策略研究 | 强监管下银行业个人金融信息安全保护何去何从？|征信|金融|金融信息安全|银行业

近日，中国人民银行上海分行网站发布行政处罚信息显示（见下表），因违反信用信息采集、提供、查询及相关管理规定，东亚银行（中国）有限公司被责令限期改正并处罚款人民币1674万元。“天价”罚单的背后，所体现的正是监管部门对金融业中涉及个人信息数据安全管理等方面的充分重视。

为加强个人金融信息保护，央行在信用信息采集、查询等方面的监管持续趋严。东亚银行此次被行政处罚的违法行为类型为：违反信用信息采集、提供、查询及相关管理规定，而除了此次被罚的东亚银行外，也有不少银行因触犯同样的监管红线受到处罚。

2021年8月20日，根据央行公布的行政处罚信息显示，交通银行、华夏银行和兴业银行等5家银行因违反账户管理相关规定，合计被罚1541万元。其中3家银行被处罚原因为违反信用信息采集、提供、查询及相关管理规定。

包括东亚银行在内的多家银行因违规采集信用信息被处罚，所暴露的正是国内银行对个人金融信息保护的缺失：采集个人金融信息方式不合法、不正当；过度采集、违规采集个人金融信用信息；违规提供、滥用信用信息等多种违规现象与行为。国内银行一方面银行本身应当痛定思痛，及时做出应对措施以减小损失、修复漏洞、防范风险。另一方面，更应当防患于未然，对信息保护系统的建设引起反省与思考。

在这种趋势之下，为加强个人信息的保护，中国人民银行依据《中国人民银行法》《个人信息保护法》《征信业管理条例》制定了《征信业务管理办法》，自2022年1月1日起施行。该办法以信用信息的采集、整理、保存、加工、提供、信息安全等全流程合规管理为主线，以明确征信业务边界、加强信息主体权益保护为重点，按照对个人信息依法保护、有限共享的原则，与《个人信息保护法》关于个人信息主体权益的保护规定全面衔接。

一是与《个人信息保护法》在立法理念和基本原则上保持一致。《征信业务管理办法》贯彻《个人信息保护法》“告知-同意”的个人信息处理规则，对采集个人信用信息采取合法、正当的方式，遵循最小、必要的原则，不得过度采集；另外，对于从事征信业务及其相关活动，要求遵循独立、客观、公正的原则，不得危害国家秘密、侵犯个人隐私和商业秘密；使用信用信息，要求基于合法、正当的目的，不得滥用等等。

二是强调对个人信息主体同意权的保护。《征信业务管理办法》规定，征信机构采集个人信用信息应当经信息主体本人同意，并明确告知信息主体采集信用信息的目的；信息使用者查询个人信用信息需取得信息主体同意，并按照约定用途使用。

三是注重对个人信息主体知情权的保护。《征信业务管理办法》规定，征信机构提供信用报告等信用信息查询产品服务的，应当客观展示查询的信用信息内容，并对查询的信用信息内容及专业名词进行解释说明；提供画像、评分、评级等评价类产品和服务的，应当建立评价标准，不得将与信息主体信用无关的要素作为评价标准。

四是强调对个人信息主体异议投诉权的保护。《征信业务管理办法》规定，信息主体认为信息存在错误、遗漏的，有权提出异议；认为自身合法权益受到侵害时，有权投诉。征信机构、金融机构应依法依规办理异议事项，人民银行分支机构应依法依规处理投诉。

值得注意的是，《个人信息保护法》对违法处理个人信息行政处罚明确了高额罚款数额，即“有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照”。也就是说，违法违规处理个人信息甚至可以受到最高五千万元或者上一年度营业额百分之五以下的罚款，这样的处罚上限应当引起金融机构的足够重视！

综上所述，针对金融信息安全保护现状以及现行法律法规，笔者总结了在强监管的大环境下，银行等金融机构对于个人金融信息保护应采取的改进措施与建议。

（一）强化全流程数据合规管理

当前，数据保护和合规管理仍是一个较新的领域，在监管趋紧但法律法规之下诸多操作细则还不十分明确的条件下，银行要更加强化自我约束，打破原有惯性思维，刷新认知，按照法律法规的要求细化银行的具体业务哪些可行、哪些不行。遇到问题时，及时与立法机构和监管部门积极沟通，征得理解和支持，尽可能缩小法律中宽泛和模糊的中间地带，降低合规性风险。在此基础上，再对数据管理全流程进行梳理。

即在数据采集上，保证数据采集过程的合法合规，不超出个人金融信息采集的合理范围；在数据确权上，平衡数据所有人的权利与数据支撑自身发展的作用，保护数据所有人对数据拥有的固有权利，确保自身合法、合规并合理处理与使用客户的个人金融信息，深刻认知到金融消费者并非“愿意用隐私交换便捷性”，客户信息保护和权益保护也是一种银行竞争力的体现；在数据估值上，注重划分数据资源固有的商业价值与数据挖掘应用产生的商业价值，形成合理的数据使用价格机制，公平发挥数据价值。同时建立清晰的数据侵权事件处理流程和善后机制，一旦侵权事件发生，除了承担起应当的法律责任，也通过内部问责机制，举一反三、避免重犯。

（二）提升金融科技的应用能力

金融数据的保护和利用均离不开金融科技的支撑。中国特色金融科技创新监管制度坚持三个原则，一是持牌经营，二是坚持依法依规，金融机构必须管控好新技术创新应用带来的风险隐患，确保创新不偏离正确的方向，三是坚持权益保护，建立健全与金融科技创新发展相适应的消费者权益保护机制。

目前，中国金融监管部门尚未对金融科技企业开展金融科技业务作出正式的监管规定，但在严格控制非持牌科技企业尤其是大型互联网公司独立以金融科技创新的名义实质性开展金融业务。因此银行与金融科技企业的合作有利于优势互补，达到双赢，但需确保合作是在依法依规和审慎管理的基础上，并应注意几个方面，一是坚持“办理相关业务所必需”原则和“最小必要”原则，将个人金融信息的交换和范围减至最小。二是银行应审查明确金融科技公司在数据服务方面的合规资质。三是要求金融科技公司承诺，不违规使用数据爬虫，不将个人金融信息服务于高利贷、暴力催收等行为。

（三）高度重视数据出境的管理

中国金融市场国际化进程加速，个人数据出境与入境成为常态。《网络安全法》的颁布实施首次提出数据出境安全管理要求，金融监管部门的理念也必须与时俱进，个人信息保护方面不再像以往主要依据金融法律执行客户信息保护要求，而应以国家关于数据和个人信息保护的专门立法作为合规依据。在监管要求上，网信部门和金融监管部门的规定也存在着一定差异。

2016年，中国人民银行发布的《中国人民银行金融消费者权益保护实施办法》规定，在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行，除法律法规及中国人民银行另有规定外，金融机构不得向境外提供境内个人金融信息。网信部门对数据出境的监管则主要采用“原则禁止，以经安全评估为例外”的监管模式。总体上，目前的金融数据出境监管规定和要求比较严格，但也有较多不明确之处，在具体操作中面临问题，作为银行业，应将数据出境作为重要的风险点加强防范，满足金融、证券、网信等多部门的监管要求。

（四）银行数据保护的文化培育和社会教育

个人金融信息保护是一项长期性、系统性工程，要将数据保护与合规渗透到银行业务管理的所有流程中，形成合规理念。将数据保护纳入每位员工的工作职责，增强员工个人的信息保护意识与素质，注意引进相关专业人才，或者注重专业人才的培养。建立管理部门、业务部门、科技部门、总分行机构的高度协同机制，在不可预测不可控制的环境变化中提升应变管理能力，增强柔性管理；在数据应用与个人隐私中间找到平衡点，既为客户提供更好服务与体验，又能妥善保护数据权益。同时做好消费者保护教育，承担社会责任，配合政府和社会机构加大对个人金融信息数据安全的教育，推动社会公众意识到个人金融信息保护是维护公民隐私、维护商业利益乃至国家安全的关键所在，每个公民都有义务从自身做起维护包括自身数据在内的数据安全。

个人金融信息数据保护是金融行业的重要工作内容，银行开展涉及个人金融信息的相关业务需要综合运用多种手段，以更加切实有效的方式保障个人金融信息安全。在强监管的大环境下，银行夯实合法基石，留意合规红线，尤其重视建立健全内部个人金融信息保护标准与体系，这既是面对客户的信任需尽到的义务，也是应对数字化时代变化趋势的应然之举。

参考文献：

1、《上海银罚字〔2022〕3号行政处罚信息公示表》

2、《开年大罚单！违规采集信用信息，这家银行被罚超1600万！个人信息为何屡被侵犯？》

3、《东亚银行拿到2022年首张千万级罚单，已连续两年被罚超千万》

4、中国人民银行发布《征信业务管理办法》（附答记者问）

5、《金融3·15｜汪小亚等：银行如何做好个人金融信息保护》

6、《数据法学》何渊主编北京大学出版社

7、《<中华人民共和国个人信息保护法>释义》张新宝主编人民出版社

·律师介绍

庞理鹏

北京策略律师事务所

党支部书记、执行主任、合伙人