2022年8月3日银保监会办公厅非公开发布《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知(银保监办法〔2022〕80号)》,通告各银行保险机构、非银行金融机构等银保监会辖下机构将组织开展行业侵害个人信息权益乱象专项整治工作,推动落实《中华人民共和国个人信息保护法》,全面梳理和排查行业内个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象,督促各机构建立健全消费者个人信息保护工作机制。
专项整治工作主要内容
一、涉及的机构
1. 银行:包括国有大型银行,全国性股份制银行,城市商业银行,民营银行,农村商业银行、村镇银行、农村信用社等农村中小金融机构,外资银行,直销银行等
2. 保险:包括财产保险公司(集团、公司),人身保险公司(集团、公司),保险专业中介机构等
3. 非银行金融机构:信托公司,汽车金融公司,消费金融公司,理财公司等
按总行/总公司和法人口径分别开展治理工作,层级下达地市级分支机构。
二、工作任务
本次专项整治工作以机构自查为主,监管适时抽查、统筹部署和全流程督导。
1. 全面自查整改。各机构对照银保监会统一设置的“侵害个人信息权益乱象主要表现形式”清单全面摸排本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况,查找存在的问题。自查自改,短期内无法整改完成的问题,建立整改台账,明确整改措施,逐项逐步推进。
2. 整治问责。
a. 机构层面。对整治发现的问题逐一建档,确保整改到位,问责到位。违反行业规章制度的问题依规处理,不当操作立即叫停或纠正,严重侵权的问题问责到人,涉及违法犯罪的问题移交司法机关。
b. 监管层面。结合日常监管、现场检查、举报调查、投诉督查等监管工作,专项开展侵害消费者信息安全权监管抽查和督导。对违法问题依法依规严肃查处,机构自查并整改到位问题可依法从轻、减轻或不予处罚,自查不力、隐瞒不报的机构严肃追责并从重处罚。
3. 建立长效机制。
a. 机构层面:各机构查找问题根源,问题原因在下级机构的,压实分支机构责任,不折不扣完成整改,问题根源在总部的,及时调整和优化工作机制,推进根源性整改。
b. 监管层面:督促各机构建立健全个人信息保护制度机制,完善业务规则和操作流程,规范个人信息处理和管理行为,全面提升消费者个人信息保护工作水平。
三、工作安排
各机构和各银保监局要求成立专项工作组,制定专门工作方案。工作时间安排如下:
1. 2022年8-9月,自查整改阶段。各银保监局组织辖内金融机构开展对照自查,在自查基础上及时完成整改,各金融机构应于9月20日之前完成自查整改工作并书面报告属地银保监局,银保监会直管金融机构书面报告银保监会消费者权益保护局,各金融机构同时填报“自查发现问题及整改情况表”,并将相关报告抄送对口机构监管部门。
2. 2022年9-11月,监管抽查阶段。各银保监局在机构自查基础上开展监管抽查,抽查对象和抽查数量由各银保监局根据辖区情况自行决定,应突出重点机构和重点业务,同时填报“监管抽查发现问题及整改处理情况表”。
3. 总结汇报阶段。各银保监局应于2022年12月20日前,向银监会消费者权益保护局报送专项整治工作报告,同时填报“专项整治工作统计表”。
侵害个人信息权益行为清单
本次专项整治根据《中华人民共和国个人信息保护法》(以下简称个保法)及其他相关法律法规列出了7类22项侵害个人信息权益的行为,涉及金融机构业务开展的方方面面,这7类22项是目前侵权行为的重灾区,被这次专项整治作为重点提出,但这些并不是金融机构侵害个人信息权益行为的全部,金融行业个人信息保护涉及面不存在兜底范围,专项整治统计表中也专门预留了“其他”一类,以便补充查询中发现的清单外违法违规行为类型。
由于个保法及其他相关法律法规是非行业属性法,属于基础法律,各行业只要涉及处理个人信息都要遵守,从法条本身看都不是针对金融行业的,但是如果具体到金融行业的运作流程和各个业务细节就会发现法律是全覆盖的,深入影响金融行业的业务模式和运营方式。金融机构只要业务过程涉及到个人信息处理都会被个保法及其他相关法律法规限制,这才是最严厉的适用,而且是无法规避的,因为法条没有明文针对金融业务,没有明确的界限可以让金融机构去规避去谋划法律套利。
当前金融机构已全面进入大数据、云计算、人工智能时代,金融科技手段全面升级业务基础设施,其经营管理和业务开展几乎处处都涉及到信息处理,一旦涉及个人信息,个保法的法律效力就可到达,比如采集信息、存储信息、加工信息、使用信息、提供信息等等,所以整体来看个保法及其他相关法律法规对金融业务具有强监管强关联性,金融机构必须严格将法律条文的规定逐个落实到业务的全流程中,必须将自身的业务进行细致的梳理,把涉及个人信息保护的地方都和法律规定相对应相吻合。
此外,金融行业个人信息保护的力度还会强于一般行业的标准,因为根据个保法规定,金融账户信息属于敏感个人信息,金融机构开展业务过程中只要涉及个人金融账户的环节都将按照敏感个人信息处理规则,执行更为严格的保护措施。
具体来看本次专项整治列出的检查清单,按照金融业务开展的流程梳理,所列出的违规行为绝大多数来自于实践工作场景。信息收集、信息存储、信息传输、信息查询、信息使用、信息提供、信息删除、第三方合作等各个环节,如触及到个保法的某项或某几项规定就必须根据个保法的规定进行调整。此外央行2020年颁布的《个人金融信息保护技术规范 (JR/T0171-2020)》(以下简称技术规范)、2015年国务院发布的《关于加强金融消费者权益保护工作的指导意见(国办发〔2015〕81号)》、原银监会2009年发布的《关于印发〈商业银行信息科技风险管理指引〉的通知(银监发〔2009〕19号)》等法规文件也是重要的规则依据:
一、个人信息收集
未经同意收集个人信息。如在未取得消费者同意的情况下,利用移动互联网应用程序(App)获取手机通讯录、监测输入内容、监听语音收集消费者个人信息;未在官网、App主动披露隐私政策;通过非法途径盗取或购买消费者个人信息等。
超出业务办理所必需的范围收集个人信息。如通过格式化合同、业务申请表向消费者收集非办理业务或提供服务所必需的个人信息;利用有奖问答、赠送礼物等方式诱导消费者提供与本人业务或服务无关的个人信息;将提供非办理业务必需的个人信息作为受理业务前提条件;App收集超出《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)限定范围的个人信息;要求授权使用的时限超出必要范围等。
强制要求同意使用信息。如在格式化的合同、业务申请表、App隐私政策中加入无法选择的不合理授权条款,强制消费者同意将其信息用于与所办理业务无关的用途(如同意用于营销推介、同意向外部机构或个人提供等),否则无法正常办理业务、使用服务或功能。
要求给予不合理的授权。如在消费者提交业务申请时,规定无论业务是否通过审批,机构均可获得授权继续使用消费者申请业务时提供的个人信息等。
要求概括授权。如在格式化合同、App隐私政策等文本中故意模糊授权事项范围,取得消费者对个人信息使用“无明确目的、无明确期限”的概括授权等。
消费者信息审核不严谨。因对客户信息审核、把关不严谨等原因导致核心业务系统中留存的客户联系电话、通信地址、电子邮箱等信息不真实。