银行业个人信息保护的法律义务问题
2021-12-17肖君拥张雪亭
肖君拥 张雪亭
2021年8月,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),自2021年11月1日起施行。《个人信息保护法》作为我国首部针对个人信息保护的专门性立法,进一步明确个人信息收集和处理应遵循的原则,构建更为系统的信息安全法律保障体系。银行业应在《个人信息保护法》的指导下,进一步强化个人信息的监管与保护,转变个人信息保护理念,构建动态化的个人信息保护框架,以适应“后大数据时代”的到来。
我国银行业个人信息保护现状评析
个人信息和隐私概念区分不清晰
银行业是拥有客户静态资产数据以及动态交易数据最多的行业,但近年来银行业产品营销推介涉及的电信诈骗案件等问题,极大地搅扰了客户的生活安宁,给银行业的声誉带来了较大的负面影响。银行业在收集客户个人信息时须充分保障客户个人信息安全,强化个人信息保护理念,在个人信息保护方面构筑更加完备的制度体系和实施体系。
《民法典》第1032条第2款明确了“隐私”概念,规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。同时,《民法典》明确了“个人信息”中有关“私密信息”的规定适用有关隐私权的相关规定。个人信息与隐私在概念上存在重合部分,个人信息着重强调“可识别性”,即該信息不仅能够对个体身份进行识别,还能够对个体特征进行识别;不仅能够显现出自然痕迹和社会痕迹,还能够通过人物信息对人物进行精准描摹。隐私则更加强调维护个人的私生活安宁,个人私密性信息或活动不被公开。个人信息权利更加强调不当利用信息带来的客观人身及财产风险,隐私权则更加强调因信息涉及人格利益而不愿为他人知晓的主观意愿。因此,隐私权和个人信息权利边界问题及公民对于个人金融信息保护的诉求问题,对银行业合规管理提出了更高的要求。
对于银行客户来说,个人信息权主要体现在其对于个人信息被使用范围的知情权和自主决定权,隐私权主要体现在银行推广、营销业务时不应影响其“生活安宁”上,两者均与银行业务关系密切。银行业个人信息合规管理的出发点应当是将其收集的所有信息按照“个人信息”以及“私密信息”合理地进行区分,进而有效降低信息收集行为的相关风险。
在实践中,某些银行往往既侵犯客户的个人信息权,又侵犯客户的隐私权。有的银行在开展业务时,未严格恪守“最少必要性”原则,而是采用“应收尽收”的策略,极大地侵犯了客户的知情权与选择权。在收集完个人信息后,部分银行又存在未经客户允许即向其拨打营销电话、发送营销信息等侵害客户生活安宁的行为。
第三方机构数据引入存在安全问题
《2020年中国互联网网络安全报告》显示,2020年全年累计监测发现个人信息非法售卖事件203起,其中银行、证券、保险相关行业用户个人信息遭非法售卖的事件占比较高,约占数据非法交易事件总数的40%。
银行业涉及的业务之多、范围之广、关系之复杂是其他行业无法比拟的,保障储户个人金融信息安全是银行义不容辞的责任。银行在开展催收、代发工资等业务时,应当采取必要措施保障客户的个人信息安全。尽管央行、银保监会和证监会均设立了专门的金融消费者权益保护部门, 但目前并没有一个专门对信息进行监督和管理的统一的个人金融信息监管机构,分属不同领域不同部门的分别监管,导致监管职责不清晰,存在监管套利和监管真空状态,监管缺位也是银行频繁发生数据泄露、丢失等情况的重要原因之一。在当前丰富的支付场景下,银行信息安全面临着更严峻的挑战。
《个人信息保护法》对银行展业产生的影响
不同于《民法典》对于个人信息保护仅停留在原则性规定,《个人信息保护法》对个人信息处理行为进行了具体的规定,全方位强调了各方主体的义务与责任。银行业在开展相关业务时应当在《个人信息保护法》出台的大背景下,多角度考虑提升其相关合规举措。
在《个人信息保护法》出台之前,我国已经在相关法律法规以及行业标准中多次提到银行业的个人信息采集原则。2021 年1月,中国人民银行发布《征信业务管理办法(征求意见稿)》(以下简称《办法》),明确信用信息将以信用信息服务、信用服务、信用评分等名义对外提供征信功能的服务纳入监管,再次明确“最少必要”的信息采集原则。
《个人信息保护法》第6条规定,处理个人信息应当具有明确、合理的目的, 并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。银行业在收集个人信息时须以此原则为指导,对不同类型的个人信息进行分类分级,只收集与银行开展业务所必需的个人信息,对一些无关信息如身份识别、宗教信仰等,则不应该收集。根据《个人信息保护法》第17条的规定, 个人信息处理者应当以显著方式清晰易懂的语言告知信息所有者相关规定事项,发生变更的,还应当将变更部分告知个人。也就是说,银行须在基于客户个人知情、明确表示同意的情况下才能对客户的信息进行处理。
银行在与金融消费者签订相关业务协议时,应明确收集、使用客户信息的范围、途径、使用方式,并允许消费者自行选择,且不得因客户不同意其收集相关信息而拒绝为客户提供服务。
国外个人信息保护措施
欧盟的个人信息保护。以欧盟为代表的国家和地区对个人数据信息进行保护时采取统一立法的方式进行,除了我们所熟知的《通用数据保护条例》(GDPR) 外,还出台了《金融指令》《欧盟金融工具市场指令Ⅱ》(MiFID Ⅱ)等一系列法律法规对金融信息的保护加以规范, 以此形成更加系统的个人金融信息保护体系。尽管G D P R没有把个人金融信息作为敏感数据给予最有力的保障,但欧盟法律将个人金融信息与电子通信、就业、医疗、研究统计这四类重要信息进行并列保护。GDPR拥有完善的个人信息保护体系,除知情权、访问权、反对权等权利之外,还引入了删除权、被遗忘权等全新概念。
美国的个人信息保护。美国采用分散立法的方式,通过联邦和各州分开立法的方式来规制个人金融信息保护的相关问题。联邦层面的立法主要有《金融隐私法》《金融服务现代化法案》,州立法层面主要有《加利福尼亚隐私法》《歌贝弗利信用卡法案》。美国的立法相比于欧盟更加侧重信息的可控性以及实用性。美国个人金融信息保护值得借鉴的是客户异议纠错权的行使。异议纠错权是指客户发现金融机构在存储用户个人信息有误时,可以向金融机构提出异议并要求更正的权利。客户行使异议纠错权不仅可以降低银行业的法律风险,还可以减少银行对个人金融信息进行二次审查的工作量。
日本的个人信息保护。日本在出台《个人信息保护法》的同时,还出台了《金融领域个人信息保护方针》等一系列法规。日本全面修订《个人信息保护法》后,增设了“敏感信息”这一全新概念,对个人信息处理者、匿名加工信息处理者都作出了进一步的规定,有效地防范了个人信息泄露问题的发生。日本对数据进行分级处理,制定数据分级分类标准,对不同管理级别的数据采取不同安全防护措施,平衡数据安全保障的全面性和重要性。
几点建议
完善银行业安全防范的内部治理。作为对声誉风险高度敏感的银行业,将个人信息保护纳入其内部合规管理势在必行。银行在收集客户个人信息时,应严格遵守相关法律法规和行业规范,明确各部门的具体权限与职责,将银行相關业务细致化、规范化、流程化。标准越明确,权责越清晰,越有利于银行维护自身利益,规避相关法律风险。要持续常态化开展宣传培训和警示教育,将个人信息保护的具体要求融入相关业务及技术操作规范和流程中,定期进行考试,并将其纳入员工绩效考核。问责缺位必然导致银行业的相关法律法规形同虚设,建立明确的奖惩机制,构建多元化的责任制度才是解决此类问题的根源所在。无论是银行领导人员风险意识薄弱,还是银行工作人员利用职务便利在违法的边缘反复试探,根源或许都在于责任追究制度落实不到位。提高违规成本和惩处力度,强化员工对个人信息泄露引发法律后果的认知,让从业人员不愿做、不敢做才是解决问题的关键所在。
加强信息安全基础设施建设。随着云计算、大数据与人工智能等新兴科技的发展,银行数据使用的场景扩展至跨机构、跨行业甚至跨境等复杂信息交互场景,任意场景的任何一端出现薄弱环节,都存在使个人金融信息数据泄露的风险,这也对基础设施的建设、技术设备的先进程度以及数据保护的技术水平提出了更高的要求。银行业应当不断增强自身应用新兴科技的能力,从基础设施建设、技术设备建设以及技术能力的提高等多个层面入手,各部门与各企业强强联手,以增强数据风险抵御能力。要完善信息系统安全建设,银行应不定期地组织安全漏洞的排查,并对有关信息采取去标识化等方式进行脱敏处理,严格把控编程规范,定期维护系统。银行要积极利用数据加密、安全存储、区块链等技术,构建自主可控、可支撑亿量级客户和高并发交易的数据保护能力,不断提高金融科技服务的安全性,保障用户隐私与资金安全,加强金融安全管控,完善新形势下的银行金融安全体系。
加强消费者个人信息安全保护教育。《个人信息保护法》在《网络安全法》和《民法典》的基础上,对个人在个人信息处理活动中的权利作出了更加具体的规定,目的就是为了更好地保护自然人的个人信息权益。面对突然到来的大数据时代,公众通常对个人信息使用的态度容易走极端,要么认为当今社会是一个“个人信息裸奔”的年代,对于自己的个人信息保护采取无所谓的态度;要么采用“简单粗暴”的“个人信息一概不提供”的对外原则。在大数据与个人信息保护之间需要找到平衡点,不断推进银行的数字化转型发展以及提升消费者的体验。银行应当加强消费者金融信息保护教育,针对广泛普及的数字金融服务,定期举行个人信息保护条款解读,增强消费者日常消费行为中的个人信息保护意识的培养,使公众从被动抵制转为主动预防;针对普惠数字金融服务,提高公众对必要的数据采集和个人信息保护的分辨能力以及主动预防能力,推动社会公众意识到个人金融信息保护是维护公民隐私、维护商业利益、维护国家安全的关键所在,每个公民都有义务从自身做起,维护包括自身数据在内的数据安全。银行的数字化转型是一项长期性、系统性工程,不仅需要银行系统的各部门高度协同配合,消费者的积极参与也是其中必不可少的环节。
畅通金融消费者多元救济渠道。根据《个人信息保护法》第69条的规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。个人信息处理者如果对个人的信息处理不当,应当承担损害赔偿等侵权责任。因此,银行应当建立个人信息保护档案管理系统、信息分级授权管理体系以及信息安全事件应急处理机制。拓宽金融消费者救济渠道,制定个人信息保护预案,在内部建立健全常态化预警机制,从而做到,一旦发生个人信息泄露事件,做到早发现、早预警,及时采取相关补救措施,从而做到未雨绸缪。
《个人信息保护法》第70条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。在个人信息处理者违反个人信息保护法规定处理个人信息,侵害众多个人的权益时,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。我国已经逐步建立起政府部门、监察机关、公益组织、集体诉讼四位一体的救济途径,援用欧盟GDPR举证责任倒置规则,极大地提高了金融消费者在诉讼中的地位。因此,银行在涉及客户信息传递的对外合作业务时,应当十分谨慎地进行充分审查、评估第三方机构的个人信息保护能力,将事前预防做到位;要充分保障客户的知情权,知情权不应是只包括对于信息控制者对信息的收集,而应当是一个过程,由个人信息收集开始直到信息完全删除的全过程都要充分保障金融消费者的知情权;银行内部应进行信息共享,定期对信息保护工作进行排查,并对合作方的资质及信息安全能力进行全行业的数据共享,通过预防将风险隐患降到最低,避免引发整个银行业声誉风险或法律风险。
责任编辑:杨生恒