华炬金融汇 | 合规体系下银行个人信息保护的应对策略
2023-08-24
前言
随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等一系列法律法规的发布,个人数据的安全性和隐私保护的监管体系日趋完善,个人信息保护成为银行数字化转型中合规监管的重中之重。本文旨在梳理银行业个人信息保护相关法律规范,结合个人信息保护处罚现实案例,主要探讨银行在金融消费者权益保护的大背景下,个人信息保护的合规应对思路。
【违反个人信息保护法的行为类型】
通过大数据检索,中国人民银行行政处罚公示的主要违法行为包括:未按规定保存客户身份资料或交易记录;侵害消费者个人信息保护的权利;未经同意查询个人信息;未按约定使用个人信息;违反征信查询规定;未经授权查询征信信息;征信系统用户管理不规范;未按规定处理征信异议;未履行不良信息提前报送义务;违法提供信息等。
通过上述违法行为统计可知,在个人信息的存储、查询、使用等各个环节,是违法行为发生的重灾区。其中未按规定保存客户身份资料或交易记录的违法性问题尤为严重,且自2021年来,监管部门也加重了此类处罚的力度。
【相关案例】
╱ 案 例 一 ╱
某银行因客户信息保护体制机制不健全等案由,被罚款450万元。
【基本案情】
2020年5月6日,脱口秀演员王某发布微博称,某银行上海虹口支行未获本人授权,便将其个人账户流水提供给上海某文化传媒有限公司,属于侵犯公民个人信息的违法行为,并通过律师发函要求某银行、某文化赔偿损失、并公开道歉。对此,某银行官方微博当日凌晨发布致歉信称,经核实,近期上海某文化传媒有限公司联系开户支行,要求查询其为员工王某支付劳务工资记录,该行员工未严格按规定办理,提供了王某的收款记录。对此,向王某郑重道歉。
【行政处罚】
2021年3月19日,银保监会网站公布行政处罚决定书,某银行因客户信息保护不到位等问题,依据《中华人民共和国银行业监督管理法》第二十一条、第四十六条和相关审慎经营规则及《中华人民共和国银行法》第七十三条,作出罚款450万元的处罚决定,认定的具体违法行为包括:
一是客户信息保护体制机制不健全;柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施,乱象整治自查不力。
二是客户信息收集环节管理不规范;客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则;查询客户账户明细事由不真实;未经客户本人授权查询并向第三方提供其个人银行账户交易信息。
三是对客户敏感信息管理不善,致其流出至互联网;违规存储客户敏感信息。
四是系统权限管理存在漏洞,重要岗位及外包机构管理存在缺陷。
╱ 案 例 二 ╱
“机构+个人”双罚,银行员工违规查询并倒卖客户信息案件
【基本案情】
2019年5月初至6月中旬,被告人郝某利用在某银行西夏支行的工作便利,查询该行储户个人信息(姓名+身份证号码+预留手机号码+银行卡号) 200条,以人民币70元至100元不等的价格通过QQ出售他人,获利207000.88元。
【审判结果】
被告人郝某违反国家有关规定,向他人出售公民个人信息,情节特别严重;依照《中华人民共和国刑法》第二百五十三条之一、第五十二条、第五十三条、第六十四条、第六十七条等规定,判决被告人郝某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币二十一万元。
【行政处罚】
某银行股份有限公司银川西夏支行因内控制度执行不到位,员工违规查询泄露倒卖客户信息,严重违反审慎经营规则的违规行为;
依据《中华人民共和国银行业监督管理法》第四十六条第五项、第四十八条第二项、第四十八条第三项,2021年6月29日,宁夏银保监局对对工行银川西夏支行予以罚款四十万元的行政处罚;对于振某予以警告的行政处罚;对郝某予以禁止终身从事银行业工作的行政处罚。
【合规管理应对策略】
1.确立个人金融信息保护的主管部门。由于各银行内部职能分工不同,仅有部分银行会设立单独的个人信息保护委员会,在实践中,个人金融信息保护工作必然涉及多部门联合协作,因此银行内部应先确定合规工作的牵头部门,方能有条不紊的开展后续合规工作;
2.建立个人金融信息收集、传输、存储、使用、删除及销毁的相关操作规程,并对相关工作人员开展专业统一培训;
3.建立信息系统分级授权管理体系:按照金融信息的重要性、敏感度及业务开展需要,合理确定银行工作人员调取信息的范围、权限和程序;
4.建立专业外部合作机构的管理制度:银行应对本机构数据全生命周期过程中的第三方机构进行管理,建立第三方机构管理制度;
5.建立个人金融信息安全检查及监督机制,定期评估个人金融信息管理方面存在的不足;
6.将个人金融信息泄露等相关事件处理提前纳入机构信息安全事件应急处置工作机制,制定专门的流程和预案,定期评估应急处理流程和预案,及时保障、有效应对个人金融信息安全事件,降低安全事件造成的损失及产生舆情的不利影响;
7.建立个人金融信息投诉与申诉处理程序,明确投诉与申诉受理部门、处理程序;
8.规范人员管理:在员工入职前进行必要的背景调查,与个人金融信息处理的关键岗位人员签订保密协议、员工离职后应立即收回访问权限,并明确告知有关信息保密的义务;对员工开展定期的专项培训等。
结语
综上,针对个人金融信息保护的合规工作可以从两个维度开展:
第一,微观层面来看,需要对涉及个人金融信息处理活动的各个环节进行评估,注重具体业务开展过程中存在的漏洞和风险点;
第二,从宏观层面看,个人金融信息保护工作要纳入合规管理中,银行应从制度层面确定管控措施、落实管控手段,在微观层面发现的不合规项也要通过制度、操作规程、协议、人员培训等多种手段予以整改,并通过不断的检查发现问题进行自我完善。
作者简介
吕晓静 律师
毕业于四川大学法学院,法律硕士。吕晓静律师擅长处理各类金融纠纷,具备扎实的法律专业知识和较强的写作能力,多次代理银行类金融借款合同纠纷、保函纠纷、信托纠纷、银行卡纠纷、储蓄存款合同纠纷等金融案件,熟悉诉讼流程及律师实务。对银行管理、合同审查、风险防控、合同谈判、债务清理等相关法律实务有丰富经验,其沉稳、精准、高效的工作作风深得客户好评。
联系电话:15034077977
*本微信文章仅为交流目的
不代表华炬律师事务所的法律意见
