特邀作者
樊晓娟 中伦律师事务所合伙人律师
3月15日,中国银行保险监督管理委员会(“银保监会”)召开“银行业保险业深入推进金融消费者保护”专场新闻发布会。新闻发布会上,银保监会消保局郭武平局长指出,今年的重点工作之一是“开展银行业保险业个人信息保护专项整治”。本文是在监管进一步强化的背景下,给予银行保险机构在个人信息保护方面的合规建议。
个人金融信息安全
所谓个人金融信息,是指银行业金融机构在开展业务、提供服务、接入中国人民银行征信系统、支付系统及其他系统时获取、保存、加工的个人信息,包括但不限于账户信息、鉴别信息、金融交易信息、个人身份信息、个人财产信息等,是个人隐私的重要部分。随着金融科技化、数字化的进程,个人金融信息被泄露、转卖的情况比比皆是,成为了监管部门整治工作的重点。
(一)个人金融信息安全的行业标准
2020年,中国人民银行提出了《个人金融信息保护技术规范(JR/T 0171-2020)》(“《规范》”),从行业特性出发,对个人金融信息的保护提供了详细的行业标准。
《规范》将其直接适用范围划定为“由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构”(“金融业机构”),这就意味着包括银行业金融机构、各类证券、基金、保险机构在内的广义的持牌金融业机构,以及处理个人金融信息的相关机构(可能持牌或非持牌),例如第三方支付公司、金融科技公司等,都将直接适用《规范》。
《规范》还从个人金融信息的生命周期入手,设计并实施覆盖个人金融信息的收集、传输、存储、使用、删除、销毁等全生命周期的安全保护策略。并从个人金融信息全生命周期的安全技术要求、安全管理要求、安全制度体系的建立及其组织架构和岗位设置、安全监测与风险评估、安全事件处置方面,制定详尽的标准及要求,供银行及其他金融业机构开展业务时参考。
(二)敏感个人信息的特别保护
《个人信息保护法》对敏感个人信息作出了界定[1],金融账户及其他一旦泄露将导致个人人身、财产安全受到危害的相关信息被纳入敏感个人信息的范围。同时,《个人信息保护法》也对敏感个人信息作出了特别保护规定。
对于作为敏感个人金融信息进行收集、共享、转让、公开披露等处理活动,需要取得个人的明示同意;在处理敏感个人金融信息前,需要告知个人处理敏感个人信息的必要性以及对个人权益的影响。金融业机构对敏感个人金融信息的处理要更为细致,注意保留取得个人明示同意以及告知个人必要性的记录。
(三)分类管理
金融业机构应按照《规范》的要求,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。
银行及金融业机构根据具体业务开展、具体服务场景对信息进行识别和归类,并根据不同类别个人金融信息在全生命周期中的阶段,针对性的采取保护措施。
如,在个人金融信息收集阶段,C3、C2类别需要具备金融业资质,对于C3类别,通过受理终端、浏览器、客户端应用软件等方式进行收集的,应使用加密技术防止数据泄露;在委托处理阶段,C3、C2类别信息中的用户鉴别辅助信息,不可委托给第三方机构进行处理;在加工处理过程中,C3、C2类别信息在清洗和转换过程中应采取更严格的保护措施。
算法的合规使用
2022年3月14日,中国银行保险监督管理委员会(“银保监会”)发布了《关于警惕过度借贷营销诱导的风险提示》(“风险提示”)[2],提醒消费者远离过度借贷营销陷阱,防范过度信贷风险。次日,银保监会召开的新闻发布会再次强调金融消费者保护的重要性和必要性。
在金融领域中,算法已经得到广泛应用,算法在提高金融服务效率和服务质量的同时,也带来风险提示中“个人消费信贷服务与各种消费场景深度绑定”的借贷营销陷阱。于今年3月1日生效的《互联网信息服务算法推荐管理规定》(“《算法规定》”)填补了这方面立法空白,成为金融业机构开展业务、开发APP时进行合规自查的主要参考法规,具有不少值得注意的亮点。
(一)信息服务基本规范
算法推荐服务机制应当向上向善,通过用户提供的个人信息、其搜索习惯等,利用算法增加用户便捷度并为用户量身定制服务是可取的,但不得利用算法干预信息,如屏蔽信息、过度推荐、操纵榜单或者控制检索结果排序、控制热搜精选等。
这意味着金融业机构即便取得用户明示同意其使用个人金融信息的前提下,仍不得利用算法强制或者变相强制用户接受金融产品或者服务。也不得排除、限制金融消费者接受同业机构提供的金融产品或者服务。
(二)告知义务及用户选择权
如果金融业机构利用算法向不同类别资产持有人推送不同的理财产品,应当告知用户该算法的基本原理,提高规则的透明度和可解释性。用户对于是否使用算法具有选择权,如果用户选择关闭,金融业机构应当立即停止算法推荐服务。
同时,金融业机构应当设置便捷有效的用户申诉和公众投诉、举报入口,将处理流程和反馈时限明确并进行公示,及时受理、处理并向用户反馈处理结果。
(三)算法分级分类安全管理制度
《算法规定》要求根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内进行备案。[3]
金融业机构要根据自身采用算法提供的服务进行识别,并确认是否需要进行备案。
银行保险业务APP
2021年,工信部共发布11批关于侵害用户权益行为的APP,包括工信部和各地方通信管理局通报存在问题的APP。其中,多家银行的APP被通报,主要问题集中在违规/超范围收集个人信息;强制用户使用定向推送功能或者App强制、频繁、过度索取权限。
(一)违规后果
根据《个人信息保护法》、《网络安全法》、《数据安全法》、《算法规定》等相关法律法规,工业和信息化部及各省通信管理局对APP进行排查,有问题的APP将被通报批评,并限期整改。被通报的银行保险业APP如未能按期整改,根据其具体的违规行为,由有关主管部门相应暂停业务、责令改正、警告、吊销相关业务许可或执照、以及处以罚款等处罚。
(二)合规建议
目前我国法律建立了以“告知-同意”为核心的个人信息处理原则,事先征得用户同意为前提,最低限度保障用户事后包括请求删除、更正、撤回同意的权利为辅。在法院公布的已生效判决中,也强调了以“告知-同意”为主要裁量标准的审判理念。所以
1、履行告知义务
金融业机构开发的APP在利用算法时,应谨遵《算法规定》的要求,参考上文中算法合规要求部分进行合规自查,明示告知用户算法使用规则。同时,各金融业机构开发的APP多倾向于使用人脸识别、指纹识别作为登录验证方式,要结合《个人信息保护法》的要求,告知用户个人信息的处理目的、方式以及其他规定事项。
需要注意的是,收集使用规则的内容不能使用大量专业术语,或采取晦涩难懂、冗长繁琐的叙述使得用户难以理解,这种无效告知仍会被判定为“未明示收集使用个人信息的目的、方式和范围”。
2、取得用户同意
处理个人信息需要取得用户同意,处理生物识别信息、敏感个人金融信息更需要取得用户的同意。对于金融业机构来说,最保险的方式是将取得同意的记录固定并留存下来。金融业机构或可考虑通过在APP中加入弹窗设计,同时达成提醒用户和取得用户同意的目的,这也是目前大多数移动APP所采用的办法。
结 语
2021年是个人信息保护的立法年,而2022年则是各监管机构秉承法律法规,加大执法力度,使执法常态化、精准化的一年。金融业是国民经济的核心行业,金融业机构是受到严格监管的持牌经营机构,其行业特点造就其具有做好风险管理工作、维护机构良好社会形象的义务,而个人金融信息的保护正是风险管理工作中举足轻重的一环。个人金融信息保护是一项长期任务,需要立法机构、监管机构与金融业机构共同努力,切实构建个人金融信息长效保护机制。
原文标题 : 解读银保监“消保专项治理”,强监管下金融业个人信息安全如何守