六、在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。
七、银行业金融机构通过外包开展业务的,应当充分审查、评估外包服务供应商保护个人金融信息的能力,并将其作为选择外包服务供应商的重要指标。
银行业金融机构与外包服务供应商签订服务协议时,应当明确其保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务,确保个人金融信息安全。银行业金融机构应要求外包服务供应商在外包业务终止后,及时销毁因外包业务而获得的个人金融信息。
八、银行业金融机构通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息,应当严格按照系统规定的用途使用,不得违反规定查询和滥用。
九、银行业金融机构发生个人金融信息泄露事件的,或银行业金融机构的上级机构发现下级机构有违反规定对外提供个人金融信息及其他违反本通知行为的,应当在事件发生之日或发现下级机构违规行为之日起7个工作日内将相关情况及初步处理意见报告中国人民银行当地分支机构。
中国人民银行分支机构在收到银行业金融机构报告后,应视情况予以处理,并及时向中国人民银行报告。
十、中国人民银行及其地市中心支行以上分支机构受理投诉或发现银行业金融机构可能未履行个人金融信息保护义务的,可依法进行核实,认定银行业金融机构存在违反本通知规定,或存在其他未履行个人金融信息保护义务情形的,可采取以下处理措施:
(一)约见其高管人员谈话,要求说明情况;
(二)责令银行业金融机构限期整改;
(三)在金融系统内予以通报;
(四)建议银行业金融机构对直接负责的高级管理人员和其他直接责任人员依法给予处分;
(五)涉嫌犯罪的,依法移交司法机关处理。
十一、银行业金融机构违反规定通过中国人民银行征信系统、支付系统以及其他系统查询或滥用个人金融信息的,中国人民银行及其地市中心支行以上分支机构可按照本通知第十条及其他相关规定予以处理。
银行业金融机构违法情节严重或拒不改正的,中国人民银行可决定暂停其使用,或禁止其新设分支机构接入上述系统。
