摘要:在众多银行保险机构数据中,自然人个人信息当属最重要的一部分。《银行保险机构数据安全管理办法(征求意见稿)》(以下简称《银保数安办法》)以专章共10条的篇幅对银行保险机构个人信息的处理原则及相关要求作出了规定。本文将从《银保数安办法》出发,结合相关金融监管机构关于个人信息保护的监管历程,探析该办法所传达的监管重点及相关机构的合规义务。
前言:在众多银行保险机构数据中,自然人个人信息当属最重要的一部分,且根据公开数据显示,2023年国内共发生涉金融机构的数据泄露事件8758起,占比44.91%,金融机构已成为个人信息泄露事件数量最多的行业,银行等金融机构在近年来因个人金融信息安全被监管处罚的案例也在逐年递增。因此,规范金融机构数据处理活动、加快个人信息保护与数据安全体系建设的监管需求迫在眉睫。在此背景下,2024年3月22日,国家金融监督管理总局(以下简称金管局)发布了《银保数安办法》,并向社会公开征求意见。结合2023年1月证监会发布的《证券期货业网络和信息安全管理办法》以及2023年7月人民银行发布的《中国人民银行业务领域数据安全管理办法(征求意见稿》(以下简称《人行数安办法》),国内金融行业数据安全体系已基本构建完成。
《银保数安办法》亦以专章共10条的篇幅对银行保险机构个人信息的处理原则及相关要求作出了规定。本文将从《银保数安办法》出发,结合相关金融监管机构关于个人信息保护的监管历程,探析该办法所传达的监管重点及相关机构的合规义务。
1 金融业机构个人信息保护制度的监管沿革
国内金融行业针对数据安全管理的相关规定最早可追溯到2010年,由彼时的保险监督管理委员会以金融行业推荐性标准的方式发布了《保险信息安全风险评估指标体系规范》(JR/T0058-2010),旨在通过设定具体的保险行业数据安全管理技术与指标,指导和帮助保险机构提升信息安全保护能力。但是与此后“一行三会”发布的相关规定类似,该规范仅在完善金融行业整体信息数据安全规范的框架下,对个人信息相关内容进行原则性规定,并未列出明确的合规指引或操作规范。
2020年2月,中国人民银行针对金融行业个人信息保护问题发布了《个人金融信息保护技术规范》(JR/T 0171—2020),规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。该规定作为金融行业个人信息领域的针对性规范,其针对个人金融信息的范围、分类分级的标准以及分级分类后的管理规范等要求正作为银行保险业机构个人信息保护体系建设的重要依据。
2020年10月,全国信息安全标准化技术委员会在其发布的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中吸收了《个人金融信息保护技术规范》对个人金融信息的定义,在其附录A《个人信息示例》中即将部分个人金融信息列入个人财产信息的范围内,个人金融信息正式被纳入《个人信息保护法》的调整范围内。
2021年9月,人民银行发布了《征信业务管理办法》第10条中,亦针对机构端个人信息保护作出要求,明确征信机构与信息提供者在开办业务及合作中应当遵守《中华人民共和国个人信息保护法》等法律法规,通过协议等形式明确信息采集的原则的规定,并在第34条中对处理100万户以上企业信用信息的企业征信机构作出需要设立个人信息保护制度的相关要求。
2022年12月,银保监会(已撤销)在发布的《银行保险机构消费者权益保护管理办法》中第6章亦以专章的形式明确了银行保险机构在处理消费者个人信息过程中应当遵守的原则、个人信息收集及处理的原则、告知同意的方式、第三方委托处理及共享的程序以及禁止性要求等问题。该办法首次以部门规章的方式对银行保险机构个人信息保护的相关问题作出规定,条文设置与个人信息处理的流程相匹配,相关规定亦被后续出台的《银保数安办法》进一步吸收。
2 银行保险领域个人信息保护执法情况
个人金融信息直接关系到个人的资金安全、信用评价以及重大经济活动的顺利进行,一旦泄露或被滥用,不仅可能造成经济损失,还会影响个人信誉,甚至引发一系列连锁反应。
根据第三方安全服务机构“威胁猎人”发布的《2023年数据泄露风险年度报告》显示,2023年国内共发生涉金融机构的数据泄露事件8758起,占比44.91%,成为个人信息泄露事件数量最多的行业。从金融细分行业来看,数据泄露事件数量发生最多的是银行业,全年共发生4293起,涉及银行、保险、证券等行业高净值人群信息。
为此,国家各级金融管理部门均已持续针对银行保险领域个人信息保护情况进行监督及执法,金管局于2024年3月即下发了《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》,针对银行保险机构在业务开展过程中存在的个人信息收集、存储和传输、信息查询和使用、提供和删除以及第三方合作等场景中存在的问题进行通报。在行政执法方面,根据2024年4月7日金管局发布的信息显示,金管局台州监管分局针对台州银行存在的客户敏感信息保护不到位问题,对台州银行处以385万元罚款,并对主要责任人予以警告。除此以外,各地银行保险机构因个人信息保护不力被处罚的案例也屡见不鲜:
(一)2023年4月6日,重庆富民银行因违反消费者金融信息保护管理规定,被人行重庆营管部处处罚1万元并予以警告;
(二)2023年4月20日,兰州银行因APP、SDK违规收集个人信息、超范围收集个人信息以及APP强制、频繁、过度索取权限,被甘肃省通信管理局予以通报;
(三)2023年9月19日,浙江嘉善农商行因违反消费者金融信息保护管理规定,被人行嘉兴市分行处罚121万元;
(四)2023年10月23日,浙江宁银消费金融股份有限公司因提供个人不良信息未实现告知信息主体本人,被人民银行宁波市分行处罚20万元;
(五)2023年10月25日,河南义马农商行因未按约定用途使用个人信息等行为,被人行三门峡市分行处罚46.35万元并予以警告;
(六)2023年12月25日,陕西秦农农商行因存在客户信息保护管理薄弱等问题,被金管局陕西管理局处罚115万元;
(七)2024年3月7日,昆仑保险经纪公司因未与保险人对投保信息保密及合理使用进行依法约定等问题,被金管局大庆分局罚款1万元并予以警告;
(八)2024年3月22日,天津农商银行因个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则涉嫌隐私不合规,被国家计算机病毒应急处理中心予以通报。
3 《银保数安办法》的适用范围及相关问题
(一)《银保数安办法》的适用范围
《银保数安办法》第2条规定:“在中华人民共和国境内设立的开发性金融机构、政策性银行、商业银行、农村合作银行、农村信用社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司适用本办法。”
根据上述规定,该办法除适用于银行业机构、保险业机构、金融控股公司等金管局的传统监管目标以外,还包括信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司以及理财公司等。对于该等非银行及保险金融机构而言,因自身经营范围及体量相对较小,数据安全及个人信息保护意识相对较弱,在该办法正式定稿出台后,应当提高对个人信息保护的重视及风险防范意识。
对于由地方金融监管部门承担监管职责的融资租赁公司、小额贷款公司以及典当行等类金融机构,则暂时不适用上述规定。但需要注意的是:根据《个人金融信息保护技术规范》的规定,任何处理个人金融信息的机构均应承担个人金融信息的保护义务。这将意味着:虽然融资租赁公司等类金融机构不适用《银保数安办法》,但该类机构以及涉及个人金融信息处理的金融服务机构、金融科技公司等新型金融业机构也应根据相关标准的规定做好个人金融信息的保护工作。
(二)金融个人信息的定义
《银保数安办法》虽在第3条对该办法所调整的“数据”以及“个人信息”进行定义,但相关定义基本仅沿用《数据安全法》及《个人信息保护法》的规定,并未根据金融行业的特殊情况对数据及个人信息的范围进行进一步明确或列举。目前该等规定尚不利于银行保险机构确定数据及个人信息保护的对象,期望相关部门未来进一步出台文件对《银保数安法》所调整的“数据“及”个人信息“进行进一步明确。
针对本文讨论的银行保险机构个人信息保护义务而言,《个人金融信息保护技术规范》中关于“个人金融信息”的定义可供参考,即:金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
(三)《银保数安办法》与《人行数安办法》的区别
《银保数安办法》与《人行数安办法》之间的区别主要体现在适用范围:《银保数安办法》适用于金管局管辖的银行与保险机构,属于从主体层面进行的监管;《人行数安办法》则是适用于中国人民银行业务领域数据相关的处理活动,属于从业务层面进行的监管,涉及货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。同时,由于《人行数安办法》的监管对象主要为银行间“对公”业务中涉及的数据业务,因此亦未对个人信息保护相关问题进行明确规定。
对于接受央行及金管局“双线”监管的商业银行而言,则其在开展个人信息处理活动中应同时遵守《银保数安办法》与《人行数安办法》的规定。比如:针对个人信息分级分类问题,商业银行应适用《人行数安办法》第9条更为严格的规定,在数据分级的基础上,根据个人信息遭到泄露或者被非法获取、非法利用时可能对个人造成的危害程度,将个人信息类数据从低至高进一步分为一至五共五个层级,并进行分级分类管理。
4 《银保数安办法》关于个人信息保护制度的规定与解读
《银保数安办法》在第6章以专章共10条的篇幅对银行保险机构个人信息的处理原则及相关要求作出了规定,各条文的重点及解读如下:
(一)第54-55条:处理原则
第五十四条
银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施,法律、行政法规另有规定的除外,并在信息系统中实现相关功能控制。
第五十五条
银行保险机构处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,收集个人信息应当限于实现金融业务处理目的的最小范围,不得过度收集个人信息。不得利用所收集的个人信息从事违法违规活动。
《银保数安办法》在个人信息保护专章的前两条重申了《个人信息保护法》中关于处理个人信息的“明确告知、授权同意”以及“最小、必要”原则,体现了法律法规之间的衔接。需要注意的是:第55条中提及银行保险机构在收集个人信息过程中的“最小范围”应仅限于实现金融业务处理目的本身,而在目前国家大力开展“反诈”业务的背景下,出于“反诈”目的收集自然人的基本开户信息(如姓名、身份证号码、住址及联系电话)以外的个人信息(如向电信运营商查询手机号使用状态、通话频率、在网时间、消费状态等)亦是符合该条规定的情形,但应获得用户的单独授权同意。
(二)第56-57条:告知义务
第五十六条
银行保险机构处理个人信息前,应当真实、准确、完整地向个人告知其个人信息的处理目的、处理方式、处理的个人信息种类、保存期限,个人行使其信息权利的申请受理和处理程序,以及法律法规规定应当告知的其他事项。
银行保险机构应当制定个人信息处理规则,个人信息处理规则应当公开展示、易于访问、内容明确、清晰易懂。
第五十七条
银行保险机构不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。
第56-57条中规定告知及同意规则与《个人信息保护法》以及《信息安全技术 个人信息安全规范》的规定亦保持一致,但银行保险机构在开展业务中应注意将相关《隐私政策》在用户初次使用银行服务时(如通过线上或线下方式开立账户)向用户展示并获取同意,而不应以APP中展示的方式予以代替。
(三)第58条:影响评估
第五十八条
银行保险机构在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估,评估内容包括个人信息处理的合法性、必要性,对个人权益的影响及安全风险,所采取的保护措施合法性、有效性以及是否与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
银行保险机构需开展个人信息保护影响评估(personal information security impact assessment,以下简称PIA)的制度依据为《个人信息保护法》第55条第5款的规定,且按照该条的规定,处理敏感个人信息、利用个人信息进行自动化决策、对外共享或提供个人信息以及利用个人信息进行自动化决策等4种情形下也同样需要履行PIA程序。
根据《信息安全技术 个人信息安全影响评估指南》(GB/T39335—2020)的规定,除上述条款中列明的评估内容外,银行保险机构还应对个人信息处理目的与合法性基础、告知与同意的实施情况、数据全生命周期保护情况、个人权利响应以及安全保障措施是否合法有效等方面进行评估。
(四)第59-61条:共享和外部提供、跨境传输、委托处理
第五十九条
银行保险机构与其母行、集团,或者其子行、子公司共享个人信息,及向外部提供个人信息,应当履行向个人告知及取得其同意等相关事项的义务。
第六十条
银行保险机构向中华人民共和国境外提供个人信息的,除满足第五十九条规定的要求外,还应当向个人告知其向境外接收方行使信息权利的方式和程序等事项,法律、行政法规另有规定的除外。
第六十一条
银行保险机构委托第三方处理个人信息的,应当在合同或者协议条款内明确受托人对个人信息的保护义务、保护措施和期限等,并严格监督受托人以约定的处理目的、处理方式等处理个人信息,与第三方传输个人敏感数据必须确保安全,防范数据滥用和泄漏风险。未经银行保险机构同意,受托人不得转委托他人处理个人信息。
上述3条规定主要涉及银行保险机构所掌握的个人信息对外提供等相关问题。
1. 向关联主体或对外提供个人信息
针对59条后半段提及的个人信息对外提供时需要征得个人单独同意的问题,该规定与《个人信息保护法》的规定一致,不再赘述。
需要引起关注的是:适用“单独同意”规则的情形是“母子行/公司”类关联主体之间的共享,而不适用于“总分行/公司”类主体之间的共享。换言之,虽然根据《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第52条的规定,银行分行或保险分公司具有独立法人资格,但相互主体之间的个人信息共享仍无需征得个人同意,符合各地的操作实践;但承《商业银行理财子公司管理办法》关于银行理财子公司与其主要股东及关联主体之间应当建立风险隔离制度的要求,若银行保险机构出于业务推广的目的(如推销理财产品等)需要向关联主体共享个人信息,则应当严格履行“单独同意”程序。
2. 向境外提供个人信息
对于外资银行保险机构个人,向境外股东提供境内用户个人信息亦是业务中常见的操作,银行保险机构在向境外提供该等个人信息时,还应当向用户告知境外接收方的相关信息。另根据2024年3月出台的《促进和规范数据跨境流动规定》,银行保险机构还应当采用数据出境安全评估、个人信息出境标准合同或个人信息保护认证等方式履行相关监管义务。
3. 委托第三方处理个人信息
根据金管局于2023年6月发布的《关于加强第三方合作中网络和数据安全管理的通知》及相关监管精神,银行保险机构一方面可通过将非核心业务进行外包的方式以降本增效,但另一方面应遵循“服务外包,责任不外包”,严格加强对第三方外包机构的管理,通过合同等方式明确双方权利义务,并切实履行相关监督义务。
(五)第62条:自动化决策
第六十二条
银行保险机构在算法设计、训练数据选择和模型生成时,应当采取有效措施,保障个人合法权益。利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正。
自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
银行保险机构在日常经营过程中自动化决策使用较多的领域分别为个性化推广以及自动风控审核:
1.对于个性化推广而言,银行保险机构应保证,不得对用户交易条件上实行不合理的差别待遇,不得进行价格歧视。
2.对于自动风控审核而言,由于风控审核的结果必然将对用户的权利造成影响(如是否获得贷款资格以及贷款对应的利率),属于《个人信息保护法》第24条第3款规定的情形,用户有权要求银行保险机构对决策结果予以说明,且有权拒绝该等仅以自动化决策作出的决定(即要求人工审核或复核)。但在实践中,出于算法黑箱及权限管控等原因,银行保险机构一线从业人员往往无法掌握相关信息,无法做到向用户明确解析相关决策所依据的因素与决策的流程,无法履行该条规定所确定的义务。
(六)第63条:个人信息风险报告
第六十三条
发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,同时通知个人并报送国家金融监督管理总局或者其派出机构。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)银行保险机构采取的补救措施和个人可以采取的减轻危害的措施。
银行保险机构采取措施能够有效避免信息泄露、篡改、丢失造成危害的,可以不通知个人;监管部门认为可能造成危害的,有权要求银行保险机构通知个人。
数据安全事故报告制度的建立依据为《数据安全法》第29条关于“发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告”的规定。
针对涉数据及个人信息泄露突发事件的报告制度,同时亦可见于2019年6月发布的《银行业保险业突发事件信息报告办法》,在发生“银行保险机构丢失或泄露大量重要资料、重要账册、重要空白凭证、重要数据或客户信息等,已经或可能造成重大损失、严重影响”的重大事件时,应当按照该办法第3章的规定,在规定的时限内向特定部门进行报告,否则将面临考评和问责。
结 语
随着数字时代的深入发展,银行保险机构在个人信息保护制度上的演进与强化已成为不可逆转的趋势。从早期的推荐性标准到如今的《银保数安办法》公开征求意见,我国金融行业的个人信息保护体系不断完善,监管力度显著增强。这一系列规章制度的发布,不仅体现了国家对个人金融信息安全的高度重视,也反映了金融监管机构对市场变化的快速响应与前瞻性布局。
《银保数安办法》的出台,不仅细化了银行保险机构在处理个人信息时的具体原则与要求,还明确了合规义务,特别是强调了处理个人信息时的告知同意原则、最小必要原则,以及个人信息保护影响评估的重要性,这不仅符合国际个人信息保护的最佳实践,也为银行保险机构提供了清晰的操作指导。此外,对跨境传输、委托处理等特殊场景的严格规定,彰显了监管层面对个人信息跨境流动风险的审慎态度,旨在构建一个既开放又安全的数据生态。
执法实践中的案例通报更是对行业内的警示,提醒所有金融参与者必须严格遵守个人信息保护的法律法规,否则将面临严厉的法律后果。这些措施的实施,有助于提升公众对金融机构的信任,维护金融市场的稳定与健康发展。
未来,银行保险机构还需持续关注监管动态,不断提升数据安全管理水平,建立健全个人信息保护机制,特别是在数据共享、跨境传输等复杂场景下,要更加注重合规操作,强化对第三方合作的监督,确保个人信息处理活动既合法合规又透明可控。最终,形成以技术保障为基础、管理制度为核心、文化自觉为支撑的全方位个人信息保护体系,共同守护每一位金融消费者的个人信息安全,推动金融行业在数字化转型的浪潮中稳健前行。
(作者:黎莎莎 陈明杰)
