监管新规,消保与数字化转型背景下,商业银行个人信息保护合规应对

来源:大成成都办公室

文章摘要
前言 2022 年 12 月 26 日,中国银行保险监督管理委员会(下称“银保监会”)公布《银行保险机构消费者权益保护管理办法》(下称《管理办法》),自 2023 年 3 月 1 日起正式施行。
前言
2022 年 12 月 26 日,中国银行保险监督管理委员会(下称“银保监会”)公布《银行保险机构消费者权益保护管理办法》(下称《管理办法》),自 2023 年 3 月 1 日起正式施行。今天正值国际消费者权益日,也是《管理办法》施行半个月的日子,借此机会,本文以消费者权益保护为视角,结合银行业数字化转型目标和进程,梳理探讨商业银行面临的消费者信息安全合规义务,并依据《个人信息保护法》《管理办法》等相关规定,进一步提出不同业务场景下的应对措施和合规建议。
特别提示:根据党的二十届二中全会通过的《深化党和国家机构改革方案》,国务院将组建国家金融监督管理总局,统一负责除证券业之外的金融业监管,强化机构监管、行为监管、功能监管、穿透式监管、持续监管,统筹负责金融消费者权益保护,加强风险管理和防范处置,依法查处违法违规行为。国家金融监督管理总局在中国银行保险监督管理委员会基础上组建,将中国人民银行对金融控股公司等金融集团的日常监管职责、有关金融消费者保护职责,中国证券监督管理委员会的投资者保护职责划入国家金融监督管理总局。不再保留中国银行保险监督管理委员会。因此,国家金融监督管理总局将取代中国银行保险监督管理委员会。
一、管理办法出台背景
2022 年 3 月 15 日,第281 场银行业保险业例行新闻发布会在北京召开,主题为“银行业保险业深入推进金融消费者保护”专场新闻发布会。银保监会消保局局长郭武平提出,2022 年银保监会将继续践行以人民为中心的指导思想,加大监管力度,重点工作之一即为开展银行业保险业个人信息保护专项整治。现在各行各业都把信息作为竞争的核心,同时个人信息保护也存在很多问题和漏洞,应推动银行业保险业切实落实《个人信息保护法》,提升个人信息使用的规范性,保护消费者信息安全权。8 月,银保监会下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(下称《通知》),要求全面梳理和排查银行业保险业在个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象,督促银行保险机构建立健全消费者个人信息保护工作机制等。
2022 年 12 月 1 日,《反电信网络诈骗法》正式施行,该法特别突出个人信息保护,包括任何单位、个人不得出售、提供个人信息,个人信息处理者应当建立个人信息被用于电信网络诈骗的防范机制,相关行政部门应当对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护,公安机关办案应当同时查证个人信息来源等。
可见,在《个人信息保护法》施行后,国家相关部门对个人信息保护做出具体行动并出台相关措施,其中银保监会对备受关注的银行业、保险业个人信息保护情况也特别重视,通过专项整治工作抓典型,查问题,切实落实银行保险机构的个人信息保护规定。同时,银保监会更是在其通过的《管理办法》中专章强调银行保险机构对消费者信息安全的保护义务。
银保监会有关部门负责人在《管理办法》答记者问时指出,保护金融消费者权益成为“国之大者”,是金融业践行以人民为中心发展思想的具体体现。因此,银保监会制定出台《管理办法》,积极贯彻落实党的二十大精神,深入体现以人民为中心的发展思想,加强现代金融监管体系,进一步完善银行业保险业行为监管制度,提升消费者权益保护体制机制建设水平。《管理办法》体现的新特点、新要求之一即为规范银行保险机构个人信息处理行为,使行业在充分发挥数据价值的同时切实保护消费者个人信息安全。
二、消费者信息安全相关规定及解析
《管理办法》共计八章五十七条,其中多个条款对银行保险机构建立健全个人信息保护机制,实施全流程分级分类管控提出新要求。同时,对实践中常见的典型问题,针对性设立个人信息处理行为规范,包括:不得采取变相强制、违规购买等不正当方式收集消费者个人信息等。本文结合《个人信息保护法》相关规定,梳理并解析相关条款内容如下:

条目

具体内容

解析

第二章 工作机制与管理要求

第十三条

银行保险机构应当建立消费者个人信息保护机制,完善内部管理制度、分级授权审批和内部控制措施,对消费者个人信息实施全流程分级分类管控,有效保障消费者个人信息安全。

本条对银行保险机构的消费者个人信息保护义务提出概括性总体要求,即实施全流程分级分类管控,包括建立机制、完善制度、分级授权、建立内部控制措施等,与《个人信息保护法》规定的建立健全个人信息保护合规制度体系具有相同含义。

第六章 保护消费者信息安全权

第四十二条

银行保险机构处理消费者个人信息,应当坚持合法、正当、必要、诚信原则,切实保护消费者信息安全权。

与《个人信息保护法》第五条规定的“合法、正当、必要和诚信原则”相匹配,对银行和保险机构处理消费者个人信息提出原则性要求。

第四十三条

银行保险机构收集消费者个人信息应当向消费者告知收集使用的目的、方式和范围等规则,并经消费者同意,法律法规另有规定的除外。消费者不同意的,银行保险机构不得因此拒绝提供不依赖于其所拒绝授权信息的金融产品或服务。银行保险机构不得采取变相强制、违规购买等不正当方式收集使用消费者个人信息。

与《个人信息保护法》第六条、第七条规定相匹配,明确银行保险机构收集消费者个人信息应当明示处理的目的、方式和范围,并需取得同意,且不得采取变相强制、违规购买等不正当方式收集使用。

第四十四条

对于使用书面形式征求个人信息处理同意的,银行保险机构应当以醒目的方式、清晰易懂的语言明示与消费者存在重大利害关系的内容。银行保险机构通过线上渠道使用格式条款获取个人信息授权的,不得设置默认同意的选项。

本条明确在征求消费者同意时,应当以显著方式明示与消费者存在重大利害关系的内容,即使是线上获取授权的也不得设置默认同意选项,此规定与《个人信息保护法》第十四条规定的“该同意应当由个人在充分知情的前提下自愿、明确作出”具有相同含义。

第四十五条

银行保险机构应当在消费者授权同意等基础上与合作方处理消费者个人信息,在合作协议中应当约定数据保护责任、保密义务、违约责任、合同终止和突发情况下的处置条款。合作过程中,银行保险机构应当严格控制合作方行为与权限,通过加密传输、安全隔离、权限管控、监测报警、去标识化等方式,防范数据滥用或者泄露风险。

该两条所规定的“合作方”应包含了《个人信息保护法》第二十一条规定的“委托处理个人信息”的受托方,同时还包含与银行保险机构存在合作的相关方,包括共同处理者。其中第四十五条进一步强调委托人的监督职责,即银行保险机构应当采取一系列方式严格控制合作方的行为与权限。第四十六条进一步明确银行保险机构对合作方之间的消费者个人信息保护要求,未经同意不得互相传递。此外,银保监还发布了《银行保险机构信息科技外包风险监管办法》,明确规定银行保险机构对信息科技外包活动的管控措施。

第四十六条

银行保险机构应当督促和规范与其合作的互联网平台企业有效保护消费者个人信息,未经消费者同意,不得在不同平台间传递消费者个人信息,法律法规另有规定的除外。

第四十七条

银行保险机构处理和使用个人信息的业务和信息系统,遵循权责对应、最小必要原则设置访问、操作权限,落实授权审批流程,实现异常操作行为的有效监控和干预。

本条基于银行保险机构的业务特性,要求在其常用的业务和信息系统设置访问、操作权限时,应同样遵循个人信息收集、使用相关的原则,如最小必要原则,并落实授权审批机制,实现有效监控和干预。

第四十八条

银行保险机构应当加强从业人员行为管理,禁止违规查询、下载、复制、存储、篡改消费者个人信息。从业人员不得超出自身职责和权限非法处理和使用消费者个人信息。

本条对银行保险机构应加强从业人员的规范操作和行为管理提出明确要求,需对从业人员设置操作权限,强化职责,明确责任。

第十七条

银行保险机构应当建立消费者权益保护内部培训机制,对从业人员开展消费者权益保护培训,提升培训效能,强化员工消费者权益保护意识。

该两条要求银行保险机构建立消费者权益保护内部培训机制和考核机制,并将考核结果纳入综合绩效考核体系,这对银行保险机构从业人员提出了消费者信息安全合规的较高要求,从内部措施角度,进一步强化从业人员合规职责。

第十八条

银行保险机构应当完善消费者权益保护内部考核机制,建立消费者权益保护内部考核制度,对相关部门和分支机构的工作进行评估和考核。银行保险机构应当将消费者权益保护内部考核纳入综合绩效考核体系,合理分配权重,并纳入人力资源管理体系和问责体系,充分发挥激励约束作用。


三、商业银行的消费者信息安全业务场景及应对措施
(一)个人信息收集、存储、使用
1. 业务场景及应对措施
2022 年 11 月 26 日,“金融发展助推中国式现代化”系列(第3 期)线上研讨会中,中国银行业协会首席信息官高峰所做的《银行业数字化转型助力中国式现代化发展》主题报告中指出,数字技术已经成为新的发展引擎,全面推进金融数字化转型,为实现中国式现代化贡献金融力量。数字金融不仅为银行金融机构带来效率、成本、安全、数据方面的改善,同时帮助金融机构在绿色金融、普惠金融等很多场景中实现业务落地。
在金融数字化转型时代,大量自然人客户已经使用手机银行、网上银行、金融自主设备等电子化系统录入个人信息并办理业务,该等信息不仅仅包含个人基本信息,更包含生物识别信息、个人金融账户、支付密码等敏感信息,因此商业银行的相关业务系统存在不同业务场景收集使用消费者不同个人信息的情形,需严格履行消费者信息安全保护义务。本文列举部分常见业务场景及应对措施如下:
场景一:
办理银行储蓄业务、投资银行理财产品时收集消费者个人信息:
应对措施:
充分履行告知义务+取得同意
场景二:
信息系统、金融自助设备、受理终端、客户端应用软件等渠道获取消费者个人信息
应对措施:
1.隐私政策单独同意;
2.人脸识别/指纹等单独同意;
3.敏感信息单独同意。
场景三:
银行在服务器中保存消费者个人信息
问题:消费者的人脸信息能否存储?
应对措施:
在取得消费者单独同意、满足必要性的前提下,在个人金融信息存储环节,应建立分级授权审批制度,建立个人金融信息脱敏(如屏蔽、去标识、匿名化等)管理制度,并明确不同敏感级别个人金融信息脱敏规则、脱敏方法和脱敏数据的使用限制。
场景四:
向消费者交叉营销、对债务人进行催收
问题:能否给信用卡客户营销贷款?能否向与债务无关的第三人催收或公告催收?
应对措施:
以消费者同意为前提,同时应注意:未经同意不得定向推送营销;符合消费者初始提供信息的目的;为消费者提供拒绝方式;不得获取敏感信息用于营销;不得向无偿债义务人泄漏债务信息及其他敏感信息。
合规建议 1:建立消费者同意机制,确保个人信息来源合法
按照《管理办法》的相关要求,银行在使用书面形式征求个人信息处理同意的,应当以醒目的方式、清晰易懂的语言明示与消费者存在重大利害关系的内容。通过线上渠道使用格式条款获取个人信息授权的,不得设置默认同意的选项,不得采取变相强制、违规购买等不正当方式收集使用消费者个人信息。实操中,银行可以通过以下方式进行消费者个人信息来源的合规审查:
• 审查个人信息收集规则是否符合《信息安全技术金融信息服务安全规范》(GB/T 36618-2018)、《个人金融信息保护技术规范》(JR/T 0171—2020)的要求,如各业务功能收集的个人信息是否为“最小必要”;消费者对银行收集信息的目的、方式和范围等规则是否有清晰明确认知并表示同意;银行对消费者的认知、同意内容及程序是否进行相应记录等。
• 按照央行发布的《移动金融客户端应用软件安全管理规范》、网信办及工信部发布的 App 治理规范及国标等,对移动金融 App 进行合规检测,包括但不限于:引导消费者查阅隐私政策,并获得其明示同意;逐项列明信息收集与共享的目的、方式及范围,确保消费者知情并遵循其真实意愿选择业务办理;遵守最小必要原则,避免超范围收集。
合规建议 2:建立分级授权审批制度,完善内部控制措施
实践中,银行因消费者个人信息问题被处罚,往往是由于银行内部管理制度和控制措施失灵或监管不严,导致部分工作人员或外部人员疏于审核或管控,造成消费者个人信息泄漏或权益受损。中国人民银行发布的《个人金融信息保护技术规范》(JR/T 0171—2020)根据信息遭到未经授权的查看/变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为 C3、C2、C1 三个类别,C3 类别信息主要为用户鉴别信息,对消费者的安全影响和危害程度非常高;C2 类别信息主要为可识别特定身份的个人金融信息,对消费者的安全影响和危害程度较高;C1 类别信息主要为机构内部的信息资产,对消费者的安全影响和危害程度一般。因此,银行可以按照消费者个人金融信息类别,采取如下方式建立健全内控机制:
• 依据《个人金融信息保护技术规范》(JR/T 0171—2020)、《金融数据安全数据安全分级指南》(JR/T 0197—2020)等对个人金融信息的分类和数据安全定级规范,结合银行内部业务实际情况,建立消费者个人信息分级授权审批制度,对 C3、C2 类别信息设置严格的操作和管控权限。
• 设置独立履职的专职消费者信息安全机构或人员,并直接向银行最高管理层汇报,确保最高管理层对消费者信息安全保障义务履行的有效监控和紧急干预。
• 在设置、操作涉及收集和使用个人信息的业务和信息系统时,应遵循权责对应、最小必要原则设置访问、操作权限,将授权审批流程具体落实在系统流程中,并设置监管人员对异常操作行为的监控和干预措施。
(二)个人信息共享、传输
2. 业务场景及应对措施
银保监会 2022 年 1 月 10 日发布的《关于银行业保险业数字化转型的指导意见》明确提出,构建覆盖全生命周期的数据资产管理体系,优化数据架构,加强数据资产积累。建立企业级大数据平台,全面整合内外部数据,实现全域数据的统一管理、集中开发和融合共享。因此,银行在业务开展和数字化转型过程中,不可避免需要进行金融数据的共享和传输,必然面临数据滥用或者泄露风险。本文列举相关业务场景及应对措施如下:
• 场景一:企业要求提供员工的工资流水
• 场景二:有权机关查冻扣
• 场景三:代销业务中向第三方提供
• 场景四:个人信息跨境传输
商业银行数据出境主要包含两种情形,一是外资银行向其境外总部进行业务相关数据传输;二是因开展跨境交易、境外投融资及上市等发生的相关数据传输。
• 应对措施:
取得消费者本人授权或同意(例外情形);对外部机构进行安全评估或审计;脱敏、加密提供:协议中明确第三方个人信息保护责任;合作结束后及时监督删除。
合规建议 3:严格控制数据共享范围、做好安全评估
针对金融数据出境的问题,监管部门一直以来都是强监管态势,因此建议商业银行依法在中国境内进行个人金融信息处理、共享和传输,如确因业务开展需要向境外机构传输的,也应当取得消费者明示同意及行业主管部门的认可,并做好如下合规措施:
• 制定有关个人信息接收方准入和评价标准,以及第三方定期评估制度,在共享和传输前开展接收方信息安全保障能力评估,并与其签署数据保护责任承诺。
• 根据实际情况采用安全评估、保护认证、标准合同等路径进行跨境传输,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求。
• 与境外数据处理机构签订协议,确保境外机构保证消费者个人信息安全,并能在紧急情况下及时删除相关数据。
• 通过加密传输、安全隔离、权限管控、监测报警、去标识化等方式,防范数据滥用或者泄露风险。
合规建议 4:建立培训和考核机制,定期培训和考核
实践中,银行被处罚常常是因为银行职员泄密或操作不规范所致,银行工作人员缺乏对消费者个人信息的尊重、对相关个保法规的了解,对泄漏信息的后果认识不足,以及银行对员工合规培训不足等,是银行业个人信息保护不善的重要原因。对此,建议银行在日常管理中完善如下培训和考核机制:
• 建立消费者权益保护内部培训机制,定期对员工进行合规培训,提高员工对消费者个人信息分级分类、收集使用及共享传输等相关法律法规的认识。
• 建立消费者权益保护内部考核制度,要求员工熟悉并掌握银行内部的风险管控机制和授权审批流程,将考核结果纳入综合绩效考核体系,通过多种方式强化合规职责,降低消费者信息安全违规风险。
(三)个人信息委托处理、业务合作
3. 业务场景及应对措施
中国银行业协会首席信息官高峰所做《银行业数字化转型助力中国式现代化发展》主题报告中提到,如今中小银行科技创新与安全应用,面临两大问题:一是技术架构无法支撑业务发展。二是难以支撑完整数字化体系建设的成本。因此,较多商业银行数字化转型涉及的技术和应用都是通过合作厂商实施,主要为信息科技外包公司。同时,部分商业银行的业务开展、信息处理分析等还需要与第三方机构进行数据合作,如互联网平台企业、数据处理和服务机构、其他业务合作机构等。在合作过程中,均会涉及消费者个人信息的收集、处理和共享,银行自身通常能够贯彻执行相关监管规定,但容易忽视和缺乏对合作方的合规审查。本文列举相关业务场景及应对措施如下:
• 场景一:信息科技外包,涉及银行重要数据和客户个人信息处理的信息科技活动
应对措施:银保监发布的《银行保险机构信息科技外包风险监管办法》,明确要求银行建立并持续完善风险管理制度和流程,充分识别并评估信息科技外包可能产生的风险,避免因服务提供商的不当行为或其服务的信息系统遭受网络攻击,导致银行重要数据或客户个人信息泄露、丢失和篡改。
• 场景二:委托第三方机构进行个人信息处理、分析
应对措施:银行应当与受托第三方机构签署协议,约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,对受托机构的个人信息处理活动进行监督,并应当采取一系列方式严格控制合作方的行为与权限。
• 场景三:因业务开展与第三方进行数据合作
应对措施:如涉及从第三方合作机构获取消费者个人信息,银行应当与第三方机构确认其数据来源的合法合规性,是否已经取得消费者本人的明示同意及授权对外提供。同时,对于与银行进行合作的互联网平台企业,未经消费者同意不得在不同平台间传递消费者个人信息。
合规建议5:对合作方进行合规审查,建立信息隔离措施
《信息安全技术金融信息服务安全规范》(GB/T 36618-2018)、《个人金融信息保护技术规范》(JR/T 0171—2020)、《银行保险机构信息科技外包风险监管办法》《商业银行互联网贷款管理暂行办法》《管理办法》等,均对个人金融信息处理者在与第三方合作进行数据处理、分析或交换等活动时提出信息安全合规要求。因此,银行可以采取如下方式对合作方进行合规审查,建立信息隔离措施:
• 建立合作机构名单管理机制,制定评估、建设、预警和退出管理办法,对涉及消费者权益的合作事项,设定合作机构准入和退出标准,履行尽职调查义务,建立质量监控指标,并加强对合作机构的持续管理。
• 对合作方提供的个人信息来源进行合规性审查,包括但不限于合作方的资质、个人信息保护机制建立情况、有无信息主体明示授权等。
• 与合作方签订合作协议,并在合作协议中明确双方关于消费者权益保护的责任和义务,包括但不限于信息安全管控、服务价格管理、服务连续性、信息披露、纠纷解决机制、违约责任承担和应急处置等内容。
• 通过区块链等技术建立数据安全存储和共享机制,实现消费者个人金融信息可回溯但不可篡改,建立用户间信息隔离措施,并不得在合作方之间进行数据共享,有效防范信息泄露和确保数据安全。
结语
银保监会发布的《关于银行业保险业数字化转型的指导意见》明确提出,银行业、保险业数字化转型目标的实现,除了产品和服务数字化之外,银行数字化的经营管理体系也要基本建成,尤其是数据治理要更加健全,科技能力要大幅提升,网络安全、数据安全和风险管理水平要得到全面加强。中国银行业协会首席信息官高峰所做《银行业数字化转型助力中国式现代化发展》的主题报告中也提到,数字化转型带来的风险,除常规的流动性风险、操作风险和合规风险之外,还包括战略风险以及服务外包风险、模型算法风险、网络安全、数据安全和个人隐私安全等。因此,商业银行在数字化转型过程中,应当特别注重数据安全和隐私保护,构建技术安全防护体系,通过建立消费者个人信息保护机制,完善内部管理制度、分级授权审批和内部控制措施,对消费者个人信息实施全流程分级分类管控,有效保障消费者个人信息安全。
技术驱动法律,专业成就未来