第四十二条　银行保险机构处理消费者个人信息，应当坚持合法、正当、必要、诚信原则，切实保护消费者信息安全权。

第四十三条　银行保险机构收集消费者个人信息应当向消费者告知收集使用的目的、方式和范围等规则，并经消费者同意，法律法规另有规定的除外。消费者不同意的，银行保险机构不得因此拒绝提供不依赖于其所拒绝授权信息的金融产品或服务。

    银行保险机构不得采取变相强制、违规购买等不正当方式收集使用消费者个人信息。

第四十四条　对于使用书面形式征求个人信息处理同意的，银行保险机构应当以醒目的方式、清晰易懂的语言明示与消费者存在重大利害关系的内容。

    银行保险机构通过线上渠道使用格式条款获取个人信息授权的，不得设置默认同意的选项。

第四十五条　银行保险机构应当在消费者授权同意等基础上与合作方处理消费者个人信息，在合作协议中应当约定数据保护责任、保密义务、违约责任、合同终止和突发情况下的处置条款。

    合作过程中，银行保险机构应当严格控制合作方行为与权限，通过加密传输、安全隔离、权限管控、监测报警、去标识化等方式，防范数据滥用或者泄露风险。

第四十六条　银行保险机构应当督促和规范与其合作的互联网平台企业有效保护消费者个人信息，未经消费者同意，不得在不同平台间传递消费者个人信息，法律法规另有规定的除外。

第四十七条　银行保险机构处理和使用个人信息的业务和信息系统，遵循权责对应、最小必要原则设置访问、操作权限，落实授权审批流程，实现异常操作行为的有效监控和干预。

第四十八条　银行保险机构应当加强从业人员行为管理，禁止违规查询、下载、复制、存储、篡改消费者个人信息。从业人员不得超出自身职责和权限非法处理和使用消费者个人信息。