特邀作者

樊曉娟 中倫律師事務所合伙人律師

3月15日，中國銀行保險監(jiān)督管理委員會（“銀保監(jiān)會”）召開“銀行業(yè)保險業(yè)深入推進金融消費者保護”專場新聞發(fā)布會。新聞發(fā)布會上，銀保監(jiān)會消保局郭武平局長指出，今年的重點工作之一是“開展銀行業(yè)保險業(yè)個人信息保護專項整治”。本文是在監(jiān)管進一步強化的背景下，給予銀行保險機構在個人信息保護方面的合規(guī)建議。

個人金融信息安全

所謂個人金融信息，是指銀行業(yè)金融機構在開展業(yè)務、提供服務、接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)及其他系統(tǒng)時獲取、保存、加工的個人信息，包括但不限于賬戶信息、鑒別信息、金融交易信息、個人身份信息、個人財產(chǎn)信息等，是個人隱私的重要部分。隨著金融科技化、數(shù)字化的進程，個人金融信息被泄露、轉(zhuǎn)賣的情況比比皆是，成為了監(jiān)管部門整治工作的重點。

（一）個人金融信息安全的行業(yè)標準

2020年，中國人民銀行提出了《個人金融信息保護技術規(guī)范（JR／T 0171－2020）》（“《規(guī)范》”），從行業(yè)特性出發(fā)，對個人金融信息的保護提供了詳細的行業(yè)標準。

《規(guī)范》將其直接適用范圍劃定為“由國家金融管理部門監(jiān)督管理的持牌金融機構，以及涉及個人金融信息處理的相關機構”（“金融業(yè)機構”），這就意味著包括銀行業(yè)金融機構、各類證券、基金、保險機構在內(nèi)的廣義的持牌金融業(yè)機構，以及處理個人金融信息的相關機構（可能持牌或非持牌），例如第三方支付公司、金融科技公司等，都將直接適用《規(guī)范》。

《規(guī)范》還從個人金融信息的生命周期入手，設計并實施覆蓋個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等全生命周期的安全保護策略。并從個人金融信息全生命周期的安全技術要求、安全管理要求、安全制度體系的建立及其組織架構和崗位設置、安全監(jiān)測與風險評估、安全事件處置方面，制定詳盡的標準及要求，供銀行及其他金融業(yè)機構開展業(yè)務時參考。

（二）敏感個人信息的特別保護

《個人信息保護法》對敏感個人信息作出了界定［1］，金融賬戶及其他一旦泄露將導致個人人身、財產(chǎn)安全受到危害的相關信息被納入敏感個人信息的范圍。同時，《個人信息保護法》也對敏感個人信息作出了特別保護規(guī)定。

對于作為敏感個人金融信息進行收集、共享、轉(zhuǎn)讓、公開披露等處理活動，需要取得個人的明示同意；在處理敏感個人金融信息前，需要告知個人處理敏感個人信息的必要性以及對個人權益的影響。金融業(yè)機構對敏感個人金融信息的處理要更為細致，注意保留取得個人明示同意以及告知個人必要性的記錄。

（三）分類管理

金融業(yè)機構應按照《規(guī)范》的要求，將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別。

銀行及金融業(yè)機構根據(jù)具體業(yè)務開展、具體服務場景對信息進行識別和歸類，并根據(jù)不同類別個人金融信息在全生命周期中的階段，針對性的采取保護措施。

如，在個人金融信息收集階段，C3、C2類別需要具備金融業(yè)資質(zhì)，對于C3類別，通過受理終端、瀏覽器、客戶端應用軟件等方式進行收集的，應使用加密技術防止數(shù)據(jù)泄露；在委托處理階段，C3、C2類別信息中的用戶鑒別輔助信息，不可委托給第三方機構進行處理；在加工處理過程中，C3、C2類別信息在清洗和轉(zhuǎn)換過程中應采取更嚴格的保護措施。

算法的合規(guī)使用

2022年3月14日，中國銀行保險監(jiān)督管理委員會（“銀保監(jiān)會”）發(fā)布了《關于警惕過度借貸營銷誘導的風險提示》（“風險提示”）［2］，提醒消費者遠離過度借貸營銷陷阱，防范過度信貸風險。次日，銀保監(jiān)會召開的新聞發(fā)布會再次強調(diào)金融消費者保護的重要性和必要性。

在金融領域中，算法已經(jīng)得到廣泛應用，算法在提高金融服務效率和服務質(zhì)量的同時，也帶來風險提示中“個人消費信貸服務與各種消費場景深度綁定”的借貸營銷陷阱。于今年3月1日生效的《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》（“《算法規(guī)定》”）填補了這方面立法空白，成為金融業(yè)機構開展業(yè)務、開發(fā)APP時進行合規(guī)自查的主要參考法規(guī)，具有不少值得注意的亮點。

（一）信息服務基本規(guī)范

算法推薦服務機制應當向上向善，通過用戶提供的個人信息、其搜索習慣等，利用算法增加用戶便捷度并為用戶量身定制服務是可取的，但不得利用算法干預信息，如屏蔽信息、過度推薦、操縱榜單或者控制檢索結果排序、控制熱搜精選等。

這意味著金融業(yè)機構即便取得用戶明示同意其使用個人金融信息的前提下，仍不得利用算法強制或者變相強制用戶接受金融產(chǎn)品或者服務。也不得排除、限制金融消費者接受同業(yè)機構提供的金融產(chǎn)品或者服務。

（二）告知義務及用戶選擇權

如果金融業(yè)機構利用算法向不同類別資產(chǎn)持有人推送不同的理財產(chǎn)品，應當告知用戶該算法的基本原理，提高規(guī)則的透明度和可解釋性。用戶對于是否使用算法具有選擇權，如果用戶選擇關閉，金融業(yè)機構應當立即停止算法推薦服務。

同時，金融業(yè)機構應當設置便捷有效的用戶申訴和公眾投訴、舉報入口，將處理流程和反饋時限明確并進行公示，及時受理、處理并向用戶反饋處理結果。

（三）算法分級分類安全管理制度

《算法規(guī)定》要求根據(jù)算法推薦服務的輿論屬性或者社會動員能力、內(nèi)容類別、用戶規(guī)模、算法推薦技術處理的數(shù)據(jù)重要程度、對用戶行為的干預程度等對算法推薦服務提供者實施分級分類管理。具有輿論屬性或者社會動員能力的算法推薦服務提供者應當在提供服務之日起十個工作日內(nèi)進行備案。［3］

金融業(yè)機構要根據(jù)自身采用算法提供的服務進行識別，并確認是否需要進行備案。

銀行保險業(yè)務APP

2021年，工信部共發(fā)布11批關于侵害用戶權益行為的APP，包括工信部和各地方通信管理局通報存在問題的APP。其中，多家銀行的APP被通報，主要問題集中在違規(guī)／超范圍收集個人信息；強制用戶使用定向推送功能或者App強制、頻繁、過度索取權限。

（一）違規(guī)后果

根據(jù)《個人信息保護法》、《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《算法規(guī)定》等相關法律法規(guī)，工業(yè)和信息化部及各省通信管理局對APP進行排查，有問題的APP將被通報批評，并限期整改。被通報的銀行保險業(yè)APP如未能按期整改，根據(jù)其具體的違規(guī)行為，由有關主管部門相應暫停業(yè)務、責令改正、警告、吊銷相關業(yè)務許可或執(zhí)照、以及處以罰款等處罰。

（二）合規(guī)建議

目前我國法律建立了以“告知－同意”為核心的個人信息處理原則，事先征得用戶同意為前提，最低限度保障用戶事后包括請求刪除、更正、撤回同意的權利為輔。在法院公布的已生效判決中，也強調(diào)了以“告知－同意”為主要裁量標準的審判理念。所以

1、履行告知義務

金融業(yè)機構開發(fā)的APP在利用算法時，應謹遵《算法規(guī)定》的要求，參考上文中算法合規(guī)要求部分進行合規(guī)自查，明示告知用戶算法使用規(guī)則。同時，各金融業(yè)機構開發(fā)的APP多傾向于使用人臉識別、指紋識別作為登錄驗證方式，要結合《個人信息保護法》的要求，告知用戶個人信息的處理目的、方式以及其他規(guī)定事項。

需要注意的是，收集使用規(guī)則的內(nèi)容不能使用大量專業(yè)術語，或采取晦澀難懂、冗長繁瑣的敘述使得用戶難以理解，這種無效告知仍會被判定為“未明示收集使用個人信息的目的、方式和范圍”。

2、取得用戶同意

處理個人信息需要取得用戶同意，處理生物識別信息、敏感個人金融信息更需要取得用戶的同意。對于金融業(yè)機構來說，最保險的方式是將取得同意的記錄固定并留存下來。金融業(yè)機構或可考慮通過在APP中加入彈窗設計，同時達成提醒用戶和取得用戶同意的目的，這也是目前大多數(shù)移動APP所采用的辦法。

結 語

2021年是個人信息保護的立法年，而2022年則是各監(jiān)管機構秉承法律法規(guī)，加大執(zhí)法力度，使執(zhí)法常態(tài)化、精準化的一年。金融業(yè)是國民經(jīng)濟的核心行業(yè)，金融業(yè)機構是受到嚴格監(jiān)管的持牌經(jīng)營機構，其行業(yè)特點造就其具有做好風險管理工作、維護機構良好社會形象的義務，而個人金融信息的保護正是風險管理工作中舉足輕重的一環(huán)。個人金融信息保護是一項長期任務，需要立法機構、監(jiān)管機構與金融業(yè)機構共同努力，切實構建個人金融信息長效保護機制。

       原文標題 : 解讀銀保監(jiān)“消保專項治理”，強監(jiān)管下金融業(yè)個人信息安全如何守