政策法规
《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》 2016年06月16日

银发〔2012〕80
中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各国有商业银行,股份制商业银行,中国邮政储蓄银行:
2012年3月15日,中央电视台曝光了有关商业银行员工向不法分子出售客户个人金融信息,并导致大量客户总计3000余万元存款被盗的事件。这一事件说明,部分银行业金融机构并未充分重视客户个人金融信息保护工作,没有认识到保护客户个人金融信息是银行业金融机构的法定义务,缺乏行之有效的内控制度,也不了解违法收集、使用和对外提供客户个人金融信息可能导致的恶劣影响和严重后果。为进一步强化银行业金融机构个人金融信息保护工作,保护金融消费者合法权益,维护金融稳定,现就有关事项通知如下:
一、各银行业金融机构必须严格遵守《中华人民共和国商业银行法》、《个人存款账户实名制规定》、《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号发布)、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)等法律、法规、规章和规范性文件的规定,依法合规收集、保存、使用和对外提供个人金融信息,不得向任何单位和个人出售客户个人金融信息,不得违规对外提供客户个人金融信息。
二、各银行业金融机构应采取有效措施确保客户个人金融信息安全,防止信息泄露和滥用。在制度上,应完善本机构相关内控制度,强化各部门、岗位和人员在客户个人金融信息保护方面的责任,堵塞漏洞,完善内部监督和责任追究机制;在技术上,应当严格权限管理,完善信息安全防范措施,有效降低个人金融信息被盗的风险;在员工教育上,应于近期在全辖范围内集中开展一次客户个人金融信息保护的培训教育工作,使员工充分了解、认真贯彻相关法律、法规、规章和规范性文件的规定,明确个人金融信息泄露和滥用对本机构及员工个人带来的法律后果,进一步落实本机构的各项内控制度。
三、各银行业金融机构应当对本机构贯彻落实个人金融信息保护相关法律、法规、规章和规范性文件的情况,本机构相关内控制度、信息安全防范技术措施的制定和实施情况以及员工培训教育情况进行全面检查,并形成书面自查报告。
自本通知发布之日起两个月内,全国性银行业金融机构应当将自查报告上报中国人民银行,地方性银行业金融机构应当将自查报告报送至中国人民银行当地分支机构,并由中国人民银行当地分支机构向中国人民银行报送。
四、中国人民银行及其分支机构将根据金融机构的自查情况,适时开展对银行业金融机构客户个人金融信息保护工作的专项检查。对检查中发现银行业金融机构未有效开展相关工作、未履行客户个人金融信息保护义务,侵害客户合法权益的,将根据有关规定严肃处理。
请中国人民银行上海总部,各分行、营业管理部、省会(首府)城市中心支行将本通知转发至辖区内各银行业金融机构。
中国人民银行
二○一二年三月二十七日