商业银行客户信息保护的相关法律 法规 规章及规范性文件摘录

附：

商业银行客户信息保护的相关法律、法规、规章及

规范性文件摘录

一、综合类监管规定

1、中华人民共和国刑法

第一百七十七条规定有下列情形之一，妨害信用卡管

理的，处三年以下有期徒刑或者拘役，并处或者单处一万元

以上十万元以下罚金；数量巨大或者有其他严重情节的，处

三年以上十年以下有期徒刑，并处二万元以上二十万元以下

罚金：

（一）明知是伪造的信用卡而持有、运输的，或者

明知是伪造的空白信用卡而持有、运输，数量较大的；

（二）非法持有他人信用卡，数量较大的；

（三）使用虚假的身份证明骗领信用卡的；

（四）出售、购买、为他人提供伪造的信用卡或者

以虚假的身份证明骗领的信用卡的。

窃取、收买或者非法提供他人信用卡信息资料的，

依照前款规定处罚。

银行或者其他金融机构的工作人员利用职务上的

便利，犯第二款罪的，从重处罚。

第二百五十三条国家机关或者金融、电信、交通、教

育、医疗等单位的工作人员，违反国家规定，将本单位在履

行职责或者提供服务过程中获得的公民个人信息，出售或者

非法提供给他人，情节严重的，处三年以下有期徒刑或者拘

役，并处或者单处罚金。

窃取或者以其他方法非法获取上述信息，情节严重

的，依照前款的规定处罚。

单位犯前两款罪的，对单位判处罚金，并对其直接

负责的主管人员和其他直接责任人员，依照各该款的规定处

罚。

2、中华人民共和国商业银行法

第二十九条商业银行办理个人储蓄存款业务，应当遵

循存款自愿、取款自由、存款有息、为存款人保密的原则。

对个人储蓄存款，商业银行有权拒绝任何单位或者

个人查询、冻结、扣划，但法律另有规定的除外。

第三十条对单位存款，商业银行有权拒绝任何单

位或者个人查询，但法律、行政法规另有规定的除外；有权

拒绝任何单位或者个人冻结、扣划，但法律另有规定的除外。

3、中华人民共和国侵权责任法

第二条侵害民事权益，应当依照本法承担侵权责任。

本法所称民事权益，包括生命权、健康权、姓名权、

名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、

所有权、用益物权、担保物权、着作权、专利权、商标专用

权、发现权、股权、继承权等人身、财产权益。

第四条侵权人因同一行为应当承担行政责任或者刑

事责任的，不影响依法承担侵权责任。

因同一行为应当承担侵权责任和行政责任、刑事责

任，侵权人的财产不足以支付的，先承担侵权责任。

第三十四条用人单位的工作人员因执行工作任务造

成他人损害的，由用人单位承担侵权责任。

4、中华人民共和国居民身份证法

第十九条国家机关或者金融、电信、交通、教育、医

疗等单位的工作人员泄露在履行职责或者提供服务过程中

获得的居民身份证记载的公民个人信息，构成犯罪的，依法

追究刑事责任；尚不构成犯罪的，由公安机关处十日以上十

五日以下拘留，并处五千元，有违法所得的，没收违法

所得。

单位有前款行为，构成犯罪的，依法追究刑事责任；

尚不构成犯罪的，由公安机关对其直接负责的主管人员和其

他直接责任人员，处十日以上十五日以下拘留，并处十万元

以上五十万元以下，有违法所得的，没收违法所得。

有前两款行为，对他人造成损害的，依法承担民事

责任。

5、中华人民共和国反法

第五条对依法履行反职责或者义务获得的客户

身份资料和交易信息，应当予以保密；非依法律规定，不得

向任何单位和个人提供。

反行政主管部门和其他依法负有反监督

管理职责的部门、机构履行反职责获得的客户身份资料

和交易信息，只能用于反行政调查。

司法机关依照本法获得的客户身份资料和交易信

息，只能用于反刑事诉讼

6、银监会关于银行业金融机构做好个人金融信息保护

工作的通知，银发[2011]17号

二、银行业金融机构在收集、保存、使用、对外提供个

人金融信息时，应当严格遵守法律规定，采取有效措施加强

对个人金融信息保护，确保信息安全，防止信息泄露和滥用。

特别是在收集个人金融信息时，应当遵循合法、合理原则，

不得收集与业务无关的信息或采取不正当方式收集信息。

三、银行业金融机构应当建立健全内部控制制度，

对易发生个人金融信息泄露的环节进行充分排查，明确规定

各部门、岗位和人员的管理责任，加强个人金融信息管理的

权限设置，形成相互监督、相互制约的管理机制，切实防止

信息泄露或滥用事件的发生。

银行业金融机构要完善信息安全技术防范措施，确

保个人金融信息在收集、传输、加工、保存、使用等环节中

不被泄露。

银行业金融机构要加强对从业人员的培训，强化从

业人员个人金融信息安全意识，防止从业人员非法使用、泄

露、出售个人金融信息。接触个人金融信息岗位的从业人员

在上岗前，应当书面做出保密承诺。

四、银行业金融机构不得篡改、违法使用个人金融

信息。使用个人金融信息时，应当符合收集该信息的目的，

并不得进行以下行为：

(一)出售个人金融信息；

(二)向本金融机构以外的其他机构和个人提供个人

金融信息，但为个人办理相关业务所必需并经个人书面授权

或同意的，以及法律法规和中国人民银行另有规定的除外；

(三)在个人提出反对的情况下，将个人金融信息用

于产生该信息以外的本金融机构其他营销活动。

银行业金融机构通过格式条款取得客户书面授权

或同意的，应当在协议中明确该授权或同意所适用的向他人

提供个人金融信息的范围和具体情形。同时，还应当在协议

的醒目位置使用通俗易懂的语言明确提示该授权或同意的

可能后果，并在客户签署协议时提醒其注意上述提示。

五、银行业金融机构不得将客户授权或同意其将个

人信息用于营销、对外提供等作为与客户建立业务关系的先

决条件，但该业务关系的性质决定需要预先做出相关授权或

同意的除外。

六、在中国境内收集的个人金融信息的储存、处理

和分析应当在中国境内进行。除法律法规及中国人民银行另

有规定外，银行业金融机构不得向提供境内个人金融信

息。

七、银行业金融机构通过外包开展业务的，应当充

分审查、评估外包服务供应商保护个人金融信息的能力，并

将其作为选择外包服务供应商的重要指标。

银行业金融机构与外包服务供应商签订服务协议

时，应当明确其保护个人金融信息的职责和保密义务，并采

取必要措施保证外包服务供应商履行上述职责和义务，确保

个人金融信息安全。银行业金融机构应要求外包服务供应商

在外包业务终止后，及时销毁因外包业务而获得的个人金融

信息。

八、银行业金融机构通过接入中国人民银行征信系

统、支付系统以及其他系统获取的个人金融信息，应当严格

按照系统规定的用途使用，不得违反规定查询和滥用。

二、银行卡及账户管理业务监管规定

7、储蓄管理条例（1992年），国务院令第107号

第三十二条储蓄机构及其工作人员对储户的储蓄情

况负有保密责任。

储蓄机构不代任何单位和个人查询、冻结或者划拨

储蓄存款，国家法律、行政法规另有规定的除外。

8、银行卡业务管理办法，银发[1999]17号

第五十二条发卡银行的义务：

（七）发卡银行对持卡人的资信资料负有保密的责任。

9、银监会关于加强银行卡安全管理有关问题的通知，

银监发[2004]13号

四、各商业银行应加强对银行卡持卡人账户信息的保

护。

九、各商业银行应加强跨行交易数据的安全管理，对于

其他商业银行的银行卡信息应尽到充分的保密义务。没有尽

到充分的保密义务造成信息外泄的，应承担由此给其他银行

和其他银行卡持卡人所造成的损失。

对于将有关银行卡的技术和服务外包给第三方的，

各商业银行应制定严格的管理制度，采取有效措施防止外包

方接触或泄露有关本行和其他银行的银行卡敏感信息，并明

确外包方应承担的各项义务和责任。

各商业银行应将和外包方签订的有关外包的主要

内容、行内制定的对外包方的各项管理制度等相关资料报送

银监会。

10、银监会办公厅关于加强银行卡发卡业务风险管理的

通知，银监办发〔2007〕60号

一、银行卡发卡业务应执行严格的资信审批程序。各发

卡银行应遵循“了解你的客户”和"了解你的业务"的原则，

注重对银行卡持卡人有效身份的确认，在发卡前必须进行详

细的资信调查。银行卡业务人员应尽可能了解客户的主要情

况、财务管理的基本状况、消费信贷记录和还款情况等，细

分并审慎选择目标客户体，将必要的核实内容、评估情况

和授信情况以适当形式记录保存，为银行卡业务风险管理提

供持续稳定的基础。为从源头控制风险，各发卡银行应依法

为申请人提供的个人信息保密，对申请人的资信审核工作制

定严格的管理制度，并可利用法定身份认证信息系统和其它

外部信用信息系统等辅助管理银行卡业务风险。

11、人行、银监会、公安部、国家工商总局关于加强银

行卡安全管理预防和打击银行卡犯罪的通知，银发［2009］

142号

二、加强银行卡交易监测和使用管理

（三）保护持卡人信息安全。发卡机构应建立有效的信

息安全防护系统，保护持卡人信息安全。……

12、人行、最高院、最高检、公安部关于查询、冻结、

扣划企业事业单位、机关、团体银行存款的通知，银发［1993］

356号

一、关于查询单位存款、查阅有关资料的问题

人民法院因审理或执行案件，人民检察院、公安机

关因查处经济违法犯罪案件，需要向银行查询企业事业单

位、机关、团体与案件有关的银行存款或查阅有关的会计凭

证、帐簿等资料时，银行应积极配合。查询人必须出示本人

工作证或执行公务证和出具县级（含）以上人民法院、人民

检察院、公安局签发的“协助查询存款通知书”，由银行行长

或其他负责人（包括城市分理处、农村营业所和城乡信用社

主任）签字后并指定银行有关业务部门凭此提供情况和资

料，并派专人接待。查询人对原件不得借走，需要的资料可

以抄录、复制或照相，并经银行盖章。人民法院、人民检察

院、公安机关对银行提供的情况和资料，应当依法保守秘密。

三、外包业务类监管规定

13、银行业金融机构外包风险管理指引，银监发

[2010]44号

第十六条银行业金融机构在外包合同中应当要求外

包服务提供商承诺以下事项：

（四）保障客户信息的安全性，当客户信息不安全或客

户权利受到影响时，银行业金融机构有权随时终止外包合

同；

第十九条银行业金融机构在开展跨包活动时，应

当遵守以下原则：

……

（二）确保客户信息的安全；

14、企业内部控制应用指引第13号－－业务外包，财

会[2010]11号

第十一条企业外包业务需要保密的，应当在业务外包

合同或者另行签订的保密协议中明确规定承包方的保密义

务和责任，要求承包方向其从业人员提示保密要求和应承担

的责任。

四、电子银行类监管规定

15、电子银行业务管理办法，银督会令2006年第5号

第五十二条金融机构应采取适当措施，保证电子银行

业务符合相关法律法规对客户信息和隐私保护的规定。

第六十五条金融机构应当与外包服务供应商签订书面

合同，明确双方的权利、义务。

在合同中，应明确规定外包服务供应商的保密义务、

保密责任。

16、银监会关于加强商业银行电子银行业务客户信息管

理有关要求的通知，银监发[2011]86号

一、商业银行应按照有关法律法规要求，高度重视客户

信息安全与保密工作，开展电子资金转移与支付业务时，严

格执行《电子银行业务管理办法》等规章制度。

四、商业银行在开展电子资金转移与支付业务过程中，

应不断加强客户信息安全的内部控制与管理。未经客户对本

机构授权、不得直接或间接将客户名称、证件类型及证件号

码、手机号码、固定电话号码、通信地址及其他客户敏感信

息提供给第三方机构。

17、非金融机构支付服务管理办法，中国人民银行令

[2010]第2号

第三十三条支付机构应当依法保守客户的商业秘密，

不得对外泄露。法律法规另有规定的除外。

第三十四条支付机构应当按规定妥善保管客户

身份基本信息、支付业务信息、会计档案等资料。

18、非金融机构支付服务管理办法实施细则，中国人民

银行公告[2010]第17号

第二十八条《办法》第十五条第（四）项所称客户合

法权益保障方案，应当包括下列内容：

（二）对客户隐私权的保护措施，明确客户身份信

息的接收机构及其移交安排、销毁方式及其监督安排；

客户合法权益保障方案涉及其他支付机构的，还应

当提交与所涉支付机构签订的客户身份信息移交协议、客户

备付金退还安排相关证明文件。