文章
“消保专项治理”要求解读
“反躬自省,及时筑防”切实提升消费者个人信息保护工作,推进合规数据资产管理进程
发布日期:2022年8月19日
前言
2022年8月3日,中国银行保险监督管理委员会办公厅向各银保监局,各大型银行、股份制银行、外资银行、直销银行、理财公司,各保险集团(控股)公司、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(银保监办法〔2022〕80号)(以下简称“消保专项治理”),从自查整改、整治问责、建立长效机制等方面对金融机构提出个人信息管理要求,并要求各银行保险机构应于2022年9月20日前完成自查整改工作并书面报告属地银保监局,银保监会直接监管的银行保险机构应于9月20日前将自查整改报告报送银保监会消费者权益保护局。
除了银保监会要求自评参考30项法规外,我们建议金融机构还可重点参考《中华人民共和国个人信息保护法》《中华人民共和国消费者权益保护法》《网络安全法》《数据安全法》等法律法规,以及中国人民银行颁布的《个人信息安全规范(GB/T 35273—2020)》《个人金融信息保护技术规范(JR/T 0171-2020)》《互联网信息服务算法推荐管理规定》《个人信用信息基础数据库管理暂行办法》《征信办法》等要求,梳理及识别个人信息保护与金融服务场景下个人隐私数据的管理要求,持续完善金融机构个人信息收集、管理与应用要求,推进合规的数据资产管理进程,并持续完善自身的消费者权益保护体系。
一、监管要求
(一)实施阶段要求
根据2022年 “消保专项治理”要求,实施分成三个阶段要求,分别是:
(二)建立整改台账
根据 2022年“消保专项治理”要求,各银行保险机构需要深入查找本机构个人信息保护方面存在的问题,列出问题清单。自查过程中要坚持立查立改。对短期内无法整改完成的问题,要建立整改台账,明确整改措施,逐项逐步推进。
(三)建立长效机制
根据 2022年“消保专项治理”要求,各家金融机构要建立长效机制,要求各家金融机构深入剖析专项治理发现的问题,查找问题根源,排查问题根源,强化制度约束和总分机构的责任落实,推进根源性整改。
(四)强化整治问责
根据 2022年“消保专项治理”要求,各银行保险机构要逐一建档,确保整改到位、问责到位。对违反银行业保险业规章制度的问题,要依规处理;对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全权问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。
二、自查要点解读
(一)自查范围
本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况
(二)自查要点
1. 个人信息定义
根据《中华人民共和国个人信息保护法》要求,个人信息包括以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
根据中国人民银行颁布的《个人信息安全规范》(GB/T 35273—2020)、《个人金融信息保护技术规范(JR/T 0171-2020)》,个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。
银行及金融业机构根据具体业务开展、具体服务场景对信息进行识别和归类,并根据不同类别个人金融信息在全生命周期中的阶段,针对性的采取保护措施。本次自评中金融机构可识别C1-C3不同场景要求,开展个人信息保护自查工作。
2.自查要点场景
针对监管对于个人信息管理整治工作的通知内容,我们按照7类重点领域梳理、总结以下自查点,覆盖银行涉及个人信息方面的流程管理与业务范围,同时需特别提示,监管在针对如何界定侵害个人信息行为类别时,预留了“其他”一类作为补充清查中发现清单外违法违规的行为类型,金融机构可根据数据生命周期管理流程,识别数据采集、存储、传输、处理、传输和共享环节中可能存在的数据安全隐患与应用安全隐患。
个人信息收集:在未取得消费者同意的情况下,利用移动互联网应用程序(App)获取手机通讯录、监测输入内容、监听语音收集消费者个人信息;未在官网、App主动披露隐私政策;通过非法途径盗取或购买消费者个人信息等。 个人信息存储和传输:电子数据存储管理混乱,违反规定下载、存储、记录消费者敏感个人信息,机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质等。 个人信息查询:银行账户信息查询业务操作不规范,存在未按规定留存查询授权材料、未经消费者同意私自查询、虚构理由和业务背景查询信息等问题;保险公司未对查询权限严格限制,导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。 个人信息使用:用于不当营销。私自收集或违规收集消费者信息和联系方式用于营销;在消费者明确拒绝营销后仍继续营销;规避销售系统向消费者营销产品等。 个人信息提供:未经同意向他人或外部机构提供信息。在无法定事由,且未获得消费者同意的情况下,将消费者个人信息提供给外部机构或其他个人;向外部机构或个人贩卖消费者个人信息。 个人信息删除:未对各类消费者个人信息电子数据和纸质材料规定保存期限和到期删除、销毁要求,未明确删除、销毁的程序和方式。 第三方合作:向第三方合作机构提供个人信息超出合作业务必须范围、未进行必要脱敏;未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。 |
3.常见问题点及管理措施和技术措施识别参考
个人信息数据在金融机构内部流转,一般需要经过数据生成、数据存储、数据创数、数据应用与归档、数据销毁等流程,通过全面梳理个人信息处理生命周期过程中的风险点,管理措施和技术手段,明确优化的流程节点和内容,不仅应确保金融机构内部个人信息管理流程符合监管方向,更应通过制度优化明确流程中各类关键控制,保证管理活动的顺利衔接,向个人信息数据管理提供高效、高质量赋能。
三、自评实施建议
我们建议针对本次自评,金融机构个人信息保护管理的自评实施建议包括如下四个步骤:
四、结束语
金融消费者权益保护是影响金融可持续发展和社会稳定的基石,消费者权益保护涉及金融机构的所有业务产品与管理流程, 需要从源头管理入手,将消费者权益保护理念贯穿经营管理各环节,个人信息保护是切实提升消费者权益保护能力的基础工作,需要金融机构在消保审查、事中监控和事后预警方面,及时落地覆盖数据全生命周期的管理措施和技术措施。德勤在多年服务于中外资金融机构的过程中,已经积累了丰富资源及专业经验,拥有自评指导工作的成功经验,将有效协助金融机构建立合规数据资产管理体系和消保管理体系。