其他
解读银保监“个人信息保护专项整治”,强监管下金融业个人信息安全保护如何“守”?|特邀专栏
特邀作者
樊晓娟 中伦律师事务所合伙人律师
(一)个人金融信息安全的行业标准
2020年,中国人民银行提出了《个人金融信息保护技术规范(JR/T 0171-2020)》(“《规范》”),从行业特性出发,对个人金融信息的保护提供了详细的行业标准。
《规范》将其直接适用范围划定为“由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构”(“金融业机构”),这就意味着包括银行业金融机构、各类证券、基金、保险机构在内的广义的持牌金融业机构,以及处理个人金融信息的相关机构(可能持牌或非持牌),例如第三方支付公司、金融科技公司等,都将直接适用《规范》。
《规范》还从个人金融信息的生命周期入手,设计并实施覆盖个人金融信息的收集、传输、存储、使用、删除、销毁等全生命周期的安全保护策略。并从个人金融信息全生命周期的安全技术要求、安全管理要求、安全制度体系的建立及其组织架构和岗位设置、安全监测与风险评估、安全事件处置方面,制定详尽的标准及要求,供银行及其他金融业机构开展业务时参考。
(二)敏感个人信息的特别保护
《个人信息保护法》对敏感个人信息作出了界定[1],金融账户及其他一旦泄露将导致个人人身、财产安全受到危害的相关信息被纳入敏感个人信息的范围。同时,《个人信息保护法》也对敏感个人信息作出了特别保护规定。
对于作为敏感个人金融信息进行收集、共享、转让、公开披露等处理活动,需要取得个人的明示同意;在处理敏感个人金融信息前,需要告知个人处理敏感个人信息的必要性以及对个人权益的影响。金融业机构对敏感个人金融信息的处理要更为细致,注意保留取得个人明示同意以及告知个人必要性的记录。
(三)分类管理
金融业机构应按照《规范》的要求,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。
在金融领域中,算法已经得到广泛应用,算法在提高金融服务效率和服务质量的同时,也带来风险提示中“个人消费信贷服务与各种消费场景深度绑定”的借贷营销陷阱。于今年3月1日生效的《互联网信息服务算法推荐管理规定》(“《算法规定》”)填补了这方面立法空白,成为金融业机构开展业务、开发APP时进行合规自查的主要参考法规,具有不少值得注意的亮点。
(一)信息服务基本规范
算法推荐服务机制应当向上向善,通过用户提供的个人信息、其搜索习惯等,利用算法增加用户便捷度并为用户量身定制服务是可取的,但不得利用算法干预信息,如屏蔽信息、过度推荐、操纵榜单或者控制检索结果排序、控制热搜精选等。
这意味着金融业机构即便取得用户明示同意其使用个人金融信息的前提下,仍不得利用算法强制或者变相强制用户接受金融产品或者服务。也不得排除、限制金融消费者接受同业机构提供的金融产品或者服务。
(二)告知义务及用户选择权
如果金融业机构利用算法向不同类别资产持有人推送不同的理财产品,应当告知用户该算法的基本原理,提高规则的透明度和可解释性。用户对于是否使用算法具有选择权,如果用户选择关闭,金融业机构应当立即停止算法推荐服务。
同时,金融业机构应当设置便捷有效的用户申诉和公众投诉、举报入口,将处理流程和反馈时限明确并进行公示,及时受理、处理并向用户反馈处理结果。
(三)算法分级分类安全管理制度
《算法规定》要求根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内进行备案。[3]
金融业机构要根据自身采用算法提供的服务进行识别,并确认是否需要进行备案。
(一)违规后果
根据《个人信息保护法》、《网络安全法》、《数据安全法》、《算法规定》等相关法律法规,工业和信息化部及各省通信管理局对APP进行排查,有问题的APP将被通报批评,并限期整改。被通报的银行保险业APP如未能按期整改,根据其具体的违规行为,由有关主管部门相应暂停业务、责令改正、警告、吊销相关业务许可或执照、以及处以罚款等处罚。
(二)合规建议
目前我国法律建立了以“告知-同意”为核心的个人信息处理原则,事先征得用户同意为前提,最低限度保障用户事后包括请求删除、更正、撤回同意的权利为辅。在法院公布的已生效判决中,也强调了以“告知-同意”为主要裁量标准的审判理念。所以
1、履行告知义务
金融业机构开发的APP在利用算法时,应谨遵《算法规定》的要求,参考上文中算法合规要求部分进行合规自查,明示告知用户算法使用规则。同时,各金融业机构开发的APP多倾向于使用人脸识别、指纹识别作为登录验证方式,要结合《个人信息保护法》的要求,告知用户个人信息的处理目的、方式以及其他规定事项。
需要注意的是,收集使用规则的内容不能使用大量专业术语,或采取晦涩难懂、冗长繁琐的叙述使得用户难以理解,这种无效告知仍会被判定为“未明示收集使用个人信息的目的、方式和范围”。
2、取得用户同意
处理个人信息需要取得用户同意,处理生物识别信息、敏感个人金融信息更需要取得用户的同意。对于金融业机构来说,最保险的方式是将取得同意的记录固定并留存下来。金融业机构或可考虑通过在APP中加入弹窗设计,同时达成提醒用户和取得用户同意的目的,这也是目前大多数移动APP所采用的办法。
[2]http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1042412&itemId=915&generaltype=0
[3]《算法规定》第二十三条网信部门会同电信、公安、市场监管等有关部门建立算法分级分类安全管理制度,根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。第二十四条具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。
直 播 预 告
3月25日上午10:00,华夏时报“数据智能重塑实体:2022数据智能论坛”准时开幕!同期算力智库与华夏时报联袂出品的数据智能行业年度报告《2022数据智能下的金融数字化转型报告》首发出炉,欢迎点击下方预约观看。
END
● 往期推荐
欢迎投稿
hehaohua3h@163.com
文章所载观点仅代表作者本人
且不构成投资建议
敬请注意投资风险