2022年8月3日银保监会办公厅非公开发布《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知(银保监办法〔2022〕80号)》,通告各银行保险机构、非银行金融机构等银保监会辖下机构将组织开展行业侵害个人信息权益乱象专项整治工作,推动落实《个人信息保护法》,全面梳理和排查行业内个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象,督促各机构建立健全消费者个人信息保护工作机制。
一场声势浩大的金融业个人信息侵权治理风暴将全面来袭。
专项整治工作主要内容
一、涉及的机构
1.银行:包括国有大型银行,全国性股份制银行,城市商业银行,民营银行,农村商业银行、村镇银行、农村信用社等农村中小金融机构,外资银行,直销银行等
2.保险:包括财产保险公司(集团、公司),人身保险公司(集团、公司),保险专业中介机构等
3.非银行金融机构:信托公司,汽车金融公司,消费金融公司,理财公司等
按总行/总公司和法人口径分别开展治理工作,层级下达地市级分支机构。
二、工作任务
本次专项整治工作以机构自查为主,监管适时抽查、统筹部署和全流程督导。
2.整治问责。
a.机构层面。对整治发现的问题逐一建档,确保整改到位,问责到位。违反行业规章制度的问题依规处理,不当操作立即叫停或纠正,严重侵权的问题问责到人,涉及违法犯罪的问题移交司法机关。
b.监管层面。结合日常监管、现场检查、举报调查、投诉督查等监管工作,专项开展侵害消费者信息安全权监管抽查和督导。对违法问题依法依规严肃查处,机构自查并整改到位问题可依法从轻、减轻或不予处罚,自查不力、隐瞒不报的机构严肃追责并从重处罚。
3.建立长效机制。
a.机构层面:各机构查找问题根源,问题原因在下级机构的,压实分支机构责任,不折不扣完成整改,问题根源在总部的,及时调整和优化工作机制,推进根源性整改。
b.监管层面:督促各机构建立健全个人信息保护制度机制,完善业务规则和操作流程,规范个人信息处理和管理行为,全面提升消费者个人信息保护工作水平。
三、工作安排
2.2022年9-11月,监管抽查阶段。各银保监局在机构自查基础上开展监管抽查,抽查对象和抽查数量由各银保监局根据辖区情况自行决定,应突出重点机构和重点业务,同时填报“监管抽查发现问题及整改处理情况表”。
3.总结汇报阶段。各银保监局应于2022年12月20日前,向银监会消费者权益保护局报送专项整治工作报告,同时填报“专项整治工作统计表”。
侵害个人信息权益行为清单
此外,金融行业个人信息保护的力度还会强于一般行业的标准,因为根据个保法规定,金融账户信息属于敏感个人信息,金融机构开展业务过程中只要涉及个人金融账户的环节都将按照敏感个人信息处理规则,执行更为严格的保护措施。
具体来看本次专项整治列出的检查清单,按照金融业务开展的流程梳理,所列出的违规行为绝大多数来自于实践工作场景。信息收集、信息存储、信息传输、信息查询、信息使用、信息提供、信息删除、第三方合作等各个环节,如触及到个保法的某项或某几项规定就必须根据个保法的规定进行调整。此外央行2020年颁布的《个人金融信息保护技术规范(JR/T0171-2020)》(以下简称技术规范)、2015年国务院发布的《关于加强金融消费者权益保护工作的指导意见(国办发〔2015〕81号)》、原银监会2009年发布的《关于印发〈商业银行信息科技风险管理指引〉的通知(银监发〔2009〕19号)》等法规文件也是重要的规则依据:
一、个人信息收集
未经同意收集个人信息。如在未取得消费者同意的情况下,利用移动互联网应用程序(App)获取手机通讯录、监测输入内容、监听语音收集消费者个人信息;未在官网、App主动披露隐私政策;通过非法途径盗取或购买消费者个人信息等。
法询解读:
通过APP开展业务则存在更为复杂的细节,违规行为的表现形式也更多,2019年网信办等四部门联合在全国范围组织开展了App违法违规收集使用个人信息专项治理行动,制定了详细的《App违法违规收集使用个人信息行为认定方法》,2021年网信办等四部门又联合发布了《常见类型移动互联网应用程序必要个人信息范围规定(国信办秘字〔2021〕14号)》,详细规定了保障App基本功能服务正常运行所必需的个人信息范围,金融机构通过APP开展业务需要同时适用上述规则。
在个保法规制下,金融机构的信息采集工作将非常繁琐,严重影响客户体验,如果客户真的在其中环节拒绝金融机构采集行为,根据个保法,客户拒绝提供个人信息,服务机构不得拒绝提供服务,可是信息收集和前端认证又是必不可少的,所以金融机构还需要准备多套方案来防止客户真的选择拒绝,已保证完成验证和信息采集的工作。
根据技术规范规定,金融机构收集个人信息具体技术要求如下:
(3)应采取技术措施(如弹窗、明显位置URL链接等),引导个人金融信息主体查阅隐私政策,并获得其明示同意后,开展有关个人金融信息的收集活动。
(5)通过受理终端、客户端应用软件与浏览器等方式引导用户输入(或设置)银行卡密码、网络支付密码时,应采取展示屏蔽等措施防止密码明文显示,其他密码类信息宜采取展示屏蔽措施。
(6)在网络支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效措施防止合作机构获取、留存支付敏感信息。
(7)在停止提供金融产品或服务时,应及时停止继续收集个人金融信息的活动。
二、个人信息存储和传输
电子数据存储管理混乱。违反规定下载、存储、记录消费者敏感个人信息。如机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质;机构人员使用誊抄、拍屏、扫描文字识别等方式私自记录消费者个人信息数据;机构人员滥用职权或利用管理漏洞篡改消费者个人信息数据等。
纸质材料保存管理混乱。未按照规定年限和规范要求保存、管理包含消费者个人信息的纸质材料。如未保存纸质材料打印记录、未对打印材料添加识别水印;营业场所纸质材料未按规定入柜加锁保管;业务申请表、提示书、投保单、合同协议等包含个人信息的纸质业务材料未统一保管、统一编号并严格领用;已填写的业务材料由营销人员私自保存长期未上交等。
因系统或操作原因导致信息外泄。因系统或操作原因在发送包含消费者个人信息的电子保单、红利通知书等资料或服务信息时导致消费者重要信息外泄。
此外银保监会2018年颁布的《关于印发银行业金融机构数据治理指引的通知(银保监发〔2018〕22号)》也规定,“银行业金融机构应当加强数据资料统一管理,建立全面严密的管理流程、归档制度,明确存档交接、口径梳理等要求,保证数据可比性”。
根据技术规范规定,个人金融信息传输过程的参与方应保证信息在传输过程中的保密性、完整性和可用性,具体技术要求如下:
(1)应建立相应的个人金融信息传输安全策略和规程,采用满足个人金融信息传输安全策略的安全控制措施,如安全通道、数据加密等技术措施。
(2)传输个人金融信息前,通信双方应通过有效技术手段进行身份鉴别和认证。
(3)通过公共网络传输时,C2、C3类别信息应使用加密通道或数据加密的方式进行传输,保障个人金融信息传输过程的安全;对于C3类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。
(5)个人金融信息传输的接收方应对接收的信息进行完整性校验。
(6)应建立有效机制对个人金融信息传输安全策略进行审核、监控和优化,包括对通道安全配置、密码算法配置、密钥管理等保护措施的管理和监控。
(7)应采取有效措施(如个人金融信息传输链路冗余)保证数据传输可靠性和网络传输服务可用性。
个人金融信息存储的具体技术要求如下:
(3)C3类别个人金融信息应采用加密措施确保数据存储的保密性。
(4)受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生物识别信息的样本数据、模板,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时予以清除。
(5)采取必要的技术和管控措施保证个人金融信息存储转移过程中的安全性。
(6)应将去标识化、匿名化后的数据与可用于恢复识别个人的信息采取逻辑隔离的方式进行存储,确保去标识化、匿名化后的信息与个人金融信息不被混用。
(7)在停止运营时,应依据国家法律法规与行业主管部门有关规定要求,对所存储的个人金融信息进行妥善处置,或移交国家与行业主管部门指定的机构继续保存。
三、个人信息查询
查询权限管理混乱。如业务系统账号权限设置与岗位职责不符,导致员工可跨业务、跨机构、跨层级、跨地区查询与本人管理业务无关的消费者个人信息;员工之间共用账号、借用账号查询消费者个人信息;离职员工账号未及时注销查询权限等。
银保监会2018年颁布的《关于印发银行业金融机构数据治理指引的通知(银保监发〔2018〕22号)》也规定,“银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全”。
四、个人信息使用
用于不当营销。如私自收集或违规收集消费者信息和联系方式用于营销;在消费者明确拒绝营销后仍继续营销;规避销售系统向消费者营销产品等。
个保法规定“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”,即不得对个人定向推送营销,例如定向推送适合某个人的金融产品。
擅自办理业务。在未经消费者同意的情况下,利用已获得的消费者个人信息,擅自为消费者办理业务或冒充消费者办理业务等。
个保法第二十四条对个人信息处理者利用个人信息进行自动化决策作出了规范,“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”,“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。个人信息处理者通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。在极端情况下,个人还有权要求个人信息处理者做出通过非自动化决策的方式进行再决策。金融机构通过自动筛选策略、数据风控模型的设定,利用已获得的消费者个人信息,擅自为消费者办理业务或冒充消费者办理业务也属于自动化决策的表现形式之一,客户将有权要求金融机构做出说明,也有权拒绝自动化决策的结果,还有权要求金融机构用非自动化决策的方式再决策。
但“冒充消费者办理业务”从性质上来说更为恶劣,已经不是通过利用个人信息进行自动化决策的问题,而是涉嫌刑事犯罪了。
撤回同意后继续使用。在消费者明确表示收回对使用其个人信息的同意后,仍继续使用消费者个人信息。
五、个人信息提供
未经同意向他人或外部机构提供信息。在无法定事由,且未获得消费者同意的情况下,将消费者个人信息提供给外部机构或其他个人;向外部机构或个人贩卖消费者个人信息。
违反法律、行政法规和国家网信部门规定,向境外提供个人信息。
如果是个人信息处理者委托第三方处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
根据个保法要求,信息处理者向其他信息处理者提供个人信息必须要做个人信息安全影响评估,要论证接受方获得这些信息的最小必要性,接收方有安全保障能力防止信息泄露,但是这种评估要做到什么程度个保法没有明确。评估内容主要包括处理目的、处理方式、对个人权益的影响及安全风险、保护措施等方面,对于金融机构而言,本条规定落实的成本并不高、需要增加的工作量也并不多,仅需在内部项目报审、立项过程中,增加一份关于个人信息保护的针对性分析报告即可。报告的目的、适用情形、内容按照条款都基本上明确了,逐一落实就好。
银保监会2020年发布的《关于预防银行业保险业从业人员金融违法犯罪的指导意见(银保监办发〔2020〕18号)》也强调,要严防非法复制数据、贩卖客户信息等金融领域违法犯罪行为。
涉及到向境外提供个人信息,个保法规定应当具备下列条件之一:
(1)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(4)法律、行政法规或者国家网信部门规定的其他条件。
此外,2022年7月7日国家互联网信息办公室颁布了《数据出境安全评估办法》,自2022年9月1日起施行。数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,评估通过的才能够向境外提供数据。
(1)数据处理者向境外提供重要数据;
(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。
六、个人信息删除
未明确个人信息删除要求。未对各类消费者个人信息电子数据和纸质材料规定保存期限和到期删除、销毁要求,未明确删除、销毁的程序和方式。
未及时删除个人信息。如业务关系终结后,未按照约定或消费者的请求删除或销毁已收集的个人信息(法律法规另有规定的除外);信用卡、贷款、保险等业务申请未获通过的,未将申请材料及时退还消费者或按规定删除、销毁,导致客户经理或保险代理人长期保存消费者个人信息等。
根据个保法规定,个人信息保存有时效性,在相应条件届满后,个人信息处理者应当主动,或者在个人要求下被动删除相应信息。金融机构也应在规定的上述情况下删除个人信息,鉴于客户个人信息资料对金融机构的系统模型有重要的基础作用,金融机构很有保留这些数据的需求,根据个保法规定,个人信息并不包括“匿名化处理后的信息”,金融机构可以在信息获取后做好匿名化处理,处理后的信息将具有不可还原性、不可识别性,无法再定位到个人特征,便可妥善储存,继续使用在其模型策略的优化更迭过程中。
这一方面技术规范做了详细规定。个人金融信息在删除过程中的具体技术要求如下:
(1)应采取技术手段,在金融产品和服务所涉及的系统中去除个人金融信息,使其保持不可被检索和访问。
(2)个人金融信息主体要求删除个人金融信息时,金融业机构应依据国家法律法规、行业主管部门有关规定以及与个人金融信息主体的约定予以响应。
个人金融信息在销毁过程中的具体技术要求如下:
(1)应建立个人金融信息销毁策略和管理制度,明确销毁对象、流程、方式和要求。
(2)应对个人金融信息存储介质销毁过程进行监督与控制,对待销毁介质的登记、审批、介质交接、销毁执行等过程进行监督。
(4)存储个人金融信息的介质如不再使用,应采用不可恢复的方式(如消磁、焚烧、粉碎等)对介质进行销毁处理;存储个人金融信息的介质如还需继续使用,不应只采用删除索引、删除文件系统的方式进行信息销毁,应通过多次覆写等方式安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或者以其他形式加以利用。
(5)云环境下有关数据清除应依据JR/T0167-2018的9.6执行。
七、第三方合作
与第三方合作机构合作不审慎。如未在合作协议中明确合作机构个人信息安全保护责任和风险管理责任;未有效监测第三方合作机构履行个人信息保护责任情况;合作机构出现侵害个人信息安全行为时未及时处置;终止与第三方合作机构合作后,未及时监督其删除或销毁在合作期间获得的消费者个人信息等。
违反规定向第三方合作机构提供个人信息。如向第三方合作机构提供个人信息超出合作业务必须范围、未进行必要脱敏;未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。
根据个保法规定,两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是个人信息处理者之间的约定不对抗第三人,且个人信息处理者之间应对第三人承担连带责任。法律并不限制多位个人信息处理者共同处理个人信息的行为,但前提是需要明确约定在业务合作中的权利义务分担,个人可以向任何一方主张其应有的权利,共同处理个人信息的主体因此而承担连带责任,若其行为对个人产生了损害,则个人有权对任意一方、多方提出对其全部损失进行赔偿的要求。
例如比较典型的助贷机构与金融机构合作共同处理个人信息,需要根据个保法迅速梳理合作业务项下的对个人信息处理的流程及具体方式,并在交易文件中明确操作模式、双方权责分配。也要注意助贷机构要与金融机构承担侵犯个人信息的连带赔偿责任,应当在交易文件中明确,个人对其中某一方进行索赔后,若该方并非过错方,则其可要求过错方对已受损失主张赔偿的权利。
(全文完)
金融监管研究院
1771篇原创内容
公众号
供应链金融在中国已经历经了20年左右的发展,无论是针对核心企业还是上游、下游企业的传统产品都比较成熟,但是对于大部分企业和银行而言,依然面临着“叫好不叫座”的困境,即系统、产品、人员似乎都有了,但是业务始终无法上量,特别是地方性银行还面临着客户异地化的挑战。而随着科技的发展,产业数字化和金融数字化转型的浪潮正席卷而来,给本地化经营的中小银行以及平台公司带来供应链金融发展的新商机。在此背景下,法询金融邀请两位有着近20年供应链金融实践经验的专家老师,结合数字化转型的全新视角,既详细介绍了供应链金融依托“链式”开发核心企业上下游中小企业的典型案例,又结合场景、数据、模型、运营等科技手段和生态资源,介绍在数字化转型时代供应链金融的最新创新模式,最后重点介绍了如何从0开始打造产业互联网供应链金融平台的实务经验。
※培训地点:成都(培训前一周通知具体地点)
【课程纲要】
主题一:《数字化转型背景下的供应链金融场景打造与经典案例》
从一个供应链金融的经典案例开始
第一部分我们真的弄懂了供应链金融了吗?
1.从概念看实质
2.供应链金融的发展历程
3.供应链的物流、资金流程图
4.供应链金融的产品大图——一图看懂所有的供应链金融关键流程
5.核心企业隐藏的奥秘——新的营销机会
6.从财务报表发现上下游批量营销的商机
7.为何很多银行的供应链金融“叫好不叫座”
8.认识发展供应链金融的关键“能力”
第二部分产品与风险篇:供应链金融产品疑难解剖
1、未来应收帐款质押产品的风险实质
2、票据业务在供应链金融中的演变与创新
3、物流控制为何是“大坑”:存货监管在大宗物质和农业、快消品行业的应用
4、贸易联动的产品与风险:“钢贸”和“青岛港事件”的教训
5、保理与反向保理:为何银行不上量
6、保兑仓业务:20年来为何一直在演变,从来未被消灭
7、厂仓银业务:新瓶老酒为哪端?
8、商商银业务:是创新还是“黑洞”?
9、买方信贷业务:如何与核心企业共进退
10、供应链金融的全线上化:结构与难点
11、供应链金融与数据交互:基于数据的供应链金融
12、资金结算产品与供应链金融
13、终端客户的供应链金融:中长尾的普惠客群产品
第三部分场景篇:数字化供应链金融如何打造“场景”
1、发现客户的真需求:真场景与假场景
2、数字化供应链金融的要点和模式
(1)“全线上流程”不等于数字化
(2)数字化的关键
(3)核心流程点
(4)风控逻辑与方式的变化
(5)客户标签与数字画像
(6)关系图谱的运用
3、详解数据与场景:
(1)没有数据,谈何供应链金融
(2)数据结构化与建模
(3)五类数据场景分类
4、打通“核心企业”的技巧和策略
(1)如何设计双赢的场景
(2)核心企业配合度不高如何办?
5、数字化供应链金融的运营策略
第四部分案例篇
具体介绍在数字化供应金融中的若干典型案例
主题二:《从0开始打造产业互联网供应链金融平台》
平台篇:新基建时代下的产业互联网平台构建
一、产业互联网平台的认知
1、数字化与产业互联网
2、产业互联网平台的三大驱动力
3、产业集群、链长制与产业互联网平台
二、产业互联网平台搭建过程中常见的“10大坑”
三、产业互联网平台设计方法(观局-入微-破局-重构)
(一)观局:对产业链终极格局的判断
(二)入微:了解商品属性、全生命周期与环节痛点
1、客户痛点、职能分析
2、商品(交易标的)全生命周期成本费用结构分析
(三)破局:找到平台启动的动力型业务
1、三原则:保留、引新、共享
2、引新构建平台第一个双边网络
(四)重构:倒T字策略,规模效应到协同效应
四、新旧融合(传统业务如何与新平台模式融合发展)
五、案例:
1、产业集群模式的产业互联网平台搭建
2、龙头企业转型产业互联网平台
3、大宗商品产业平台的搭建
产品篇:产业平台模式的供应链金融服务设计与运营
一、产业端供应链金融设计:6步走
●确定场景:确定细分业务场景,选择场景下的切点
●构建闭环:明确交易结构、操作流程,实现闭环
●产品定型:业务产品化,产品手册制定
●险管控:产品/模式风控、组织控、金融科技、对冲/转
嫁、管理制度设计
●对接资方:资方对接的件准备、对接要点分析
●落地操作:从0.1到1,产品的试跑、迭代与系统固化
●案例:
1、制造业平台供应链金融服务设计
2、流通服务平台的供应链金融服务设计
二、供应链金融人才团队组建与资金方0的突破
1、国企类机构深度参与模式
2、国企类机构规模和收益导向模式
三、产业互联网搭建与供应链金融设计总结
【讲师介绍】
王老师
本科和硕士毕业于浙江大学,从2000年开始即在股份制银行从事供应链金融业务,是业内资深的供应链金融的设计者和创新实践者,对供应链金融的场景、产品、风控、营销都有着十分丰富的经验。伴随着金融数字化转型的浪潮,王老师将银行业传统的供应链金融模式与线上化、数字化、智能化技术手段结合,在数字化供应链金融创新领域进行了积极探索,并总结出新的业务流程和方法论,帮助诸多银行进行了业务流程优化和重点项目落地。王老师课程善于理论与实际紧密结合,具有生动活泼、注重案例、极为实战的特点。
黄老师
曾任东北亚煤炭交易中心总裁(以下简称“东煤交易”),具有近20年大宗交易、供应链服务、供应链金融经验,构建了国内首个大宗煤炭产业互联网供应链金融平台,带领东北亚煤炭交易中心从0发展到200多亿供应链金融服务规模,并担任多家商业银行顾问专家。在产业互联网平台和供应链金融全流程落地方面拥有丰富的实战经验,其案例入选中欧商学院、人大、清华等MBA授课和书籍。
【培训费用】
※费用:两天3800元/人(包含培训场地费用、午餐,茶歇及教材费用)
※3人及以上团购参课,每人立减¥200元,更多优惠详询小助手