特邀作者

樊曉娟 中倫律師事務所合伙人律師

3月15日，中國銀行保險監督管理委員會（“銀保監會”）召開“銀行業保險業深入推進金融消費者保護”專場新聞發布會。新聞發布會上，銀保監會消保局郭武平局長指出，今年的重點工作之一是“開展銀行業保險業個人信息保護專項整治”。本文是在監管進一步強化的背景下，給予銀行保險機構在個人信息保護方面的合規建議。

個人金融信息安全

所謂個人金融信息，是指銀行業金融機構在開展業務、提供服務、接入中國人民銀行征信系統、支付系統及其他系統時獲取、保存、加工的個人信息，包括但不限于賬戶信息、鑒別信息、金融交易信息、個人身份信息、個人財產信息等，是個人隱私的重要部分。隨著金融科技化、數字化的進程，個人金融信息被泄露、轉賣的情況比比皆是，成為了監管部門整治工作的重點。

（一）個人金融信息安全的行業標準

2020年，中國人民銀行提出了《個人金融信息保護技術規范（JR／T 0171－2020）》（“《規范》”），從行業特性出發，對個人金融信息的保護提供了詳細的行業標準。

《規范》將其直接適用范圍劃定為“由國家金融管理部門監督管理的持牌金融機構，以及涉及個人金融信息處理的相關機構”（“金融業機構”），這就意味著包括銀行業金融機構、各類證券、基金、保險機構在內的廣義的持牌金融業機構，以及處理個人金融信息的相關機構（可能持牌或非持牌），例如第三方支付公司、金融科技公司等，都將直接適用《規范》。

《規范》還從個人金融信息的生命周期入手，設計并實施覆蓋個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等全生命周期的安全保護策略。并從個人金融信息全生命周期的安全技術要求、安全管理要求、安全制度體系的建立及其組織架構和崗位設置、安全監測與風險評估、安全事件處置方面，制定詳盡的標準及要求，供銀行及其他金融業機構開展業務時參考。

（二）敏感個人信息的特別保護

《個人信息保護法》對敏感個人信息作出了界定［1］，金融賬戶及其他一旦泄露將導致個人人身、財產安全受到危害的相關信息被納入敏感個人信息的范圍。同時，《個人信息保護法》也對敏感個人信息作出了特別保護規定。

對于作為敏感個人金融信息進行收集、共享、轉讓、公開披露等處理活動，需要取得個人的明示同意；在處理敏感個人金融信息前，需要告知個人處理敏感個人信息的必要性以及對個人權益的影響。金融業機構對敏感個人金融信息的處理要更為細致，注意保留取得個人明示同意以及告知個人必要性的記錄。

（三）分類管理

金融業機構應按照《規范》的要求，將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別。

銀行及金融業機構根據具體業務開展、具體服務場景對信息進行識別和歸類，并根據不同類別個人金融信息在全生命周期中的階段，針對性的采取保護措施。

如，在個人金融信息收集階段，C3、C2類別需要具備金融業資質，對于C3類別，通過受理終端、瀏覽器、客戶端應用軟件等方式進行收集的，應使用加密技術防止數據泄露；在委托處理階段，C3、C2類別信息中的用戶鑒別輔助信息，不可委托給第三方機構進行處理；在加工處理過程中，C3、C2類別信息在清洗和轉換過程中應采取更嚴格的保護措施。

算法的合規使用

2022年3月14日，中國銀行保險監督管理委員會（“銀保監會”）發布了《關于警惕過度借貸營銷誘導的風險提示》（“風險提示”）［2］，提醒消費者遠離過度借貸營銷陷阱，防范過度信貸風險。次日，銀保監會召開的新聞發布會再次強調金融消費者保護的重要性和必要性。

在金融領域中，算法已經得到廣泛應用，算法在提高金融服務效率和服務質量的同時，也帶來風險提示中“個人消費信貸服務與各種消費場景深度綁定”的借貸營銷陷阱。于今年3月1日生效的《互聯網信息服務算法推薦管理規定》（“《算法規定》”）填補了這方面立法空白，成為金融業機構開展業務、開發APP時進行合規自查的主要參考法規，具有不少值得注意的亮點。

（一）信息服務基本規范

算法推薦服務機制應當向上向善，通過用戶提供的個人信息、其搜索習慣等，利用算法增加用戶便捷度并為用戶量身定制服務是可取的，但不得利用算法干預信息，如屏蔽信息、過度推薦、操縱榜單或者控制檢索結果排序、控制熱搜精選等。

這意味著金融業機構即便取得用戶明示同意其使用個人金融信息的前提下，仍不得利用算法強制或者變相強制用戶接受金融產品或者服務。也不得排除、限制金融消費者接受同業機構提供的金融產品或者服務。

（二）告知義務及用戶選擇權

如果金融業機構利用算法向不同類別資產持有人推送不同的理財產品，應當告知用戶該算法的基本原理，提高規則的透明度和可解釋性。用戶對于是否使用算法具有選擇權，如果用戶選擇關閉，金融業機構應當立即停止算法推薦服務。

同時，金融業機構應當設置便捷有效的用戶申訴和公眾投訴、舉報入口，將處理流程和反饋時限明確并進行公示，及時受理、處理并向用戶反饋處理結果。

（三）算法分級分類安全管理制度

《算法規定》要求根據算法推薦服務的輿論屬性或者社會動員能力、內容類別、用戶規模、算法推薦技術處理的數據重要程度、對用戶行為的干預程度等對算法推薦服務提供者實施分級分類管理。具有輿論屬性或者社會動員能力的算法推薦服務提供者應當在提供服務之日起十個工作日內進行備案。［3］

金融業機構要根據自身采用算法提供的服務進行識別，并確認是否需要進行備案。

銀行保險業務APP

2021年，工信部共發布11批關于侵害用戶權益行為的APP，包括工信部和各地方通信管理局通報存在問題的APP。其中，多家銀行的APP被通報，主要問題集中在違規／超范圍收集個人信息；強制用戶使用定向推送功能或者App強制、頻繁、過度索取權限。

（一）違規后果

根據《個人信息保護法》、《網絡安全法》、《數據安全法》、《算法規定》等相關法律法規，工業和信息化部及各省通信管理局對APP進行排查，有問題的APP將被通報批評，并限期整改。被通報的銀行保險業APP如未能按期整改，根據其具體的違規行為，由有關主管部門相應暫停業務、責令改正、警告、吊銷相關業務許可或執照、以及處以罰款等處罰。

（二）合規建議

目前我國法律建立了以“告知－同意”為核心的個人信息處理原則，事先征得用戶同意為前提，最低限度保障用戶事后包括請求刪除、更正、撤回同意的權利為輔。在法院公布的已生效判決中，也強調了以“告知－同意”為主要裁量標準的審判理念。所以

1、履行告知義務

金融業機構開發的APP在利用算法時，應謹遵《算法規定》的要求，參考上文中算法合規要求部分進行合規自查，明示告知用戶算法使用規則。同時，各金融業機構開發的APP多傾向于使用人臉識別、指紋識別作為登錄驗證方式，要結合《個人信息保護法》的要求，告知用戶個人信息的處理目的、方式以及其他規定事項。

需要注意的是，收集使用規則的內容不能使用大量專業術語，或采取晦澀難懂、冗長繁瑣的敘述使得用戶難以理解，這種無效告知仍會被判定為“未明示收集使用個人信息的目的、方式和范圍”。

2、取得用戶同意

處理個人信息需要取得用戶同意，處理生物識別信息、敏感個人金融信息更需要取得用戶的同意。對于金融業機構來說，最保險的方式是將取得同意的記錄固定并留存下來。金融業機構或可考慮通過在APP中加入彈窗設計，同時達成提醒用戶和取得用戶同意的目的，這也是目前大多數移動APP所采用的辦法。

結 語

2021年是個人信息保護的立法年，而2022年則是各監管機構秉承法律法規，加大執法力度，使執法常態化、精準化的一年。金融業是國民經濟的核心行業，金融業機構是受到嚴格監管的持牌經營機構，其行業特點造就其具有做好風險管理工作、維護機構良好社會形象的義務，而個人金融信息的保護正是風險管理工作中舉足輕重的一環。個人金融信息保護是一項長期任務，需要立法機構、監管機構與金融業機構共同努力，切實構建個人金融信息長效保護機制。

       原文標題 : 解讀銀保監“消保專項治理”，強監管下金融業個人信息安全如何守