商业银行客户信息保护的相关法律法规规章及规范性文件摘录

附：

商业银行客户信息保护的相关法律、法规、规章及

规范性文件摘录

一、综合类监管规定

1、中华人民共和国刑法

第一百七十七条规定有下列情形之一，妨害信用卡管理的，处三年

以下有期徒刑或者拘役，并处或者单处一万元以上十万元以下罚金；数

量巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处二

万元以上二十万元以下罚金：

（一）明知是伪造的信用卡而持有、运输的，或者明知是伪造的

空白信用卡而持有、运输，数量较大的；

（二）非法持有他人信用卡，数量较大的；

（三）使用虚假的身份证明骗领信用卡的；

（四）出售、购买、为他人提供伪造的信用卡或者以虚假的身份

证明骗领的信用卡的。

窃取、收买或者非法提供他人信用卡信息资料的，依照前款规

定处罚。

银行或者其他金融机构的工作人员利用职务上的便利，犯第二

款罪的，从重处罚。

第二百五十三条国家机关或者金融、电信、交通、教育、医疗等单

位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程

中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三

年以下有期徒刑或者拘役，并处或者单处罚金。

窃取或者以其他方法非法获取上述信息，情节严重的，依照前

款的规定处罚。

单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管

人员和其他直接责任人员，依照各该款的规定处罚。

2、中华人民共和国商业银行法

第二十九条商业银行办理个人储蓄存款业务，应当遵循存款自

愿、取款自由、存款有息、为存款人保密的原则。

对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、

冻结、扣划，但法律另有规定的除外。

第三十条对单位存款，商业银行有权拒绝任何单位或者个人

查询，但法律、行政法规另有规定的除外；有权拒绝任何单位或者个人

冻结、扣划，但法律另有规定的除外。

3、中华人民共和国侵权责任法

第二条侵害民事权益，应当依照本法承担侵权责任。

本法所称民事权益，包括生命权、健康权、姓名权、名誉权、

荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、

担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人

身、财产权益。

第四条侵权人因同一行为应当承担行政责任或者刑事责任的，不

影响依法承担侵权责任。

因同一行为应当承担侵权责任和行政责任、刑事责任，侵权人

的财产不足以支付的，先承担侵权责任。

第三十四条用人单位的工作人员因执行工作任务造成他人损害

的，由用人单位承担侵权责任。

4、中华人民共和国居民身份证法

第十九条国家机关或者金融、电信、交通、教育、医疗等单位的

工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的

公民个人信息，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由

公安机关处十日以上十五日以下拘留，并处五千元，有违法所得

的，没收违法所得。

单位有前款行为，构成犯罪的，依法追究刑事责任；尚不构成

犯罪的，由公安机关对其直接负责的主管人员和其他直接责任人员，处

十日以上十五日以下拘留，并处十万元以上五十万元以下，有违法

所得的，没收违法所得。

有前两款行为，对他人造成损害的，依法承担民事责任。

5、中华人民共和国反法

第五条对依法履行反职责或者义务获得的客户身份资料和交

易信息，应当予以保密；非依法律规定，不得向任何单位和个人提供。

反行政主管部门和其他依法负有反监督管理职责的部

门、机构履行反职责获得的客户身份资料和交易信息，只能用于反

行政调查。

司法机关依照本法获得的客户身份资料和交易信息，只能用于

反刑事诉讼

6、银监会关于银行业金融机构做好个人金融信息保护工作的通知，

银发[2011]17号

二、银行业金融机构在收集、保存、使用、对外提供个人金融信息

时，应当严格遵守法律规定，采取有效措施加强对个人金融信息保护，

确保信息安全，防止信息泄露和滥用。特别是在收集个人金融信息时，

应当遵循合法、合理原则，不得收集与业务无关的信息或采取不正当方

式收集信息。

三、银行业金融机构应当建立健全内部控制制度，对易发生个人

金融信息泄露的环节进行充分排查，明确规定各部门、岗位和人员的管

理责任，加强个人金融信息管理的权限设置，形成相互监督、相互制约

的管理机制，切实防止信息泄露或滥用事件的发生。

银行业金融机构要完善信息安全技术防范措施，确保个人金融

信息在收集、传输、加工、保存、使用等环节中不被泄露。

银行业金融机构要加强对从业人员的培训，强化从业人员个人

金融信息安全意识，防止从业人员非法使用、泄露、出售个人金融信

息。接触个人金融信息岗位的从业人员在上岗前，应当书面做出保密承

诺。

四、银行业金融机构不得篡改、违法使用个人金融信息。使用个

人金融信息时，应当符合收集该信息的目的，并不得进行以下行为：

(一)出售个人金融信息；

(二)向本金融机构以外的其他机构和个人提供个人金融信息，但

为个人办理相关业务所必需并经个人书面授权或同意的，以及法律法规

和中国人民银行另有规定的除外；

(三)在个人提出反对的情况下，将个人金融信息用于产生该信息

以外的本金融机构其他营销活动。

银行业金融机构通过格式条款取得客户书面授权或同意的，应

当在协议中明确该授权或同意所适用的向他人提供个人金融信息的范围

和具体情形。同时，还应当在协议的醒目位置使用通俗易懂的语言明确

提示该授权或同意的可能后果，并在客户签署协议时提醒其注意上述提

示。

五、银行业金融机构不得将客户授权或同意其将个人信息用于营

销、对外提供等作为与客户建立业务关系的先决条件，但该业务关系的

性质决定需要预先做出相关授权或同意的除外。

六、在中国境内收集的个人金融信息的储存、处理和分析应当在

中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机

构不得向提供境内个人金融信息。

七、银行业金融机构通过外包开展业务的，应当充分审查、评估

外包服务供应商保护个人金融信息的能力，并将其作为选择外包服务供

应商的重要指标。

银行业金融机构与外包服务供应商签订服务协议时，应当明确

其保护个人金融信息的职责和保密义务，并采取必要措施保证外包服务

供应商履行上述职责和义务，确保个人金融信息安全。银行业金融机构

应要求外包服务供应商在外包业务终止后，及时销毁因外包业务而获得

的个人金融信息。

八、银行业金融机构通过接入中国人民银行征信系统、支付系统

以及其他系统获取的个人金融信息，应当严格按照系统规定的用途使

用，不得违反规定查询和滥用。

二、银行卡及账户管理业务监管规定

7、储蓄管理条例（1992年），国务院令第107号

第三十二条储蓄机构及其工作人员对储户的储蓄情况负有保密责

任。

储蓄机构不代任何单位和个人查询、冻结或者划拨储蓄存款，

国家法律、行政法规另有规定的除外。

8、银行卡业务管理办法，银发[1999]17号

第五十二条发卡银行的义务：

（七）发卡银行对持卡人的资信资料负有保密的责任。

9、银监会关于加强银行卡安全管理有关问题的通知，银监发

[2004]13号

四、各商业银行应加强对银行卡持卡人账户信息的保护。

九、各商业银行应加强跨行交易数据的安全管理，对于其他商业银

行的银行卡信息应尽到充分的保密义务。没有尽到充分的保密义务造成

信息外泄的，应承担由此给其他银行和其他银行卡持卡人所造成的损

失。

对于将有关银行卡的技术和服务外包给第三方的，各商业银行

应制定严格的管理制度，采取有效措施防止外包方接触或泄露有关本行

和其他银行的银行卡敏感信息，并明确外包方应承担的各项义务和责

任。

各商业银行应将和外包方签订的有关外包的主要内容、行内制

定的对外包方的各项管理制度等相关资料报送银监会。

10、银监会办公厅关于加强银行卡发卡业务风险管理的通知，银监

办发〔2007〕60号

一、银行卡发卡业务应执行严格的资信审批程序。各发卡银行应遵

循“了解你的客户”和"了解你的业务"的原则，注重对银行卡持卡人有效

身份的确认，在发卡前必须进行详细的资信调查。银行卡业务人员应尽

可能了解客户的主要情况、财务管理的基本状况、消费信贷记录和还款

情况等，细分并审慎选择目标客户体，将必要的核实内容、评估情况

和授信情况以适当形式记录保存，为银行卡业务风险管理提供持续稳定

的基础。为从源头控制风险，各发卡银行应依法为申请人提供的个人信

息保密，对申请人的资信审核工作制定严格的管理制度，并可利用法定

身份认证信息系统和其它外部信用信息系统等辅助管理银行卡业务风

险。

11、人行、银监会、公安部、国家工商总局关于加强银行卡安全管

理预防和打击银行卡犯罪的通知，银发［2009］142号

二、加强银行卡交易监测和使用管理

（三）保护持卡人信息安全。发卡机构应建立有效的信息安全防护系

统，保护持卡人信息安全。……

12、人行、最高院、最高检、公安部关于查询、冻结、扣划企业事

业单位、机关、团体银行存款的通知，银发［1993］356号

一、关于查询单位存款、查阅有关资料的问题

人民法院因审理或执行案件，人民检察院、公安机关因查处经

济违法犯罪案件，需要向银行查询企业事业单位、机关、团体与案件有

关的银行存款或查阅有关的会计凭证、帐簿等资料时，银行应积极配

合。查询人必须出示本人工作证或执行公务证和出具县级（含）以上人民

法院、人民检察院、公安局签发的“协助查询存款通知书”，由银行行长或

其他负责人（包括城市分理处、农村营业所和城乡信用社主任）签字后并

指定银行有关业务部门凭此提供情况和资料，并派专人接待。查询人对

原件不得借走，需要的资料可以抄录、复制或照相，并经银行盖章。人

民法院、人民检察院、公安机关对银行提供的情况和资料，应当依法保

守秘密。

三、外包业务类监管规定

13、银行业金融机构外包风险管理指引，银监发[2010]44号

第十六条银行业金融机构在外包合同中应当要求外包服务提供商

承诺以下事项：

（四）保障客户信息的安全性，当客户信息不安全或客户权利受到影

响时，银行业金融机构有权随时终止外包合同；

第十九条银行业金融机构在开展跨包活动时，应当遵守以下

原则：

……

（二）确保客户信息的安全；

14、企业内部控制应用指引第13号－－业务外包，财会[2010]11号

第十一条企业外包业务需要保密的，应当在业务外包合同或者另行

签订的保密协议中明确规定承包方的保密义务和责任，要求承包方向其

从业人员提示保密要求和应承担的责任。

四、电子银行类监管规定

15、电子银行业务管理办法，银督会令2006年第5号

第五十二条金融机构应采取适当措施，保证电子银行业务符合相关

法律法规对客户信息和隐私保护的规定。

第六十五条金融机构应当与外包服务供应商签订书面合同，明确双

方的权利、义务。

在合同中，应明确规定外包服务供应商的保密义务、保密责任。

16、银监会关于加强商业银行电子银行业务客户信息管理有关要求

的通知，银监发[2011]86号

一、商业银行应按照有关法律法规要求，高度重视客户信息安全与

保密工作，开展电子资金转移与支付业务时，严格执行《电子银行业务管

理办法》等规章制度。

四、商业银行在开展电子资金转移与支付业务过程中，应不断加强

客户信息安全的内部控制与管理。未经客户对本机构授权、不得直接或

间接将客户名称、证件类型及证件号码、手机号码、固定电话号码、通

信地址及其他客户敏感信息提供给第三方机构。

17、非金融机构支付服务管理办法，中国人民银行令[2010]第2号

第三十三条支付机构应当依法保守客户的商业秘密，不得对外泄

露。法律法规另有规定的除外。

第三十四条支付机构应当按规定妥善保管客户身份基本信

息、支付业务信息、会计档案等资料。

18、非金融机构支付服务管理办法实施细则，中国人民银行公告

[2010]第17号

第二十八条《办法》第十五条第（四）项所称客户合法权益保障方

案，应当包括下列内容：

（二）对客户隐私权的保护措施，明确客户身份信息的接收机构

及其移交安排、销毁方式及其监督安排；