商业银行个人金融信息保护的合规应对思路


来源:移动支付网    2022-4-26 14:29

随着《网络安全法》《数据安全法》《个人信息保护法》《个人金融信息保护技术规范》、《金融数据安全数据生命周期安全规范》、《金融数据安全数据安全分级指南》及《金融数据安全数据安全评估规范(征求意见稿)》等一系列法律法规和标准规范的发布,数据安全和隐私保护的顶层监管框架日趋完善,个人信息保护成为商业银行数字化转型中合规监管的重中之重。

本文旨在梳理个人金融信息保护相关法律规范,结合实践监管案例,主要探讨商业银行在金融消费者权益保护的大背景下,个人金融信息保护的合规应对思路。

一、相关法律规制概览

二、监管动态及行业趋势

近年来,有关部门对金融机构在个人信息保护与网络信息安全违规行为方面的监管处罚趋严:中国人民银行上海总部2022年1月10日公布的行政处罚信息显示,东亚银行(中国)有限公司因违反信用信息采集、提供、查询及相关管理规定,被处以1674万元罚款,责令限期改正。

2022年3月8日,根据中国人民银行上海分行行政处罚信息公示,星展银行(中国)有限公司因存在未按规定履行客户身份识别义务、违反信用信息采集、提供、查询及相关管理规定等四项违规行为,被给予警告,并处罚款人民币203.6万元;时任星展银行风险管理部个人信贷部经理汪瑜则对“违反信用信息采集、提供、查询及相关管理规定”负有责任,被罚款3.9万元。

目前金融行业最普遍的数据违规现象,在于个人信息的过度采集与使用不当。金融行业的风控系统是其最核心的业务系统,对数据量和数据处理能力要求更高,因此对个人信息过度收集的问题更加突出。但在近年来数据强监管背景下,金融机构已经从早期过度采集的“野蛮生长”阶段走向合规发展的调整期和适应期。

(一)相关数据分析

笔者团队于2020年联合北京金融科技产业联盟及移动支付网共同发布《中国个人金融信息保护执法白皮书2020》,白皮书整理了截至2020年10月25日,中国人民银行总行及各地分支行(以下简称“人民银行”)在当年开出的行政处罚罚单,罚单中涉及“个人金融信息”的共181张,罚款金额合计超过1.8亿元,呈现“企业+个人”同时处罚的趋势。统计显示,无论是罚单金额还是罚单频次,银行业金融机构均是接受处罚的“大户”,银行业金融机构的罚单金额总计为1.5亿元,155次。从被处罚的银行类别来看,包括国有六大行、股份制银行,以及城商行、村镇行、信用社等。可以说银行在个人金融信息保护相关违规问题上存在普遍性。

违法行为类型:

统计显示,人民银行行政处罚公示的违法行为类型较多,其中,未按规定保存客户身份资料或交易记录、侵害消费者个人信息保护的权利、未经同意查询个人信息、未按约定使用个人信息、违反征信查询规定、未经授权查询征信信息、征信系统用户管理不规范、未按规定处理征信异议、未履行不良信息提前报送义务、违法提供信息等是出现频率较高的违法行为类型。

不难发现,在个人信息的存储、查询、使用等各个环节,易发生违法行为。其中未按规定保存客户身份资料或交易记录的违法性问题尤为严重,占比超过三成。

根据21世纪经济报道记者结合企业预警通数据不完全统计²,2021年全年,在央行、银保监会、外管局发布的行政处罚名单中,涉及信息处理等违规问题的罚单共计119张,罚款金额合计约4654万元。具体来说,在上述罚单中,金融机构发生的违规行为集中于个人信息保护与信息网络安全两大类,主要涉及“未按规定收集使用个人信息”、“未经同意查询个人信息或企业信贷信息”、“提供部分个人不良信息时未事先告知信息主体”、“泄露客户信息”、“网络授权访问控制不到位,存在信息科技风险隐患”、“发生重要信息系统突发事件未向监管报告”等。

根据《极客洞察2021年银行监管处罚分析报告》³显示,银行在“消费者权益保护领域”的监管处罚大幅增加,从监管处罚来看,过去两年侧重于从业务角度处罚侵害消费者权益的事项,例如违规收取服务费、违规宣传或误导消费者等等,与消费者权益保护工作直接相关的处罚较少,在2021年度,监管大幅提升了此类处罚,个人金融信息保护不到位、违反金融消费者权益保护管理规定相关的处罚大幅增加。

其中,2021年度与“个人金融信息保护不到位”直接相关的案由出现40次,主要分为如下4个细类:

(二)相关案例

典型案例一:中信银行因客户信息保护体制机制不健全等案由,被罚款450万元

(1)基本案情

2020年5月6日,脱口秀演员王越池( 池子池子大池子)发布微博称,中信银行上海虹口支行未获本人授权,便将其个人账户流水提供给上海笑果文化传媒有限公司,属于侵犯公民个人信息的违法行为,并通过律师发函要求中信银行、笑果文化赔偿损失、并公开道歉。对此,中信银行官方微博当日凌晨发布致歉信称,经核实,近期上海笑果文化传媒有限公司联系开户支行,要求查询其为员工王越池支付劳务工资记录,该行员工未严格按规定办理,提供了王越池的收款记录。对此,向王越池郑重道歉。

(2)行政处罚

2021年3月19日,银保监会网站公布行政处罚决定书,中信银行因客户信息保护不到位等问题,依据《中华人民共和国银行业监督管理法》第二十一条、第四十六条和相关审慎经营规则及《中华人民共和国商业银行法》第七十三条,作出罚款450万元的处罚决定,认定的具体违法行为包括:

一是客户信息保护体制机制不健全;柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施,乱象整治自查不力。

二是客户信息收集环节管理不规范;客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则;查询客户账户明细事由不真实;未经客户本人授权查询并向第三方提供其个人银行账户交易信息。

三是对客户敏感信息管理不善,致其流出至互联网;违规存储客户敏感信息。

四是系统权限管理存在漏洞,重要岗位及外包机构管理存在缺陷。

由于相关人员是公众人物,该案件在2020年引起舆论的诸多讨论,尽管公安部、人民银行以及商业银行自身均出台大量法律法规、政策及内部控制文件建立健全个人金融信息保护,但从目前高发的案例来看,商业银行内部的风控制度构建和管控措施的落实依然任重道远。

典型案例二:刑事责任+行政处罚(罚款及从业禁止),原建设银行余姚城建支行行长沈某某,被判侵犯公民个人信息罪

(1)基本案情

2017年3月17日,沈某某应周某要求,将从鲁某听处非法获取的余姚市东城名苑业主的财产信息共计1111条通过QQ邮箱非法提供给周某用于招揽业务。同年4月20日,沈某某在担任建行余姚城建支行行长期间,将该行受理的贷款客户财产信息共计127条提供给周某用于招揽业务。2018年8月15日,沈某某主动向公安机关投案,如实供述了上述犯罪事实,并于2019年8月14日被余姚市人民检察院取保候审。

(2)审判结果

2020年3月31日,浙江省余姚市人民法院公布刑事判决书。浙江省余姚市人民法院认定,沈某某违反国家有关规定,向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。其中部分公民个人信息系被告人在履职过程中获得并提供给他人,依法应从重处罚。鉴于被告人沈某某的犯罪情节及悔罪表现,依法宣告缓刑,判决沈某某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币六千元。

(3)行政处罚

中国银保监会宁波监管局决定作出如下行政处罚:

沈静冲作为侵犯公民个人信息案件当事人,上述行为已触犯《中华人民共和国刑法》第二百五十三条的规定,违反了《银行业金融机构从业人员职业操守指引》(银监发〔2011〕6号)第五条、第七条的规定,属于严重违反审慎经营规则的行为。根据《中华人民共和国银行业监督管理法》第四十八条第(三)项规定,宁波监管局决定对其予以禁止从事银行业工作五年的行政处罚。

侵犯公民个人信息不仅仅面临的是行政处罚,还可能涉嫌刑事犯罪。由中国司法大数据研究院、21世纪经济报道、北京市京师律师事务所金融犯罪研究中心和南方财经法律研究院共同编写的《中国金融机构从业人员犯罪问题研究白皮书(2021)》中,统计显示:金融机构从业人员犯罪的判决中共同犯罪的占比高,但除了传统的非法吸收公众存款罪、集资诈骗罪等,还涉及到其他犯罪。其中包括:随着我国不断加强个人信息保护的立法,金融机构从业人员侵犯公民个人信息案件也在增多。司法大数据统计显示,在金融机构从业人员涉侵犯公民个人信息罪案件中,与外部人员共同犯罪的案件占比高达75.00%。由于金融机构从业人员能够接触到客户的诸多个人信息,不乏少数工作人员与外部人员勾结,以此牟利。

典型案例三:“机构+个人”双罚,银行员工违规查询并倒卖客户信息案件

(1)基本案情

2019年5月初至6月中旬,被告人郝亚潭利用在中国工商银行西夏支行的工作便利,查询该行储户个人信息(姓名+身份证号码+预留手机号码+银行卡号,简称公民“四要素”信息)200条,以人民币70元至100元不等的价格通过QQ出售他人,获利207000.88元。

(2)审判结果

被告人郝亚潭违反国家有关规定,向他人出售公民个人信息,情节特别严重;依照《中华人民共和国刑法》第二百五十三条之一、第五十二条、第五十三条、第六十四条、第六十七条,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条,《中华人民共和国刑事诉讼法》第十五条之规定,判决被告人郝亚潭犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币二十一万元。

(3)行政处罚

中国工商银行股份有限公司银川西夏支行因内控制度执行不到位,员工违规查询泄露倒卖客户信息,严重违反审慎经营规则的违规行为;

依据《中华人民共和国银行业监督管理法》第四十六条第五项、第四十八条第二项、第四十八条第三项,2021年6月29日,宁夏银保监局对对工行银川西夏支行予以罚款四十万元的行政处罚;对于振华予以警告的行政处罚;对郝亚潭予以禁止终身从事银行业工作的行政处罚。

根据近期央行对星展银行的行政处罚结果来看,受到行政处罚的不仅仅是机构,还可能处罚具体负责人员,双罚制的执法趋势也进一步凸显商业银行关于加强内部管控和日常员工的合规培训的重要性。

(三)行业趋势

整体而言,《数据安全法》《个人信息保护法》给金融机构在信息获取和使用、数据处理等方面提出了更高要求。当前,不少机构正在根据新规进行相应调整。

据相关报道显示:平安银行相关负责人表示,今年伊始,该行成立了平安银行个人信息保护委员会,委员会包含了风险、业务、科技、合规、消保、人力资源管理等各领域专家,统筹管理全行个人信息保护相关工作。同时,该行不断提升技术防护能力,保障数据全生命周期安全。技术防护能力逐步优化,强化物理安全、网络安全、系统安全、应用安全、数据安全技术防护措施的同时,也在积极探索新型技术防护手段,确保个人信息数据收集、传输、存储、使用、删除及销毁的全生命周期安全。

浦发银行:根据数据安全法、个人信息保护法等法律法规和监管要求,正持续提升数据安全防护能力,着力打造全覆盖体系化网络安全防护体系,持续强化数据安全和客户隐私保护力度,建立全周期多层次数据安全保障体系,从治理、管理、技术三个层面,实施数据采集、传输、存储、使用、删除销毁等全生命周期安全控制,防护数据安全。“主要措施包括,一是构建综合安全治理框架,建立常态化安全内控规范机制;二是建立数据安全分类分级标准,采取分级保护;三是实施多层次的纵深防御策略,持续升级网络安全防护体系。”?

三、个人金融信息在商业银行业务场景中的应用

《民法典》及《个人信息保护法》的颁布和实施健全了个人信息保护法律体系,对于个人权利的保障及协调个人信息保护和信息流动之间的关系有极大的促进作用。但在数字经济时代,个人信息所包含的财产价值不断提升,随着个人金融信息利用行为所隐含的技术风险增长,个人金融信息在技术迭代中被侵犯的事件也屡屡出现。同时,金融消费者在维护金融信息权益时,也面临信息不对称致使同意有效性降低、缺乏有效的维权和争议解决机制等诸多问题。

为进一步落实《个人信息保护法》,提升个人信息使用的规范性,保护消费者信息安全,不少商业银行已经或拟开展个人金融信息保护的专项合规整改工作,但在实际开展合规整改工作中,因商业银行所涉及的个人金融信息类型、范围及处理活动众多,且银行机构的业务规模大,行内部门及分支机构数量多,合规工作又牵涉跨部门合作,在笔者团队接触的项目中,部分商业银行在合规工作开展之初往往面临不知如何下手的困境。下文中,笔者将进一步总结商业银行开展合规工作可能涉及的业务、负责部门以及合规检查的重点。

(一)商业银行可能掌握哪些个人信息?

从维持日常运营、客户关系管理和具体业务看,商业银行所掌握的个人信息主要有以下几大类:

1. 员工相关个人信息

在员工招聘和持续雇佣过程中,银行会掌握大量的职位申请人和正式员工的个人信息,以及这些人员的近亲属、紧急联络人等额外的个人信息。这部分信息与银行的金融交易无关,系日常行政管理中获得的自然人身份信息,可能包含个人的一般信息及敏感信息,也不完全是个人的金融信息。

2. 业务活动中涉及的自然人客户相关金融信息

从银行的整体业务来看,主要可以分为个人金融业务、公司金融业务和同业业务。在个人金融业务中(一般为银行的个人金融部或零售金融部),因主要的客户群体为自然人客户,且主要涉及金融交易,因此将收集大量的个人金融信息。

个人金融业务主要分为个人贷款和个人理财业务。在个人贷款业务中,因需要进行贷款主体的信用审批,因此涉及到的个人征信业务将收集大量个人信息。2013年3月15日,国务院正式颁布施行了《征信业管理条例》,标志着国家正式开启全行业的征信体系建设,其中专门用“征信业务规则”一整章的内容对征信机构采集个人用户信息的范围和原则进行了框架性的规定。此后相继发布的《征信机构信息安全规范》、《金融信用信息基础数据库用户管理规范》等文件均对个人信用信息的安全保障进行了规范。

个人理财业务满足了金融消费者资产运作的需求,金融消费者通过银行进行储蓄、投资银行理财产品、债券、基金、信托、外汇、保险等理财工具从而对个人资产进行管理和分配。

个人理财与个人贷款尽管都属于商业银行的个人金融业务,但其本质并不相同,实践中部分商业银行存在内部超范围共享个人金融信息进行营销的情况,存在一定的合规风险。

另外还包括信用卡业务,部分商业银行将信用卡业务独立于个人业务和公司业务之外,属于单独的业务类型。信用卡业务主要的客户为自然人,信用卡业务全流程均涉及个人金融信息的处理活动。

值得注意的是,在个人理财业务活动中除了收集客户的个人金融信息之外,还可能产生衍生个人信息,尤其是在当前互联网财富管理、互联网保险、互联网消费金融、指纹支付、视频刷脸支付等互联网业务兴起的市场背景下,交易习惯、消费偏好、投资风险偏好等客户“个人信息”被个人信息处理者深度挖掘。根据《个人信息保护法》第4条规定“个人信息不包括匿名化处理后的信息”。这意味着,如果“衍生个人信息”已经脱离了具体化的自然人,且其信息源是来自于某个自然人群体,而能够实现不指向具体某个自然人的“匿名化”,那么这一类的“衍生个人信息”就不再是《个人信息保护法》所定义和适用的“个人信息”,而是转化为金融机构自有的商业信息、商业秘密、知识产权,一方面金融机构应当对该等数据分析结果采取商业秘密的保护措施进行保护,另一方面在使用该大数据分析结果或进行数据分析时也应当遵守其他法律规制,如有关个性化推送、精准营销或算法等方面的规范。

3. 业务活动中涉及的机构客户相关自然人主体的个人信息

尽管在公司金融业务和同业业务中,银行的客户主要为机构客户,但对于非自然人机构客户,银行也会收集到自然人的个人金融信息,比如银行的某笔公司贷款,尽管借款人为企业,但因实际控制人个人提供了连带责任担保,银行也会审核该自然人的资信情况,必然收集到该自然人的相关个人金融信息。

此外,在公司金融业务和同业业务中,银行可能收集到该机构授权代表(经办/员工)的个人的身份信息。

除此之外,银行在与其他合作各方建立业务合作关系的过程中,金融业监管法规往往会要求银行对拟合作方的服务能力、专业资质、公司治理、财务状况等诸方面进行审慎的尽职调查,在这个过程中,银行也不可避免地会掌握一定的个人信息。

4. 履行反洗钱反恐怖融资监管要求过程中收集到的个人信息

金融机构顺利开展洗钱风险管理工作需要反洗钱系统功能的有效运转以及完整准确的底层数据。反洗钱系统需要采集分散在金融机构各个业务系统中的客户数据及交易数据。如在履行反洗钱义务的尽职调查过程中必须去收集和掌握大量的机构客户法定代表人、授权办理业务的人员、实际控制人、受益人、所有人等个人信息。《个人信息保护法》并未改变金融机构洗钱和恐怖融资风险的管理方式,但由于大量“个人信息”或来源于身份识别,或包含在交易记录,或体现于交易检测,因此,洗钱恐怖融资风险管理也成为很多金融机构对个人信息保护的切入点。

(二)什么是“个人金融信息”

从法律规制的角度来看,对于个人金融信息的保护分为两个体系:第一个体系是在已经出台的《个人信息保护法》框架下,个人金融信息也属于个人信息的重要内容,因此,个人信息保护法及个人信息保护相关的部门规章、国家标准如《信息安全技术个人信息去标识化指南》(GB∕T 37964-2019)、《信息安全技术个人信息安全规范》(GB/T 35273-2020)等也应适用于商业银行保护个人金融信息工作中。此外,因商业银行金融App也属于移动互联网应用程序,也应符合相关App治理监管要求;

另外一个体系,则是在金融消费者权益保护的框架下,法律法规层面的依据则包括《中国人民银行法》、《商业银行法》、《消费者权益保护法》及《国务院办公厅关于加强金融消费者权益保护工作的指导意见》等,我国2013年修订的《消费者权益保护法》在具体条款中认可了银行、信托、证券、保险等金融行业的消费者保护制度,新增了包括消费者个人信息与隐私保护等可能适用于金融领域消费者保护的规范。相关文件中确定对金融消费者的隐私权进行保护:金融经营者需要保障金融消费者的个人金融信息,包括金融消费者的个人信息、账户信息等。在2016年出台的《中国人民银行金融消费者权益保护实施办法》第2条对“金融消费者”进行了一个规章性的界定,将金融消费者界定为“购买、使用金融机构提供的金融产品和服务的自然人”;2020年《中国人民银行金融消费者权益保护实施办法》作为部门规章,继续沿用了“自然人”的界定。

关于个人金融信息的界定范围,在《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》银发〔2011〕17号中具体界定:个人金融信息,是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:(一)个人身份信息;(二)个人财产信息;(三)个人账户信息;(四)个人信用信息;(五)个人金融交易信息;(六)衍生信息;(七)在与个人建立业务关系过程中获取、保存的其他个人信息。

在2020年《中国人民银行金融消费者权益保护实施办法》中定义“消费者金融信息”,是指银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。

中国人民银行发布的《个人金融信息保护技术规范》(JR/T0171-2020)(以下简称“规范”)适用于提供金融产品和服务的金融业机构,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。根据《规范》的规定,“个人金融信息”是指“金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。该《规范》将个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别,C3类别信息主要为用户鉴别信息,如账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码及个人生物识别信息;C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,如账户信息、个人财产信息等;C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息,如账户开立时间、开户机构等。

(三)商业银行可能涉及的个人金融信息处理活动

商业银行各部门均有可能涉及个人金融信息的处理活动,个人金融信息保护应当贯穿于商业银行合规经营的每个环节。

1. 业务部门

从业务类型及涉及的职能部门来看,因金融消费者主要定义为自然人,商业银行涉及个人金融交易的业务部门主要为个人金融业务部门,部分银行也叫零售金融部,对应的金融产品(服务)包括个人储蓄业务、个人理财投资业务(如银行理财产品)、个人贷款业务以及代销业务(包括代销基金、代销保险、代销证券等业务),此外针对个人的业务还包括银行卡业务,包括借记卡服务以及信用卡服务,但不少商业银行的信用卡服务会设立单独的业务部门负责。个人金融业务部门是商业银行的业务端口收集和使用个人金融信息的主要部门,其业务开展的各个环节均可能涉及个人金融信息处理活动,以下面几个业务场景为例:

(1)征信业务

在办理个人贷款业务中,商业银行会对该自然人进行信贷审批,涉及个人征信信息的查询、整理、加工和使用等活动。

但个人征信业务不仅仅涉及商业银行,2014年6月发布的《社会信用体系建设规划纲要(2014-2010年)》标志着我国社会信用体系建设进入全面推进时期,2018年2月22日,百行征信获得我国首张个人征信业务牌照,个人征信业务市场化取得实质性突破。

随着个人征信业务市场化的不断加深,数据安全及信息保护问题应当被更加重视。根据《征信业管理条例》第13条的规定,采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。该条款确立了“用户事前同意原则”,同时对禁止采集信息的范围、不良信息的存储、信息的查询和信息的安全保障均作出相应规定。2022年3月,中国人民银行长沙中心支行发布的处罚信息显示,邮储银行湖南省分行因9项违规被罚187.7万,其中一项违法行为为“未经书面同意查询个人征信信息”,由此可见部分商业银行仍然存在未经个人事前同意查询征信信息的情况。

2021年,中国人民银行发布《征信业务管理办法》,第6条明确规定,从事征信业务及其相关活动,应当保护信息主体合法权益,保障信息安全,防范信用信息泄露、丢失、毁损或者被滥用,不得危害国家秘密,不得侵犯个人隐私和商业秘密。该办法分别从信用信息的采集、整理、保存、加工、提供、使用及信息系统安全等方面提出了规范要求。

(2)信用卡业务

信用卡业务作为零售业务,涉及的客户信息和业务敏感数据极多。业务全生命周期从贷前、贷中到贷后管理,各业务环节均可能涉及人工操作且需要访问批量客户数据,人员操作风险也相对较高,如:信贷人员授信时需要访问客户全量申请信息和征信报告;客户经营环节可能对客户金融产品使用和行为信息进行整合和分析;客服坐席受理客户需求时需要访问客户身份信息和交易记录等。

在信用卡营销环节以及催收环节,部分商业银行的信用卡业务还会存在外包人员的参与,金融消费者的个人信息还有可能存在和第三方共享、转让的情况,第三方的信息安全保障能力以及其内部的合规管理能力都需要商业银行进行评估。

(3)个人理财业务

个人理财业务中包括一般的个人储蓄业务以及理财投资业务,商业银行针对高净值客户可能还会专门设立私人银行部。由于银行的发行的理财产品有限,为丰富金融产品类型,商业银行会通过代销的方式为客户提供更多元化的服务和产品。代销业务涉及商业银行与其他金融机构或市场主体进行商业合作,在代销业务中会涉及大量个人信息的共享、加工、转让等处理活动。

因部分大型金融集团公司下设银行、保险、证券、信托以及互联网平台等各类金融机构,因此在集团体系内部就存在大量业务合作机会,此种情况下也存在个人信息处理活动不合规的情况:存在过度收集个人信息以及超授权范围使用个人信息的情况,比如以默认同意、概括授权等方式获取授权;未经消费者同意或违背消费者意愿将个人信息用于所办理业务以外的用途;不当获取消费者外部信息等。

2. 职能部门

个人信息的全生命周期安全管理不仅涉及业务部门,也涉及到商业银行的职能部门,如信息技术部、信息科技部、数据管理部、数据中心等部门(注:各商业银行职能部门名称有所不同)。这类职能部门一般负责相关信息技术安全及大数据管理的工作,包括个人金融信息存储系统的构建及安全保障、查询权限、密钥等金融信息安全管理,制定和完善数据库操作规程,加强个人金融信息保护存储介质管理等。不少商业银行还存在金融外包业务,如信息技术外包或业务流程外包,在此过程中还可能涉及个人金融信息的共享、转让或委托处理;

因个人金融信息安全属于金融消费者权益保护的重要工作,且央行和银保监对于个人金融信息的行政处罚也主要是依据金融消费者权益保护相关规定进行,商业银行也会将个人金融信息保护纳入金融消费者权益保护相关部门的工作职责中,针对消费者权益保护工作,有些商业银行是在零售金融业务中独立设立部门负责,有些则是纳入法务部或合规管理部中。

个人信息保护合规工作是银行业金融机构合规工作的重要组成部分,且部分银行的反洗钱工作也由合规管理部负责(其中也可能涉及个人金融信息处理问题),因此部分银行也会将个人金融信息保护工作纳入合规管理部的工作范畴,要求合规部负责个人金融信息保护工作统筹管理、沟通协调及监督工作;

此外,因《个人信息保护法》第五十四条明确规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,因此审计部门也可能涉及个人信息合规保护工作;

其他部门或分支机构(如支行)可能涉及个人金融信息保护制度的日常监督、检查培训及相关管理工作。

综上,商业银行的个人金融信息保护工作涉及跨部门之间的合作,因此合规工作中的制度构建和整改计划一定要从整体出发,统一筹划而不能割裂施行。

四、合规工作的开展要点

针对个人金融信息保护的合规工作可以从两个维度开展:第一,微观层面来看,需要对涉及个人金融信息处理活动的各个环节进行评估,注重具体业务开展过程中存在的漏洞和风险点;第二,从宏观层面看,个人金融信息保护工作要纳入合规管理中,商业银行应从制度层面确定管控措施、落实管控手段,在微观层面发现的不合规项也要通过制度、操作规程、协议、人员培训等多种手段予以整改,并通过不断的检查发现问题进行自我完善。

(一)个人金融信息全生命周期合规评估

根据《民法典》《网络安全法》《个人信息保护法》以及《金融消费者权益保护实施办法》等相关法律法规及行业标准,商业银行应根据实际业务开展流程对个人金融信息全生命周期的合规性进行评估,具体梳理个人金融信息涉及的收集、传输、存储、使用(信息展示、共享和转让、公开披露、委托处理、加工处理、汇聚融合、开发测试)删除、销毁等各环节的操作流程及存在的合规风险(包括但不限于:个人信息处理目的、合法事由、对个人信息收集是否获得充分授权进行评估、收集方式、存储方式、存储期限、删除或匿名化方式等),完善银行的内部日常管理及操作流程;

各环节的重点合规工作包括但不限于以下内容:

(1) 在个人金融信息的收集环节,自然人客户可能线下进行业务办理,也可能通过网银、手机银行等信息系统方式办理,因目前商业银行大多进行数字化转型,涉及大量通过网银和手机银行收集个人信息的情形,因此在该环节应注意对移动金融App的合规检测,除参考央行发布的《移动金融客户端应用软件安全管理规范》之外,网信办及工信部发布的有关App治理的规范及国标都是合规依据,以下要点供参考:如通过技术措施进行(如弹窗、明显位置URL链接等)收集信息,则应引导个人金融信息主体查阅隐私政策,并获得其明示同意后,开展有关个人金融信息的收集活动;逐项列明信息收集与共享的内容、目的及范围,进一步细化“知情-同意”机制的执行要求,在保证效率的前提下,供金融消费者自主选择其信息是否能够被用于营销、用户体验改进与市场调查等特定目的,确保遵循其真实意愿;遵守最小化原则,避免过度收集;

(2) 处理个人生物识别信息的特殊要求:生物识别信息属于敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下方允许处理。出于保护用户财产等目的,商业银行倾向于在各类信息系统中使用人脸、指纹作为用户登录的验证方式,因此在开展合规检查中要特别注意对个人生物信息的识别及存储合规状况进行评估,以下合规要点供参考:如通过弹窗、即时提示等方式,就生物识别信息的收集和使用征得用户的单独同意;避免将生物识别作为唯一的验证方式,为用户提供其他替代选择;原则上不应存储原始个人生物识别信息,可仅存储个人生物识别信息的摘要(特征)信息;采取安全措施存储和传输生物识别信息,方式包括但不限于:加密存储和传输,采用物理或逻辑隔离方式分别存储人脸信息和个人身份信息等;

(3) 在个人金融信息的存储环节,应健全分级授权管理制度,建立个人金融信息脱敏(如屏蔽、去标识、匿名化等)管理规范和制度,应明确不同敏感级别个人金融信息脱敏规则、脱敏方法和脱敏数据的使用限制;

(4) 在个人金融信息的使用环节,商业银行普遍存在代销理财产品的业务,可能涉及个人金融信息的共享、转让,在共享和转让前,应开展个人金融信息接收方信息安全保障能力评估,并与其签署数据保护责任承诺,在合规评估工作中应制定有关个人信息接收方准入和评价标准,制定对第三方进行定期评估的工作制度,拟定相关承诺函件;

(5) 用户画像与自动化决策:金融机构通过收集用户各类基础数据,对用户进行分类并画像,从而进行精准营销并提供个性化的产品和服务,这种应用模式在行业中已是常态,如商业银行根据客户的风险偏好、风险承受能力、资产基础等,向客户量身推荐个性化的理财产品和银行服务。该行为不仅涉及到对客户个人金融信息的利用,还涉及到金融产品营销的合规性,两者都是金融消费者权益保护的重要内容。在开展合规工作中,应对商业银行用户画像及自动化决策涉及的营销工作合规状况进行评估,相关合规事项包括但不限于:应当在个人信息保护政策中明确披露,收集个人信息是否将用于形成直接用户画像及其用途;利用个人信息进行自动化决策的,应当保证自动化决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;在用户同意的使用目的之外,使用个人信息时应消除明确身份指向性,尽量使用群体画像而非个体画像;在依据用户画像进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;有义务就个人提出的、有关自动化决策影响其个人权益的决定予以说明,并提供替代性措施;

(6) 禁止超范围使用个人信息:2022年3月2日,中国人民银行长沙中心支行发布的处罚信息显示,邮储银行湖南省分行因“未经书面同意查询个人征信信息”、“未经消费者申请、授权或同意擅自收集、使用消费者个人金融信息办理ETC业务”等多项违规行为被处以187.7万的罚款,相关责任人员一同受罚。《个人信息保护法》对企业提出“公开个人信息处理规则,明示处理的目的、方式和范围”“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意”等要求,旨在约束企业在约定/法定范围内处理个人信息。商业银行体系内部金融产品类型繁多,业务部门之间存在交叉营销的情况,应结合个人信息的授权范围,评估是否存在超范围使用个人信息的情形,并且在内控管理制度中建立完善的分级授权管理机制,确定各部门各岗位的个人信息处理权限;

(7) 近几年监管实践发现,信息科技外包是当前银行保险机构的风险多发领域,主要表现在银行保险机构信息科技外包范围不断扩大、银行保险机构信息科技外包形式趋于多样、银行保险机构信息科技外包活动风险频发等方面。商业银行存在个人信息委托处理或其他信息科技外包情形的,应遵守银保监发布的《银行保险机构信息科技外包风险监管办法》执行合规义务,该《办法》强调银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理,对重要外包和一般外包采取差异化管控措施,其中第13条明确规定“涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包”原则上属于重要外包。商业银行应当采取设置外包准入机制的措施,对外包服务商履行尽职调查义务、对信息科技外包服务建立服务效能和质量监控指标,并进行相应监控等措施保障网络和信息安全;

(8) 为激活数据要素潜能、挖掘业务场景,金融机构可能将所有或部分关联企业,以及第三方数据公司收集的个人信息进行汇聚融合,形成更多个人信息标签,如商业银行金融机构将自有数据与电商、医疗等其他行业的数据融合,实现联合建模,构建更加精准的营销和风控模型。商业银行在合规整改工作中,应对数据来源的合法性及使用范围进行评估,在实践中,企业往往会在个人信息保护政策中使用“为了提供更好的服务,我们会与第三方共享您的个人信息”之类笼统的描述,在目前《个人信息保护法》强监管的背景下,我们建议此类目的应当更加明确具体;此外,在数据融合过程中应当采取相应的技术措施和其他必要措施,保障数据安全。商业银行的数据融合具有数据来源多样性以及收集、汇总和存储数据量巨大等特点,数据融合不可避免地会带来更高的数据安全风险,包括对数据未经授权的访问和意外泄露等,商业银行目前的技术手段及安全保障能力是否能够适应数据融合活动也是需要特别关注的;

(9) 商业银行可能面临的数据出境情形包括,第一种,该商业银行为外资银行,可能存在向设立在境外的总部进行数据传输的情况;第二种则是商业银行因业务开展发生的资金跨境、交易跨境从而引起数据出境,如企业境外上市、跨境投资,跨境贸易过程中出现的金融数据出境。针对金融数据出境的问题,2011年1月,中国人民银行发布《关于银行业金融机构做好个人金融信息保护工作的通知》,其中明确指出,“除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。”2016版《中国人民银行金融消费者权益保护实施办法》第33条对金融数据出境有所规定。而2020年新发布的《中国人民银行金融消费者权益保护实施办法》删除了相关条款。我们理解,从监管的态度来看,金融数据出境必定面临强监管态势,无论是《网络安全法》、《个人信息保护法》、《个人信息出境安全评估办法》征求意见稿及《信息安全技术数据出境安全评估指南(草案)》均对数据出境提出了安全影响评估的要求,尽管相关细则和标准还未正式实施,但建议商业银行按照目前的征求意见稿进行合规自查;

(10) 在个人金融信息的删除环节,应采取相应技术手段,在金融产品和服务所涉及的系统中去除个人金融信息,使其保持不可被检索和访问。但在删除环节的合规工作中,应特别注意要符合不同合规义务,比如个人金融信息的删除工作不应违反反洗钱工作有关信息、资料保存期限的要求;

(11) 在个人金融信息的销毁环节,应建立相应管理制度,明确销毁对象、流程、方式和要求,销毁个人金融信息存储介质的,应对该销毁过程进行监督并保存销毁记录。如该介质中的个人金融信息不再使用,应采取不可恢复的方式如消磁、焚烧、粉碎等方式对介质进行销毁处理,如还将继续使用该介质,则应采取多次覆写等方式确保介质中的个人金融信息不可再被恢复或采取其他形式加以利用。

(二)合规管理制度构建及人员管理

1. 确立个人金融信息保护的主管部门。由于各商业银行内部职能分工不同,部分银行会设立单独的个人信息保护委员会,有些银行则将该工作统一由金融消费者权益保护部门进行,有一些则专门设立数据安全委员会统一负责。在实践中,个人金融信息保护工作必然涉及多部门联合协作,因此商业银行内部应先确定合规工作的牵头部门,方能有条不紊的开展后续合规工作;

2. 建立个人金融信息收集、传输、存储、使用、删除及销毁的相关操作规程;

3. 信息系统分级授权管理:建立个人金融信息数据库分级授权管理机制,并按照金融信息的重要性、敏感度及业务开展需要,合理确定本机构员工调取信息的范围、权限和程序;

4. 建立外包服务机构等外部合作机构的管理制度:商业银行应对本机构数据全生命周期过程中的第三方机构进行管理,建立第三方机构管理制度,如根据《银行保险机构信息科技外包风险监管办法》等相关规定建立审查与评估管理机制、通过协议合同等方式对第三方的数据使用行为或个人信息处理行为进行规范等;

5. 建立个人金融信息安全检查及监督机制,定期评估个人金融信息管理方面存在的不足;

6. 将个人金融信息泄露等相关事件处理纳入机构信息安全事件应急处置工作机制,制定专门的流程和预案,定期评估应急处理流程和预案,及时保障、有效应对个人金融信息安全事件,降低安全事件造成的损失及不利影响;

7. 建立个人金融信息投诉与申诉处理程序,明确投诉与申诉受理部门、处理程序;

8. 人员管理:在员工入职前进行必要的背景调查,与个人金融信息处理的关键岗位人员签订保密协议、员工离职后应立即收回访问权限,并明确告知有关信息保密的义务;对员工开展定期的专项培训等。

图片

金融消费者权益保护是伴随着金融交易活动高度涉众化及金融产品结构日益复杂化所产生的全新法律问题,其核心是要解决金融消费者在地位不平等、信息不对称的交易结构中如何降低或消除金融机构对普通金融消费者的不当侵害,实现公平交易。个人金融信息保护是金融消费者权益保护的题中之义,尽管个人金融信息的开发利用为商业银行带来更多的经济价值,但信息赋能业务过程中,商业银行更应当坚守个人信息安全保护原则。在2022年3月15日,银保监会召开主题为“银行业保险业深入推进金融消费者保护”的银行业保险业例行新闻发布会上,监管部门明确今年将加大对金融消费者保护的监管力度,开展银行业保险业个人信息保护专项整治,我们也相信随着执法力度的加强,商业银行也将进一步完善相关合规管理措施。

注释:

1.本篇法规中“第六条、第二十九条、第三十一条、第三十八条规定,以及第十八条、第十九条、第二十一条、第二十三条、第二十八条、第三十二条、第三十六条、第五十四条、第五十五条、第六十三条涉及银行账户核准以及开户许可证(开户登记证)的相关规定”已被中国人民银行令[2019]第1号——关于取消企业银行账户许可的决定宣布不再执行

2.信息来源:https://baijiahao.baidu.com/s?id=1722989957673647319&wfr=spider&for=pc

3.信息来源:微信公众号“极客合规”,发表于2022年1月21日

4.信息来源:《多家银行针对个人信息保护,对现有的系统置和业务模式进行调整》https://www.mpaypass.com.cn/news/202111/29103608.html

作者简介:

评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号