近日,银保监会发布《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(以下简称《通知》),剑指金融行业侵犯个人信息安全的七大乱象,切实保护金融消费者信息安全权。
高度提炼乱象
使用银行APP要监测心率和步数、未经同意查询个人征信信息、擅自向他人泄露客户交易明细……近年来,个人金融信息安全事件时有发生,多次引发公众和监管机构的关注。
《通知》指出,当前,银行保险机构侵害个人信息权益乱象主要表现在七大方面:
一是在个人信息收集过程中,金融机构在未取得消费者同意的情况下,利用移动互联网应用程序(APP)获取手机通讯录、监测输入内容、监听语音等,收集消费者个人信息;未在官网、APP主动披露隐私政策;通过非法途径盗取或购买消费者个人信息等。
二是在个人信息存储和传输方面,电子数据存储管理混乱,违反规定下载、存储、记录消费者个人敏感信息,有的机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质等。
三是在个人信息查询方面。这方面是侵权重灾区,具体表现在:银行账户信息查询业务操作不规范,存在未按规定留存查询授权材料、未经消费者同意私自查询、虚构理由和业务背景查询信息等问题;保险公司未对查询权限严格限制,导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。
四是在个人信息使用方面,有的机构私自收集或违规收集消费者信息和联系方式并用于不当营销,或者在消费者明确拒绝营销后仍继续营销,甚至规避销售系统向消费者营销产品等。
五是个人信息提供方面。例如,未经同意向他人或外部机构提供信息。在无法定事由且未获得消费者同意的情况下,将消费者个人信息提供给外部机构或其他个人;向外部机构或个人贩卖消费者个人信息。
六是在个人信息删除方面,部分金融机构未对各类消费者个人信息电子数据和纸质材料规定保存期限和到期删除、销毁的要求,未明确删除、销毁的程序和方式。
七是在与第三方合作过程中,部分金融机构提供个人信息超出合作业务必须范围、未进行必要脱敏,或者未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。
易观分析金融行业高级分析师苏筱芮对《中国消费者报》记者表示,此次《通知》对银行保险等金融机构侵害个人信息权益乱象作出了高度提炼与总结,一方面有助于归纳合规重点,另一方面也方便机构进行对标,在整改工作中有的放矢。
自查整改为主
银保监会消保局局长郭武平3月15日在银行业保险业例行新闻发布会上表示,银保监会今年将开展银行业保险业个人信息保护专项整治,推动银行业保险业切实落实《个人信息保护法》,提升个人信息使用的规范性,保护消费者信息安全权。
针对《通知》列出的银行保险机构侵害个人信息权益乱象的主要表现形式,银保监会要求各机构对照问题进行全面摸排,深入查找本机构2021年以来在个人信息保护方面存在的问题,列出问题清单。
据了解,本次专项整治工作以银行保险机构自查为主,监管部门适时开展抽查和督导。银行保险机构和各银保监局要成立专项工作组,制定专门工作方案。具体来看,专项整治工作分为3个阶段。2022年8月至9月,各银保监局组织辖内银行保险机构(含保险专业中介机构)认真开展对照自查,在自查基础上及时完成整改。9月至11月,各银保监局在机构自查基础上开展监管抽查。12月2日前,各银保监局应向银保监会消费者权益保护局报送专项整治工作报告。
《通知》要求,各级监管部门要结合日常监管、现场检查、举报调查、投诉督查中发现的侵害消费者信息安全权的问题开展监管抽查和督导,突出重点。对违反相关法律法规的问题,要依法依规严肃查处。
中国人民大学法学院教授、中国消费者协会副会长刘俊海在接受《中国消费者报》记者采访时表示,金融机构的经营模式决定了其高度依赖于个人信息的特点,保护个人信息安全才能让其商业模式可持续发展。专项行动以机构自查为主,让金融机构胸怀对《民法典》《消费者权益保护法》《个人信息保护法》等法律的信仰和敬畏之心。而监管部门的抽查则是为了更好地规范银行保险机构的经营管理,弥补监管欠账。
强化整治问责
数字经济时代,银行保险等金融机构也在着力打造数字金融,但在数据治理方面,个人信息安全却频频出现管理漏洞。
如何从根源上杜绝此类问题?在苏筱芮看来,这既需要金融机构自身加强制度监管,又需要不断加大监管力度,严肃追责。
记者了解到,近年来监管部门对个人信息侵权行为明显加大了行政执法力度。2020年10月,中行、农行和建行的6家分支行因侵害消费者个人信息安全权,被中国人民银行合计罚款超4000万元。2021年11月,浙江余姚一银行行长沈某因侵犯公民个人信息权益获刑3年,并被宁波银保监局处以从业禁止5年的行政处罚。2022年1月,东亚银行(中国)有限公司、北京银行上海分行因违反信用信息采集、提供、查询及相关管理规定,被中国人民银行上海分行分别罚款1674万元、255万元。
对此,《通知》也明确要求强化整治问责。对于整治发现的问题,银行保险机构要逐一建档,确保整改到位、问责到位。对违反银行业保险业规章制度的问题,要依规处理;对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全权问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。
“让法律有牙齿,才有助于提高个人信息权的保护力度,提升消费者的安全感。”刘俊海肯定了专项行动的作用。但他同时指出,金融机构个人信息保护必须久久为功,除了规范经营行为,加强监管问责,消费者也要努力提高个人金融素养,强化自我保护意识。要控制好个人信息的外溢,少点击不明链接,不下载非法APP,一旦发现个人信息安全权受到侵害,要勇于拿起法律武器维护自身权益。
来源:中国消费者报
作者:聂国春
编辑:吴芳