第六章 保护消费者信息安全权

第四十一条【原则】银行保险机构处理消费者个人信息，应当坚持“合法、正当、必要”原则，切实保护消费者信息安全权。

第四十二条【收集】银行保险机构收集消费者个人信息应当向消费者告知收集、使用的目的、方式和范围等规则，并经消费者明示同意。消费者不同意的，机构不得因此拒绝提供不依赖于其所拒绝授权信息的金融产品或服务，不得采取变相强制、违规购买等不正当方式收集消费者个人信息。

第四十三条【格式条款】对于使用格式条款取得个人信息授权的，银行保险机构应当在格式条款中明确收集、使用和对外提供的范围和具体情形，并在协议的醒目位置明示与消费者存在重大利害关系的内容。

第四十四条【外部合作】银行保险机构应在消费者授权同意的基础上与合作方处理消费者信息，与合作机构的协议中应约定数据保护责任、保密义务、监督、处罚、合同终止和突发情况下的应急处置条款。

合作过程中，应通过加密传输线路、安全隔离、数据加密、权限管控、监测报警等方式，严格控制合作方行为与权限，开展数据分析等方面合作应使用脱敏后的数据，防范数据滥用或泄露风险。

第四十五条【互联网平台】银行保险机构应督促和规范与其合作的互联网平台企业有效保护消费者个人信息，未经消费者授权同意，不得在不同平台间传递消费者个人信息。不得利用痕迹数据对消费者开展未经授权的营销活动。

第四十六条【系统控制】银行保险机构处理和使用个人信息的业务或信息系统,遵循权责对应、最小必要原则设置访问、操作权限,落实授权审批流程，实现异常操作行为的有效监控和干预。

第四十七条【行为管理】银行保险机构应加强从业人员行为管理，禁止违规查询、复制、下载、储存消费者个人信息，不得超出自身职责和权限非法处理和使用。

第七章 监督管理

第四十八条【监管职责】银保监会及其派出机构依法履行消费者权益保护监管职责，通过采取各项监管措施和手段，督促银行保险机构落实消费者权益保护工作的各项要求。严格行为监管要求，对经营活动中的同类业务、同类主体统一标准、统一裁量，打击侵害消费者权益乱象和行为，营造公平有序的市场环境。

具体方式包括但不限于非现场监管、现场检查、延伸检查、投诉督查、举报调查、监管评价、窗口指导、监管谈话、风险提示等。

第四十九条【监管措施】银保监会及其派出机构对银行保险机构消费者权益保护工作中存在的问题视情节轻重依法采取相应监管措施，包括但不限于：

（一）监管谈话；

（二）责令限期整改；

（三）下发风险提示函、监管意见书等；

（四）责令对直接负责的董事、高级管理人员和其他直接责任人员内部问责；

（五）责令暂停部分业务，停止批准开办新业务；

（六）视情将相关问题在行业范围内发布，或者向社会公布；

（七）银保监会及其派出机构职责范围内依法可以采取的其他措施。

第五十条【报告要求】银行保险机构发生涉及消费者权益问题的重大事件，应根据属地监管原则，于发生之日起3个工作日内向银保监会及其派出机构消费者权益保护部门报告。

重大事件是指银行保险机构因消费者权益保护工作不到位或发生侵害消费者权益行为导致被其他行政管理部门查处、单月内就单一产品或事项集中爆发投诉、引发二十人以上群体性事件或产生重大负面舆情等事件。