近年来,个人信息保护理念日益深入人心,各项法律法规、监管规章制度日趋完善,各种个人信息保护相关的议题被广泛讨论,引发较大关注。《个人信息保护法》的出台更是将这一关注度推向高潮,各种“明星条款”被反复热议。然而,农村中小银行对于个人信息保护工作在某些方面尚不能达到《个人信息保护法》的要求,存在较大的法律、合规风险隐患,亟需加大合规成本投入,从顶层设计、全生命周期管理等角度入手,加强个人信息保护力度,走出一条破局之道。
农村中小银行个人信息保护现状及困境
庞大的存量数据库。由于金融活动的特殊性,在日常业务经营过程中便可获取大量的个人信息。这些信息被称为个人金融信息,是金融机构为客户提供产品和服务的重要数据基础。这些信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。多样的个人金融信息给农村中小银行发展带来了便利,是数字化转型的强大基础,但同时也带来了数据管理上的巨大挑战。对于该部分庞大的存量数据,如何识别出有问题的数据,以及对该部分数据如何处理,是摆在农村中小银行面前的难题。
第三方合作的风险性。随着数字化转型的不断推进,农村中小银行意识到,固有的数据获取渠道太过单一,难以适应转型变革要求,开始拓宽数据获取渠道,寻求与第三方数据公司开展合作。而第三方合作机构资质不一,存在较多不可控因素,比如,2019年我国针对爬虫行为开展了集中整治,就有多家大数据公司因数据违规被查,数据违规容易传导至与其开展数据合作的机构。与第三方合作的风险性限制了农村中小银行获取信息的来源。
个人信息保护基础薄弱。个人信息保护被热议,也是近几年的事情,是整个国家法制逐步健全、个人主体意识不断增强的产物。农村中小银行囿于自身人员、技术等方面的不足,在顶层设计、技术防护、人员管理等均无法满足即将生效的法律要求,还需进一步改变提升。
消费者不断增强的个人信息保护意识。随着国家一系列个人信息保护法律法规、行政规范性文件的出台以及社会、金融机构消费者权益保护宣传活动的不断推进,消费者的个人信息保护意识也在不断增强。当发生个人信息被侵害的事件时,他们会通过投诉、举报、互联网途径等渠道积极发声,主张自身合法权利。
互联网时代风险应对能力的不足。当个体信息侵害事件发生时,通过互联网渠道发声,对农村中小银行声誉风险管理能力是较大的考验。互联网时代,负面舆情发酵迅速,特别是经过一些网络大V们助力转发,阅读量更是呈几何级数增长,不良影响难以一下消除。
农村中小银行个人信息保护破局之道
(一)做好顶层设计
自上而下、协同治理的组织架构。个人信息保护事关每一个社会个体,其重要程度显而易见。同时个人信息保护涉及使用信息的业务部门、提供技术支持的科技部门、负责风险管理的风险管理部门、负责投诉处理的消保部门等多部门,因此,需要构建自上而下、协同治理的组织架构,明确董事会、高级管理层、总行各部门、各分支机构在个人信息保护中的职责,通过跨条线、跨部门协作,形成多位一体、职责明确的个人信息保护的组织架构。此外,还需要明确个人信息保护的牵头部门,做好各项工作的督促落实工作,以防部门间相互推诿。
完善的制度机制安排。个人信息保护需要一系列的制度机制安排。需要建立专门的个人信息保护制度,作为个人信息保护主要制度,明确金融机构信息保护的目标、原则,各部门职责权限等;需要建立分级分类管理机制、全生命周期机制、分级授权机制、数据脱敏机制、评估机制、外包服务机制、应急管理机制、检查监督机制、宣传教育机制等一系列制度机制安排,全方位、多角度建立完善的制度机制安排。
(二)全生命周期管理模式
个人信息保护并不是在信息的收集或者存储环节做好管理即可,而是覆盖个人信息的全生命周期,涉及收集、存储、使用、加工、传输、提供、公开、删除等环节。
收集环节,主要是遵循合法、正当、必要等原则,满足“告知-同意”的处理规范(其他合法性理由除外),向个人信息主体明示使用个人信息的目的、方式、范围和规则等。存储环节,主要是存储时限要满足最短时间要求,如果反洗钱等法律法规另有规定,则需满足法律法规的要求。使用环节,则主要是遵循收集环节明示的使用目的、方式和范围等,不超越权限使用。加工环节,主要是整理、统计、分析后的个人信息仍不应超出个人明示授予的权限范围,同时对加工处理记录可追溯。传输环节,主要是做好传输过程中的安全管理,防范个人信息在传输过程中被泄露,同时确保接收主体是有权限的。提供环节,则主要是识别提供对象的权限。公开环节,主要是经法律授权或具备合理事由确需公开披露。删除环节,则需采取技术手段,确保系统中删除的个人信息不可被检索到。当然,个人信息全生命周期的管理并不仅仅局限在上述要求,但上述要求基本涵盖了核心管理要点。
(三)有效的告知体系
《个人信息保护法》以“告知—同意”为核心构建了个人信息处理规则,如何满足“告知—同意”规则,需要厘清不同业务收集的个人信息范围,做到有效的“告知—同意”,并设置便捷的撤销同意方式。
厘清最小范围的个人信息。金融机构在提供产品或服务时,每一种产品或服务需要收集的个人信息是不一样的。农村中小银行应全面梳理自身业务,根据最小必要原则确定每项产品或服务需要收集的个人信息范围。
有效的“告知—同意”。有效的告知需要明示收集和使用的目的、方式、范围和规则等,一般通过线下线上签订隐私政策等方式实现,隐私条款应确保无免除自身责任、加重客户责任、排除客户主要权利的条款。有效的同意应采用明示方式,而非默示同意,宜采用权利人确认的方式。对于重点条款,若采线下确认的,条件允许时可进行双录,以体现充分知情原则。针对敏感个人信息,除前述要求外,还需要告知处理敏感信息的必要性以及对个人权益的影响,建议单独列明,单独同意,而非放在隐私政策里取得一揽子同意。
便捷的撤销同意机制。在取得客户同意的同时,应设置较方便快捷的撤销同意方式,以保障客户的自主选择权。比如,某银行电子银行App,在查看隐私政策的界面提供了“撤销同意”框,应该算是十分方便灵活了。
(四)第三方合作模式变革
若农村中小银行基于自身业务和管理收集的数据无法满足发展需要而寻求与第三方数据公司合作,则需要按照“标准明确、责任清晰、流程透明、风险可控”的标准开展外部合作,以防因第三方侵权给自身造成负面影响。
严把准入关。农村中小银行应严把准入标准,选择资质口碑良好的机构开展数据合作,在准入识别时,特别关注该机构近几年在数据合规方面是否存在违法违规事项。
审慎设计合同条款。农村中小银行应通过合同条款设计确立双方权利义务,在合作方义务条款中明确约定不得存在任何侵害个人信息权益的行为,承诺其收集个人信息的合法性,并约定相应的违约责任,通过合同条款设计避免合作方侵权给农村中小银行造成损失。
做好数据来源合法性确认。农村中小银行从第三方获取个人信息时,应要求其说明信息来源,并对合法性进行确认:包括是否获得授权,是否同意转让、共享等。
强化合作机构后续管理。在做好上述工作的同时,也要强化后续管理,定期评估合作机构风险状况,对存在违法违规等不良情况的机构,果断退出。
[责任编辑:]
京公网安备 11010802031783号