来源:张奥迪 发布日期:2022.08.15 点击量:
近日,银保监会办公厅在业内下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(以下简称“《通知》”)。
《通知》要求,全面摸排本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况,深入查找本机构个人信息保护方面存在的问题。近年来监管多次对存在个人信息保护问题的银行开出巨额罚单,此次《通知》的下发表明银行保险机构再迎个人信息保护强监管。
01
个人信息保护监管再加强
此次银保监会向各银保监局、银行保险机构等下发的《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求全面梳理和排查银行业保险业在个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象,督促银行保险机构建立健全消费者个人信息保护工作机制等。
《通知》要求,各银行保险机构全面摸排本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况,深入查找本机构个人信息保护方面存在的问题,列出问题清单。自查过程中要坚持立查立改。对短期内无法整改完成的问题,要建立整改台账,明确整改措施,逐项逐步推进。
与此同时,各银保监局要前置自查督导工作,压实机构自查责任,防止出现将通知一转了之,走过场、走形式等自查不到位的情况。
对于整改发现的问题,《通知》指出,各银行保险机构要逐一建档,确保整改到位、问责到位。对违反银行业保险业规章制度的问题,要依规处理;对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全权问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。
银保监会要求,各级监管部门要结合日常监管、现场检查、举报调查、投诉督查中发现的侵害消费者信息安全权问题开展监管抽查和督导,突出重点。对违反相关法律法规的问题,要依法依规严肃查处;对机构自查并整改到位的问题,可结合行为违法程度及造成后果情况依法从轻、减轻或不予处罚;对发现自查不力、隐瞒不报的机构,要严肃追责并从重处罚。
02
个人信息保护处罚概况
近年来,监管多次对银行业的个人信息保护问题“重拳出击”,因个人信息保护不力等原因,有超过十家银行因违规收集使用个人信息问题被处罚,罚单金额由数百万至上千万不等。以下为部分处罚信息:
u 因侵害消费者个人信息依法得到保护的权利、违反信用信息安全管理、提供及报送相关规定等,成都银行被处以194.6万元罚款,农行四川分行被罚223.2万元。
u 因违规使用个人金融信息等,中国农业银行崇左分行被罚约1142万元。
u 东亚银行(中国)因违反信用信息采集、提供、查询及相关管理规定,被处以罚款人民币1674万元,并责令限期改正。
u 因对客户信息管理不善等原因,中国银保监会消费者权益保护局对中信银行处以450万元罚款。
03
个人信息保护工作如何开展
管理层面
随着经济的发展,个人信息保护已成为近年来监管重点关注的领域之一,但受到各种因素的影响,多数银行保险机构尚未建立起完整的针对个人信息保护的制度体系,在日常管理工作中缺乏依据与参考。
因此,银行保险机构应加强对于个人信息保护的制度建设,建立起完整高效的个人信息保护内部管理机制,为日常管理工作提供制度保障。管理层面的个人信息保护建设包括但不限于以下方面:
u 制定个人金融信息保护管理规定,提出本机构个人金融信息保护工作方针、目标和原则;
u 建立个人金融信息安全影响评估制度,定期开展个人金融信息安全影响评估;
u 建立个人金融信息安全检查及监督机制;
u 建立个人金融信息泄露等相关事件问责机制;
u 将个人金融信息泄露等相关事件处理纳入机构信息安全事件应急处置工作机制;
u 建立个人金融信息投诉与申诉处理程序。
操作层面
银行保险机构应加强对个人信息使用的操作管理,建立日常管理及操作流程,对个人金融信息的收集、传输、存储、使用、删除、销毁等环节提出具体保护要求,防止因操作上的失误导致个人信息安全事件的发生。
数据层面
个人信息从本质上来说是数据,因此从数据层面的角度出发,银行保险机构应采取包括技术手段在内的必要措施以保护用户个人信息的安全,避免个人信息泄露的情况发生,包括开展个人金融信息分类分级管理、建立信息系统分级授权管理机制、明确个人金融信息共享、存储、使用和销毁的期限等。同时,对于用户个人信息进入数据系统后的数据流和风险点,银行业金融机构应当进行系统的管理,尤其是针对线上APP的业务功能开展数据合规治理的专项工作。
合规层面
商业银行对于个人信息保护,偏重于安全防护但对于合规性认识不足。银行普遍认为其信息安全基础设施建设(硬件)和内控制度(软件)远远领先于一般企业,但是对于个人信息保护的合规性认识不足。
从银行业金融机构的性质上来说,由于关乎用户的财产安全,因而其用户群体对其具有更高的隐私期待。微小的个人信息合规风险,也可能被放大成为严重的公关危机和声誉风险。因此,银行业金融机构在个人信息问题的处理上应当更加谨小慎微。
银行业金融机构在个人信息保护方面面临着更高的合规要求,结合银行业金融机构在个人信息保护中存在的不足,再次提出以下合规建议:
u 银行业金融机构应该重视个人信息保护的合规建设,在继续确保信息安全的基础上,提高对于个人信息收集、使用、处理、共享等环节的合规性要求;
u 针对大型银行业金融机构的分支机构单独运营的公众号、小程序等,可能存在用户个人信息收集、使用情况的,加强管理与整顿;
u 银行业金融机构应在与第三方机构进行合作、共享信息时,对第三方机构的个人信息保护能力进行评估并将此作为准入门槛,审查第三方合同,要求第三方机构对个人信息保护作出相应承诺;
u 在银行业金融机构内部,开展全面的个人信息保护合规的培训与学习。
相关新闻: