(五)个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;
(六)衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;
(七)在与个人建立业务关系过程中获取、保存的其他个人信息。
二、银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。
三、银行业金融机构应当建立健全内部控制制度,对易发生个人金融信息泄露的环节进行充分排查,明确规定各部门、岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露或滥用事件的发生。
银行业金融机构要完善信息安全技术防范措施,确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露。
银行业金融机构要加强对从业人员的培训,强化从业人员个人金融信息安全意识,防止从业人员非法使用、泄露、出售个人金融信息。接触个人金融信息岗位的从业人员在上岗前,应当书面做出保密承诺。
四、银行业金融机构不得篡改、违法使用个人金融信息。使用个人金融信息时,应当符合收集该信息的目的,并不得进行以下行为:
(一)出售个人金融信息;
(二)向本金融机构以外的其他机构和个人提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外;
(三)在个人提出反对的情况下,将个人金融信息用于产生该信息以外的本金融机构其他营销活动。
银行业金融机构通过格式条款取得客户书面授权或同意的,应当在协议中明确该授权或同意所适用的向他人提供个人金融信息的范围和具体情形。同时,还应当在协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果,并在客户签署协议时提醒其注意上述提示。
五、银行业金融机构不得将客户授权或同意其将个人信息用于营销、对外提供等作为与客户建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或同意的除外。
