银行金融类数据合规的研究(下)
通过用户数据分析使用电子邮件、电话等方式进行广告或定向推送是银行金融业数据商业化利用的重要模式以及常见的拓客方式。但利用个人信息进行广告和营销是否要获得客户的事先同意目前规定尚不明确。《个人信息安全规范》、《互联网广告管理暂行办法》、《通信短信息服务管理规定》、《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等规定中针对广告营销中的个人信息利用普遍建立的是opt-out的机制, 主要着眼于保障个人信息主体知情广告性推送(包括通过文字、符号、字体等进行“广告”或“个性化推送”的显著标识),并赋予个人信息主体有权拒绝接收基于其个人信息推送的商业广告。个人提出反对的情况下不得将个人金融信息用于产生该信息以外的其他营销活动。
但我们也注意到一些部门的规定包括工信部门2018年10月发布的《关于推进综合整治骚扰电话专项行动的工作方案》以及近期中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会以及国家外汇管理局联合发布的《关于进一步规范金融营销宣传行为的通知(公开征求意见稿)》中则强调了用户事先同意的要求[7]。针对金融业广告和营销究竟给予客户opt in(选择同意权) 还是opt out(选择退出权),还是会分渠道治理(例如电子信息方式opt -out, 其他利用电话、住宅、交通工具等信息发送广告给予客户更强的opt-in 的事先控制权),有待明确。
值得关注的是,以opt-out为核心的美国个人信息保护体系中,GLBA则对个人信息的营销类使用做出了特别严格的要求,法案第502条(d)项规定,金融机构除提供给消费者报告机构外,不得将消费者的任何存款账号,交易账号或信用卡号码提供给非分支机构第三方,以供用于电话营销、邮件营销或电子通讯营销。可以看出GLBA对非核心业务中的个人信息的滥用问题给予更强的控制和监管。
广告营销中的个人信息使用还需要按照相关规定注意广告信息的明确标识、尽量消除身份指向性、避免构成骚扰等要求。
金融服务外包是指金融机构在持续经营的基础上,利用外包商(为公司集团内的服务实体或公司集团的外部实体)来实施原由自身进行的业务活动,外包的金融服务通常包括3种类型:信息技术,如信息技术的应用开发、编程和编码等;具体操作,如会计服务、后勤服务及管理工作;契约功能,如呼叫中心等。[8]
外包服务安排中不可避免的涉及到客户个人信息等金融机构数据向外包商的传输。《个人信息安全规范》和《互联网个人信息安全保护指南》等文件针对委托处理更多的强调的是委托方取得个人信息主体的合法授权以及对于受托方安全能力评估和履约能力的监管。2010年银监会颁布的《银行业金融机构外包风险管理指引》规定银行业金融机构应在外包活动中依法履行告知义务,但告知义务的时间要求以及内容均没有明确规定。个人金融信息是涉及个人财产、身份、征信等高敏感的信息,信息的滥用、侵权给数据主体将带来严重的损失和伤害,有必要对信息的传输、处理赋予更清楚、明确和严格的行业性要求。
金融外包中一类涉及侵犯客户金融信息的高风险行业是第三方催收业务。打着“欠债还钱”的天经地义,做着违法获取个人信息、威胁暴露他人隐私、截取通讯录信息等各种过界的“创新”,金融领域正常的催收业务和令人听闻色变的黑灰行业勾连,已成为个人隐私安全的高危隐患。今年9月初陆续爆发的6家大数据公司负责人被带走调查或公司已暂停、调整业务等消息据传主要“源头是套路贷、暴力催收,数据公司给他们输出爬虫运营商等涉嫌侵犯用户信息”。
暴力催收是近两年互联网金融行业的治理重点,根本原因在于外包服务商的自身专业能力和法律意识的不足和委托方的选聘制度和标准不完善。《银行业金融机构外包风险管理指引》等相关规定,均要求银行金融业选择催收公司时应注意服务提供商的技术能力以及专业能力的审核。具体而言,建议相关委托方应注意评估因引入外包服务商可能带来的数据共享的风险。审查、评估外包服务商保护个人金融信息的能力;与外包服务商的协议中明确外包服务商保护个人金融信息的职责、保密义务以及协助个人主体权利实现的责任;保留随时监督的权利,包括对外包服务商数据系统的抽查权;应对外包服务商在服务中可能出现的重大缺失;合作终止后,要求外包服务商及时销毁因外包业务而获得的个人金融信息。
源于篇幅所限,除上述讨论以外,银行金融业在数据合规治理中还存在很多其他需要关注的风险点和监管要求,包括教育储蓄、校园业务等涉及未成年人数据的收集、使用和处理;境外分支业务或境内业务中保留和监控外国客户信息引发的境外数据法律管辖;以及金融科技模式下的平台数据接入、爬虫数据等时代性问题。尽管现有的规定尚存在若干争议和不清晰之处,毋庸置疑的是银行金融业已经成为数据治理和个人信息保护监管的重点行业,把握数据流转生命周期,将数据安全意识纳入企业文化,将数据合规工作纳入信息化建设体系,已成为企业在大数据时代运作中的必备合规内控能力。
注释:
[7] 《关于推进综合整治骚扰电话专项行动的工作方案》规定“开展商业性营销,应事先征得用户同意,保留相关凭证并积极配合骚扰电话核查工作。”《关于进一步规范金融营销宣传行为的通知(公开征求意见稿)》未经金融消费者同意或请求,不得向其住宅、交通工具等发送金融营销信息,也不得以电子信息方式向其反复发送金融营销信息。
[8] 定义参见2005年巴塞尔银行监管委员会公布的《金融服务外包》。
享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部,依托于北京德和衡律师事务所,享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今,我们已为近百家公司提供了多样化服务。
享法围绕数据安全,电子商务,网络游戏,视频直播,互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规,融资并购以及新三板挂牌等法律服务,同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。
上周回顾
周一全球数据保护资讯 | 国家市场监管总局通报房多多等10家企业侵害消费者个人信息案
周二市场监管总局围绕电商平台“主体审核不严”等三大类问题部署开展专项行动
周五往期好文回顾
修订汇总 |《移动互联网应用(App)收集个人信息基本规范》(草案)主要修订内容汇总
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~