打开手机,扫一扫二维码
即可通过手机访问网站
打开微信,扫一扫二维码
订阅我们的微信公众号
大数据时代到来,数据资源日渐成为金融企业的核心资产。银行作为信息密集型企业,掌握着大量蕴含商业价值的客户个人信息,如何更规范的使用个人信息,维护信息安全是其必须面对的重要课题。从外部来看,一方面是金融消费者权益保护监管体系持续完善,另一方面是监管部门对相关领域的侵权行为加以重罚。2022年,有多家银行因个人信息保护不到位而收到了千万级罚单。从内部来看,银行只有持续改进个人信息合规体系、提升对客户个人信息使用的规范性,保护客户的个人信息安全,才能更好的利用客户个人信息持续创造价值。但个人信息保护合规体系构建异常庞杂,只有抓住要点才能事半功倍。故,本文立足于以《个人信息保护法》为主导的现有规范体系,对银行个人信息保护合规体系构建要点进行探析。
齐备的合规文本是银行合规体系建设落地的指引,银行应结合《个人信息保护法》明确规定的信息处理规则及应承担的义务制定内部制度和规范文本,将个人金融信息保护的各项要求在系统建设和业务运营过程中进行内化和固化。
银行可通过对既有个人信息保护制度与操作进行合规性评估,从总体安排、组织机构、制度建设、流程优化等方面进行针对性整改规划,建立全面覆盖个人金融信息处理全流程的内控制度和操作规程体系文本。
第一,做好总体安排。银行应当制定客户个人信息保护管理规定,完善本机构个人信息保护工作方针、目标和原则,作为本银行合规体系建设的指引。
第二,完善组织机构。银行应当建立多位一体、职责明确的个人信息保护工作机制。就职能设定而言,银行应厘清牵头部门和业务部门的职能分配,明确各部门信息保护管理职责,以便各部门分工协作。同时,在岗位设置层面,清晰界定各职位的操作分工,合理确定操作权限。
第三,建设规范制度。银行应当对个人信息进行分类分级管理,并结合《个人信息保护法》的要求建立信息系统分级授权管理规范、个人信息脱敏管理规范、个人信息安全检查及监督规范、外包服务机构与外部合作机构管理规范、个人信息保护应急处理规范等制度。
第四,优化数据流程。银行应当建立涵盖个人信息保护全生命周期的日常管理及操作流程规范,对个人信息的收集、传输、存储、使用、删除、销毁等环节提出具体保护要求。同时,银行还应当建立个人金融信息投诉与申诉处理程序,明确投诉与申诉受理部门、处理程序。
银行可参照目前金融监管领域的《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)、《个人金融信息保护技术规范》等金融信息规范和大型银行的规定来完善自身的内部制度,但应结合自身实际情况与具体需求进行调整和个别化设计,如在个人信息保护职责安排时,根据自身情况选择适合由法务部或科技部作为牵头部门,还是专门设立数据安全委员会部门作为牵头部门。
银行应将个人金融信息保护的相关要求纳入到规范文本中,对之前的合同、隐私政策、授权书等文本结合《个人信息保护法》予以相应的调整。
第一,修改合同文本。针对其中的数据授权条款或个人信息授权条款,银行应当逐项明示个人信息的内容、目的和范围并列举授权对象,严禁以概括说明、后续通知的方式,利用用户默认行为获取其表面同意,以免出现霸王条款、隐藏条款。银行要充分尊重与保证用户的知情权、决定权,让用户自主选择其个人信息能否被用于用户画像、自动化决策等特定用途,除业务性质有特殊需要外,不得将用户授权或同意其个人信息被用于营销、对外提供等作为向用户提供产品或服务的前提条件;对于免除或者减轻自身责任、加重用户责任、限制或排除用户主要权利的条款,应当尤为注意以易于理解的方式表述、以加粗加大字体、划线加框、增加图片等特别标识方式提醒用户阅读,避免出现发生争议时被认定为无效的格式条款。
第二,完善隐私政策。长期以来,银行习惯于将隐私政策作为格式条款,不当免责较为普遍。《个人信息安全规范》第5条对此强调,“隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为个人信息主体要求签订的合同”。因此,银行应当及时评估隐私政策文本,按照《个人信息安全规范》相关要求针对其独立性与易读性、各项业务功能及必要的个人信息类型、信息处理规则与权益保障、不合理条款进行完善,戒除冗长晦涩的文本和密集展示方式。在客户签署文件时,银行应当安排专门人员进行咨询服务,明确提示隐私协议条款设置及内容,引导客户完整阅读并应其要求予以正确解释,待客户明示没有疑义后再行勾选相应约定内容或签署相关授权文件,保证客户充分知情及自愿做出同意的表示与行为,以维护客户的知情权与选择权。另外,现在银行存在大量通过网上银行和手机银行收集个人信息的情形,如通过技术措施进行(如弹窗、明显位置URL链接等)收集信息时,可通过设置最短阅读时间等方式,引导客户充分查阅隐私政策,在获得其明示同意后,再行开展有关个人信息的收集活动。
完整的授权体系由授权内容与授权文件两部分组成,个人信息的授权内容可分为基础个人信息与敏感个人信息,对于授权内容应当进行级别分类,有针对性的根据其要求制定相应的授权文件。
《个人信息保护法》第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。第28条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。由此可见,在金融业领域,金融机构作为个人信息处理者,处理的个人信息有两个层次:一是基础个人信息。即处理日常通过电子或其他方式记录的已识别或者可识别的与自然人有关的各种信息,如主动邀请客户参加产品推介等活动中获取的个人姓名、电话号码等。二是敏感个人信息。即在基础信息之外,金融机构处理的金融账户信息,以及与金融账户紧密关联的生物识别、医疗健康等敏感信息。如目前个人登录自己账户或者发出支付指令普遍使用的指纹、面部识别等信息。以上两类信息中,敏感信息正好与金融行业的特殊性相一致,这类信息一旦泄露或者非法使用,很容易导致金融消费者的人格尊严受到侵害或者人身、财产安全受到危害。
对于两种信息,《个人信息保护法》的要求也是不同的,《个人信息保护法》规定,敏感个人信息处理必须满足特定目的性、充分必要性以及采取严格保护措施三项条件,必须开展事前评估并向个人告知必要性和对个人权益的影响,取得个人单独同意或者书面同意。这也就意味着对于客户金融信息处理要更加谨慎,在个人敏感信息的适用场景下探讨对个人金融信息的整合与利用,确保个人金融信息的采集、加工、使用等做到全流程合规。
银行在收集个人金融信息时严禁“一揽子授权”或概括授权,根据《个人信息保护法》第29条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。基于此,银行应当针对不同级别和不同用途的个人信息制定和使用不同的授权文件,将有限资源投入到更有针对性的保护对象中。因此,应通过个人信息分类分级工作,明确个人信息保护目标,精细化开展个人信息保护管控,做到个人信息保护工作对症下药、有的放矢。以征信查询为例,《征信业管理条例》第29条进一步规定,从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息,应当事先取得信息主体的“书面同意”。“书面同意”一般通过《授权书》、《告知同意函》等的书面签字形式体现,即银行需结合《征信业管理条例》的要求针对征信查询起草书面授权文件。
