解讀銀保監(jiān)“消保專項(xiàng)治理”,強(qiáng)監(jiān)管下金融業(yè)個人信息安全如何守
特邀作者
樊曉娟 中倫律師事務(wù)所合伙人律師
3月15日,中國銀行保險監(jiān)督管理委員會(“銀保監(jiān)會”)召開“銀行業(yè)保險業(yè)深入推進(jìn)金融消費(fèi)者保護(hù)”專場新聞發(fā)布會。新聞發(fā)布會上,銀保監(jiān)會消保局郭武平局長指出,今年的重點(diǎn)工作之一是“開展銀行業(yè)保險業(yè)個人信息保護(hù)專項(xiàng)整治”。本文是在監(jiān)管進(jìn)一步強(qiáng)化的背景下,給予銀行保險機(jī)構(gòu)在個人信息保護(hù)方面的合規(guī)建議。
個人金融信息安全
所謂個人金融信息,是指銀行業(yè)金融機(jī)構(gòu)在開展業(yè)務(wù)、提供服務(wù)、接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)及其他系統(tǒng)時獲取、保存、加工的個人信息,包括但不限于賬戶信息、鑒別信息、金融交易信息、個人身份信息、個人財產(chǎn)信息等,是個人隱私的重要部分。隨著金融科技化、數(shù)字化的進(jìn)程,個人金融信息被泄露、轉(zhuǎn)賣的情況比比皆是,成為了監(jiān)管部門整治工作的重點(diǎn)。
(一)個人金融信息安全的行業(yè)標(biāo)準(zhǔn)
2020年,中國人民銀行提出了《個人金融信息保護(hù)技術(shù)規(guī)范(JR/T 0171-2020)》(“《規(guī)范》”),從行業(yè)特性出發(fā),對個人金融信息的保護(hù)提供了詳細(xì)的行業(yè)標(biāo)準(zhǔn)。
《規(guī)范》將其直接適用范圍劃定為“由國家金融管理部門監(jiān)督管理的持牌金融機(jī)構(gòu),以及涉及個人金融信息處理的相關(guān)機(jī)構(gòu)”(“金融業(yè)機(jī)構(gòu)”),這就意味著包括銀行業(yè)金融機(jī)構(gòu)、各類證券、基金、保險機(jī)構(gòu)在內(nèi)的廣義的持牌金融業(yè)機(jī)構(gòu),以及處理個人金融信息的相關(guān)機(jī)構(gòu)(可能持牌或非持牌),例如第三方支付公司、金融科技公司等,都將直接適用《規(guī)范》。
《規(guī)范》還從個人金融信息的生命周期入手,設(shè)計并實(shí)施覆蓋個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等全生命周期的安全保護(hù)策略。并從個人金融信息全生命周期的安全技術(shù)要求、安全管理要求、安全制度體系的建立及其組織架構(gòu)和崗位設(shè)置、安全監(jiān)測與風(fēng)險評估、安全事件處置方面,制定詳盡的標(biāo)準(zhǔn)及要求,供銀行及其他金融業(yè)機(jī)構(gòu)開展業(yè)務(wù)時參考。
(二)敏感個人信息的特別保護(hù)
《個人信息保護(hù)法》對敏感個人信息作出了界定[1],金融賬戶及其他一旦泄露將導(dǎo)致個人人身、財產(chǎn)安全受到危害的相關(guān)信息被納入敏感個人信息的范圍。同時,《個人信息保護(hù)法》也對敏感個人信息作出了特別保護(hù)規(guī)定。
對于作為敏感個人金融信息進(jìn)行收集、共享、轉(zhuǎn)讓、公開披露等處理活動,需要取得個人的明示同意;在處理敏感個人金融信息前,需要告知個人處理敏感個人信息的必要性以及對個人權(quán)益的影響。金融業(yè)機(jī)構(gòu)對敏感個人金融信息的處理要更為細(xì)致,注意保留取得個人明示同意以及告知個人必要性的記錄。
(三)分類管理
金融業(yè)機(jī)構(gòu)應(yīng)按照《規(guī)范》的要求,將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別。
銀行及金融業(yè)機(jī)構(gòu)根據(jù)具體業(yè)務(wù)開展、具體服務(wù)場景對信息進(jìn)行識別和歸類,并根據(jù)不同類別個人金融信息在全生命周期中的階段,針對性的采取保護(hù)措施。
如,在個人金融信息收集階段,C3、C2類別需要具備金融業(yè)資質(zhì),對于C3類別,通過受理終端、瀏覽器、客戶端應(yīng)用軟件等方式進(jìn)行收集的,應(yīng)使用加密技術(shù)防止數(shù)據(jù)泄露;在委托處理階段,C3、C2類別信息中的用戶鑒別輔助信息,不可委托給第三方機(jī)構(gòu)進(jìn)行處理;在加工處理過程中,C3、C2類別信息在清洗和轉(zhuǎn)換過程中應(yīng)采取更嚴(yán)格的保護(hù)措施。
算法的合規(guī)使用
2022年3月14日,中國銀行保險監(jiān)督管理委員會(“銀保監(jiān)會”)發(fā)布了《關(guān)于警惕過度借貸營銷誘導(dǎo)的風(fēng)險提示》(“風(fēng)險提示”)[2],提醒消費(fèi)者遠(yuǎn)離過度借貸營銷陷阱,防范過度信貸風(fēng)險。次日,銀保監(jiān)會召開的新聞發(fā)布會再次強(qiáng)調(diào)金融消費(fèi)者保護(hù)的重要性和必要性。
在金融領(lǐng)域中,算法已經(jīng)得到廣泛應(yīng)用,算法在提高金融服務(wù)效率和服務(wù)質(zhì)量的同時,也帶來風(fēng)險提示中“個人消費(fèi)信貸服務(wù)與各種消費(fèi)場景深度綁定”的借貸營銷陷阱。于今年3月1日生效的《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》(“《算法規(guī)定》”)填補(bǔ)了這方面立法空白,成為金融業(yè)機(jī)構(gòu)開展業(yè)務(wù)、開發(fā)APP時進(jìn)行合規(guī)自查的主要參考法規(guī),具有不少值得注意的亮點(diǎn)。
(一)信息服務(wù)基本規(guī)范
算法推薦服務(wù)機(jī)制應(yīng)當(dāng)向上向善,通過用戶提供的個人信息、其搜索習(xí)慣等,利用算法增加用戶便捷度并為用戶量身定制服務(wù)是可取的,但不得利用算法干預(yù)信息,如屏蔽信息、過度推薦、操縱榜單或者控制檢索結(jié)果排序、控制熱搜精選等。
這意味著金融業(yè)機(jī)構(gòu)即便取得用戶明示同意其使用個人金融信息的前提下,仍不得利用算法強(qiáng)制或者變相強(qiáng)制用戶接受金融產(chǎn)品或者服務(wù)。也不得排除、限制金融消費(fèi)者接受同業(yè)機(jī)構(gòu)提供的金融產(chǎn)品或者服務(wù)。
(二)告知義務(wù)及用戶選擇權(quán)
如果金融業(yè)機(jī)構(gòu)利用算法向不同類別資產(chǎn)持有人推送不同的理財產(chǎn)品,應(yīng)當(dāng)告知用戶該算法的基本原理,提高規(guī)則的透明度和可解釋性。用戶對于是否使用算法具有選擇權(quán),如果用戶選擇關(guān)閉,金融業(yè)機(jī)構(gòu)應(yīng)當(dāng)立即停止算法推薦服務(wù)。
同時,金融業(yè)機(jī)構(gòu)應(yīng)當(dāng)設(shè)置便捷有效的用戶申訴和公眾投訴、舉報入口,將處理流程和反饋時限明確并進(jìn)行公示,及時受理、處理并向用戶反饋處理結(jié)果。
(三)算法分級分類安全管理制度
《算法規(guī)定》要求根據(jù)算法推薦服務(wù)的輿論屬性或者社會動員能力、內(nèi)容類別、用戶規(guī)模、算法推薦技術(shù)處理的數(shù)據(jù)重要程度、對用戶行為的干預(yù)程度等對算法推薦服務(wù)提供者實(shí)施分級分類管理。具有輿論屬性或者社會動員能力的算法推薦服務(wù)提供者應(yīng)當(dāng)在提供服務(wù)之日起十個工作日內(nèi)進(jìn)行備案。[3]
金融業(yè)機(jī)構(gòu)要根據(jù)自身采用算法提供的服務(wù)進(jìn)行識別,并確認(rèn)是否需要進(jìn)行備案。
銀行保險業(yè)務(wù)APP
2021年,工信部共發(fā)布11批關(guān)于侵害用戶權(quán)益行為的APP,包括工信部和各地方通信管理局通報存在問題的APP。其中,多家銀行的APP被通報,主要問題集中在違規(guī)/超范圍收集個人信息;強(qiáng)制用戶使用定向推送功能或者App強(qiáng)制、頻繁、過度索取權(quán)限。
(一)違規(guī)后果
根據(jù)《個人信息保護(hù)法》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《算法規(guī)定》等相關(guān)法律法規(guī),工業(yè)和信息化部及各省通信管理局對APP進(jìn)行排查,有問題的APP將被通報批評,并限期整改。被通報的銀行保險業(yè)APP如未能按期整改,根據(jù)其具體的違規(guī)行為,由有關(guān)主管部門相應(yīng)暫停業(yè)務(wù)、責(zé)令改正、警告、吊銷相關(guān)業(yè)務(wù)許可或執(zhí)照、以及處以罰款等處罰。
(二)合規(guī)建議
目前我國法律建立了以“告知-同意”為核心的個人信息處理原則,事先征得用戶同意為前提,最低限度保障用戶事后包括請求刪除、更正、撤回同意的權(quán)利為輔。在法院公布的已生效判決中,也強(qiáng)調(diào)了以“告知-同意”為主要裁量標(biāo)準(zhǔn)的審判理念。所以
1、履行告知義務(wù)
金融業(yè)機(jī)構(gòu)開發(fā)的APP在利用算法時,應(yīng)謹(jǐn)遵《算法規(guī)定》的要求,參考上文中算法合規(guī)要求部分進(jìn)行合規(guī)自查,明示告知用戶算法使用規(guī)則。同時,各金融業(yè)機(jī)構(gòu)開發(fā)的APP多傾向于使用人臉識別、指紋識別作為登錄驗(yàn)證方式,要結(jié)合《個人信息保護(hù)法》的要求,告知用戶個人信息的處理目的、方式以及其他規(guī)定事項(xiàng)。
需要注意的是,收集使用規(guī)則的內(nèi)容不能使用大量專業(yè)術(shù)語,或采取晦澀難懂、冗長繁瑣的敘述使得用戶難以理解,這種無效告知仍會被判定為“未明示收集使用個人信息的目的、方式和范圍”。
2、取得用戶同意
處理個人信息需要取得用戶同意,處理生物識別信息、敏感個人金融信息更需要取得用戶的同意。對于金融業(yè)機(jī)構(gòu)來說,最保險的方式是將取得同意的記錄固定并留存下來。金融業(yè)機(jī)構(gòu)或可考慮通過在APP中加入彈窗設(shè)計,同時達(dá)成提醒用戶和取得用戶同意的目的,這也是目前大多數(shù)移動APP所采用的辦法。
結(jié) 語
2021年是個人信息保護(hù)的立法年,而2022年則是各監(jiān)管機(jī)構(gòu)秉承法律法規(guī),加大執(zhí)法力度,使執(zhí)法常態(tài)化、精準(zhǔn)化的一年。金融業(yè)是國民經(jīng)濟(jì)的核心行業(yè),金融業(yè)機(jī)構(gòu)是受到嚴(yán)格監(jiān)管的持牌經(jīng)營機(jī)構(gòu),其行業(yè)特點(diǎn)造就其具有做好風(fēng)險管理工作、維護(hù)機(jī)構(gòu)良好社會形象的義務(wù),而個人金融信息的保護(hù)正是風(fēng)險管理工作中舉足輕重的一環(huán)。個人金融信息保護(hù)是一項(xiàng)長期任務(wù),需要立法機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)與金融業(yè)機(jī)構(gòu)共同努力,切實(shí)構(gòu)建個人金融信息長效保護(hù)機(jī)制。
原文標(biāo)題 : 解讀銀保監(jiān)“消保專項(xiàng)治理”,強(qiáng)監(jiān)管下金融業(yè)個人信息安全如何守
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市