面對強監(jiān)管，銀行保險機構(gòu)如何開展個人信息保護

來源：張奧迪    發(fā)布日期：2022.08.15   點擊量：

近日，銀保監(jiān)會辦公廳在業(yè)內(nèi)下發(fā)《關(guān)于開展銀行保險機構(gòu)侵害個人信息權(quán)益亂象專項整治工作的通知》（以下簡稱“《通知》”）。

《通知》要求，全面摸排本機構(gòu)自2021年以來與消費者個人信息處理活動相關(guān)的經(jīng)營行為和管理情況，深入查找本機構(gòu)個人信息保護方面存在的問題。近年來監(jiān)管多次對存在個人信息保護問題的銀行開出巨額罰單，此次《通知》的下發(fā)表明銀行保險機構(gòu)再迎個人信息保護強監(jiān)管。

01

個人信息保護監(jiān)管再加強

       此次銀保監(jiān)會向各銀保監(jiān)局、銀行保險機構(gòu)等下發(fā)的《關(guān)于開展銀行保險機構(gòu)侵害個人信息權(quán)益亂象專項整治工作的通知》，要求全面梳理和排查銀行業(yè)保險業(yè)在個人信息保護方面的問題和漏洞，深入整治侵害消費者信息權(quán)益亂象，督促銀行保險機構(gòu)建立健全消費者個人信息保護工作機制等。

《通知》要求，各銀行保險機構(gòu)全面摸排本機構(gòu)自2021年以來與消費者個人信息處理活動相關(guān)的經(jīng)營行為和管理情況，深入查找本機構(gòu)個人信息保護方面存在的問題，列出問題清單。自查過程中要堅持立查立改。對短期內(nèi)無法整改完成的問題，要建立整改臺賬，明確整改措施，逐項逐步推進。

　　與此同時，各銀保監(jiān)局要前置自查督導(dǎo)工作，壓實機構(gòu)自查責(zé)任，防止出現(xiàn)將通知一轉(zhuǎn)了之，走過場、走形式等自查不到位的情況。

　　對于整改發(fā)現(xiàn)的問題，《通知》指出，各銀行保險機構(gòu)要逐一建檔，確保整改到位、問責(zé)到位。對違反銀行業(yè)保險業(yè)規(guī)章制度的問題，要依規(guī)處理；對不當(dāng)操作行為，要立即叫?；蚣m正，出現(xiàn)泄露個人信息等嚴(yán)重侵害消費者信息安全權(quán)問題的，要問責(zé)到人；對涉及違法犯罪的問題，要移送司法機關(guān)懲處。

銀保監(jiān)會要求，各級監(jiān)管部門要結(jié)合日常監(jiān)管、現(xiàn)場檢查、舉報調(diào)查、投訴督查中發(fā)現(xiàn)的侵害消費者信息安全權(quán)問題開展監(jiān)管抽查和督導(dǎo)，突出重點。對違反相關(guān)法律法規(guī)的問題，要依法依規(guī)嚴(yán)肅查處；對機構(gòu)自查并整改到位的問題，可結(jié)合行為違法程度及造成后果情況依法從輕、減輕或不予處罰；對發(fā)現(xiàn)自查不力、隱瞞不報的機構(gòu)，要嚴(yán)肅追責(zé)并從重處罰。

02

個人信息保護處罰概況

近年來，監(jiān)管多次對銀行業(yè)的個人信息保護問題“重拳出擊”，因個人信息保護不力等原因，有超過十家銀行因違規(guī)收集使用個人信息問題被處罰，罰單金額由數(shù)百萬至上千萬不等。以下為部分處罰信息：

u 因侵害消費者個人信息依法得到保護的權(quán)利、違反信用信息安全管理、提供及報送相關(guān)規(guī)定等，成都銀行被處以194.6萬元罰款，農(nóng)行四川分行被罰223.2萬元。

u 因違規(guī)使用個人金融信息等，中國農(nóng)業(yè)銀行崇左分行被罰約1142萬元。

u 東亞銀行（中國）因違反信用信息采集、提供、查詢及相關(guān)管理規(guī)定，被處以罰款人民幣1674萬元，并責(zé)令限期改正。

u 因?qū)蛻粜畔⒐芾聿簧频仍?，中國銀保監(jiān)會消費者權(quán)益保護局對中信銀行處以450萬元罰款。

03

個人信息保護工作如何開展

管理層面

隨著經(jīng)濟的發(fā)展，個人信息保護已成為近年來監(jiān)管重點關(guān)注的領(lǐng)域之一，但受到各種因素的影響，多數(shù)銀行保險機構(gòu)尚未建立起完整的針對個人信息保護的制度體系，在日常管理工作中缺乏依據(jù)與參考。

因此，銀行保險機構(gòu)應(yīng)加強對于個人信息保護的制度建設(shè)，建立起完整高效的個人信息保護內(nèi)部管理機制，為日常管理工作提供制度保障。管理層面的個人信息保護建設(shè)包括但不限于以下方面：

u 制定個人金融信息保護管理規(guī)定，提出本機構(gòu)個人金融信息保護工作方針、目標(biāo)和原則；

u 建立個人金融信息安全影響評估制度，定期開展個人金融信息安全影響評估；

u 建立個人金融信息安全檢查及監(jiān)督機制；

u 建立個人金融信息泄露等相關(guān)事件問責(zé)機制；

u 將個人金融信息泄露等相關(guān)事件處理納入機構(gòu)信息安全事件應(yīng)急處置工作機制；

u 建立個人金融信息投訴與申訴處理程序。

操作層面

銀行保險機構(gòu)應(yīng)加強對個人信息使用的操作管理，建立日常管理及操作流程，對個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等環(huán)節(jié)提出具體保護要求，防止因操作上的失誤導(dǎo)致個人信息安全事件的發(fā)生。

數(shù)據(jù)層面

個人信息從本質(zhì)上來說是數(shù)據(jù)，因此從數(shù)據(jù)層面的角度出發(fā)，銀行保險機構(gòu)應(yīng)采取包括技術(shù)手段在內(nèi)的必要措施以保護用戶個人信息的安全，避免個人信息泄露的情況發(fā)生，包括開展個人金融信息分類分級管理、建立信息系統(tǒng)分級授權(quán)管理機制、明確個人金融信息共享、存儲、使用和銷毀的期限等。同時，對于用戶個人信息進入數(shù)據(jù)系統(tǒng)后的數(shù)據(jù)流和風(fēng)險點，銀行業(yè)金融機構(gòu)應(yīng)當(dāng)進行系統(tǒng)的管理，尤其是針對線上APP的業(yè)務(wù)功能開展數(shù)據(jù)合規(guī)治理的專項工作。

合規(guī)層面

商業(yè)銀行對于個人信息保護，偏重于安全防護但對于合規(guī)性認(rèn)識不足。銀行普遍認(rèn)為其信息安全基礎(chǔ)設(shè)施建設(shè)（硬件）和內(nèi)控制度（軟件）遠(yuǎn)遠(yuǎn)領(lǐng)先于一般企業(yè)，但是對于個人信息保護的合規(guī)性認(rèn)識不足。

從銀行業(yè)金融機構(gòu)的性質(zhì)上來說，由于關(guān)乎用戶的財產(chǎn)安全，因而其用戶群體對其具有更高的隱私期待。微小的個人信息合規(guī)風(fēng)險，也可能被放大成為嚴(yán)重的公關(guān)危機和聲譽風(fēng)險。因此，銀行業(yè)金融機構(gòu)在個人信息問題的處理上應(yīng)當(dāng)更加謹(jǐn)小慎微。

銀行業(yè)金融機構(gòu)在個人信息保護方面面臨著更高的合規(guī)要求，結(jié)合銀行業(yè)金融機構(gòu)在個人信息保護中存在的不足，再次提出以下合規(guī)建議：

u 銀行業(yè)金融機構(gòu)應(yīng)該重視個人信息保護的合規(guī)建設(shè)，在繼續(xù)確保信息安全的基礎(chǔ)上，提高對于個人信息收集、使用、處理、共享等環(huán)節(jié)的合規(guī)性要求；

u 針對大型銀行業(yè)金融機構(gòu)的分支機構(gòu)單獨運營的公眾號、小程序等，可能存在用戶個人信息收集、使用情況的，加強管理與整頓；

u 銀行業(yè)金融機構(gòu)應(yīng)在與第三方機構(gòu)進行合作、共享信息時，對第三方機構(gòu)的個人信息保護能力進行評估并將此作為準(zhǔn)入門檻，審查第三方合同，要求第三方機構(gòu)對個人信息保護作出相應(yīng)承諾；

u 在銀行業(yè)金融機構(gòu)內(nèi)部，開展全面的個人信息保護合規(guī)的培訓(xùn)與學(xué)習(xí)。

相關(guān)新聞：