打開手機,掃一掃二維碼 即可通過手機訪問網站
打開微信,掃一掃二維碼訂閱我們的微信公衆號
大數據時代到來,數據資源日漸成爲金融企業的核心資產。銀行作爲信息密集型企業,掌握着大量蘊含商業價值的客戶個人信息,如何更規範的使用個人信息,維護信息安全是其必須面對的重要課題。從外部來看,一方面是金融消費者權益保護監管體系持續完善,另一方面是監管部門對相關領域的侵權行爲加以重罰。2022年,有多家銀行因個人信息保護不到位而收到了千萬級罰單。從內部來看,銀行只有持續改進個人信息合規體系、提升對客戶個人信息使用的規範性,保護客戶的個人信息安全,才能更好的利用客戶個人信息持續創造價值。但個人信息保護合規體系構建異常龐雜,只有抓住要點才能事半功倍。故,本文立足於以《個人信息保護法》爲主導的現有規範體系,對銀行個人信息保護合規體系構建要點進行探析。
齊備的合規文本是銀行合規體系建設落地的指引,銀行應結合《個人信息保護法》明確規定的信息處理規則及應承擔的義務制定內部制度和規範文本,將個人金融信息保護的各項要求在系統建設和業務運營過程中進行內化和固化。
銀行可通過對既有個人信息保護制度與操作進行合規性評估,從總體安排、組織機構、制度建設、流程優化等方面進行鍼對性整改規劃,建立全面覆蓋個人金融信息處理全流程的內控制度和操作規程體系文本。
第一,做好總體安排。銀行應當制定客戶個人信息保護管理規定,完善本機構個人信息保護工作方針、目標和原則,作爲本銀行合規體系建設的指引。
第二,完善組織機構。銀行應當建立多位一體、職責明確的個人信息保護工作機制。就職能設定而言,銀行應釐清牽頭部門和業務部門的職能分配,明確各部門信息保護管理職責,以便各部門分工協作。同時,在崗位設置層面,清晰界定各職位的操作分工,合理確定操作權限。
第三,建設規範制度。銀行應當對個人信息進行分類分級管理,並結合《個人信息保護法》的要求建立信息系統分級授權管理規範、個人信息脫敏管理規範、個人信息安全檢查及監督規範、外包服務機構與外部合作機構管理規範、個人信息保護應急處理規範等制度。
第四,優化數據流程。銀行應當建立涵蓋個人信息保護全生命週期的日常管理及操作流程規範,對個人信息的收集、傳輸、存儲、使用、刪除、銷燬等環節提出具體保護要求。同時,銀行還應當建立個人金融信息投訴與申訴處理程序,明確投訴與申訴受理部門、處理程序。
銀行可參照目前金融監管領域的《信息安全技術個人信息安全規範》(以下簡稱《個人信息安全規範》)、《個人金融信息保護技術規範》等金融信息規範和大型銀行的規定來完善自身的內部制度,但應結合自身實際情況與具體需求進行調整和個別化設計,如在個人信息保護職責安排時,根據自身情況選擇適合由法務部或科技部作爲牽頭部門,還是專門設立數據安全委員會部門作爲牽頭部門。
銀行應將個人金融信息保護的相關要求納入到規範文本中,對之前的合同、隱私政策、授權書等文本結合《個人信息保護法》予以相應的調整。
第一,修改合同文本。針對其中的數據授權條款或個人信息授權條款,銀行應當逐項明示個人信息的內容、目的和範圍並列舉授權對象,嚴禁以概括說明、後續通知的方式,利用用戶默認行爲獲取其表面同意,以免出現霸王條款、隱藏條款。銀行要充分尊重與保證用戶的知情權、決定權,讓用戶自主選擇其個人信息能否被用於用戶畫像、自動化決策等特定用途,除業務性質有特殊需要外,不得將用戶授權或同意其個人信息被用於營銷、對外提供等作爲向用戶提供產品或服務的前提條件;對於免除或者減輕自身責任、加重用戶責任、限制或排除用戶主要權利的條款,應當尤爲注意以易於理解的方式表述、以加粗加大字體、劃線加框、增加圖片等特別標識方式提醒用戶閱讀,避免出現發生爭議時被認定爲無效的格式條款。
第二,完善隱私政策。長期以來,銀行習慣於將隱私政策作爲格式條款,不當免責較爲普遍。《個人信息安全規範》第5條對此強調,“隱私政策的主要功能爲公開個人信息控制者收集、使用個人信息範圍和規則,不應將其視爲個人信息主體要求籤訂的合同”。因此,銀行應當及時評估隱私政策文本,按照《個人信息安全規範》相關要求針對其獨立性與易讀性、各項業務功能及必要的個人信息類型、信息處理規則與權益保障、不合理條款進行完善,戒除冗長晦澀的文本和密集展示方式。在客戶簽署文件時,銀行應當安排專門人員進行諮詢服務,明確提示隱私協議條款設置及內容,引導客戶完整閱讀並應其要求予以正確解釋,待客戶明示沒有疑義後再行勾選相應約定內容或簽署相關授權文件,保證客戶充分知情及自願做出同意的表示與行爲,以維護客戶的知情權與選擇權。另外,現在銀行存在大量通過網上銀行和手機銀行收集個人信息的情形,如通過技術措施進行(如彈窗、明顯位置URL鏈接等)收集信息時,可通過設置最短閱讀時間等方式,引導客戶充分查閱隱私政策,在獲得其明示同意後,再行開展有關個人信息的收集活動。
完整的授權體系由授權內容與授權文件兩部分組成,個人信息的授權內容可分爲基礎個人信息與敏感個人信息,對於授權內容應當進行級別分類,有針對性的根據其要求制定相應的授權文件。
《個人信息保護法》第4條規定:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息”。第28條規定:“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四週歲未成年人的個人信息”。由此可見,在金融業領域,金融機構作爲個人信息處理者,處理的個人信息有兩個層次:一是基礎個人信息。即處理日常通過電子或其他方式記錄的已識別或者可識別的與自然人有關的各種信息,如主動邀請客戶參加產品推介等活動中獲取的個人姓名、電話號碼等。二是敏感個人信息。即在基礎信息之外,金融機構處理的金融賬戶信息,以及與金融賬戶緊密關聯的生物識別、醫療健康等敏感信息。如目前個人登錄自己賬戶或者發出支付指令普遍使用的指紋、面部識別等信息。以上兩類信息中,敏感信息正好與金融行業的特殊性相一致,這類信息一旦泄露或者非法使用,很容易導致金融消費者的人格尊嚴受到侵害或者人身、財產安全受到危害。
對於兩種信息,《個人信息保護法》的要求也是不同的,《個人信息保護法》規定,敏感個人信息處理必須滿足特定目的性、充分必要性以及採取嚴格保護措施三項條件,必須開展事前評估並向個人告知必要性和對個人權益的影響,取得個人單獨同意或者書面同意。這也就意味着對於客戶金融信息處理要更加謹慎,在個人敏感信息的適用場景下探討對個人金融信息的整合與利用,確保個人金融信息的採集、加工、使用等做到全流程合規。
銀行在收集個人金融信息時嚴禁“一攬子授權”或概括授權,根據《個人信息保護法》第29條規定,處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。基於此,銀行應當針對不同級別和不同用途的個人信息制定和使用不同的授權文件,將有限資源投入到更有針對性的保護對象中。因此,應通過個人信息分類分級工作,明確個人信息保護目標,精細化開展個人信息保護管控,做到個人信息保護工作對症下藥、有的放矢。以徵信查詢爲例,《徵信業管理條例》第29條進一步規定,從事信貸業務的機構向金融信用信息基礎數據庫或者其他主體提供信貸信息,應當事先取得信息主體的“書面同意”。“書面同意”一般通過《授權書》、《告知同意函》等的書面簽字形式體現,即銀行需結合《徵信業管理條例》的要求針對徵信查詢起草書面授權文件。
Chrome
Firefox
Safari
IE9及以上