特邀作者

樊曉娟 中倫律師事務(wù)所合伙人律師

3月15日，中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)（“銀保監(jiān)會(huì)”）召開(kāi)“銀行業(yè)保險(xiǎn)業(yè)深入推進(jìn)金融消費(fèi)者保護(hù)”專(zhuān)場(chǎng)新聞發(fā)布會(huì)。新聞發(fā)布會(huì)上，銀保監(jiān)會(huì)消保局郭武平局長(zhǎng)指出，今年的重點(diǎn)工作之一是“開(kāi)展銀行業(yè)保險(xiǎn)業(yè)個(gè)人信息保護(hù)專(zhuān)項(xiàng)整治”。本文是在監(jiān)管進(jìn)一步強(qiáng)化的背景下，給予銀行保險(xiǎn)機(jī)構(gòu)在個(gè)人信息保護(hù)方面的合規(guī)建議。

個(gè)人金融信息安全

所謂個(gè)人金融信息，是指銀行業(yè)金融機(jī)構(gòu)在開(kāi)展業(yè)務(wù)、提供服務(wù)、接入中國(guó)人民銀行征信系統(tǒng)、支付系統(tǒng)及其他系統(tǒng)時(shí)獲取、保存、加工的個(gè)人信息，包括但不限于賬戶(hù)信息、鑒別信息、金融交易信息、個(gè)人身份信息、個(gè)人財(cái)產(chǎn)信息等，是個(gè)人隱私的重要部分。隨著金融科技化、數(shù)字化的進(jìn)程，個(gè)人金融信息被泄露、轉(zhuǎn)賣(mài)的情況比比皆是，成為了監(jiān)管部門(mén)整治工作的重點(diǎn)。

（一）個(gè)人金融信息安全的行業(yè)標(biāo)準(zhǔn)

2020年，中國(guó)人民銀行提出了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范（JR／T 0171－2020）》（“《規(guī)范》”），從行業(yè)特性出發(fā)，對(duì)個(gè)人金融信息的保護(hù)提供了詳細(xì)的行業(yè)標(biāo)準(zhǔn)。

《規(guī)范》將其直接適用范圍劃定為“由國(guó)家金融管理部門(mén)監(jiān)督管理的持牌金融機(jī)構(gòu)，以及涉及個(gè)人金融信息處理的相關(guān)機(jī)構(gòu)”（“金融業(yè)機(jī)構(gòu)”），這就意味著包括銀行業(yè)金融機(jī)構(gòu)、各類(lèi)證券、基金、保險(xiǎn)機(jī)構(gòu)在內(nèi)的廣義的持牌金融業(yè)機(jī)構(gòu)，以及處理個(gè)人金融信息的相關(guān)機(jī)構(gòu)（可能持牌或非持牌），例如第三方支付公司、金融科技公司等，都將直接適用《規(guī)范》。

《規(guī)范》還從個(gè)人金融信息的生命周期入手，設(shè)計(jì)并實(shí)施覆蓋個(gè)人金融信息的收集、傳輸、存儲(chǔ)、使用、刪除、銷(xiāo)毀等全生命周期的安全保護(hù)策略。并從個(gè)人金融信息全生命周期的安全技術(shù)要求、安全管理要求、安全制度體系的建立及其組織架構(gòu)和崗位設(shè)置、安全監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估、安全事件處置方面，制定詳盡的標(biāo)準(zhǔn)及要求，供銀行及其他金融業(yè)機(jī)構(gòu)開(kāi)展業(yè)務(wù)時(shí)參考。

（二）敏感個(gè)人信息的特別保護(hù)

《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息作出了界定［1］，金融賬戶(hù)及其他一旦泄露將導(dǎo)致個(gè)人人身、財(cái)產(chǎn)安全受到危害的相關(guān)信息被納入敏感個(gè)人信息的范圍。同時(shí)，《個(gè)人信息保護(hù)法》也對(duì)敏感個(gè)人信息作出了特別保護(hù)規(guī)定。

對(duì)于作為敏感個(gè)人金融信息進(jìn)行收集、共享、轉(zhuǎn)讓、公開(kāi)披露等處理活動(dòng)，需要取得個(gè)人的明示同意；在處理敏感個(gè)人金融信息前，需要告知個(gè)人處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。金融業(yè)機(jī)構(gòu)對(duì)敏感個(gè)人金融信息的處理要更為細(xì)致，注意保留取得個(gè)人明示同意以及告知個(gè)人必要性的記錄。

（三）分類(lèi)管理

金融業(yè)機(jī)構(gòu)應(yīng)按照《規(guī)范》的要求，將個(gè)人金融信息按敏感程度從高到低分為C3、C2、C1三個(gè)類(lèi)別。

銀行及金融業(yè)機(jī)構(gòu)根據(jù)具體業(yè)務(wù)開(kāi)展、具體服務(wù)場(chǎng)景對(duì)信息進(jìn)行識(shí)別和歸類(lèi)，并根據(jù)不同類(lèi)別個(gè)人金融信息在全生命周期中的階段，針對(duì)性的采取保護(hù)措施。

如，在個(gè)人金融信息收集階段，C3、C2類(lèi)別需要具備金融業(yè)資質(zhì)，對(duì)于C3類(lèi)別，通過(guò)受理終端、瀏覽器、客戶(hù)端應(yīng)用軟件等方式進(jìn)行收集的，應(yīng)使用加密技術(shù)防止數(shù)據(jù)泄露；在委托處理階段，C3、C2類(lèi)別信息中的用戶(hù)鑒別輔助信息，不可委托給第三方機(jī)構(gòu)進(jìn)行處理；在加工處理過(guò)程中，C3、C2類(lèi)別信息在清洗和轉(zhuǎn)換過(guò)程中應(yīng)采取更嚴(yán)格的保護(hù)措施。

算法的合規(guī)使用

2022年3月14日，中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)（“銀保監(jiān)會(huì)”）發(fā)布了《關(guān)于警惕過(guò)度借貸營(yíng)銷(xiāo)誘導(dǎo)的風(fēng)險(xiǎn)提示》（“風(fēng)險(xiǎn)提示”）［2］，提醒消費(fèi)者遠(yuǎn)離過(guò)度借貸營(yíng)銷(xiāo)陷阱，防范過(guò)度信貸風(fēng)險(xiǎn)。次日，銀保監(jiān)會(huì)召開(kāi)的新聞發(fā)布會(huì)再次強(qiáng)調(diào)金融消費(fèi)者保護(hù)的重要性和必要性。

在金融領(lǐng)域中，算法已經(jīng)得到廣泛應(yīng)用，算法在提高金融服務(wù)效率和服務(wù)質(zhì)量的同時(shí)，也帶來(lái)風(fēng)險(xiǎn)提示中“個(gè)人消費(fèi)信貸服務(wù)與各種消費(fèi)場(chǎng)景深度綁定”的借貸營(yíng)銷(xiāo)陷阱。于今年3月1日生效的《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》（“《算法規(guī)定》”）填補(bǔ)了這方面立法空白，成為金融業(yè)機(jī)構(gòu)開(kāi)展業(yè)務(wù)、開(kāi)發(fā)APP時(shí)進(jìn)行合規(guī)自查的主要參考法規(guī)，具有不少值得注意的亮點(diǎn)。

（一）信息服務(wù)基本規(guī)范

算法推薦服務(wù)機(jī)制應(yīng)當(dāng)向上向善，通過(guò)用戶(hù)提供的個(gè)人信息、其搜索習(xí)慣等，利用算法增加用戶(hù)便捷度并為用戶(hù)量身定制服務(wù)是可取的，但不得利用算法干預(yù)信息，如屏蔽信息、過(guò)度推薦、操縱榜單或者控制檢索結(jié)果排序、控制熱搜精選等。

這意味著金融業(yè)機(jī)構(gòu)即便取得用戶(hù)明示同意其使用個(gè)人金融信息的前提下，仍不得利用算法強(qiáng)制或者變相強(qiáng)制用戶(hù)接受金融產(chǎn)品或者服務(wù)。也不得排除、限制金融消費(fèi)者接受同業(yè)機(jī)構(gòu)提供的金融產(chǎn)品或者服務(wù)。

（二）告知義務(wù)及用戶(hù)選擇權(quán)

如果金融業(yè)機(jī)構(gòu)利用算法向不同類(lèi)別資產(chǎn)持有人推送不同的理財(cái)產(chǎn)品，應(yīng)當(dāng)告知用戶(hù)該算法的基本原理，提高規(guī)則的透明度和可解釋性。用戶(hù)對(duì)于是否使用算法具有選擇權(quán)，如果用戶(hù)選擇關(guān)閉，金融業(yè)機(jī)構(gòu)應(yīng)當(dāng)立即停止算法推薦服務(wù)。

同時(shí)，金融業(yè)機(jī)構(gòu)應(yīng)當(dāng)設(shè)置便捷有效的用戶(hù)申訴和公眾投訴、舉報(bào)入口，將處理流程和反饋時(shí)限明確并進(jìn)行公示，及時(shí)受理、處理并向用戶(hù)反饋處理結(jié)果。

（三）算法分級(jí)分類(lèi)安全管理制度

《算法規(guī)定》要求根據(jù)算法推薦服務(wù)的輿論屬性或者社會(huì)動(dòng)員能力、內(nèi)容類(lèi)別、用戶(hù)規(guī)模、算法推薦技術(shù)處理的數(shù)據(jù)重要程度、對(duì)用戶(hù)行為的干預(yù)程度等對(duì)算法推薦服務(wù)提供者實(shí)施分級(jí)分類(lèi)管理。具有輿論屬性或者社會(huì)動(dòng)員能力的算法推薦服務(wù)提供者應(yīng)當(dāng)在提供服務(wù)之日起十個(gè)工作日內(nèi)進(jìn)行備案。［3］

金融業(yè)機(jī)構(gòu)要根據(jù)自身采用算法提供的服務(wù)進(jìn)行識(shí)別，并確認(rèn)是否需要進(jìn)行備案。

銀行保險(xiǎn)業(yè)務(wù)APP

2021年，工信部共發(fā)布11批關(guān)于侵害用戶(hù)權(quán)益行為的APP，包括工信部和各地方通信管理局通報(bào)存在問(wèn)題的APP。其中，多家銀行的APP被通報(bào)，主要問(wèn)題集中在違規(guī)／超范圍收集個(gè)人信息；強(qiáng)制用戶(hù)使用定向推送功能或者App強(qiáng)制、頻繁、過(guò)度索取權(quán)限。

（一）違規(guī)后果

根據(jù)《個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《算法規(guī)定》等相關(guān)法律法規(guī)，工業(yè)和信息化部及各省通信管理局對(duì)APP進(jìn)行排查，有問(wèn)題的APP將被通報(bào)批評(píng)，并限期整改。被通報(bào)的銀行保險(xiǎn)業(yè)APP如未能按期整改，根據(jù)其具體的違規(guī)行為，由有關(guān)主管部門(mén)相應(yīng)暫停業(yè)務(wù)、責(zé)令改正、警告、吊銷(xiāo)相關(guān)業(yè)務(wù)許可或執(zhí)照、以及處以罰款等處罰。

（二）合規(guī)建議

目前我國(guó)法律建立了以“告知－同意”為核心的個(gè)人信息處理原則，事先征得用戶(hù)同意為前提，最低限度保障用戶(hù)事后包括請(qǐng)求刪除、更正、撤回同意的權(quán)利為輔。在法院公布的已生效判決中，也強(qiáng)調(diào)了以“告知－同意”為主要裁量標(biāo)準(zhǔn)的審判理念。所以

1、履行告知義務(wù)

金融業(yè)機(jī)構(gòu)開(kāi)發(fā)的APP在利用算法時(shí)，應(yīng)謹(jǐn)遵《算法規(guī)定》的要求，參考上文中算法合規(guī)要求部分進(jìn)行合規(guī)自查，明示告知用戶(hù)算法使用規(guī)則。同時(shí)，各金融業(yè)機(jī)構(gòu)開(kāi)發(fā)的APP多傾向于使用人臉識(shí)別、指紋識(shí)別作為登錄驗(yàn)證方式，要結(jié)合《個(gè)人信息保護(hù)法》的要求，告知用戶(hù)個(gè)人信息的處理目的、方式以及其他規(guī)定事項(xiàng)。

需要注意的是，收集使用規(guī)則的內(nèi)容不能使用大量專(zhuān)業(yè)術(shù)語(yǔ)，或采取晦澀難懂、冗長(zhǎng)繁瑣的敘述使得用戶(hù)難以理解，這種無(wú)效告知仍會(huì)被判定為“未明示收集使用個(gè)人信息的目的、方式和范圍”。

2、取得用戶(hù)同意

處理個(gè)人信息需要取得用戶(hù)同意，處理生物識(shí)別信息、敏感個(gè)人金融信息更需要取得用戶(hù)的同意。對(duì)于金融業(yè)機(jī)構(gòu)來(lái)說(shuō)，最保險(xiǎn)的方式是將取得同意的記錄固定并留存下來(lái)。金融業(yè)機(jī)構(gòu)或可考慮通過(guò)在APP中加入彈窗設(shè)計(jì)，同時(shí)達(dá)成提醒用戶(hù)和取得用戶(hù)同意的目的，這也是目前大多數(shù)移動(dòng)APP所采用的辦法。

結(jié) 語(yǔ)

2021年是個(gè)人信息保護(hù)的立法年，而2022年則是各監(jiān)管機(jī)構(gòu)秉承法律法規(guī)，加大執(zhí)法力度，使執(zhí)法常態(tài)化、精準(zhǔn)化的一年。金融業(yè)是國(guó)民經(jīng)濟(jì)的核心行業(yè)，金融業(yè)機(jī)構(gòu)是受到嚴(yán)格監(jiān)管的持牌經(jīng)營(yíng)機(jī)構(gòu)，其行業(yè)特點(diǎn)造就其具有做好風(fēng)險(xiǎn)管理工作、維護(hù)機(jī)構(gòu)良好社會(huì)形象的義務(wù)，而個(gè)人金融信息的保護(hù)正是風(fēng)險(xiǎn)管理工作中舉足輕重的一環(huán)。個(gè)人金融信息保護(hù)是一項(xiàng)長(zhǎng)期任務(wù)，需要立法機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)與金融業(yè)機(jī)構(gòu)共同努力，切實(shí)構(gòu)建個(gè)人金融信息長(zhǎng)效保護(hù)機(jī)制。

       原文標(biāo)題 : 解讀銀保監(jiān)“消保專(zhuān)項(xiàng)治理”，強(qiáng)監(jiān)管下金融業(yè)個(gè)人信息安全如何守