银行客户信息安全管理办法(试--行)模版.doc

1、xx银行客户信息安全管理办法（试 行）xx总发2010144号，2010年11月30日印发第一章 总则第一条 为规范本行客户信息安全管理,防范客户信息泄露风险,维护客户合法权益，根据储蓄管理条例和人民银行结算账户管理办法等相关规定，特制订本办法。第二条 本办法中所指的客户包括但不限于本行对公、对私业务的存款和贷款客户。第三条 本办法中所指的客户信息包括客户姓名、账号、金额、联系方式、证件号码等。第四条 本办法适用于本行辖属各级分（支）行（以下简称各级机构）。第二章 客户信息的建立第五条 各级机构应当勤勉尽责，建立健全和执行客户身份识别制度，遵循“了解你的客户”的原则，针对具有不同洗钱或者恐怖融

2、资风险特征的客户、业务关系或者交易，采取相应的措施，了解客户及其交易目的和交易性质，了解实际控制客户的自然人和交易的实际受益人。第六条 各级机构应当建立健全客户身份资料信息，开立人民币账户时，单位客户应出示人民币银行结算账户管理办法等账户管理制度规定的文件证明，个人客户应出示本人有效身份证件，代理开办的还应出示代理人有效身份证件，原则上一名代理人代理他人开户不应超过五个账户（兰花卡不超过3张），明显超出代理范围的，不予以办理，确有需要一人代理多人开户的须营业场负责人进行审核其合理性。客户开立外汇账户时，还需提供外汇管理制度规定的其他文件证明。第七条 出现以下情况时，各级机构应当重新识别客户：（

3、一）客户要求变更姓名或者名称、身份证件或者身份证明文件种类、身份证件号码、注册资本、经营范围、法定代表人或者负责人的。（二）客户行为或者交易情况出现异常的。（三）客户姓名或者名称与国务院有关部门、机构和司法机关依法要求金融机构协查或者关注的犯罪嫌疑人、洗钱和恐怖融资分子的姓名或者名称相同的。（四）客户有洗钱、恐怖融资活动嫌疑的。（五）获得的客户信息与先前已经掌握的相关信息存在不一致或者相互矛盾的。（六）先前获得的客户身份资料的真实性、有效性、完整性存在疑点的。（七）认为应重新识别客户身份的其他情形。第八条 各级机构除核对有效身份证件或者其他身份证明文件外，可以采取以下的一种或者几种措施，识别或

4、者重新识别客户身份：（一）要求客户补充其他身份资料或者身份证明文件。（二）回访客户。（三）实地查访。（四）向公安、工商行政管理等部门核实。（五）其他可依法采取的措施。第九条 办理信贷业务时，各级机构应查验对公客户的贷款卡，并通过银行信贷信息查询对公客户贷款卡的状态和对公客户资信情况。各支行（部）不得对持有被暂停、注销贷款卡的对公客户发生新的信贷业务，巳发生的信贷业务可以做延续处理。对所办理的信贷业务，应及时、完整地在银行信贷登记咨询系统内登录有关要素、数据。对我行规定须登记的其他情况的发生、变化，应及时、完整地在银行信贷登记咨询系统中登录有关要素、数据，并对该对公客户的贷款分类作相应调整。第十

5、条 个人客户信息系统录入时，除系统规定的必填信息外，各级机构不得在系统中输入任何标志性记号，如员工标识信息（经办柜员号除外）、吸储号（代码）、维护人、联系人等。第十一条 各级机构不得以任何形式对个人客户信息进行二次组织、录入和信息批处理，不得以任何形式对个人客户信息进行书面记载。第十二条 对于核心业务系统和报表系统中的交易日志，有涉及客户相关的信息，科技部指定专人按商业银行信息科技风险管理指引有关规定保存。第十三条 各级机构负责所属生产计算机客户信息安全管理，应指定专人负责定期更新密码，定期清理系统中产生的临时文件。第十四条 办公用计算机客户信息安全按“谁使用，谁负责”的原则管理，各级机构要定

6、期对本部门办公计算机进行客户信息安全检查，发现存在客户敏感信息的要及时整改并上报总行科技部。第十五条 科技部负责测试环境客户信息安全管理，指定专人对测试环境计算机上客户敏感信息的检查和清除，对测试数据客户户名、客户密码等客户敏感信息的脱敏处理。第三章 客户信息的使用和保存第十六条 各级机构应当保存的客户身份资料包括记载客户身份信息、资料以及反映金融机构开展客户身份识别工作情况的各种记录和资料。各级机构应当保存的交易记录包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。第十七条 各级机构应采取必要管理措施和技术措施，防止客户身

7、份资料和交易记录的缺失、损毁，防止泄漏客户身份信息和交易信息。各级机构应采取切实可行的措施保存客户身份资料和交易记录，便于反洗钱调查和监督管理。第十八条 各级机构应当按照下列期限保存客户身份资料和交易记录：（一）客户身份资料，自业务关系结束当年或者一次性交易记账当年计起至少保存5年。（二）交易记录，自交易记账当年计起至少保存5年。如客户身份资料和交易记录涉及正在被反洗钱调查的可疑交易活动，且反洗钱调查工作在前款规定的最低保存期届满时仍未结束的，金融机构应将其保存至反洗钱调查工作结束。同一介质上存有不同保存期限客户身份资料或者交易记录的，应当按最长期限保存。同一客户身份资料或者交易记录采用不同介

8、质保存的，至少应当按照上述期限要求保存1种介质的客户身份资料或者交易记录。法律、行政法规和其他规章对客户身份资料和交易记录有更长保存期限要求的，遵守其规定。第十九条 单位客户应凭法人代表或有权人身份证明或单位印鉴进行查询。个人客户本人应凭本人有效身份证进行查询，监护人查询被监护人客户信息的，除提供双证，还应提供可证明监护权的相关证明，如户口簿、法律认可的相关证明等。第二十条 对新发生信贷业务的对公客户的资信查询，各级机构必须由对公客户提供贷款卡、密码；对于已发生信贷业务的对公客户的资信查询，可通过对公客户的贷款卡编码、组织机构代码或名称进行。第二十一条 除可以查询中国人民银行所发布的公共信息外

9、，各级机构只能查询与我行发生或申请发生信贷业务关系的各类对公客户的资信情况。当所有信贷业务关系解除后，本行不再具有对该对公客户资信情况的查询权。 第二十二条 各级机构不得擅自在含有客户信息的各类系统中查询客户信息。按法律、法规规定确需要查询的，经会计主管或各级机构负责人审批后，由专人进行查询，并在登记簿中进行登记。第二十三条 对含有客户信息凭证、报表（开销户登记本、通存通兑报表或清单、储蓄客户明细表、储蓄客户余额表等）的打印、保管应由专人进行操作，并在登记簿中进行详细登记。操作员应做好保密工作，不得擅自向他人泄露报表中的客户信息。第二十四条 因业务需要须对含有客户信息的凭证和报表进行查询的，各

10、级机构应由专人负责查询工作，辨别查询要求是否合理，不合理的查询应予拒绝，对合理的查询应协助查询,并进行查询登记，已经移交事后监督或档案室的凭证和报表的查询仍按本行相关规定执行。第二十五条 需要科技部门协助查询的客户信息，各级机构应由专人填制查询申请表，经相关管理部门审批后交科技部门协助查询。科技部负责机房数据查询安全管理，建立数据查询登记簿，并详细登记查询信息；查询人员必须遵循银行信息安全保密制度，不得向其他无关人员泄露查询结果。第四章 操作员行为规范第二十六条 各级机构操作员应保管好自己的密码，根据规定及时更新，操作员临时离岗时必须退出系统，不得擅自用自己的操作员为他人使用。第二十七条 严格执行为客户保密的原则，各级机构不得向任何单位和个人透露客户信息，操作员应严格按照规定对含有客户信息的系统进行使用。第二十八条 对违反以下情况之一的员工，一经查实，将移交本行稽核监察部严肃处理：1、擅自向他人透露客户信息；2、利用客户信息为业务范围以外的用途；3、违规在各类系统中查询客户信息。第五章 附则第二十九条 本办法自2010年12月1日试行。