黄雅竹
惟胜道数字安全研究小组成员
自2021年8月起,惟胜道数字安全研究小组将推出《数字安全合规月刊》电子版,电子月刊聚焦网络安全与数据保护,呈现前沿动态、新规速递、热点案例、专业解读等内容,帮助读者掌握最新前沿趋势。若您对此感兴趣,请在惟胜会公众号后台留下您的【邮箱+姓名】,并特别注明数字安全合规月刊。
在我国,金融机构,是指依法设立的从事金融业务的政策性银行、商业银行、信用合作社、邮政储汇机构、信托投资公司、证券公司、期货经纪公司、保险公司以及国务院反洗钱行政主管部门确定并公布的从事金融业务的其他机构等。
在数字时代快速发展的今天,金融行业各类个人信息泄露问题层出不穷,金融机构个人信息隶属个人信息下的一个分支,作为个人信息在金融业务方面的一种特殊保护,除了今年11月1日即将正式施行的《个人信息保护法》与《民法典》中信息保护、隐私权保护的基本规定,对于金融机构的个人信息保护,在与上位法没有冲突的情况下,相关法规、规范可更贴切地适用保护金融用户合法权益,例如:《个人金融信息保护技术规范》《中华人民共和国中国人民银行法》《中华人民共和国商业银行法》《中国人民银行金融消费者权益保护实施办法》等都制定了详细管理规定、处罚标准,本文将从近年来金融机构个人信息泄露常见情形出发,对金融机构如何做好个人信息保护防范进行简要论述。
一、金融机构侵犯个人信息安全的常见情形
1. 泄露用户个人信息给第三方催收机构暴力催收。该情形是指一些金融机构,只要贷款人逾期后,通过正规催收三次后无果,就会把这些逾期的贷款人承包给第三方催收公司,第三方催收公司用一切手段威胁贷款人还钱,未经个人许可泄露通讯录,给通讯录里朋友、家人、同事等与债务无关的第三人电话骚扰,给用户造成极大的困扰。在《商业银行信用卡业务监督管理办法》第六十八条规定有这样的规定:“发卡银行应当对债务人本人及其担保人进行催收,不得对与债务无关的第三人进行催收,不得采用暴力、胁迫、恐吓或辱骂等不当催收行为。”银监发〔2009〕60号《中国银监会关于进一步规范信用卡业务的通知》的第十四条同样也提到:“……对因催收外包管理不力,造成催收外包机构损害欠款人或其他相关人合法权益的,银行业金融机构承担相应的外包风险责任。”
2. 个人征信信息未经授权被查询甚至泄露。一般而言,除了法院或者相关政府部门以外,只有银行金融机构在取得用户授权同意的情况下,银行金融机构才能在央行征信中心查询个人征信报告。
然而,就在去年2月,裁判文书网披露一则刑事裁定书显示,为寻找客户做贷款,某银行信贷部员工郑某斌等人联合某金融服务公司人员,违规私自查询获取公民征信。最终,5人均因侵犯公民个人信息罪被判有期徒刑1年至3年不等;
2016年3月,中国人民银行征信中心反馈,某地方性商业银行个人信用报告查询数量激增。经调查,涉事的异常查询用户为该行员工陈某,陈某将非本行客户个人信用报告2万余人次提供给一家网络贷款公司,造成用户信息泄露。根据中华人民共和国国务院令第631号《征信业管理条例》第十八条的规定:向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。征信机构不得违反前款规定提供个人信息。此外,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供。
种种案例显示,违规查询个人征信报告的事件并非偶然,需要注意的是,个人征信频繁被查将影响贷款审批,不少用户可能没有意识到自己签过了《个人征信查询授权书》。只要用户办过信用卡、贷款,现在甚至是网上点了某借款APP,金融机构都会申请获得你的征信查询授权书来向央行征信数据库查询个人征信报告。
3. 银行、保险内鬼倒卖客户信息牟利。例如,在银行办理房贷后,常接到小贷公司或贷款电话。央视新闻曾曝光,是某些金融机构工作人员未严格执行保护客户个人信息的规定,违规贩卖客户账户信息谋取利益。银监会调查称,部分银行未能建立良好合规文化,客户信息保护意识淡薄,对员工日常行为疏于管理。个别员工在社会不法分子的利益诱惑下,利用职务之便窃取、出售或非法提供客户个人信息,形成案件风险。因此,银监发〔2018〕9号《中国银监会关于印发银行业金融机构从业人员行为管理指引的通知》明确,金融机构全体从业人员不得利用职务和工作之便谋取非法利益,未经监管部门允许不得向社会或其他单位和个人泄露监管工作秘密信息等,否则,银行业金融机构应及时对违反行为守则及其细则的从业人员进行处理和责任追究,并视情况追究负有管理职责的相关责任人的责任。对于涉嫌刑事犯罪的行为,银行业金融机构应及时移送司法机关,不得以纪律处分代替法律制裁。与银行解除或终止劳动合同的离职或退休人员,如被发现在银行业金融机构工作期间存在严重违规行为的,仍应追究其责任。这一规定,体现了对金融机构倒卖信息的严厉惩处,也确立了银行工作人员的终身责任制。
4. 金融机构超范围查询、提供个人信息。除了取得法院或者相关政府部门批准以外,只有银行金融机构在取得用户授权同意的情况下,才能查询、向第三方提供用户个人金融信息。在去年5月,一则90后脱口秀演员池子在微博怒怼中信银行擅自泄露其个人账户交易信息的新闻引发热议,起因是在与其娱乐公司演艺报酬纠纷仲裁过程中,在娱乐公司寄来的案件材料中发现了其个人账户交易明细,娱乐公司在没有得到本人授权、也没有司法机关调查令情况下,是如何取得账户交易明细呢?报案后,银保监会也对此事展开调查,经查明,中信银行称其员工违规操作所造成,对涉事员工严厉惩处,也向社会公开道歉。
5. 银行App违规收集信息、超范围采集个人隐私信息。比如,在2020年12月,国家计算机病毒应急处理中心在“净网2020”专项行动中,通过互联网监测发现,兴业银行、内蒙古农信、内蒙古银行、海峡银行、鄂尔多斯银行等6家银行的APP因“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”而被点名。公告信息显示,这100款APP存在超范围读取用户通话记录、短信内容,收集用户通讯录、位置信息,超权限使用用户设备麦克风、摄像头等突出安全问题。今年4月26日,工信部公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见,明确App个人信息处理活动应当采用合法、正当的方式,不得通过欺骗、误导等方式处理个人信息,切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。并且,违规情节严重的App将直接下架。
二、个人金融信息的分类
为杜绝以上问题的发生,了解个人金融信息分类、信息敏感类别对每个民众做好防范个人金融信息泄露起着重要的作用。
1. 个人金融信息
2. 《个人金融信息保护技术规范》个人金融信息敏感类别
三、金融机构个人信息保护合规风险——“双罚制”
纵观法律法规对金融机构个人信息保护的相关规定,泄露个人信息将可能承担民事、刑事、行政的处罚责任,对打击对象也不仅局限于追责直接责任人员,一旦违法,金融机构也将受到监管不力的处罚。
1. 对违法直接责任人员的处罚
在《中华人民共和国中国人民银行法》《中华人民共和国商业银行法》等行业法规中规定,商业银行工作人员泄露在任职期间知悉的国家秘密、商业秘密的,应当给予纪律处分;构成犯罪的,依法追究刑事责任。第二十九条着重规定了为存款人保密的原则。根据《刑法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对侵犯公民个人信息罪的认定情形如下:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
2.对违法责任人员所在金融机构的处罚
在即将施行的《个人信息保护法》中明确规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下,或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员或其他直接负责人处十万元以上一百万元以下罚款。同时,草案还赋予人民检察院向人民法院提起公益行政诉讼的权利,强化了金融机构的外部监管力度。
行业法规《中华人民共和国银行业监督管理法》第四十六条规定,银行业金融机构违反审慎经营中内部管理原则即内部管理不善的,由国务院银行业监督管理机构责令改正,并处二十万元以上五十万元以下罚款;情节特别严重或者逾期不改正的,可以责令停业整顿或者吊销其经营许可证;构成犯罪的,依法追究刑事责任。在银保监会机关与银保监局本级有关个人金融信息保护的行政处罚汇总中,大量适用了该条规定,对未尽客户个人信息安全保护义务、泄露客户信息中的金融机构作出大量行政罚款的决定,体现出监管机关对机构处罚和个人处罚并重的监管对策,通过层层追责、种种处罚制度不断促进金融机构内部监督的完善,也体现对个人金融信息安全保障的重视。
四、金融信息合规审查制度构建
1.建立全周期数据安全保护制度
金融信息生命周期指金融机构采集、存储、加工、传输、披露信息等接触客户个人信息的环节,每个环节稍有疏漏就会给客户个人信息埋下隐患,因此,机构内部要依据《个人金融信息规范》、即将施行 的《个人信息保护法》《信息技术 安全技术 生物特征识别信息的保护要求》等法规建立完善信息保护制度。
2.对信息来源合规性严格把控
如信息收集是否取得明示授权同意、所收集信息是否为“最小必要”、遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。对客户信息授权使用也应根据信息敏感程度分级授权,对一般性信息时,可作一般提示义务,但涉及私密信息时,需尽特别提示义务。在收集技术保障上,金融机构应严格落实国家网络安全和信息技术安全有关规定。
3.对信息外包机构的合规审查
以生物识别技术为例,近年来,为防止因银行卡丢失盗刷的频频发生,许多银行金融机构引入人脸识别技术,掀起“刷脸取款”的热潮,然而,大多数金融机构不具备人脸、指纹识别的技术,该类技术业务通常外包委托给第三方科技公司,该类公司不在银行自身的控制与审核机制之下,很容易导致违规收集个人信息或个人信息泄露,虽然第三方机构是导致信息泄露的主体,但银行作为金融消费的服务提供方,在发生此类问题时,仍需直接承担相应的民事责任或行政责任。
在《个人金融信息保护技术规范》中C3类用户鉴别辅助信息就包括人脸识别等敏感生物信息,规范中规定外包机构不应留存C3信息,也不得将该类信息的数据库交由外部合作机构运维。
因此,第三方具备提供数据的资格、合作模式和用户隐私条款内容显得尤为关键,金融机构与第三方科技公司应对不同场景下人脸识别技术标准进行区分,如开户、刷脸取款、网银证书等涉及客户财产安全的信息处理,应采用最高标准并交叉应用其他生物识别技术。
4.加强信息分级授权内部管理
从案例来看,多数行政处罚案件,都是由于银行内部的控制不力,部分工作人员钻了漏洞,造成客户个人信息权益受到侵害。金融机构应建立个人金融信息数据库分级授权管理机制,设置独立履职的专职负责信息安全的人员和机构。
同时,加强员工培训,定期开展案例学习,让员工熟悉相关信息分类、法条规定、违法后果,提高员工的个人金融信息保护意识和能力,防范内部违规泄露风险。