10月10日,金融监管总局、中国人民银行、中国证监会发布金融消费者权益保护典型案例。28个案例中,有2个主要为银行个人信息合规问题,其中一个为人民银行通报,另一个为金融监管总局通报。人民银行通报:金融机构未严格落实消费者金融信息使用管理制度导致客户信息泄露2022年,人民银行发现A银行B分行和C银行D信用卡分中心存在个别员工涉嫌非法贩卖金融消费者账户信息的情形后,迅速对涉事银行启动立案调查。调查发现,A银行B分行和C银行D信用卡分中心未严格有效落实消费者金融信息保护相关法律法规和内控制度,业务系统权限设置不合理,导致涉案员工得以利用职务便利,在未经授权审批且没有合法、正当事由的情况下,通过银行主要业务系统私自查询、记录客户个人信息,并将相关信息对外贩卖。同时,涉事银行日常消费者金融信息保护排查、风险监测、教育培训工作不到位,在发生上述重大事件时亦未及时向当地金融监管部门报告。人民银行相关分支机构依法对A银行B分行和C银行D信用卡分中心给予警告并处以罚款,对其中负有直接责任的管理人员给予个人处罚,责令相关银行积极落实整改并进行全面自查。监管提示:本案中,相关涉案员工因为贩卖客户信息而触犯刑法,并被以侵犯公民个人信息罪判刑。同时,根据《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)第三十三条“银行、支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响本机构履行反洗钱等法定义务的前提下,合理确定本机构工作人员调取信息的范围、权限,严格落实信息使用授权审批程序”的规定,A银行B分行和C银行D信用卡分中心未能合理设置系统权限,严格落实信息使用授权审批程序,致使发生个别员工非法查询并贩卖消费者金融信息的情形,侵害了金融消费者信息安全权,应当依据《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)第六十条第(五)项、《中华人民共和国消费者权益保护法》第五十六条第一款第(九)项进行处罚。值得注意的是,在人民银行通报的另一个案例中也提到,E银行F支行为扩大业务规模、冲高业绩指标,违反业务规定和内控制度,擅自使用多年前代收学费时收集到的某高等专科学校已毕业学生个人信息,在缺失客户有效身份证件以及单位证明材料等资料的情况下,通过行内系统以批量方式为1000余人开立Ⅱ类、Ⅲ类银行账户。金融监管总局通报:非法获取或使用消费者个人信息某消费金融公司利用格式合同强制授权,无差别地获取借款人关系人、通讯行为、通讯信息、互联网使用信息等个人信息。某商业银行员工通过虚构业务办理需求,查询公民个人征信报告,累计出售个人征信报告900余份,非法获利20余万元。某保险公司代理人利用客户姓名、身份证号违规查询大量客户理赔信息,涉及个人家庭住址、工作单位、手机号码等敏感信息。监管提示:《银行保险机构消费者权益保护管理办法》明确要求银行保险机构不得采取变相强制、违规购买等不正当方式收集消费者个人信息,禁止从业人员违规查询、下载、复制、存储、篡改消费者个人信息。去年以来,监管部门对违法违规处理消费者个人信息行为进行了专项整治并加大打击力度,指导和督促银行保险机构在充分发挥数据价值的同时切实保护消费者个人信息安全。今年以来,银行涉及信息保护和信用信息合规问题的罚单较多。另外,多家银行的App因侵害用户权益、违规收集个人信息等被省级通信管理局、网信办或工信部通报。来源:银行科技研究社 END 往期推荐