第三章.投资者个人信息保护第二十九条 核心机构和经营机构应当遵循合法.正当，必要和诚信原则，处理投资者个人信息。规范投资者个人信息处理行为。履行投资者个人信息保护义务。不得损害投资者合法权益.第三十条,核心机构和经营机构处理投资者个人信息，应当建立健全投资者个人信息保护体系、明确相关岗位及职责要求，建立健全投资者个人信息处理，安全防护，应急处置、审计监督等管理机制，加强投资者个人信息保护.第三十一条。核心机构和经营机构应当按照法律法规的规定及合同的约定处理投资者个人信息、明确告知投资者处理个人信息的目的、方式 范围和隐私保护政策。不得超范围收集和使用投资者个人信息.不得收集提供服务非必要的投资者个人信息，合同约定事项应当基于从事证券期货业务活动的必要限度.核心机构和经营机构不得以投资者不同意处理其个人信息或者撤回同意为由.拒绝向投资者提供服务。为投资者提供服务所必需，履行法定职责或者法定义务等情形除外、第三十二条。核心机构和经营机构处理投资者个人信息时 应当确保个人信息在收集.存储.使用、加工。传输.提供。公开，删除等处理过程中的合规。安全，防止个人信息的泄露,篡改 丢失.第三十三条 核心机构和经营机构应当依法依规向第三方机构提供投资者个人信息,明确告知投资者个人信息处理目的.处理方式。个人信息种类.保存期限 保护措施以及相关方的权利和义务等。并取得投资者个人单独同意、履行法定职责或者法定义务的情形除外。第三十四条,核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏.数据加密等措施、防范化解投资者个人信息在处理过程中的泄露风险,核心机构和经营机构通过短信,邮件等非自主运营渠道发送投资者敏感个人信息的、应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理 第三十五条、核心机构和经营机构利用生物特征进行客户身份认证的、应当对其必要性、安全性进行风险评估，不得将人脸,步态 指纹.虹膜。声纹等生物特征作为唯一的客户身份认证方式。强制客户同意收集其个人生物特征信息。