用户、口令管理制度,明确管理员用户、数据上报用户和信息查询用户的职责及操作规程。各类用户应专人专用, 不得互相兼任, 更不得设置“公共用户”。各类用户应科学设置、妥善保管、定期更新用户密码。应当定期对各类系统用户口令控制执行情况进行检查,并对违反规定的用户及时予以停用。第三十二条以电子信息方式向金融监管部门、司法部门等外部单位提供涉及个人金融信息的数据时,应当通过特定渠道或专门系统进行报送;无特定渠道或专门系统的,应经数据保管、风控、科技等相关部门审核,并对信息进行加密等技术处理,确保个人金融信息安全。 12 第五章人员管理与教育培训第三十三条银行业金融机构应当强化员工准入管理,涉及个人金融信息的核心岗位人员,录用前应加强对其从业经历、个人品行等方面的考察,把好员工准入关口。第三十四条银行业金融机构应当加强外包服务人员管理, 建立外包服务人员档案制度。对外包服务人员,应进行必要的宣传、监督和评审,使其知晓在提供外包服务中的信息保护责任。第三十五条银行业金融机构应当加强员工教育培训,将个人金融信息保护相关知识培训纳入本机构培训计划,围绕相关法律法规和规章,金融监管部门有关个人金融信息保护相关规定, 以及本机构员工行为准则、职业操守等内容,广泛开展教育培训。第三十六条银行业金融机构应当针对不同对象,确定不同培训重点和方式,提高培训的实效性。针对新员工、涉及个人金融信息的相关业务经办人员和业务系统操作人员等人员,上岗前应当开展含有个人金融信息规范收集、使用与保密等内容的培训和考试,并规定相应的保密义务, 使员工知晓、认真执行相关法律政策规定,充分认识到个人金融信息非法泄露和滥用对本机构及本人带来的法律后果,提高风险防范意识。针对涉密技术人员,应当规定更为严格的信息安全保密义务,并加强日常合规教育培训,从学习教育层面引导技术人员做好岗位履职和安全操作,强化技术人员信息保护责任意识。