《个人信息保护法》既对银行经营管理带来了合规挑战,也是促进提升业务质量的外部动力。国家立法保护个人信息的最终目的是促进数据的合理使用。银行需要重点关注客户个人信息的采集、使用、管理以及宣传解释等环节,通过完善流程、规范操作、强化管理等措施,确保信息数据利用与保护相平衡,实现业务高质量发展。
《个人信息保护法》第四条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”第二十八条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”本法分级明确了个人信息处理规则,对个人信息应取得个人的明确同意,如果处理的目的、方式、种类发生变更,应当重新取得同意;对敏感个人信息,除处理一般个人信息应当告知的内容外,还应当告知处理敏感个人信息的必要性以及对个人权益的影响。
进入数字化时代,银行机构从多方面收集客户信息,利用“大数据”了解客户、触达客户、获客活客,目前主要通过现场对接、批量获取等方式。根据个人信息处理规则,银行在收集客户信息时需要履职告知义务,可以制作《个人信息收集使用同意书》,在采集客户信息及客户办理业务前要求客户签署,取得其明确同意;在现场集中采集客户信息时,必须以显著方式、清晰易懂的语言真实、准确、完整地向客户告知法律规定的事项,在客户充分知情的前提下取得其同意,采取对客户权益影响最小的方式采集信息;除非处理个人信息属于提供产品或者服务所必需,银行不得以客户不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。
《个人信息保护法》第二十八条规定,银行账户及生物识别信息属于“敏感个人信息”。对敏感个人信息,银行必须在具有特定的目的和充分的必要性、并采取严格保护措施的情形下才可处理,还应当向客户告知处理敏感个人信息的必要性以及对其权益的影响。同时,处理敏感信息应取得客户的单独同意,处理不满十四周岁未成年人个人信息应取得监护人同意,且需要制定专门的处理规则。
当前法律没有对“单独同意”做出明确解释,但是“单独同意”不应是一揽子授权、强制同意。银行应当修订贷款申请、合同文本,补充完善告知条款,对敏感个人信息等特殊信息取得客户单独授权。基于“贷款授信”这一特定目的,银行在利用大数据“无感授信”的背景下,应当充分考虑信息数据后台处理和预授信前端显示的顺序关系,首先征得客户同意,然后再呈现具体授信额度;在客户未提出授信申请前,不应告知其已拥有了预授信额度。在具体工作中,可以变“有感反馈”为“即时体验”,通过弹窗、跳转专门页面等方式,增加客户申请授信或者授信额度测评环节,以履行“单独同意”责任。另外,对使用“智慧厅堂”系统的银行,应当按照《个人信息保护法》第二十六条规定,在营业场所设置显著的提示标识加以告知。
《个人信息保护法》第五章,从制定内部管理制度和操作规程、定期合规审计、事前进行影响评估、及时采取补救措施等方面,规定了个人信息处理者的义务。第七章规定了相关法律责任,并将举证责任赋予了个人信息处理者。银行应当把个人客户信息保护工作作为一项长期性、系统性工程,全面把握业务创新与风险管控的关系,注意履行“自证合规”责任,在日常工作和业务活动中严守法律规定和合规制度,充分做好相应记录和存证。
一方面,持续强化技控手段,采取隐私数据识别、数据加密、安全存储、去标识化等技术措施,确保客户金融信息安全。另一方面,持续强化管理手段。建立健全客户信息保护组织架构,完善客户信息收集、存储、使用、加工、传输、提供、公开、删除等环节的内控制度,采取有效措施将各项制度落到实处。坚持“办理相关业务所必需”原则和“最小必要”原则,对客户信息数据实行集中管理、最小授权管控;强化权限控制和岗位制衡,对接触客户信息的岗位人员科学设置权限,对智慧营销系统等实行用户分级管理,合理设置一线营销人员用户权限,探索运用隐私计算模式,对客户的敏感个人信息实行“等级显示”或者“赋分显示”,实现数据“可用不可见”,严防道德风险。全面加强员工培训和警示教育,避免因员工“不知”“无畏”造成客户信息处理不规范以及泄露、篡改等违规违法事件。
《个人信息保护法》第六十条、六十一条规定,国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门作为履行个人信息保护职责的部门,负责开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作等职责。银行应当加强与所属个人信息保护职责部门的联系,主动接受指导和监督,积极做好相关工作,认真宣传贯彻落实本法要求。
个人信息保护政策性强、敏感性高。《个人信息保护法》于2021年11月1日施行后,普法宣传更加全面深入,金融消费者保护意识不断增强,社会媒体监督力度不断加大。在舆论宣传方面,银行应当严格落实内外有别的要求,正确处理内部信息交流与对外宣传的关系,进一步强化宣传管理,落实信息发布审批要求,注重议题设置与策划,提高正面宣传的传播力;对涉及客户信息采集、使用处理等方面的外宣稿件,要切实注意表述角度,规范用词用语,严禁宣传单位共建获取客户信息等相关内容,避免引发不必要的争议,严防声誉风险。在为了日常宣传而拍摄客户肖像照片视频时,需要征得客户同意,涉及不满十四周岁未成年人的,必须取得监护人同意;对产品海报等符合商业性宣传情形的,必须取得肖像权人的许可,避免侵权风险。