特邀作者

樊曉娟 中倫律師事務(wù)所合伙人律師

3月15日，中國銀行保險監(jiān)督管理委員會（“銀保監(jiān)會”）召開“銀行業(yè)保險業(yè)深入推進金融消費者保護”專場新聞發(fā)布會。新聞發(fā)布會上，銀保監(jiān)會消保局郭武平局長指出，今年的重點工作之一是“開展銀行業(yè)保險業(yè)個人信息保護專項整治”。本文是在監(jiān)管進一步強化的背景下，給予銀行保險機構(gòu)在個人信息保護方面的合規(guī)建議。

個人金融信息安全

所謂個人金融信息，是指銀行業(yè)金融機構(gòu)在開展業(yè)務(wù)、提供服務(wù)、接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)及其他系統(tǒng)時獲取、保存、加工的個人信息，包括但不限于賬戶信息、鑒別信息、金融交易信息、個人身份信息、個人財產(chǎn)信息等，是個人隱私的重要部分。隨著金融科技化、數(shù)字化的進程，個人金融信息被泄露、轉(zhuǎn)賣的情況比比皆是，成為了監(jiān)管部門整治工作的重點。

（一）個人金融信息安全的行業(yè)標準

2020年，中國人民銀行提出了《個人金融信息保護技術(shù)規(guī)范（JR／T 0171－2020）》（“《規(guī)范》”），從行業(yè)特性出發(fā)，對個人金融信息的保護提供了詳細的行業(yè)標準。

《規(guī)范》將其直接適用范圍劃定為“由國家金融管理部門監(jiān)督管理的持牌金融機構(gòu)，以及涉及個人金融信息處理的相關(guān)機構(gòu)”（“金融業(yè)機構(gòu)”），這就意味著包括銀行業(yè)金融機構(gòu)、各類證券、基金、保險機構(gòu)在內(nèi)的廣義的持牌金融業(yè)機構(gòu)，以及處理個人金融信息的相關(guān)機構(gòu)（可能持牌或非持牌），例如第三方支付公司、金融科技公司等，都將直接適用《規(guī)范》。

《規(guī)范》還從個人金融信息的生命周期入手，設(shè)計并實施覆蓋個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等全生命周期的安全保護策略。并從個人金融信息全生命周期的安全技術(shù)要求、安全管理要求、安全制度體系的建立及其組織架構(gòu)和崗位設(shè)置、安全監(jiān)測與風(fēng)險評估、安全事件處置方面，制定詳盡的標準及要求，供銀行及其他金融業(yè)機構(gòu)開展業(yè)務(wù)時參考。

（二）敏感個人信息的特別保護

《個人信息保護法》對敏感個人信息作出了界定［1］，金融賬戶及其他一旦泄露將導(dǎo)致個人人身、財產(chǎn)安全受到危害的相關(guān)信息被納入敏感個人信息的范圍。同時，《個人信息保護法》也對敏感個人信息作出了特別保護規(guī)定。

對于作為敏感個人金融信息進行收集、共享、轉(zhuǎn)讓、公開披露等處理活動，需要取得個人的明示同意；在處理敏感個人金融信息前，需要告知個人處理敏感個人信息的必要性以及對個人權(quán)益的影響。金融業(yè)機構(gòu)對敏感個人金融信息的處理要更為細致，注意保留取得個人明示同意以及告知個人必要性的記錄。

（三）分類管理

金融業(yè)機構(gòu)應(yīng)按照《規(guī)范》的要求，將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別。

銀行及金融業(yè)機構(gòu)根據(jù)具體業(yè)務(wù)開展、具體服務(wù)場景對信息進行識別和歸類，并根據(jù)不同類別個人金融信息在全生命周期中的階段，針對性的采取保護措施。

如，在個人金融信息收集階段，C3、C2類別需要具備金融業(yè)資質(zhì)，對于C3類別，通過受理終端、瀏覽器、客戶端應(yīng)用軟件等方式進行收集的，應(yīng)使用加密技術(shù)防止數(shù)據(jù)泄露；在委托處理階段，C3、C2類別信息中的用戶鑒別輔助信息，不可委托給第三方機構(gòu)進行處理；在加工處理過程中，C3、C2類別信息在清洗和轉(zhuǎn)換過程中應(yīng)采取更嚴格的保護措施。

算法的合規(guī)使用

2022年3月14日，中國銀行保險監(jiān)督管理委員會（“銀保監(jiān)會”）發(fā)布了《關(guān)于警惕過度借貸營銷誘導(dǎo)的風(fēng)險提示》（“風(fēng)險提示”）［2］，提醒消費者遠離過度借貸營銷陷阱，防范過度信貸風(fēng)險。次日，銀保監(jiān)會召開的新聞發(fā)布會再次強調(diào)金融消費者保護的重要性和必要性。

在金融領(lǐng)域中，算法已經(jīng)得到廣泛應(yīng)用，算法在提高金融服務(wù)效率和服務(wù)質(zhì)量的同時，也帶來風(fēng)險提示中“個人消費信貸服務(wù)與各種消費場景深度綁定”的借貸營銷陷阱。于今年3月1日生效的《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》（“《算法規(guī)定》”）填補了這方面立法空白，成為金融業(yè)機構(gòu)開展業(yè)務(wù)、開發(fā)APP時進行合規(guī)自查的主要參考法規(guī)，具有不少值得注意的亮點。

（一）信息服務(wù)基本規(guī)范

算法推薦服務(wù)機制應(yīng)當向上向善，通過用戶提供的個人信息、其搜索習(xí)慣等，利用算法增加用戶便捷度并為用戶量身定制服務(wù)是可取的，但不得利用算法干預(yù)信息，如屏蔽信息、過度推薦、操縱榜單或者控制檢索結(jié)果排序、控制熱搜精選等。

這意味著金融業(yè)機構(gòu)即便取得用戶明示同意其使用個人金融信息的前提下，仍不得利用算法強制或者變相強制用戶接受金融產(chǎn)品或者服務(wù)。也不得排除、限制金融消費者接受同業(yè)機構(gòu)提供的金融產(chǎn)品或者服務(wù)。

（二）告知義務(wù)及用戶選擇權(quán)

如果金融業(yè)機構(gòu)利用算法向不同類別資產(chǎn)持有人推送不同的理財產(chǎn)品，應(yīng)當告知用戶該算法的基本原理，提高規(guī)則的透明度和可解釋性。用戶對于是否使用算法具有選擇權(quán)，如果用戶選擇關(guān)閉，金融業(yè)機構(gòu)應(yīng)當立即停止算法推薦服務(wù)。

同時，金融業(yè)機構(gòu)應(yīng)當設(shè)置便捷有效的用戶申訴和公眾投訴、舉報入口，將處理流程和反饋時限明確并進行公示，及時受理、處理并向用戶反饋處理結(jié)果。

（三）算法分級分類安全管理制度

《算法規(guī)定》要求根據(jù)算法推薦服務(wù)的輿論屬性或者社會動員能力、內(nèi)容類別、用戶規(guī)模、算法推薦技術(shù)處理的數(shù)據(jù)重要程度、對用戶行為的干預(yù)程度等對算法推薦服務(wù)提供者實施分級分類管理。具有輿論屬性或者社會動員能力的算法推薦服務(wù)提供者應(yīng)當在提供服務(wù)之日起十個工作日內(nèi)進行備案。［3］

金融業(yè)機構(gòu)要根據(jù)自身采用算法提供的服務(wù)進行識別，并確認是否需要進行備案。

銀行保險業(yè)務(wù)APP

2021年，工信部共發(fā)布11批關(guān)于侵害用戶權(quán)益行為的APP，包括工信部和各地方通信管理局通報存在問題的APP。其中，多家銀行的APP被通報，主要問題集中在違規(guī)／超范圍收集個人信息；強制用戶使用定向推送功能或者App強制、頻繁、過度索取權(quán)限。

（一）違規(guī)后果

根據(jù)《個人信息保護法》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《算法規(guī)定》等相關(guān)法律法規(guī)，工業(yè)和信息化部及各省通信管理局對APP進行排查，有問題的APP將被通報批評，并限期整改。被通報的銀行保險業(yè)APP如未能按期整改，根據(jù)其具體的違規(guī)行為，由有關(guān)主管部門相應(yīng)暫停業(yè)務(wù)、責令改正、警告、吊銷相關(guān)業(yè)務(wù)許可或執(zhí)照、以及處以罰款等處罰。

（二）合規(guī)建議

目前我國法律建立了以“告知－同意”為核心的個人信息處理原則，事先征得用戶同意為前提，最低限度保障用戶事后包括請求刪除、更正、撤回同意的權(quán)利為輔。在法院公布的已生效判決中，也強調(diào)了以“告知－同意”為主要裁量標準的審判理念。所以

1、履行告知義務(wù)

金融業(yè)機構(gòu)開發(fā)的APP在利用算法時，應(yīng)謹遵《算法規(guī)定》的要求，參考上文中算法合規(guī)要求部分進行合規(guī)自查，明示告知用戶算法使用規(guī)則。同時，各金融業(yè)機構(gòu)開發(fā)的APP多傾向于使用人臉識別、指紋識別作為登錄驗證方式，要結(jié)合《個人信息保護法》的要求，告知用戶個人信息的處理目的、方式以及其他規(guī)定事項。

需要注意的是，收集使用規(guī)則的內(nèi)容不能使用大量專業(yè)術(shù)語，或采取晦澀難懂、冗長繁瑣的敘述使得用戶難以理解，這種無效告知仍會被判定為“未明示收集使用個人信息的目的、方式和范圍”。

2、取得用戶同意

處理個人信息需要取得用戶同意，處理生物識別信息、敏感個人金融信息更需要取得用戶的同意。對于金融業(yè)機構(gòu)來說，最保險的方式是將取得同意的記錄固定并留存下來。金融業(yè)機構(gòu)或可考慮通過在APP中加入彈窗設(shè)計，同時達成提醒用戶和取得用戶同意的目的，這也是目前大多數(shù)移動APP所采用的辦法。

結(jié) 語

2021年是個人信息保護的立法年，而2022年則是各監(jiān)管機構(gòu)秉承法律法規(guī)，加大執(zhí)法力度，使執(zhí)法常態(tài)化、精準化的一年。金融業(yè)是國民經(jīng)濟的核心行業(yè)，金融業(yè)機構(gòu)是受到嚴格監(jiān)管的持牌經(jīng)營機構(gòu)，其行業(yè)特點造就其具有做好風(fēng)險管理工作、維護機構(gòu)良好社會形象的義務(wù)，而個人金融信息的保護正是風(fēng)險管理工作中舉足輕重的一環(huán)。個人金融信息保護是一項長期任務(wù)，需要立法機構(gòu)、監(jiān)管機構(gòu)與金融業(yè)機構(gòu)共同努力，切實構(gòu)建個人金融信息長效保護機制。

       原文標題 : 解讀銀保監(jiān)“消保專項治理”，強監(jiān)管下金融業(yè)個人信息安全如何守