前言:在众多银行保险机构数据中,自然人个人信息当属最重要的一部分,且根据公开数据显示,2023年国内共发生涉金融机构的数据泄露事件8758起,占比44.91%,金融机构已成为个人信息泄露事件数量最多的行业,银行等金融机构在近年来因个人金融信息安全被监管处罚的案例也在逐年递增。因此,规范金融机构数据处理活动、加快个人信息保护与数据安全体系建设的监管需求迫在眉睫。在此背景下,2024年3月22日,国家金融监督管理总局(以下简称金管局)发布了《银保数安办法》,并向社会公开征求意见。结合2023年1月证监会发布的《证券期货业网络和信息安全管理办法》以及2023年7月人民银行发布的《中国人民银行业务领域数据安全管理办法(征求意见稿》(以下简称《人行数安办法》),国内金融行业数据安全体系已基本构建完成。
2020年2月,中国人民银行针对金融行业个人信息保护问题发布了《个人金融信息保护技术规范》(JR/T0171—2020),规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。该规定作为金融行业个人信息领域的针对性规范,其针对个人金融信息的范围、分类分级的标准以及分级分类后的管理规范等要求正作为银行保险业机构个人信息保护体系建设的重要依据。
2020年10月,全国信息安全标准化技术委员会在其发布的《信息安全技术个人信息安全规范》(GB/T35273-2020)中吸收了《个人金融信息保护技术规范》对个人金融信息的定义,在其附录A《个人信息示例》中即将部分个人金融信息列入个人财产信息的范围内,个人金融信息正式被纳入《个人信息保护法》的调整范围内。
个人金融信息直接关系到个人的资金安全、信用评价以及重大经济活动的顺利进行,一旦泄露或被滥用,不仅可能造成经济损失,还会影响个人信誉,甚至引发一系列连锁反应。
根据第三方安全服务机构“威胁猎人”发布的《2023年数据泄露风险年度报告》显示,2023年国内共发生涉金融机构的数据泄露事件8758起,占比44.91%,成为个人信息泄露事件数量最多的行业。从金融细分行业来看,数据泄露事件数量发生最多的是银行业,全年共发生4293起,涉及银行、保险、证券等行业高净值人群信息。
为此,国家各级金融管理部门均已持续针对银行保险领域个人信息保护情况进行监督及执法,金管局于2024年3月即下发了《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》,针对银行保险机构在业务开展过程中存在的个人信息收集、存储和传输、信息查询和使用、提供和删除以及第三方合作等场景中存在的问题进行通报。在行政执法方面,根据2024年4月7日金管局发布的信息显示,金管局台州监管分局针对台州银行存在的客户敏感信息保护不到位问题,对台州银行处以385万元罚款,并对主要责任人予以警告。除此以外,各地银行保险机构因个人信息保护不力被处罚的案例也屡见不鲜:
(一)2023年4月6日,重庆富民银行因违反消费者金融信息保护管理规定,被人行重庆营管部处处罚1万元并予以警告;
(二)2023年4月20日,兰州银行因APP、SDK违规收集个人信息、超范围收集个人信息以及APP强制、频繁、过度索取权限,被甘肃省通信管理局予以通报;
(三)2023年9月19日,浙江嘉善农商行因违反消费者金融信息保护管理规定,被人行嘉兴市分行处罚121万元;
(四)2023年10月23日,浙江宁银消费金融股份有限公司因提供个人不良信息未实现告知信息主体本人,被人民银行宁波市分行处罚20万元;
(五)2023年10月25日,河南义马农商行因未按约定用途使用个人信息等行为,被人行三门峡市分行处罚46.35万元并予以警告;
(六)2023年12月25日,陕西秦农农商行因存在客户信息保护管理薄弱等问题,被金管局陕西管理局处罚115万元;
(七)2024年3月7日,昆仑保险经纪公司因未与保险人对投保信息保密及合理使用进行依法约定等问题,被金管局大庆分局罚款1万元并予以警告;
(八)2024年3月22日,天津农商银行因个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则涉嫌隐私不合规,被国家计算机病毒应急处理中心予以通报。
(一)《银保数安办法》的适用范围
《银保数安办法》第2条规定:“在中华人民共和国境内设立的开发性金融机构、政策性银行、商业银行、农村合作银行、农村信用社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司适用本办法。”
根据上述规定,该办法除适用于银行业机构、保险业机构、金融控股公司等金管局的传统监管目标以外,还包括信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司以及理财公司等。对于该等非银行及保险金融机构而言,因自身经营范围及体量相对较小,数据安全及个人信息保护意识相对较弱,在该办法正式定稿出台后,应当提高对个人信息保护的重视及风险防范意识。
(二)金融个人信息的定义
针对本文讨论的银行保险机构个人信息保护义务而言,《个人金融信息保护技术规范》中关于“个人金融信息”的定义可供参考,即:金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
(三)《银保数安办法》与《人行数安办法》的区别
对于接受央行及金管局“双线”监管的商业银行而言,则其在开展个人信息处理活动中应同时遵守《银保数安办法》与《人行数安办法》的规定。比如:针对个人信息分级分类问题,商业银行应适用《人行数安办法》第9条更为严格的规定,在数据分级的基础上,根据个人信息遭到泄露或者被非法获取、非法利用时可能对个人造成的危害程度,将个人信息类数据从低至高进一步分为一至五共五个层级,并进行分级分类管理。
(一)第54-55条:处理原则
第五十四条
第五十五条
(二)第56-57条:告知义务
第五十六条
银行保险机构处理个人信息前,应当真实、准确、完整地向个人告知其个人信息的处理目的、处理方式、处理的个人信息种类、保存期限,个人行使其信息权利的申请受理和处理程序,以及法律法规规定应当告知的其他事项。
银行保险机构应当制定个人信息处理规则,个人信息处理规则应当公开展示、易于访问、内容明确、清晰易懂。
第五十七条
银行保险机构不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。
(三)第58条:影响评估
第五十八条
银行保险机构在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估,评估内容包括个人信息处理的合法性、必要性,对个人权益的影响及安全风险,所采取的保护措施合法性、有效性以及是否与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
银行保险机构需开展个人信息保护影响评估(personalinformationsecurityimpactassessment,以下简称PIA)的制度依据为《个人信息保护法》第55条第5款的规定,且按照该条的规定,处理敏感个人信息、利用个人信息进行自动化决策、对外共享或提供个人信息以及利用个人信息进行自动化决策等4种情形下也同样需要履行PIA程序。
根据《信息安全技术个人信息安全影响评估指南》(GB/T39335—2020)的规定,除上述条款中列明的评估内容外,银行保险机构还应对个人信息处理目的与合法性基础、告知与同意的实施情况、数据全生命周期保护情况、个人权利响应以及安全保障措施是否合法有效等方面进行评估。
(四)第59-61条:共享和外部提供、跨境传输、委托处理
第五十九条
第六十条
银行保险机构向中华人民共和国境外提供个人信息的,除满足第五十九条规定的要求外,还应当向个人告知其向境外接收方行使信息权利的方式和程序等事项,法律、行政法规另有规定的除外。
第六十一条
银行保险机构委托第三方处理个人信息的,应当在合同或者协议条款内明确受托人对个人信息的保护义务、保护措施和期限等,并严格监督受托人以约定的处理目的、处理方式等处理个人信息,与第三方传输个人敏感数据必须确保安全,防范数据滥用和泄漏风险。未经银行保险机构同意,受托人不得转委托他人处理个人信息。
1.向关联主体或对外提供个人信息
针对59条后半段提及的个人信息对外提供时需要征得个人单独同意的问题,该规定与《个人信息保护法》的规定一致,不再赘述。
2.向境外提供个人信息
3.委托第三方处理个人信息
(五)第62条:自动化决策
第六十二条
银行保险机构在算法设计、训练数据选择和模型生成时,应当采取有效措施,保障个人合法权益。利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正。
自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
银行保险机构在日常经营过程中自动化决策使用较多的领域分别为个性化推广以及自动风控审核:
1.对于个性化推广而言,银行保险机构应保证,不得对用户交易条件上实行不合理的差别待遇,不得进行价格歧视。
(六)第63条:个人信息风险报告
第六十三条
发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,同时通知个人并报送国家金融监督管理总局或者其派出机构。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)银行保险机构采取的补救措施和个人可以采取的减轻危害的措施。
银行保险机构采取措施能够有效避免信息泄露、篡改、丢失造成危害的,可以不通知个人;监管部门认为可能造成危害的,有权要求银行保险机构通知个人。
数据安全事故报告制度的建立依据为《数据安全法》第29条关于“发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告”的规定。
针对涉数据及个人信息泄露突发事件的报告制度,同时亦可见于2019年6月发布的《银行业保险业突发事件信息报告办法》,在发生“银行保险机构丢失或泄露大量重要资料、重要账册、重要空白凭证、重要数据或客户信息等,已经或可能造成重大损失、严重影响”的重大事件时,应当按照该办法第3章的规定,在规定的时限内向特定部门进行报告,否则将面临考评和问责。
随着数字时代的深入发展,银行保险机构在个人信息保护制度上的演进与强化已成为不可逆转的趋势。从早期的推荐性标准到如今的《银保数安办法》公开征求意见,我国金融行业的个人信息保护体系不断完善,监管力度显著增强。这一系列规章制度的发布,不仅体现了国家对个人金融信息安全的高度重视,也反映了金融监管机构对市场变化的快速响应与前瞻性布局。
《银保数安办法》的出台,不仅细化了银行保险机构在处理个人信息时的具体原则与要求,还明确了合规义务,特别是强调了处理个人信息时的告知同意原则、最小必要原则,以及个人信息保护影响评估的重要性,这不仅符合国际个人信息保护的最佳实践,也为银行保险机构提供了清晰的操作指导。此外,对跨境传输、委托处理等特殊场景的严格规定,彰显了监管层面对个人信息跨境流动风险的审慎态度,旨在构建一个既开放又安全的数据生态。
执法实践中的案例通报更是对行业内的警示,提醒所有金融参与者必须严格遵守个人信息保护的法律法规,否则将面临严厉的法律后果。这些措施的实施,有助于提升公众对金融机构的信任,维护金融市场的稳定与健康发展。