的个人金融信息档案，银行业金

■,,,,,,,-.，，一，一，，，，，，，一

融机构应当刚好退还客户并取得客户收妥证明；不需退还且保管

期限届满的，在符合法律法规规章和金融监管政策规定的状况

下，应当刚好销毁，销毁过程应全流程监控，不得随意放置、I-

弃或作为废品销售。

银行业金融机构可依据业务资料的性质，合理确定个人金耻

信息档案资料保管期限。

1带格式的)字体：加粗j

▲其次十一条银行业金融机构要加强离岗离行人员客户个.格式的；缩进：首行缩进：2字符

人金融信息资料交接的管理，做到档案或资料交接全面和彻底，

规范交接监督，防止个人金融信息被私自留存或擅自带出。

:带格式的：字体：加祖

,其次十二条银行业金融机构应当加强柜面个人金融信息查

询管理，规范查询本人、代理查询他人账户存款等个人金融信息

的程序，审核对方有效身份证件或有关法律文书，防止个人金融

信息泄露。

【带格式的：字体：加祖]

▲其次十三条向司法部门、行政管理部门及其他有权机关供

应涉及个人金融信息的材料时，银行业金融机构应当依据法律法

规的相关规定，规范帮助查询手续，审核对方真实身份和有关济

律文书，切实爱护客户个人金融信息。

1带格式的：字体：加祖1

其次十四条银行业金融机构不得向境外供应在中国境内收

A

集的个人金融信息，法律法规及中国人民银行另有规定的除外。

引进国外战略投资者、国外合作机构时，银行业金融机构直

当对个人金融信息爱护作特殊约定。

:带格式的！字体：加粗)

▲其次十五条银行业金融机构通过外包开展业务的，应当会:带格式的：缩进：首行缩进：2字符

面考察评估外包服务供应商的资质、信誉等，并将其爱护个人心

融信息的实力作为重要评值指标，审慎选择外包服务供应商。

:带格式的：字体：加粗1

▲其次十六条银行业金融机构与外包服务供应商签订服务

a

协议时，应明确其爱护个人金融信息的职责和保密义务，并实行

必要措施保证外包服务供应商履行上述职责和义务，明确个人金

融信息泄露的补救手段与责任追究，确保个人金融信息平安。

▲其次十七条外包服务业务终止后，银行业金融机构应当监

督外包服务供应商刚好销毁因外包业务而获得的个人金融信息，

销毁的个人金融信息在技术上应不行复原。与外包服务供应商签

订的保密协议（保密条款），应当明确约定外包服务供应商的保

密义务不因外包服务的终止而终止。

第匹章技术防范

:带格式的.与体：加租j

其次十八条银行业金融机构开发金融业务系统，应逐步推.1带格式的；缩进：首行缩进：2字符j

动总行统一开发规划、分支机构系统开发分级授权审批制度。选

择平安技术路途、开发产品时，应当关注技术路途、产品运用的

平安性，避开出现片面强调客户体验、忽视风险防范的情形。

以外包方式进行业务系统开发、测试时，银行业金融机构应

当对个人金融信息进行屏蔽、切片等技术处理。外包方需进入重

要平安区域进行现场作业的，应履行审批手续，作业现场应当进

行监控，电脑外接插口应当进行特殊处理，防止个人金融信息被

间接泄露和非法运用。

银行业金融机构开发与人民银行对接的系统，应当提前将系

统开发方案报人民银行当地分支机构。

银行业金融机构开发的金融业务系统，其前、后台均应置于

境内。

8

（带格式的：字体：加粗

带格式的：缩进：首行缩进：字符_____

▲其次十九条银行业金融机构应当通过物理隔离、防火墙、i2__1

入侵检测等方式进行严格的访问限制，加强网上银行接入、合作

的位外联接入、互朕网行内访问等的技术防范，做好日常检测，

定期通过专业第三方测评等方式开展网上银行、手机银行等外联

业务系统的平安认证，杜绝外部非法入侵窃取个人金融信息。

带格式的：字体：加粗

第三十条银行业金融机构应当通过分级授权、日志记录、

A

敏感信息屏蔽、关键数据加密等手段，加强个人金融信息的访忖

限制；应当通过封闭专用网络、视频监控等方式，加强信息加工

环节管理，防范信息篡改和流失风险；应当加强电脑设备外接插

口、移动存储介质、数据下载限制管理，通过业务网和办公网遗

辑或物理隔离、外发邮件平安审计等方式，切断内部各类信息外

泄途径。

带格式的：字体：加粗

▲第三十一条银行业金融机构应当加强涉及个人金融信息

的各类业务系统的平安管理，完善用户、口令管理制度，明确管

理员用户、数据上报用户和信息查洵用户的职责及操作规程。各

类用户应专人专用，不得相互兼任，更不得设置“公共用户工

各类用户应科学设置、妥当保管、定期更新用户密码。应当定期

对各类系统用户口令限制执行状况进行检查，并对违反规定的片

户刚好予以停用。

带格式的：字体：加利

▲第三十二条以电子信息方式向金融监管部门、司法部门等

外部单位供应涉及个人金融信息的数据时，应当通过特定渠道或

特地系统进行报送；无特定渠道或特地系统的，应经数据保管、

风控、科技等相关部门审核，并对信息进行加密等技术处理，确

保个人金融信息平安。

a

第五章人员管理与教化培训

:带格式的：字体：加粗j

▲第三十三条银行业金融机构应当强化员工准入管理，涉及.:带格式的：缩进：首行缩进：2字符

个人金融信息的核心岗位人员，录用前应加强对其从业经验、个

人品德等方面的考察，把好员工准入关口。

:带格式的：字体7W

A第三十四条银行业金融机构应当加强外包服务人员管理，

建立外包服务人员档案制度。对外包服务人员，应进行必要的宣

扬、监督和评审，使其知晓在供应外包服务中的信息爱护责任。

1带格式的：字体：加机〕

▲第三十五条银行业金融机构应当加强员工教化培训I,将个

人金融信息爱护相关学问培训纳入本机构培训安排，围绕相关法

律法规和规章，金融监管胡门有关个人金融信息爱护相关规定，

以及本机构员工行为准则、职业操守等内容，广泛开展教化培训。

1带格式的：字体：加粗

A第三十六条银行业金融机构应当针对不同对象，确定不同

培训重点和方式，提高培训的实效性。

针对新员工、涉及个人金融信息的相关业务经办人员和业务

系统操作人员等人员，上岗前应当开展含有个人金融信息规范收

集、运用与保密等内容的培训和考试，并规定相应的保密义务，

使员工知晓、仔细执行相关法律政策规定，充分相识到个人金融

信息非法泄露和滥用对本机构及本人带来的法律后果，提高风险

防范意识。

针对涉密技术人员，应当规定更为严格的信息平安保密义

务，并加强日常合规教化培训，从学习教化层面引导技术人员做

好岗位履职和平安操作，强化技术人员信息爱护责随意识。

10

第六章监督管理

:带格式的：字体：加粗

▲第三十七条银行业金融机构发生个人金融信息泄露事务，.:带格式的：缩进：首行缩进：2砺'

或发觉下级机构有违反个人金融信息爱护行为的，应当在事务发

生之日或发觉下级机构违规行为之日起7个工作日内将相关状

况及初步处理看法报告中国人民银行当地分支机构，并追究有关

责任人的责任；涉嫌犯罪的，应刚好移送司法机关处理。

中国人民银行分支机构在收到银行业金融机构报告后，应W

视状况予以处理，并逐级上报。

带格式的：字体：加粗

▲