查看原文
其他

道可特研究丨案解银保监会个人信息专项整治工作

白小莉 道可特法视界 2023-08-26


「 道可特法视界第1678篇原创文章 」

前言:2022年8月9日,据中国证券报报道,银保监会办公厅近日向各银保监局,各大型银行、股份制银行、外资银行、直销银行、理财公司,各保险集团(控股)公司、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,其中列举了银行保险机构侵害个人信息权益乱象主要表现形式。

金融行业掌握大量具备高经济价值的金融业数据,依托数据管理开展业务已成为金融行业数字化转型的典型发展模式,科技创新化、数字化转型时代推动金融数据利用率不断提高的同时,其涉及的隐私保护、知识产权和反垄断法律问题也愈加凸显。本文旨在立足于《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,通过监管案例进行提示,厘清银行保险机构及其他金融相关企业自查工作的重点内容,打造以该专项整治行动为中心的自查指南。

一. 个人信息收集

1. 自查内容
是否在未取得消费者同意的情况下,利用移动互联网应用程序(App)获取手机通讯录、监测输入内容、监听语音收集消费者个人信息;未在官网、App主动披露隐私政策;通过非法途径盗取或购买消费者个人信息等。
2. 监管案例:个人金融信息滥用:支付宝被罚款18万元
2018年4月8日左右消息,据杭银处罚字〔2018〕23号中国人民银行杭州中心支行公示表,支付宝罚款18万元,违法行为包括三类——客户权益、产品宣传和个人信息保护。公告称,根据《非金融机构支付服务管理办法》,罚款3万元;根据《中华人民共和国消费者权益保护法》,对产品宣传与个人信息保护两项违法行为,分别给予警告,并处罚款10万元、5万元。罚款合计人民币18万元。
公告称,用户在安装使用支付宝的时候,有权知道软件会收集哪些个人信息,同时软件有义务以醒目的方式告知用户,而且应当赋予用户选择不使用、不同意的权利。需要注意的是,软件在收集个人信息时应当遵循最少、必需的原则,根据《网络安全法》的规定,用户如发现软件违规收集其个人信息,有权要求软件运营者删除其个人信息。
3、案例提示
在个人信息保护方面应恪守个人金融信息收集的最少、必需原则,不得收集与业务无关的消费者金融信息,不得采取不正当方式收集消费者金融信息,不得变相强制收集消费者金融信息,遵守《中国人民银行金融消费者权益保护实施办法》等规定。
由于个人金融信息涉及作为消费者的个人金融信息主体,还需在客户权益、产品宣传上予以注意:

客户权益方面:① 充分保障金融消费者的知情权;② 充分保障金融消费者的自主选择权。

产品宣传方面:① 在文字、视频等宣传中不至于引人误解;② 在企业官方账号如微博、微信中不发表引人误解的言论和信息;③ 积极处理个人信息问题投诉,处理完毕的投诉数据应真实有效,与对外公布的数据保持一致。
二. 个人信息存储和传输
1. 自查内容
是否存在电子数据存储管理混乱。违反规定下载、存储、记录消费者敏感个人信息。机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质等。
2. 监管案例
案例一:绍兴银行未按规定保存客户资料等被罚550万元
2022年5月11日,中国人民银行杭州中心支行对绍兴银行作出行政处罚,处以550万元罚款(杭银处罚字〔2022〕21号)。其违法行为包括识别义务履行不到位、客户资料保存不合规、未履行报告交易义务等。除对银行作出处罚外,绍兴银行的7名相关负责人也同样受到了处罚,被处罚款1-7万元不等。
案例二:虚报、泄漏金融数据,河南47家金融机构被罚716万元
2018年,中国人民银行郑州中心支行向社会公布的行政处罚信息显示,自2017年11月6日至12月底不到两个月的时间内,因涉及瞒报虚报数据、过失泄露信息等违规行为,河南辖内47家金融机构受到行政处罚,罚款金额达716万元。被处罚的违规机构涵盖各类金融机构,既包括四大国有银行,民生、光大、广发、中信、浦发等5家全国股份制银行,也包括21家地方农商行和农信社、7家村镇银行以及中原银行、平顶山银行等2家城商行;同时还包括6家保险公司、1家资产管理公司和1家涉及金融服务的网络科技公司,共计47家。
针对上述违规行为,2017年11月6日至12月底,人行共向47家金融单位及其分支机构开出了77张、716万元的罚单。在除银行外的违规机构中,福建国通星驿网络科技有限公司河南分公司、中国信达资产管理股份有限公司河南省分公司、中国人寿保险股份有限公司河南省分公司三家机构的“双罚”金额也都超过了50万元。
3. 案例提示
金融企业应遵循诚信原则,不得虚报瞒报漏报金融数据、过失泄露信息。

金融企业应合法存储个人金融信息:① 按规定履行客户身份识别义务。② 按规定保存客户身份资料和交易记录。③ 按规定履行大额和可疑交易报告义务。④ 不与身份不明的客户进行交易。

三. 个人信息查询
1. 自查内容
银行账户信息查询业务操作是否不规范,是否存在未按规定留存查询授权材料、未经消费者同意私自查询、虚构理由和业务背景查询信息等问题;保险公司是否未对查询权限严格限制,导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。
2. 监管案例:
案例一:晋商消费金融被处55万罚单
2020年8月22日,中国人民银行太原中心支行对晋商消费金融开出了55万元的罚单,这是晋商消费金融今年以来首次接到央行罚单。央行信息显示,晋商消费金融因未经同意查询个人信息,根据《征信业管理条例》第四十条,责令限期改正,对单位处以罚款人民币50万元;对直接负责的主管人员处以罚款人民币5万元。
案例二:广东华兴银行股份有限公司江门分行存在“未经同意查询个人信息”违法行为,被罚3万元
2022年3月16日,根据中国人民银行江门市中心支行的行政处罚信息公示表显示,广东华兴银行股份有限公司江门分行存在“未经同意查询个人信息”违法行为,被罚3万元。同时,时任广东华兴银行江门分行业务六部团队长萧康年,为广东华兴银行江门分行未经同意查询个人信息的违法行为直接负责,被罚0.5万元。
3. 案例提示
金融数据查询始终是金融行业数据合规的重要一环,除个保法有关规定外,银行机构信息查询还涉及多项行业相关的法律法规。

①《中华人民共和国消费者权益保护法》第二十九条第二款规定:“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。

②《储蓄管理条例》第三十二条规定:“储蓄机构及其工作人员对储户的储蓄情况负有保密责任。储蓄机构不代任何单位和个人查询、冻结或者划拨储蓄存款,国家法律、法规另有规定的除外。”③《人民币银行结算账户管理办法》第九条规定:“银行应依法为存款人的银行结算账户信息保密。对个人银行结算账户的存款和有关资料,除国家法律另有规定外,银行有权拒绝任何单位或个人查询。”

四. 个人信息使用

1. 自查内容
是否将个人信息用于不当营销。是否私自收集或违规收集消费者信息和联系方式用于营销;在消费者明确拒绝营销后仍继续营销;规避销售系统向消费者营销产品等。
2. 监管案例:
千余名学生莫名“被开户”,农行违规使用个人金融信息被罚超1142万
2021年12月10日,广西崇左幼儿师范高等专科学校(下称“崇左幼专”)多名毕业生反映,自己名下莫名被开了银行电子账户,有人名下的账户多达10余个,这些账户的开户行均为中国农业银行崇左江州支行。崇左幼师学校发布声明称,没有通过任何渠道泄露学生的身份信息,没有代理学生开设银行账户或办理Ⅰ类、Ⅱ类、Ⅲ类卡账户的业务。该事件引发社会广泛关注。
农业银行广西区分行随后也作出通报:农业银行崇左江州支行因需完成银行账户开户增量指标任务,在未得到学生和学校同意、无相关开户文件的情况下,违规为广西崇左幼儿师范高等专科学校(以下简称“崇左幼师学校”)学生开立Ⅱ、Ⅲ类账户(未激活账户)。此事件系该行辖属崇左江州支行营业室违规操作所致,向学校师生诚恳认错、郑重道歉。2022年1月20日,中国人民银行南宁中心支行发布的一则行政处罚信息公示显示,中国农业银行崇左分行被罚1142.5万元。另外,该分行内5名相关责任人被罚,最高达11万元。处罚信息公示表显示,因存在未落实个人银行账户实名制管理规定、违规使用个人金融信息、未严格落实银行账户风险监测要求、未按规定完整保存客户身份资料等违法行为,农业银行崇左分行被人民银行崇左市中心支行罚款1142.5万元。与此同时,相关责任人也领到罚单。
3. 案例提示
个人金融信息的滥用需从源头遏制,企业应自查是否在格式化的合同、业务申请表、App隐私政策中加入无法选择的不合理授权条款,强制消费者同意将其信息用于与所办理业务无关的用途,如同意用于营销推介、同意向外部机构或个人提供等,以至于影响正常业务、使用服务或功能。
金融机构不应委托或授权无金融业相关资质的机构收集C3、C2类别信息,C3以及C2类别信息中的用户鉴别辅助信息,金融机构不应委托给第三方机构进行处理,以防信息因委托泄漏而导致不当使用。
五. 个人信息提供
1. 自查内容
是否未经同意向他人或外部机构提供信息。是否在无法确定事由,且未获得消费者同意的情况下,将消费者个人信息提供给外部机构或其他个人;向外部机构或个人贩卖消费者个人信息。
2. 相关案例:银行违规提供客户个人金融信息案。
2020年3月,中信银行在未经客户本人授权的情况下,向第三方提供个人银行账户交易明细,违背为存款人保密的原则,涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定,严重侵害消费者信息安全权,损害了消费者合法权益。
银保监会按照相关法律法规,启动立案调查程序,严格依法依规进行查处。并通知各银行保险机构要引起警示,严格按照《中华人民共和国商业银行法》《中华人民共和国保险法》和《中国银保监会关于银行保险机构加强消费者权益保护工作体制机制建设的指导意见》,认真执行相关法律法规和监管规定,依法合规开展经营活动,切实保护消费者合法权益。
3. 案例提示
根据《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定,银行业金融机构使用个人金融信息时,不得向金融机构以外的其他机构和个人提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外,因此企业在自查时应注意:
银行业务涉及广泛,对接人员复杂,企业应高度重视金融消费者个人金融信息保护工作,教育各部门员工熟知并掌握有关法律知识,落实员工个人金融信息保护意识,做到依法合规办理银行业务。
无论业务部门或前台网点在对外提供金融消费者个人金融信息时,均应取得金融消费者的授权或同意方可提供。
六. 个人信息删除
1. 自查内容
是否对各类消费者个人信息电子数据和纸质材料规定保存期限和到期删除、销毁要求,明确删除、销毁的程序和方式。
2. 相关案例:银行怠于履行对客户不良征信信息的删除报送义务,应当承担相应法律责任。
2006年8月,胡某与某银行、仕某签订《个人担保借款合同》一份,约定胡某向银行借款5万元,仕某为借款的担保人。合同到期后,胡某、仕某未归还上述借款。银行于2009年9月起诉至法院要求胡某、仕某立即归还贷款本金及利息,诉讼中,银行申请追加某公司为被告,并同意将该笔贷款直接纳入某公司名下,某公司亦确认该笔贷款由其实际使用,同意偿还借款本息,各方据此达成调解协议,约定案涉贷款本息由某公司偿还。
2021年1月,胡某查询其个人信用报告时发现案涉5万元贷款仍记载为逾期状态,遂要求银行删除其不良征信信息但遭拒绝,故诉至法院请求判令银行立即向中国人民银行征信中心报送删除胡某不良信息的申请,并赔偿胡某精神损害抚慰金5000元。法院经审理后判决支持胡某的诉讼请求。
根据《个保法》的相关规定,金融机构等在处理信用信息时应遵守信息质量原则,确保采集、向征信机构提供的个人信用信息的质量,避免因信息不准确给个人权益造成影响。对此,《征信办法》进一步规定了金融机构在错误信息更正、不良信息报送删除方面的合规义务。
3. 案例提示
信息更正义务:根据《个人信用信息基础数据库管理暂行办法》《征信办法》的相关规定,银行发现其所报送的个人信用信息不准确时,应当及时报告征信服务中心纠错更正。
超期不良信息报送删除义务。根据《征信办法》的相关规定,金融机构等对个人不良信息的保存期限不应超过5年,自不良行为或者事件终止之日起计算。建议企业自查所掌握的个人不良信息保存期限届满5年时,是否向征信机构报送删除该不良信息,而征信机构是否将个人不良信息在对外服务和应用中删除(作为样本数据的,应当进行匿名化处理)。
司法实践中,如果银行等不按规定及时向人行征信中心报送删除相关不良信息,导致个人的征信记录中持续显示逾期状态等不良信息、对消费者的信用评价产生不当影响的,消费者有权请求法院判令银行等立即向征信中心报送删除其不良信息,如果逾期保存不良信息给消费者造成损失的,消费者还有权请求法院判令银行等承担赔礼道歉和精神损害赔偿责任。
七. 第三方合作
1. 自查内容
是否向第三方合作机构提供个人信息超出合作业务必须范围、是否未进行必要脱敏;未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。
2. 相关案例:夏某是一名教师,有一张某银行信用卡,自2017年11月起,有欠款逾期未还,经与银行协商约定该笔欠款在2019年9月10日前还清。在此期间,银行委托的第三方催收公司工作人员多次联系其所在学校领导,并向当地教育局举报其在校外违规授课,虽然经教育局调查认定举报不实,但该事件导致夏某本人及所在学校声誉受损,造成不良社会影响。夏某认为银行催收方式不当,与银行及催收公司沟通多次未果,在其还清所有欠款后,向人民银行投诉热线投诉,要求某银行进行解释说明并道歉。
经调查,夏某自2017年11月以来因自身原因发生欠款逾期情况,某银行信用卡中心通过短信、电话等多种方式进行催收,后银行委托外包催收公司进行催收,其间,催收公司工作人员多次联系夏某同事及其朋友,并向当地教育局举报夏某在校外违规授课,给夏某及其学校的声誉造成一定负面影响。经人民银行投诉热线工作人员协调,某银行及催收公司向夏某进行道歉,并承诺积极整改,夏某表示认可。
3. 案例提示
金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免,包括催收、信息管理、数据处理等合作方式。《中国人民银行金融消费者权益保护实施办法》(银发〔2016〕314号)第三十四条第一款规定:“金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免。金融机构应当充分审查、评估外包服务供应商保护个人金融信息的能力,在相关协议中明确外包服务供应商保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务。”
企业应加强第三方数据合作安全评估,交由第三方处理数据的,应依据“最小、必要”原则进行脱敏处理,完善外部合作机构的事前、事中及事后管理,在合作协议中应明确双方关于消费者权益保护的责任和义务,包括但不限于数据保护责任、保密义务、监督、处罚、合同终止和突发情况下的应急处置条款。
八. 总结
目前,我国在金融行业数据治理规范方面已出台多项标准与规范,本次银保监会开展的侵害个人信息权益专项整治工作无疑从监管层面给了金融行业个人信息规范一记重拳。
一方面,对于本次行动主要针对的银行保险机构,尤其是在监管抽查阶段中可能被认定为重点机构的企业而言,应对发现的问题及时整改,依照要求建档问责、叫停纠正。另一方面,对银行保险机构的其他金融从业者来说,本次整改亦是具有高度参考性的合规指南。
因此,本文根据专项整治工作的七大重点内容,针对性列举了金融监管的相关案例并引申出提示供企业自查,案例所涉主体以银行保险机构为主而不局限于前述机构。各金融企业应充分了解自查要求,在自查阶段排查出企业问题清单并有效整改;在监管抽查阶段积极应对监管部门的督导和检查;以个人信息保护的合规性护航金融数据价值的深度挖掘和潜力实现。

DOCVIT

作者简介

白小莉北京市道可特律师事务所高级合伙人
业务领域:知识产权、争议解决、竞争与反垄断、数据安全与数据合规

邮箱:baixiaoli@dtlawyers.com.cn



精彩推荐

点击图片查看

。。。

更多精彩文章请点击以下“栏目名称”阅读

道可特专业文章

道可特人物

道可特月刊

道可特学院

北交所观察

道可特业绩

道可特荣誉

道可特公益

道可特咖啡日

道可特之星

道可特招募

道可特绿生活

你的每个赞和在看,我都喜欢!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存