农商银行客户信息保护管理办法.docx

　　农商银行客户信息保护管理办法 　　第一章总则 　　第一条为提高XX农商银行（以下简称“本行”）客户信息保护工作水平，保障各项业务的正常开展，维护个人客户信息安全，保护客户个人合法权益，提升本行社会形象，根据《中国人民银行法》、《商业银行法》、《个人存款账户实名制规定》等法律、法规和规章，以及《中国人民银行关于银行业金融机构做好个人客户信息保护工作的通知》等政策规定，制定本管理办法。 　　第二条本管理办法所称个人客户信息，是指本行在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息： 　　(一）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等；(二）个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等；(三）个人账户信息，包括账号、账户开立时间、开户行、账户佘额、账户交易情况等； 　　(四）个人信用信息，包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息；(五）个人金融交易信息，包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等；(六）衍生信息，包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息；(七）开展业务过程中获取、保存、形成的其他个人信息。 　　第三条依照有关法律、法规、规章和金融监管部门政策规定，遵循目的明确、公开透明、安全保障、知情同意、责任落实等基本原则，依法收集、加工、使用、存储、传输个人客户信息。 　　区分一般个人客户信息和敏感个人客户信息，实行分类区别保护。针对敏感个人客户信息，实行更高的权限管理，釆取更严格的管理措施。 　　第四条前款所称敏感个人客户信息，是指可直接反映特定个人情况的信息。虽不能直接反映特定个人情况的一般个人客户信息，与敏感个人客户信息同时出现在同一介质，可能对个人人身和财产利益带来不利后果时，应视同敏感个人客户信息管理。 　　第五条本办法适用于XX农商银行各部门、各支行、各分理处（以下简称“各单位”）。 　　第二章管理体制和工作制度 　　第六条总行明确由信息科技部牵头管理客户信息保护工作，并按照银监部门相关制度要求，加强信息科技第二、三道防线履职，由风险管理部负责信息科技风险管理，定期组织开展信息安全专项风险评估，包括环境、用户、数据敏感性和外包等各要求，识别威胁客户信息安全的风险隐患，以及风险控制制度和措施的充分性；合规管理部应定期组织各部室及时梳理制度、流程，加强合规文件建设，开展合规检查，规范员工行为，加强客户信息安全领域的合规风险管理；审计稽核部应定期开展信息安全专项审计，加大审计频度和力度，全面识别风险隐患，督促问题整改。各部室要严格按照法律法规、制度要求，制定本专业的客户信息保护相关的制度、操作规程、行为准则、必威体育官网网址规定以及客户信息分类以及分类标准，并督导本部门以及各支行、分理处落实到位。 　　第七条各单位要高度重视客户信息管理工作，积极有效整合内部资源，完善个人客户信息保护内部工作机制，积极履行对本单位个人客户信息保护工作的管理职责，把个人客户信息保护作为依法经营、风险防范的重要内容，纳入全面风险防控范畴，明确风险控制、分级授权、重要岗位相互制约等风险防控措施，建立上下级机构网点联动、同级各部门协调配合的管理体制和工作机制。总行各部门要加强对下指导、检查、考核，把个人客户信息保护工作纳入对下级机构网点的考核内容。 　　第八条各单位要根据法律法规规章和金融监管部门有关个人客户信息保护政策规定，完善内部工作制度，构建相互衔接、相互制约、全面有效的个人客户信息保护内控制度体系。建立健全全员性的员工行为准则、必威体育官网网址规定等个人信息保护工作制度，实现个人客户信息保护有关工作要求的全员覆盖。涉密岗位人员离岗离行的，要通过书面承诺等方式，约定其对在行在岗期间知晓的个人客户信息的必威体育官网网址义务。 　　总行各部门要制定本专业的客户信息分类与分级标准，明确不同等级信息的保护要求，对涉及信息收集、加工、使用、存储、传输的岗位和环节，制定相应的条线规定，将个人客户信息保护有关工作要求贯穿到各个业务环节，明确岗位权限和操作规程，强化责任。 　　第九条总行要形成全行的客户信息保护行为准则和必威体育官网网址规定，涵盖全行所有条线部门和所有业务。各单位要加强对分支和直属机构的指导、考核，强化对重点环节、重点人员的监督检查，形成检查整改报告，并向本行经营管理层报告。对监督检查中发现的违规行为要进行责任追究，督促落实整改，确保个人客户信息保护各项工作制