2022年8月3日银保监会办公厅非公开发布《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知(银保监办法〔2022〕80号)》,通告各银行保险机构、非银行金融机构等银保监会辖下机构将组织开展行业侵害个人信息权益乱象专项整治工作,推动落实《个人信息保护法》,全面梳理和排查行业内个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象,督促各机构建立健全消费者个人信息保护工作机制。
一场声势浩大的金融业个人信息侵权治理风暴将全面来袭。
专项整治工作主要内容
一、涉及的机构1.银行:包括国有大型银行,全国性股份制银行,城市商业银行,民营银行,农村商业银行、村镇银行、农村信用社等农村中小金融机构,外资银行,直销银行等
2.保险:包括财产保险公司(集团、公司),人身保险公司(集团、公司),保险专业中介机构等
3.非银行金融机构:信托公司,汽车金融公司,消费金融公司,理财公司等
按总行/总公司和法人口径分别开展治理工作,层级下达地市级分支机构。
二、工作任务
本次专项整治工作以机构自查为主,监管适时抽查、统筹部署和全流程督导。
2.整治问责。
a.机构层面。对整治发现的问题逐一建档,确保整改到位,问责到位。违反行业规章制度的问题依规处理,不当操作立即叫停或纠正,严重侵权的问题问责到人,涉及违法犯罪的问题移交司法机关。
b.监管层面。结合日常监管、现场检查、举报调查、投诉督查等监管工作,专项开展侵害消费者信息安全权监管抽查和督导。对违法问题依法依规严肃查处,机构自查并整改到位问题可依法从轻、减轻或不予处罚,自查不力、隐瞒不报的机构严肃追责并从重处罚。
3.建立长效机制。
a.机构层面:各机构查找问题根源,问题原因在下级机构的,压实分支机构责任,不折不扣完成整改,问题根源在总部的,及时调整和优化工作机制,推进根源性整改。
b.监管层面:督促各机构建立健全个人信息保护制度机制,完善业务规则和操作流程,规范个人信息处理和管理行为,全面提升消费者个人信息保护工作水平。
三、工作安排
2.2022年9-11月,监管抽查阶段。各银保监局在机构自查基础上开展监管抽查,抽查对象和抽查数量由各银保监局根据辖区情况自行决定,应突出重点机构和重点业务,同时填报“监管抽查发现问题及整改处理情况表”。
3.总结汇报阶段。各银保监局应于2022年12月20日前,向银监会消费者权益保护局报送专项整治工作报告,同时填报“专项整治工作统计表”。
侵害个人信息权益行为清单
此外,金融行业个人信息保护的力度还会强于一般行业的标准,因为根据个保法规定,金融账户信息属于敏感个人信息,金融机构开展业务过程中只要涉及个人金融账户的环节都将按照敏感个人信息处理规则,执行更为严格的保护措施。
具体来看本次专项整治列出的检查清单,按照金融业务开展的流程梳理,所列出的违规行为绝大多数来自于实践工作场景。信息收集、信息存储、信息传输、信息查询、信息使用、信息提供、信息删除、第三方合作等各个环节,如触及到个保法的某项或某几项规定就必须根据个保法的规定进行调整。此外央行2020年颁布的《个人金融信息保护技术规范(JR/T0171-2020)》(以下简称技术规范)、2015年国务院发布的《关于加强金融消费者权益保护工作的指导意见(国办发〔2015〕81号)》、原银监会2009年发布的《关于印发〈商业银行信息科技风险管理指引〉的通知(银监发〔2009〕19号)》等法规文件也是重要的规则依据:
一、个人信息收集
未经同意收集个人信息。如在未取得消费者同意的情况下,利用移动互联网应用程序(App)获取手机通讯录、监测输入内容、监听语音收集消费者个人信息;未在官网、App主动披露隐私政策;通过非法途径盗取或购买消费者个人信息等。
法询解读:
通过APP开展业务则存在更为复杂的细节,违规行为的表现形式也更多,2019年网信办等四部门联合在全国范围组织开展了App违法违规收集使用个人信息专项治理行动,制定了详细的《App违法违规收集使用个人信息行为认定方法》,2021年网信办等四部门又联合发布了《常见类型移动互联网应用程序必要个人信息范围规定(国信办秘字〔2021〕14号)》,详细规定了保障App基本功能服务正常运行所必需的个人信息范围,金融机构通过APP开展业务需要同时适用上述规则。
在个保法规制下,金融机构的信息采集工作将非常繁琐,严重影响客户体验,如果客户真的在其中环节拒绝金融机构采集行为,根据个保法,客户拒绝提供个人信息,服务机构不得拒绝提供服务,可是信息收集和前端认证又是必不可少的,所以金融机构还需要准备多套方案来防止客户真的选择拒绝,已保证完成验证和信息采集的工作。
根据技术规范规定,金融机构收集个人信息具体技术要求如下:
(3)应采取技术措施(如弹窗、明显位置URL链接等),引导个人金融信息主体查阅隐私政策,并获得其明示同意后,开展有关个人金融信息的收集活动。
(5)通过受理终端、客户端应用软件与浏览器等方式引导用户输入(或设置)银行卡密码、网络支付密码时,应采取展示屏蔽等措施防止密码明文显示,其他密码类信息宜采取展示屏蔽措施。
(6)在网络支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效措施防止合作机构获取、留存支付敏感信息。
(7)在停止提供金融产品或服务时,应及时停止继续收集个人金融信息的活动。
二、个人信息存储和传输
电子数据存储管理混乱。违反规定下载、存储、记录消费者敏感个人信息。如机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质;机构人员使用誊抄、拍屏、扫描文字识别等方式私自记录消费者个人信息数据;机构人员滥用职权或利用管理漏洞篡改消费者个人信息数据等。
纸质材料保存管理混乱。未按照规定年限和规范要求保存、管理包含消费者个人信息的纸质材料。如未保存纸质材料打印记录、未对打印材料添加识别水印;营业场所纸质材料未按规定入柜加锁保管;业务申请表、提示书、投保单、合同协议等包含个人信息的纸质业务材料未统一保管、统一编号并严格领用;已填写的业务材料由营销人员私自保存长期未上交等。
因系统或操作原因导致信息外泄。因系统或操作原因在发送包含消费者个人信息的电子保单、红利通知书等资料或服务信息时导致消费者重要信息外泄。
此外银保监会2018年颁布的《关于印发银行业金融机构数据治理指引的通知(银保监发〔2018〕22号)》也规定,“银行业金融机构应当加强数据资料统一管理,建立全面严密的管理流程、归档制度,明确存档交接、口径梳理等要求,保证数据可比性”。
根据技术规范规定,个人金融信息传输过程的参与方应保证信息在传输过程中的保密性、完整性和可用性,具体技术要求如下:
(1)应建立相应的个人金融信息传输安全策略和规程,采用满足个人金融信息传输安全策略的安全控制措施,如安全通道、数据加密等技术措施。
(2)传输个人金融信息前,通信双方应通过有效技术手段进行身份鉴别和认证。
(3)通过公共网络传输时,C2、C3类别信息应使用加密通道或数据加密的方式进行传输,保障个人金融信息传输过程的安全;对于C3类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。
(5)个人金融信息传输的接收方应对接收的信息进行完整性校验。
(6)应建立有效机制对个人金融信息传输安全策略进行审核、监控和优化,包括对通道安全配置、密码算法配置、密钥管理等保护措施的管理和监控。
(7)应采取有效措施(如个人金融信息传输链路冗余)保证数据传输可靠性和网络传输服务可用性。
个人金融信息存储的具体技术要求如下:
(3)C3类别个人金融信息应采用加密措施确保数据存储的保密性。
(4)受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生物识别信息的样本数据、模板,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时予以清除。
(5)采取必要的技术和管控措施保证个人金融信息存储转移过程中的安全性。
(6)应将去标识化、匿名化后的数据与可用于恢复识别个人的信息采取逻辑隔离的方式进行存储,确保去标识化、匿名化后的信息与个人金融信息不被混用。
(7)在停止运营时,应依据国家法律法规与行业主管部门有关规定要求,对所存储的个人金融信息进行妥善处置,或移交国家与行业主管部门指定的机构继续保存。
三、个人信息查询
查询权限管理混乱。如业务系统账号权限设置与岗位职责不符,导致员工可跨业务、跨机构、跨层级、跨地区查询与本人管理业务无关的消费者个人信息;员工之间共用账号、借用账号查询消费者个人信息;离职员工账号未及时注销查询权限等。
银保监会2018年颁布的《关于印发银行业金融机构数据治理指引的通知(银保监发〔2018〕22号)》也规定,“银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全”。
四、个人信息使用
用于不当营销。如私自收集或违规收集消费者信息和联系方式用于营销;在消费者明确拒绝营销后仍继续营销;规避销售系统向消费者营销产品等。
个保法规定“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”,即不得对个人定向推送营销,例如定向推送适合某个人的金融产品。
擅自办理业务。在未经消费者同意的情况下,利用已获得的消费者个人信息,擅自为消费者办理业务或冒充消费者办理业务等。
个保法第二十四条对个人信息处理者利用个人信息进行自动化决策作出了规范,“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”,“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。个人信息处理者通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。在极端情况下,个人还有权要求个人信息处理者做出通过非自动化决策的方式进行再决策。金融机构通过自动筛选策略、数据风控模型的设定,利用已获得的消费者个人信息,擅自为消费者办理业务或冒充消费者办理业务也属于自动化决策的表现形式之一,客户将有权要求金融机构做出说明,也有权拒绝自动化决策的结果,还有权要求金融机构用非自动化决策的方式再决策。
但“冒充消费者办理业务”从性质上来说更为恶劣,已经不是通过利用个人信息进行自动化决策的问题,而是涉嫌刑事犯罪了。
撤回同意后继续使用。在消费者明确表示收回对使用其个人信息的同意后,仍继续使用消费者个人信息。
五、个人信息提供
未经同意向他人或外部机构提供信息。在无法定事由,且未获得消费者同意的情况下,将消费者个人信息提供给外部机构或其他个人;向外部机构或个人贩卖消费者个人信息。
违反法律、行政法规和国家网信部门规定,向境外提供个人信息。
如果是个人信息处理者委托第三方处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
根据个保法要求,信息处理者向其他信息处理者提供个人信息必须要做个人信息安全影响评估,要论证接受方获得这些信息的最小必要性,接收方有安全保障能力防止信息泄露,但是这种评估要做到什么程度个保法没有明确。评估内容主要包括处理目的、处理方式、对个人权益的影响及安全风险、保护措施等方面,对于金融机构而言,本条规定落实的成本并不高、需要增加的工作量也并不多,仅需在内部项目报审、立项过程中,增加一份关于个人信息保护的针对性分析报告即可。报告的目的、适用情形、内容按照条款都基本上明确了,逐一落实就好。
银保监会2020年发布的《关于预防银行业保险业从业人员金融违法犯罪的指导意见(银保监办发〔2020〕18号)》也强调,要严防非法复制数据、贩卖客户信息等金融领域违法犯罪行为。
涉及到向境外提供个人信息,个保法规定应当具备下列条件之一:
(1)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(4)法律、行政法规或者国家网信部门规定的其他条件。
此外,2022年7月7日国家互联网信息办公室颁布了《数据出境安全评估办法》,自2022年9月1日起施行。数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,评估通过的才能够向境外提供数据。
(1)数据处理者向境外提供重要数据;
(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。
六、个人信息删除
未明确个人信息删除要求。未对各类消费者个人信息电子数据和纸质材料规定保存期限和到期删除、销毁要求,未明确删除、销毁的程序和方式。
未及时删除个人信息。如业务关系终结后,未按照约定或消费者的请求删除或销毁已收集的个人信息(法律法规另有规定的除外);信用卡、贷款、保险等业务申请未获通过的,未将申请材料及时退还消费者或按规定删除、销毁,导致客户经理或保险代理人长期保存消费者个人信息等。
根据个保法规定,个人信息保存有时效性,在相应条件届满后,个人信息处理者应当主动,或者在个人要求下被动删除相应信息。金融机构也应在规定的上述情况下删除个人信息,鉴于客户个人信息资料对金融机构的系统模型有重要的基础作用,金融机构很有保留这些数据的需求,根据个保法规定,个人信息并不包括“匿名化处理后的信息”,金融机构可以在信息获取后做好匿名化处理,处理后的信息将具有不可还原性、不可识别性,无法再定位到个人特征,便可妥善储存,继续使用在其模型策略的优化更迭过程中。
这一方面技术规范做了详细规定。个人金融信息在删除过程中的具体技术要求如下:
(1)应采取技术手段,在金融产品和服务所涉及的系统中去除个人金融信息,使其保持不可被检索和访问。
(2)个人金融信息主体要求删除个人金融信息时,金融业机构应依据国家法律法规、行业主管部门有关规定以及与个人金融信息主体的约定予以响应。
个人金融信息在销毁过程中的具体技术要求如下:
(1)应建立个人金融信息销毁策略和管理制度,明确销毁对象、流程、方式和要求。
(2)应对个人金融信息存储介质销毁过程进行监督与控制,对待销毁介质的登记、审批、介质交接、销毁执行等过程进行监督。
(4)存储个人金融信息的介质如不再使用,应采用不可恢复的方式(如消磁、焚烧、粉碎等)对介质进行销毁处理;存储个人金融信息的介质如还需继续使用,不应只采用删除索引、删除文件系统的方式进行信息销毁,应通过多次覆写等方式安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或者以其他形式加以利用。
(5)云环境下有关数据清除应依据JR/T0167-2018的9.6执行。
七、第三方合作
与第三方合作机构合作不审慎。如未在合作协议中明确合作机构个人信息安全保护责任和风险管理责任;未有效监测第三方合作机构履行个人信息保护责任情况;合作机构出现侵害个人信息安全行为时未及时处置;终止与第三方合作机构合作后,未及时监督其删除或销毁在合作期间获得的消费者个人信息等。
违反规定向第三方合作机构提供个人信息。如向第三方合作机构提供个人信息超出合作业务必须范围、未进行必要脱敏;未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。
根据个保法规定,两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是个人信息处理者之间的约定不对抗第三人,且个人信息处理者之间应对第三人承担连带责任。法律并不限制多位个人信息处理者共同处理个人信息的行为,但前提是需要明确约定在业务合作中的权利义务分担,个人可以向任何一方主张其应有的权利,共同处理个人信息的主体因此而承担连带责任,若其行为对个人产生了损害,则个人有权对任意一方、多方提出对其全部损失进行赔偿的要求。
例如比较典型的助贷机构与金融机构合作共同处理个人信息,需要根据个保法迅速梳理合作业务项下的对个人信息处理的流程及具体方式,并在交易文件中明确操作模式、双方权责分配。也要注意助贷机构要与金融机构承担侵犯个人信息的连带赔偿责任,应当在交易文件中明确,个人对其中某一方进行索赔后,若该方并非过错方,则其可要求过错方对已受损失主张赔偿的权利。
(全文完)
金融监管研究院
1764篇原创内容
公众号
课程要点
“十四五”政府项目投融资新逻辑;
国务院稳经济政策支持的主要融资模式及案例;
基础设施与公共服务项目投融资模式分析;
平台公司参与政府项目实务要点分析及案
......等要点
邀请函
各位有关单位:
诚邀各单位派员参加!
01课程纲要
主题一、基础设施与公共服务项目的投资.建设与融资
8月27日全天,讲师:黄老师
第一部分地方政府债务与隐性债务的法律合规分析
1.地方政府债务与隐性债务从何而来?
2.地方政府债务与隐性债务与预算管理、政府收支管理之间的关系
3.银保监会地方政府隐性债务风险文件对基础设施与公共服务项目投资、建设与融资的影响
第二部分基础设施与公共服务项目投融资模式分析
(一)专项债券项目
1.说明专项债券的含义.资金性质与发行要求
2.地方政府专项债券与项目配套融资
(二)政府购买服务
2.政府购买服务项目的合规要点
3.政府购买棚改服务的政策沿革
4.棚改项目.城市更新项目项目模式分析
(三)公建公营(直接投资)
1.说明公建公营模式的操作方式
2.土地开发(园区开发)项目中涉及的合规问题及其争议点分析
3.BT、FEPC模式、投资人+EPC模式分析
(四)政府和社会资本合作(PPP)
1、PPP在中国的发展情况与政策沿革情况
2、结合92号文.10号文,对PPP模式的合规要点.操作要点进行分析
(五)其他方式
第三部分金融机构对项目合规性的考察
第四部分金融机构与产业资本在项目中的合作
1、分析金融机构与产业资本的不同特点
2、分析金融机构参与项目投融资的方式
3、从法律角度分析联合体的组建和联合体各方的责任。并且,分析在联合体组建之后发生联合体解散.一方不出资等特殊情形时的处理
4、项目中标后金融机构的介入方式
主题二、经济稳盘形势下政府项目投融资模式设计及落地实操与实战案例
8月28日全天,讲师:林老师
第一部分“十四五”政府项目投融资新逻辑
1、区分隐性债务和市场化融资
2、区分政府投资项目和企业投资项目
3、规划有经营收入的项目(自求平衡与资源补偿)
5、合规安排政府资金的多种使用方式
6、土地最终产出与项目包装的紧密结合
8、大基建时代的综合平衡
1、政府如何安排资金用于项目及如何判断项目的资金已经或可以列入政府预算
2、政府只有一年期的预算和三年期的中期规划,但资金支付期需要十年,如何解决?能否签订超过三年的政府支付合同
3、政府合规支付项目款项的路径及案例
4、财政如何给平台合法合规注资、支付及案例
6、政府采购具有融资的机会,如何融资?
7、发改的政府投资项目与财政的政府采购的区别及项目安排
8、审批制.核准制.备案制的要求有什么不同,如何认定政府投资项目和企业投资项目
9、由政府设立的开发主体进行融资是否构成违规融资
10、无经营收入的基建项目如何策划包装
11、施工企业为平台公司垫资合规吗?该如何操作
12、如何定义垫资及垫资与投资的区别
13、什么是土地增减挂钩业务,土地增减挂钩指标交易可否融资
14、耕地占补平衡指标能做融资?
15、如何甄别是否构成隐性债务
16、特许经营模式与PPP模式比较及运用案例
17、平台公司策划自求平衡.资源补偿.以租代建等模式运用及案例
19、土地出让金返还的土地储备模式是否可行暨案例
20、土地出让金如何合规用于片区开发项目暨案例
21、专项债解决土储资金的模式与要点
22、以房地产租售为主要产出的片区项目如何融资?
23、以产业经营为主要产出的片区项目如何融资?
24、以土地出让金为主要产出的项目如何融资?
25、从便于融资的角度应该如何规划片区项目或相应的个子项目
26、如何以政府的补助补贴资金合规增强平台的还贷能力及案例
5、40号文后ABO常见的违规与整改方式及案例
第四部分融资平台公司以企业投资模式参与政府项目的实务与案例
1、企业核准备案为何可以应用“投资人+EPC”或“投资合作+EPC”模式?
2、真假“投资人+EPC”模式如何判断?
3、“投资人+EPC”应用详细解析及案例分析
4、纯公益性项目打包可否用“投资人+EPC”模式?是否为隐性债务?
5、“投资人+EPC”模式下合规性分析及案例
7、“投资人+EPC”模式下可融资性分析
8、“投资人+EPC”模式下项目资本金筹集模式
9、“投资人+EPC模式”政府补贴怎么补才合规?
10、地方平台合作采用“投资人+EPC模式”操作项目的两类合规模式分析
11、“投资人+EPC”模式“两标并一标”解析
12、避免“投资人+EPC”沦为BT模式违规应注意的问题。
第五部分地方政府支持平台公司做大做强的项目自平衡策划模式
第六部分新政下学校医院等公共服务项目的投融资模式
1、义务教育和公立医院融资的困境
2、专项债融资
3、“以租代建”模式的应用及其案例
4、“建办分离”模式及其案例
5、民办公用的“共建模式”的应用及其案例
3、绿色债券及专项企业债的应用
4、商业银行配资的方向及要求
5、PPP模式的创新应用
6、基金配资的模式.要点及优势
7、定融.信托工具
8、存量资产盘活之REITs.并购贷与并购基金.TOT.ROT+一体化综合开发等模式
9、并购.重组上市融资,特别是北交所的机会
※实际授课时,纲要可能微调,请以实际内容为准。
02讲师介绍
黄老师:
高级合伙人律师,主要的业务领域为资产管理与资产证券化、保险与保险资金运用、基础设施与房地产、风险处置与争议解决,为中国保险资产管理业协会法律合规专业委员会委员、财政部政府和社会资本合作(PPP)中心专家、中国政法大学PPP研究中心专家委员会委员,被《商法》杂志(ChinaBusinessLawJournal)评选为中国法律精英100强(TheAList-China'sTop100Lawyers),多次被ChambersandPartners、LEGALBAND等国内外法律评级机构评选为专业领域卓越律师,被LEGALBAND评选为中国十大资产管理律师。
林老师:
国家发改委经济体制改革研究会理事,中国投资协会专家委员,财政部PPP财务专家,国际注册融资规划师、国际注册私募投资基金管理师、高级人力资源管理师、具有律师及基金从业资格,金融硕士研究生。中至远集团总裁。长期致力于平台转型、双向混改、重组并购、公司战略、公司治理等领域的研究与实践,拥有15年以上的国企改革及管理咨询经验。
03课程特点
※业务一线专家授课,专业性和实操性强
※全面、专业、紧跟政策变化和实践最新动态
※欢迎各位学员带着问题来听课,报名的同时提交各种问题,让本次培训成为一次珍贵的行业内的经验交流会
日期:2022年8月27日-28日
地点:湖南·长沙(具体地址报名后告知)
参会费用
费用:4200元/人(包含培训费、场地费、材料费)
团购优惠
优惠:3人成团,每位优惠300元,8月10日前缴费,再优惠300元每位。