摘要:在眾多銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)中,自然人個(gè)人信息當(dāng)屬最重要的一部分。《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法(征求意見稿)》(以下簡稱《銀保數(shù)安辦法》)以專章共10條的篇幅對銀行保險(xiǎn)機(jī)構(gòu)個(gè)人信息的處理原則及相關(guān)要求作出了規(guī)定。本文將從《銀保數(shù)安辦法》出發(fā),結(jié)合相關(guān)金融監(jiān)管機(jī)構(gòu)關(guān)于個(gè)人信息保護(hù)的監(jiān)管歷程,探析該辦法所傳達(dá)的監(jiān)管重點(diǎn)及相關(guān)機(jī)構(gòu)的合規(guī)義務(wù)。
前言:在眾多銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)中,自然人個(gè)人信息當(dāng)屬最重要的一部分,且根據(jù)公開數(shù)據(jù)顯示,2023年國內(nèi)共發(fā)生涉金融機(jī)構(gòu)的數(shù)據(jù)泄露事件8758起,占比44.91%,金融機(jī)構(gòu)已成為個(gè)人信息泄露事件數(shù)量最多的行業(yè),銀行等金融機(jī)構(gòu)在近年來因個(gè)人金融信息安全被監(jiān)管處罰的案例也在逐年遞增。因此,規(guī)范金融機(jī)構(gòu)數(shù)據(jù)處理活動(dòng)、加快個(gè)人信息保護(hù)與數(shù)據(jù)安全體系建設(shè)的監(jiān)管需求迫在眉睫。在此背景下,2024年3月22日,國家金融監(jiān)督管理總局(以下簡稱金管局)發(fā)布了《銀保數(shù)安辦法》,并向社會(huì)公開征求意見。結(jié)合2023年1月證監(jiān)會(huì)發(fā)布的《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》以及2023年7月人民銀行發(fā)布的《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿》(以下簡稱《人行數(shù)安辦法》),國內(nèi)金融行業(yè)數(shù)據(jù)安全體系已基本構(gòu)建完成。
《銀保數(shù)安辦法》亦以專章共10條的篇幅對銀行保險(xiǎn)機(jī)構(gòu)個(gè)人信息的處理原則及相關(guān)要求作出了規(guī)定。本文將從《銀保數(shù)安辦法》出發(fā),結(jié)合相關(guān)金融監(jiān)管機(jī)構(gòu)關(guān)于個(gè)人信息保護(hù)的監(jiān)管歷程,探析該辦法所傳達(dá)的監(jiān)管重點(diǎn)及相關(guān)機(jī)構(gòu)的合規(guī)義務(wù)。
1 金融業(yè)機(jī)構(gòu)個(gè)人信息保護(hù)制度的監(jiān)管沿革
國內(nèi)金融行業(yè)針對數(shù)據(jù)安全管理的相關(guān)規(guī)定最早可追溯到2010年,由彼時(shí)的保險(xiǎn)監(jiān)督管理委員會(huì)以金融行業(yè)推薦性標(biāo)準(zhǔn)的方式發(fā)布了《保險(xiǎn)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系規(guī)范》(JR/T0058-2010),旨在通過設(shè)定具體的保險(xiǎn)行業(yè)數(shù)據(jù)安全管理技術(shù)與指標(biāo),指導(dǎo)和幫助保險(xiǎn)機(jī)構(gòu)提升信息安全保護(hù)能力。但是與此后“一行三會(huì)”發(fā)布的相關(guān)規(guī)定類似,該規(guī)范僅在完善金融行業(yè)整體信息數(shù)據(jù)安全規(guī)范的框架下,對個(gè)人信息相關(guān)內(nèi)容進(jìn)行原則性規(guī)定,并未列出明確的合規(guī)指引或操作規(guī)范。
2020年2月,中國人民銀行針對金融行業(yè)個(gè)人信息保護(hù)問題發(fā)布了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171—2020),規(guī)定了個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求,從安全技術(shù)和安全管理兩個(gè)方面,對個(gè)人金融信息保護(hù)提出了規(guī)范性要求。該規(guī)定作為金融行業(yè)個(gè)人信息領(lǐng)域的針對性規(guī)范,其針對個(gè)人金融信息的范圍、分類分級(jí)的標(biāo)準(zhǔn)以及分級(jí)分類后的管理規(guī)范等要求正作為銀行保險(xiǎn)業(yè)機(jī)構(gòu)個(gè)人信息保護(hù)體系建設(shè)的重要依據(jù)。
2020年10月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在其發(fā)布的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020)中吸收了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》對個(gè)人金融信息的定義,在其附錄A《個(gè)人信息示例》中即將部分個(gè)人金融信息列入個(gè)人財(cái)產(chǎn)信息的范圍內(nèi),個(gè)人金融信息正式被納入《個(gè)人信息保護(hù)法》的調(diào)整范圍內(nèi)。
2021年9月,人民銀行發(fā)布了《征信業(yè)務(wù)管理辦法》第10條中,亦針對機(jī)構(gòu)端個(gè)人信息保護(hù)作出要求,明確征信機(jī)構(gòu)與信息提供者在開辦業(yè)務(wù)及合作中應(yīng)當(dāng)遵守《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī),通過協(xié)議等形式明確信息采集的原則的規(guī)定,并在第34條中對處理100萬戶以上企業(yè)信用信息的企業(yè)征信機(jī)構(gòu)作出需要設(shè)立個(gè)人信息保護(hù)制度的相關(guān)要求。
2022年12月,銀保監(jiān)會(huì)(已撤銷)在發(fā)布的《銀行保險(xiǎn)機(jī)構(gòu)消費(fèi)者權(quán)益保護(hù)管理辦法》中第6章亦以專章的形式明確了銀行保險(xiǎn)機(jī)構(gòu)在處理消費(fèi)者個(gè)人信息過程中應(yīng)當(dāng)遵守的原則、個(gè)人信息收集及處理的原則、告知同意的方式、第三方委托處理及共享的程序以及禁止性要求等問題。該辦法首次以部門規(guī)章的方式對銀行保險(xiǎn)機(jī)構(gòu)個(gè)人信息保護(hù)的相關(guān)問題作出規(guī)定,條文設(shè)置與個(gè)人信息處理的流程相匹配,相關(guān)規(guī)定亦被后續(xù)出臺(tái)的《銀保數(shù)安辦法》進(jìn)一步吸收。
2 銀行保險(xiǎn)領(lǐng)域個(gè)人信息保護(hù)執(zhí)法情況
個(gè)人金融信息直接關(guān)系到個(gè)人的資金安全、信用評(píng)價(jià)以及重大經(jīng)濟(jì)活動(dòng)的順利進(jìn)行,一旦泄露或被濫用,不僅可能造成經(jīng)濟(jì)損失,還會(huì)影響個(gè)人信譽(yù),甚至引發(fā)一系列連鎖反應(yīng)。
根據(jù)第三方安全服務(wù)機(jī)構(gòu)“威脅獵人”發(fā)布的《2023年數(shù)據(jù)泄露風(fēng)險(xiǎn)年度報(bào)告》顯示,2023年國內(nèi)共發(fā)生涉金融機(jī)構(gòu)的數(shù)據(jù)泄露事件8758起,占比44.91%,成為個(gè)人信息泄露事件數(shù)量最多的行業(yè)。從金融細(xì)分行業(yè)來看,數(shù)據(jù)泄露事件數(shù)量發(fā)生最多的是銀行業(yè),全年共發(fā)生4293起,涉及銀行、保險(xiǎn)、證券等行業(yè)高凈值人群信息。
為此,國家各級(jí)金融管理部門均已持續(xù)針對銀行保險(xiǎn)領(lǐng)域個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督及執(zhí)法,金管局于2024年3月即下發(fā)了《關(guān)于銀行保險(xiǎn)機(jī)構(gòu)侵害個(gè)人信息權(quán)益亂象專項(xiàng)整治發(fā)現(xiàn)主要問題的通報(bào)》,針對銀行保險(xiǎn)機(jī)構(gòu)在業(yè)務(wù)開展過程中存在的個(gè)人信息收集、存儲(chǔ)和傳輸、信息查詢和使用、提供和刪除以及第三方合作等場景中存在的問題進(jìn)行通報(bào)。在行政執(zhí)法方面,根據(jù)2024年4月7日金管局發(fā)布的信息顯示,金管局臺(tái)州監(jiān)管分局針對臺(tái)州銀行存在的客戶敏感信息保護(hù)不到位問題,對臺(tái)州銀行處以385萬元罰款,并對主要責(zé)任人予以警告。除此以外,各地銀行保險(xiǎn)機(jī)構(gòu)因個(gè)人信息保護(hù)不力被處罰的案例也屢見不鮮:
(一)2023年4月6日,重慶富民銀行因違反消費(fèi)者金融信息保護(hù)管理規(guī)定,被人行重慶營管部處處罰1萬元并予以警告;
(二)2023年4月20日,蘭州銀行因APP、SDK違規(guī)收集個(gè)人信息、超范圍收集個(gè)人信息以及APP強(qiáng)制、頻繁、過度索取權(quán)限,被甘肅省通信管理局予以通報(bào);
(三)2023年9月19日,浙江嘉善農(nóng)商行因違反消費(fèi)者金融信息保護(hù)管理規(guī)定,被人行嘉興市分行處罰121萬元;
(四)2023年10月23日,浙江寧銀消費(fèi)金融股份有限公司因提供個(gè)人不良信息未實(shí)現(xiàn)告知信息主體本人,被人民銀行寧波市分行處罰20萬元;
(五)2023年10月25日,河南義馬農(nóng)商行因未按約定用途使用個(gè)人信息等行為,被人行三門峽市分行處罰46.35萬元并予以警告;
(六)2023年12月25日,陜西秦農(nóng)農(nóng)商行因存在客戶信息保護(hù)管理薄弱等問題,被金管局陜西管理局處罰115萬元;
(七)2024年3月7日,昆侖保險(xiǎn)經(jīng)紀(jì)公司因未與保險(xiǎn)人對投保信息保密及合理使用進(jìn)行依法約定等問題,被金管局大慶分局罰款1萬元并予以警告;
(八)2024年3月22日,天津農(nóng)商銀行因個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的,未制定專門的個(gè)人信息處理規(guī)則涉嫌隱私不合規(guī),被國家計(jì)算機(jī)病毒應(yīng)急處理中心予以通報(bào)。
3 《銀保數(shù)安辦法》的適用范圍及相關(guān)問題
(一)《銀保數(shù)安辦法》的適用范圍
《銀保數(shù)安辦法》第2條規(guī)定:“在中華人民共和國境內(nèi)設(shè)立的開發(fā)性金融機(jī)構(gòu)、政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用社,保險(xiǎn)集團(tuán)(控股)公司、保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、消費(fèi)金融公司、貨幣經(jīng)紀(jì)公司適用本辦法。”
根據(jù)上述規(guī)定,該辦法除適用于銀行業(yè)機(jī)構(gòu)、保險(xiǎn)業(yè)機(jī)構(gòu)、金融控股公司等金管局的傳統(tǒng)監(jiān)管目標(biāo)以外,還包括信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、消費(fèi)金融公司以及理財(cái)公司等。對于該等非銀行及保險(xiǎn)金融機(jī)構(gòu)而言,因自身經(jīng)營范圍及體量相對較小,數(shù)據(jù)安全及個(gè)人信息保護(hù)意識(shí)相對較弱,在該辦法正式定稿出臺(tái)后,應(yīng)當(dāng)提高對個(gè)人信息保護(hù)的重視及風(fēng)險(xiǎn)防范意識(shí)。
對于由地方金融監(jiān)管部門承擔(dān)監(jiān)管職責(zé)的融資租賃公司、小額貸款公司以及典當(dāng)行等類金融機(jī)構(gòu),則暫時(shí)不適用上述規(guī)定。但需要注意的是:根據(jù)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》的規(guī)定,任何處理個(gè)人金融信息的機(jī)構(gòu)均應(yīng)承擔(dān)個(gè)人金融信息的保護(hù)義務(wù)。這將意味著:雖然融資租賃公司等類金融機(jī)構(gòu)不適用《銀保數(shù)安辦法》,但該類機(jī)構(gòu)以及涉及個(gè)人金融信息處理的金融服務(wù)機(jī)構(gòu)、金融科技公司等新型金融業(yè)機(jī)構(gòu)也應(yīng)根據(jù)相關(guān)標(biāo)準(zhǔn)的規(guī)定做好個(gè)人金融信息的保護(hù)工作。
(二)金融個(gè)人信息的定義
《銀保數(shù)安辦法》雖在第3條對該辦法所調(diào)整的“數(shù)據(jù)”以及“個(gè)人信息”進(jìn)行定義,但相關(guān)定義基本僅沿用《數(shù)據(jù)安全法》及《個(gè)人信息保護(hù)法》的規(guī)定,并未根據(jù)金融行業(yè)的特殊情況對數(shù)據(jù)及個(gè)人信息的范圍進(jìn)行進(jìn)一步明確或列舉。目前該等規(guī)定尚不利于銀行保險(xiǎn)機(jī)構(gòu)確定數(shù)據(jù)及個(gè)人信息保護(hù)的對象,期望相關(guān)部門未來進(jìn)一步出臺(tái)文件對《銀保數(shù)安法》所調(diào)整的“數(shù)據(jù)“及”個(gè)人信息“進(jìn)行進(jìn)一步明確。
針對本文討論的銀行保險(xiǎn)機(jī)構(gòu)個(gè)人信息保護(hù)義務(wù)而言,《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中關(guān)于“個(gè)人金融信息”的定義可供參考,即:金融業(yè)機(jī)構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個(gè)人信息,包括賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息及其他反映特定個(gè)人某些情況的信息。
(三)《銀保數(shù)安辦法》與《人行數(shù)安辦法》的區(qū)別
《銀保數(shù)安辦法》與《人行數(shù)安辦法》之間的區(qū)別主要體現(xiàn)在適用范圍:《銀保數(shù)安辦法》適用于金管局管轄的銀行與保險(xiǎn)機(jī)構(gòu),屬于從主體層面進(jìn)行的監(jiān)管;《人行數(shù)安辦法》則是適用于中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)相關(guān)的處理活動(dòng),屬于從業(yè)務(wù)層面進(jìn)行的監(jiān)管,涉及貨幣政策業(yè)務(wù)、跨境人民幣業(yè)務(wù)、銀行間各類市場交易業(yè)務(wù)、金融業(yè)綜合統(tǒng)計(jì)業(yè)務(wù)、支付清算業(yè)務(wù)、貨幣管理和數(shù)字人民幣業(yè)務(wù)、經(jīng)理國庫業(yè)務(wù)、征信業(yè)務(wù)、反洗錢業(yè)務(wù)等領(lǐng)域的數(shù)據(jù)處理活動(dòng)。同時(shí),由于《人行數(shù)安辦法》的監(jiān)管對象主要為銀行間“對公”業(yè)務(wù)中涉及的數(shù)據(jù)業(yè)務(wù),因此亦未對個(gè)人信息保護(hù)相關(guān)問題進(jìn)行明確規(guī)定。
對于接受央行及金管局“雙線”監(jiān)管的商業(yè)銀行而言,則其在開展個(gè)人信息處理活動(dòng)中應(yīng)同時(shí)遵守《銀保數(shù)安辦法》與《人行數(shù)安辦法》的規(guī)定。比如:針對個(gè)人信息分級(jí)分類問題,商業(yè)銀行應(yīng)適用《人行數(shù)安辦法》第9條更為嚴(yán)格的規(guī)定,在數(shù)據(jù)分級(jí)的基礎(chǔ)上,根據(jù)個(gè)人信息遭到泄露或者被非法獲取、非法利用時(shí)可能對個(gè)人造成的危害程度,將個(gè)人信息類數(shù)據(jù)從低至高進(jìn)一步分為一至五共五個(gè)層級(jí),并進(jìn)行分級(jí)分類管理。
4 《銀保數(shù)安辦法》關(guān)于個(gè)人信息保護(hù)制度的規(guī)定與解讀
《銀保數(shù)安辦法》在第6章以專章共10條的篇幅對銀行保險(xiǎn)機(jī)構(gòu)個(gè)人信息的處理原則及相關(guān)要求作出了規(guī)定,各條文的重點(diǎn)及解讀如下:
(一)第54-55條:處理原則
第五十四條
銀行保險(xiǎn)機(jī)構(gòu)處理個(gè)人信息應(yīng)當(dāng)按照“明確告知、授權(quán)同意”的原則實(shí)施,法律、行政法規(guī)另有規(guī)定的除外,并在信息系統(tǒng)中實(shí)現(xiàn)相關(guān)功能控制。
第五十五條
銀行保險(xiǎn)機(jī)構(gòu)處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),收集個(gè)人信息應(yīng)當(dāng)限于實(shí)現(xiàn)金融業(yè)務(wù)處理目的的最小范圍,不得過度收集個(gè)人信息。不得利用所收集的個(gè)人信息從事違法違規(guī)活動(dòng)。
《銀保數(shù)安辦法》在個(gè)人信息保護(hù)專章的前兩條重申了《個(gè)人信息保護(hù)法》中關(guān)于處理個(gè)人信息的“明確告知、授權(quán)同意”以及“最小、必要”原則,體現(xiàn)了法律法規(guī)之間的銜接。需要注意的是:第55條中提及銀行保險(xiǎn)機(jī)構(gòu)在收集個(gè)人信息過程中的“最小范圍”應(yīng)僅限于實(shí)現(xiàn)金融業(yè)務(wù)處理目的本身,而在目前國家大力開展“反詐”業(yè)務(wù)的背景下,出于“反詐”目的收集自然人的基本開戶信息(如姓名、身份證號(hào)碼、住址及聯(lián)系電話)以外的個(gè)人信息(如向電信運(yùn)營商查詢手機(jī)號(hào)使用狀態(tài)、通話頻率、在網(wǎng)時(shí)間、消費(fèi)狀態(tài)等)亦是符合該條規(guī)定的情形,但應(yīng)獲得用戶的單獨(dú)授權(quán)同意。
(二)第56-57條:告知義務(wù)
第五十六條
銀行保險(xiǎn)機(jī)構(gòu)處理個(gè)人信息前,應(yīng)當(dāng)真實(shí)、準(zhǔn)確、完整地向個(gè)人告知其個(gè)人信息的處理目的、處理方式、處理的個(gè)人信息種類、保存期限,個(gè)人行使其信息權(quán)利的申請受理和處理程序,以及法律法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。
銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定個(gè)人信息處理規(guī)則,個(gè)人信息處理規(guī)則應(yīng)當(dāng)公開展示、易于訪問、內(nèi)容明確、清晰易懂。
第五十七條
銀行保險(xiǎn)機(jī)構(gòu)不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù),處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。
第56-57條中規(guī)定告知及同意規(guī)則與《個(gè)人信息保護(hù)法》以及《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的規(guī)定亦保持一致,但銀行保險(xiǎn)機(jī)構(gòu)在開展業(yè)務(wù)中應(yīng)注意將相關(guān)《隱私政策》在用戶初次使用銀行服務(wù)時(shí)(如通過線上或線下方式開立賬戶)向用戶展示并獲取同意,而不應(yīng)以APP中展示的方式予以代替。
(三)第58條:影響評(píng)估
第五十八條
銀行保險(xiǎn)機(jī)構(gòu)在開展涉及對個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)時(shí),應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估,評(píng)估內(nèi)容包括個(gè)人信息處理的合法性、必要性,對個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn),所采取的保護(hù)措施合法性、有效性以及是否與風(fēng)險(xiǎn)程度相適應(yīng)。個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。
銀行保險(xiǎn)機(jī)構(gòu)需開展個(gè)人信息保護(hù)影響評(píng)估(personal information security impact assessment,以下簡稱PIA)的制度依據(jù)為《個(gè)人信息保護(hù)法》第55條第5款的規(guī)定,且按照該條的規(guī)定,處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、對外共享或提供個(gè)人信息以及利用個(gè)人信息進(jìn)行自動(dòng)化決策等4種情形下也同樣需要履行PIA程序。
根據(jù)《信息安全技術(shù) 個(gè)人信息安全影響評(píng)估指南》(GB/T39335—2020)的規(guī)定,除上述條款中列明的評(píng)估內(nèi)容外,銀行保險(xiǎn)機(jī)構(gòu)還應(yīng)對個(gè)人信息處理目的與合法性基礎(chǔ)、告知與同意的實(shí)施情況、數(shù)據(jù)全生命周期保護(hù)情況、個(gè)人權(quán)利響應(yīng)以及安全保障措施是否合法有效等方面進(jìn)行評(píng)估。
(四)第59-61條:共享和外部提供、跨境傳輸、委托處理
第五十九條
銀行保險(xiǎn)機(jī)構(gòu)與其母行、集團(tuán),或者其子行、子公司共享個(gè)人信息,及向外部提供個(gè)人信息,應(yīng)當(dāng)履行向個(gè)人告知及取得其同意等相關(guān)事項(xiàng)的義務(wù)。
第六十條
銀行保險(xiǎn)機(jī)構(gòu)向中華人民共和國境外提供個(gè)人信息的,除滿足第五十九條規(guī)定的要求外,還應(yīng)當(dāng)向個(gè)人告知其向境外接收方行使信息權(quán)利的方式和程序等事項(xiàng),法律、行政法規(guī)另有規(guī)定的除外。
第六十一條
銀行保險(xiǎn)機(jī)構(gòu)委托第三方處理個(gè)人信息的,應(yīng)當(dāng)在合同或者協(xié)議條款內(nèi)明確受托人對個(gè)人信息的保護(hù)義務(wù)、保護(hù)措施和期限等,并嚴(yán)格監(jiān)督受托人以約定的處理目的、處理方式等處理個(gè)人信息,與第三方傳輸個(gè)人敏感數(shù)據(jù)必須確保安全,防范數(shù)據(jù)濫用和泄漏風(fēng)險(xiǎn)。未經(jīng)銀行保險(xiǎn)機(jī)構(gòu)同意,受托人不得轉(zhuǎn)委托他人處理個(gè)人信息。
上述3條規(guī)定主要涉及銀行保險(xiǎn)機(jī)構(gòu)所掌握的個(gè)人信息對外提供等相關(guān)問題。
1. 向關(guān)聯(lián)主體或?qū)ν馓峁﹤€(gè)人信息
針對59條后半段提及的個(gè)人信息對外提供時(shí)需要征得個(gè)人單獨(dú)同意的問題,該規(guī)定與《個(gè)人信息保護(hù)法》的規(guī)定一致,不再贅述。
需要引起關(guān)注的是:適用“單獨(dú)同意”規(guī)則的情形是“母子行/公司”類關(guān)聯(lián)主體之間的共享,而不適用于“總分行/公司”類主體之間的共享。換言之,雖然根據(jù)《最高人民法院關(guān)于適用<中華人民共和國民事訴訟法>的解釋》第52條的規(guī)定,銀行分行或保險(xiǎn)分公司具有獨(dú)立法人資格,但相互主體之間的個(gè)人信息共享仍無需征得個(gè)人同意,符合各地的操作實(shí)踐;但承《商業(yè)銀行理財(cái)子公司管理辦法》關(guān)于銀行理財(cái)子公司與其主要股東及關(guān)聯(lián)主體之間應(yīng)當(dāng)建立風(fēng)險(xiǎn)隔離制度的要求,若銀行保險(xiǎn)機(jī)構(gòu)出于業(yè)務(wù)推廣的目的(如推銷理財(cái)產(chǎn)品等)需要向關(guān)聯(lián)主體共享個(gè)人信息,則應(yīng)當(dāng)嚴(yán)格履行“單獨(dú)同意”程序。
2. 向境外提供個(gè)人信息
對于外資銀行保險(xiǎn)機(jī)構(gòu)個(gè)人,向境外股東提供境內(nèi)用戶個(gè)人信息亦是業(yè)務(wù)中常見的操作,銀行保險(xiǎn)機(jī)構(gòu)在向境外提供該等個(gè)人信息時(shí),還應(yīng)當(dāng)向用戶告知境外接收方的相關(guān)信息。另根據(jù)2024年3月出臺(tái)的《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》,銀行保險(xiǎn)機(jī)構(gòu)還應(yīng)當(dāng)采用數(shù)據(jù)出境安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同或個(gè)人信息保護(hù)認(rèn)證等方式履行相關(guān)監(jiān)管義務(wù)。
3. 委托第三方處理個(gè)人信息
根據(jù)金管局于2023年6月發(fā)布的《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》及相關(guān)監(jiān)管精神,銀行保險(xiǎn)機(jī)構(gòu)一方面可通過將非核心業(yè)務(wù)進(jìn)行外包的方式以降本增效,但另一方面應(yīng)遵循“服務(wù)外包,責(zé)任不外包”,嚴(yán)格加強(qiáng)對第三方外包機(jī)構(gòu)的管理,通過合同等方式明確雙方權(quán)利義務(wù),并切實(shí)履行相關(guān)監(jiān)督義務(wù)。
(五)第62條:自動(dòng)化決策
第六十二條
銀行保險(xiǎn)機(jī)構(gòu)在算法設(shè)計(jì)、訓(xùn)練數(shù)據(jù)選擇和模型生成時(shí),應(yīng)當(dāng)采取有效措施,保障個(gè)人合法權(quán)益。利用個(gè)人信息進(jìn)行自動(dòng)化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正。
自動(dòng)化決策,是指通過計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等,并進(jìn)行決策的活動(dòng)。
銀行保險(xiǎn)機(jī)構(gòu)在日常經(jīng)營過程中自動(dòng)化決策使用較多的領(lǐng)域分別為個(gè)性化推廣以及自動(dòng)風(fēng)控審核:
1.對于個(gè)性化推廣而言,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)保證,不得對用戶交易條件上實(shí)行不合理的差別待遇,不得進(jìn)行價(jià)格歧視。
2.對于自動(dòng)風(fēng)控審核而言,由于風(fēng)控審核的結(jié)果必然將對用戶的權(quán)利造成影響(如是否獲得貸款資格以及貸款對應(yīng)的利率),屬于《個(gè)人信息保護(hù)法》第24條第3款規(guī)定的情形,用戶有權(quán)要求銀行保險(xiǎn)機(jī)構(gòu)對決策結(jié)果予以說明,且有權(quán)拒絕該等僅以自動(dòng)化決策作出的決定(即要求人工審核或復(fù)核)。但在實(shí)踐中,出于算法黑箱及權(quán)限管控等原因,銀行保險(xiǎn)機(jī)構(gòu)一線從業(yè)人員往往無法掌握相關(guān)信息,無法做到向用戶明確解析相關(guān)決策所依據(jù)的因素與決策的流程,無法履行該條規(guī)定所確定的義務(wù)。
(六)第63條:個(gè)人信息風(fēng)險(xiǎn)報(bào)告
第六十三條
發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)立即采取補(bǔ)救措施,同時(shí)通知個(gè)人并報(bào)送國家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)。通知應(yīng)當(dāng)包括下列事項(xiàng):
(一)發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;
(二)銀行保險(xiǎn)機(jī)構(gòu)采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施。
銀行保險(xiǎn)機(jī)構(gòu)采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,可以不通知個(gè)人;監(jiān)管部門認(rèn)為可能造成危害的,有權(quán)要求銀行保險(xiǎn)機(jī)構(gòu)通知個(gè)人。
數(shù)據(jù)安全事故報(bào)告制度的建立依據(jù)為《數(shù)據(jù)安全法》第29條關(guān)于“發(fā)生數(shù)據(jù)安全事件時(shí),應(yīng)當(dāng)立即采取處置措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告”的規(guī)定。
針對涉數(shù)據(jù)及個(gè)人信息泄露突發(fā)事件的報(bào)告制度,同時(shí)亦可見于2019年6月發(fā)布的《銀行業(yè)保險(xiǎn)業(yè)突發(fā)事件信息報(bào)告辦法》,在發(fā)生“銀行保險(xiǎn)機(jī)構(gòu)丟失或泄露大量重要資料、重要賬冊、重要空白憑證、重要數(shù)據(jù)或客戶信息等,已經(jīng)或可能造成重大損失、嚴(yán)重影響”的重大事件時(shí),應(yīng)當(dāng)按照該辦法第3章的規(guī)定,在規(guī)定的時(shí)限內(nèi)向特定部門進(jìn)行報(bào)告,否則將面臨考評(píng)和問責(zé)。
結(jié) 語
隨著數(shù)字時(shí)代的深入發(fā)展,銀行保險(xiǎn)機(jī)構(gòu)在個(gè)人信息保護(hù)制度上的演進(jìn)與強(qiáng)化已成為不可逆轉(zhuǎn)的趨勢。從早期的推薦性標(biāo)準(zhǔn)到如今的《銀保數(shù)安辦法》公開征求意見,我國金融行業(yè)的個(gè)人信息保護(hù)體系不斷完善,監(jiān)管力度顯著增強(qiáng)。這一系列規(guī)章制度的發(fā)布,不僅體現(xiàn)了國家對個(gè)人金融信息安全的高度重視,也反映了金融監(jiān)管機(jī)構(gòu)對市場變化的快速響應(yīng)與前瞻性布局。
《銀保數(shù)安辦法》的出臺(tái),不僅細(xì)化了銀行保險(xiǎn)機(jī)構(gòu)在處理個(gè)人信息時(shí)的具體原則與要求,還明確了合規(guī)義務(wù),特別是強(qiáng)調(diào)了處理個(gè)人信息時(shí)的告知同意原則、最小必要原則,以及個(gè)人信息保護(hù)影響評(píng)估的重要性,這不僅符合國際個(gè)人信息保護(hù)的最佳實(shí)踐,也為銀行保險(xiǎn)機(jī)構(gòu)提供了清晰的操作指導(dǎo)。此外,對跨境傳輸、委托處理等特殊場景的嚴(yán)格規(guī)定,彰顯了監(jiān)管層面對個(gè)人信息跨境流動(dòng)風(fēng)險(xiǎn)的審慎態(tài)度,旨在構(gòu)建一個(gè)既開放又安全的數(shù)據(jù)生態(tài)。
執(zhí)法實(shí)踐中的案例通報(bào)更是對行業(yè)內(nèi)的警示,提醒所有金融參與者必須嚴(yán)格遵守個(gè)人信息保護(hù)的法律法規(guī),否則將面臨嚴(yán)厲的法律后果。這些措施的實(shí)施,有助于提升公眾對金融機(jī)構(gòu)的信任,維護(hù)金融市場的穩(wěn)定與健康發(fā)展。
未來,銀行保險(xiǎn)機(jī)構(gòu)還需持續(xù)關(guān)注監(jiān)管動(dòng)態(tài),不斷提升數(shù)據(jù)安全管理水平,建立健全個(gè)人信息保護(hù)機(jī)制,特別是在數(shù)據(jù)共享、跨境傳輸?shù)葟?fù)雜場景下,要更加注重合規(guī)操作,強(qiáng)化對第三方合作的監(jiān)督,確保個(gè)人信息處理活動(dòng)既合法合規(guī)又透明可控。最終,形成以技術(shù)保障為基礎(chǔ)、管理制度為核心、文化自覺為支撐的全方位個(gè)人信息保護(hù)體系,共同守護(hù)每一位金融消費(fèi)者的個(gè)人信息安全,推動(dòng)金融行業(yè)在數(shù)字化轉(zhuǎn)型的浪潮中穩(wěn)健前行。
(作者:黎莎莎 陳明杰)
