|
|
|
|
|
|
來源:張奧迪 發布日期:2022.08.15 點擊量:
近日,銀保監會辦公廳在業內下發《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》(以下簡稱“《通知》”)。
《通知》要求,全面摸排本機構自2021年以來與消費者個人信息處理活動相關的經營行為和管理情況,深入查找本機構個人信息保護方面存在的問題。近年來監管多次對存在個人信息保護問題的銀行開出巨額罰單,此次《通知》的下發表明銀行保險機構再迎個人信息保護強監管。
01
個人信息保護監管再加強
此次銀保監會向各銀保監局、銀行保險機構等下發的《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》,要求全面梳理和排查銀行業保險業在個人信息保護方面的問題和漏洞,深入整治侵害消費者信息權益亂象,督促銀行保險機構建立健全消費者個人信息保護工作機制等。
《通知》要求,各銀行保險機構全面摸排本機構自2021年以來與消費者個人信息處理活動相關的經營行為和管理情況,深入查找本機構個人信息保護方面存在的問題,列出問題清單。自查過程中要堅持立查立改。對短期內無法整改完成的問題,要建立整改臺賬,明確整改措施,逐項逐步推進。
與此同時,各銀保監局要前置自查督導工作,壓實機構自查責任,防止出現將通知一轉了之,走過場、走形式等自查不到位的情況。
對于整改發現的問題,《通知》指出,各銀行保險機構要逐一建檔,確保整改到位、問責到位。對違反銀行業保險業規章制度的問題,要依規處理;對不當操作行為,要立即叫停或糾正,出現泄露個人信息等嚴重侵害消費者信息安全權問題的,要問責到人;對涉及違法犯罪的問題,要移送司法機關懲處。
銀保監會要求,各級監管部門要結合日常監管、現場檢查、舉報調查、投訴督查中發現的侵害消費者信息安全權問題開展監管抽查和督導,突出重點。對違反相關法律法規的問題,要依法依規嚴肅查處;對機構自查并整改到位的問題,可結合行為違法程度及造成后果情況依法從輕、減輕或不予處罰;對發現自查不力、隱瞞不報的機構,要嚴肅追責并從重處罰。
02
個人信息保護處罰概況
近年來,監管多次對銀行業的個人信息保護問題“重拳出擊”,因個人信息保護不力等原因,有超過十家銀行因違規收集使用個人信息問題被處罰,罰單金額由數百萬至上千萬不等。以下為部分處罰信息:
u 因侵害消費者個人信息依法得到保護的權利、違反信用信息安全管理、提供及報送相關規定等,成都銀行被處以194.6萬元罰款,農行四川分行被罰223.2萬元。
u 因違規使用個人金融信息等,中國農業銀行崇左分行被罰約1142萬元。
u 東亞銀行(中國)因違反信用信息采集、提供、查詢及相關管理規定,被處以罰款人民幣1674萬元,并責令限期改正。
u 因對客戶信息管理不善等原因,中國銀保監會消費者權益保護局對中信銀行處以450萬元罰款。
03
個人信息保護工作如何開展
管理層面
隨著經濟的發展,個人信息保護已成為近年來監管重點關注的領域之一,但受到各種因素的影響,多數銀行保險機構尚未建立起完整的針對個人信息保護的制度體系,在日常管理工作中缺乏依據與參考。
因此,銀行保險機構應加強對于個人信息保護的制度建設,建立起完整高效的個人信息保護內部管理機制,為日常管理工作提供制度保障。管理層面的個人信息保護建設包括但不限于以下方面:
u 制定個人金融信息保護管理規定,提出本機構個人金融信息保護工作方針、目標和原則;
u 建立個人金融信息安全影響評估制度,定期開展個人金融信息安全影響評估;
u 建立個人金融信息安全檢查及監督機制;
u 建立個人金融信息泄露等相關事件問責機制;
u 將個人金融信息泄露等相關事件處理納入機構信息安全事件應急處置工作機制;
u 建立個人金融信息投訴與申訴處理程序。
操作層面
銀行保險機構應加強對個人信息使用的操作管理,建立日常管理及操作流程,對個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等環節提出具體保護要求,防止因操作上的失誤導致個人信息安全事件的發生。
數據層面
個人信息從本質上來說是數據,因此從數據層面的角度出發,銀行保險機構應采取包括技術手段在內的必要措施以保護用戶個人信息的安全,避免個人信息泄露的情況發生,包括開展個人金融信息分類分級管理、建立信息系統分級授權管理機制、明確個人金融信息共享、存儲、使用和銷毀的期限等。同時,對于用戶個人信息進入數據系統后的數據流和風險點,銀行業金融機構應當進行系統的管理,尤其是針對線上APP的業務功能開展數據合規治理的專項工作。
合規層面
商業銀行對于個人信息保護,偏重于安全防護但對于合規性認識不足。銀行普遍認為其信息安全基礎設施建設(硬件)和內控制度(軟件)遠遠領先于一般企業,但是對于個人信息保護的合規性認識不足。
從銀行業金融機構的性質上來說,由于關乎用戶的財產安全,因而其用戶群體對其具有更高的隱私期待。微小的個人信息合規風險,也可能被放大成為嚴重的公關危機和聲譽風險。因此,銀行業金融機構在個人信息問題的處理上應當更加謹小慎微。
銀行業金融機構在個人信息保護方面面臨著更高的合規要求,結合銀行業金融機構在個人信息保護中存在的不足,再次提出以下合規建議:
u 銀行業金融機構應該重視個人信息保護的合規建設,在繼續確保信息安全的基礎上,提高對于個人信息收集、使用、處理、共享等環節的合規性要求;
u 針對大型銀行業金融機構的分支機構單獨運營的公眾號、小程序等,可能存在用戶個人信息收集、使用情況的,加強管理與整頓;
u 銀行業金融機構應在與第三方機構進行合作、共享信息時,對第三方機構的個人信息保護能力進行評估并將此作為準入門檻,審查第三方合同,要求第三方機構對個人信息保護作出相應承諾;
u 在銀行業金融機構內部,開展全面的個人信息保護合規的培訓與學習。
相關新聞:
