Bitget下载

注册下载Bitget下载,邀请好友,即有机会赢取 3,000 USDT

APP下载   官网注册

《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)是个人信息领域的基本法律,丰富完善了民法典和《网络安全法》中关于个人信息保护的规定,关乎着对私服务行业个人信息的合理利用与规范发展。商业银行作为个人信息处理者的重要特定主体,每天处理着海量级个人信息,贯穿了个人信息处理的全过程、各环节,包括商业银行对个人信息的身份识别、账户交易、数据开发、服务决策和资源化,业务处理涵盖了个人信息收集、存储、使用、加工、传输、提供、公开、删除的所有法定事项,承担着与个人权利相对应的个人信息处理者的主体义务及法律责任。

案例回顾

(一)徐娜、中国邮政储蓄银行股份有限公司遂平县支行储蓄存款合同纠纷再审民事判决书【(2018)豫民再1457号】

法院认为:《中华人民共和国商业银行法》第五条规定:“商业银行与客户的业务往来,应当遵循平等、自愿、公平和诚实信用的原则。”第六条规定:“商业银行应当保证存款人的合法权益不受任何单位和个人的侵犯。”本案中,邮政××银行遂平县支行在与徐娜建立储蓄存款合同关系后,即负有保证徐娜银行卡信息不被他人窃取、复制的义务和向其履行合同的义务。银行应当通过技术手段和软硬件改造加强风险防范,确保存储于银行卡内的储户信息安全,并且应当对于安全漏洞和技术风险承担责任。故一审判决认定邮政××银行遂平县支行未尽到安全保障义务,应当向徐娜承担违约赔偿责任,并无不当,本院予以确认。因徐娜损失的款项系原本存储在该银行卡中的款项,在正常存储期间,徐娜可以取得利息收益,故徐娜要求以其与邮政××银行遂平县支行签订的贷款合同约定的存款利率,支付自2014年12月6日起至实际给付款项之日期间的利息,符合双方之间的合同约定以及相关法律规定,本院予以支持。邮政××银行遂平县支行向徐娜承担的违约赔偿及利息损失责任,待公安机关破案后,可以另行起诉,行使追偿权。

(二)中国建设银行股份有限公司北京市分行等与李峰信用卡纠纷二审民事判决书【(2019)京03民终9229号】

二审法院认为:二、关于非授权交易所致损失的责任承担问题。

关于建行北京分行的责任承担问题。《中华人民共和国商业银行法》第六条规定,商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。就本案而言,MiPay支付的开通仅需要提供信用卡的卡号、有效期、安全码、在银行的预留手机号以及动态验证码,激活后即可进行消费交易。该种新型支付方式是金融科技加速升级和移动支付蓬勃发展的成果,然而在提高便捷性的同时,银行亦应提供配套的安全验证系统。建行北京分行允许以上述支付方式绑定涉案信用卡,其作为该项业务的推出方、信用卡服务的提供者,有义务提供安全的用卡环境和网上支付系统。虽然建行北京分行提交证据证明自己尽到了安全核验义务,但在现有技术条件下,持卡人、发卡银行难以采取有效方法彻底禁绝盗刷行为的发生。对于客观存在的盗刷行为,银行作为更具备条件采取措施防范风险、从而在整体上降低盗刷风险发生的可能性以及社会成本的一方,理应负有更高的安全保障义务。故在持卡人不存在过错的情况下,应由银行承担相应的损失赔偿责任。

(三)李忠与招商银行股份有限公司武汉光谷支行、中国移动通信集团湖北有限公司武汉分公司侵权责任纠纷二审民事判决书【(2019)鄂01民终5119号】

一审法院认为:一、招商银行光谷支行未尽账户信息安全保障义务。

李忠在招商银行光谷支行办理了银联金葵花IC银行卡,双方形成金融服务合同关系。根据《商业银行业法》第六条、《中华人民共和国合同法》第六十条第二款规定,银行有义务为持卡人提供安全的交易环境。银行利用开放的互联网技术建立网上银行、手机银行等电子银行来拓宽自己服务的渠道,是网络服务的提供者,在自己与有责任的专业领域内,对于用户信息的收集、管理及应用在信息系统层面具有最高管理权限,亦是某种危险可能性的开启者。故银行对于各种侵权方式最为熟悉,理应承担较高的谨慎义务,且理应采取必要的、具有期待可能性的防范措施保护储户免于危险的义务。就袁玲盗窃案中查明的事实,罪犯是通过非法渠道获取包括李忠的账户资料等信息在内的大批储户资料,非一般储户,即李忠能力范围内能够加以防范及控制的风险,故李忠对其账户信息的泄漏主观上不存在过错。利用密码交易不能等同于账户持有人行为,因手机银行的认证信息具有可复制性,其支付系统的安全程序不能识别是否为第三人使用窃取的认证信息或者是真实权利人自己的使用,无法等同于银行工作人员的识别能力,故银行在不能补强电子银行交易过程中的未经授权支付风险的情况下,存在技术上漏洞。因此,招商银行光谷支行未尽到账号密码的安全保障义务。对招商银行光谷支行提出的已对李忠账户资金充分尽到安全保障义务的抗辩意见,不予支持。

二审法院认为:首先,李忠作为招商银行光谷支行、移动公司武汉分公司的服务对象,招商银行光谷支行、移动公司武汉分公司有责任和义务保证李忠的资金安全和个人信息的安全,且招商银行光谷支行、移动公司武汉分公司在本案一、二审诉讼中,没有提交证据证明李忠存在过错,故应承担举证不能的法律后果。其次,本案中,招商银行光谷支行未尽到账户信息安全保障义务,移动公司武汉分公司也未尽到通讯信息安全保障义务,致使李忠的个人信息泄露造成其资金被盗的损害后果,招商银行光谷支行和移动公司武汉分公司应分别承担侵权损害赔偿责任。

(四)杨柳柳、林文伟等出售、非法提供公民个人信息罪一审刑事判决书【(2017)浙1081刑初571号】

经审理查明:

1、2013年2月5日,被告人杨勇锋非法提供其在从事银行工作中获取的包含姓名、地址、邮编、电话号码等公民个人信息57275条命名为“台州查询”的文件发送给被告人杨柳柳,供被告人杨柳柳推广业务使用。

本院认为,被告人杨柳柳、林文伟违反国家规定,非法获取并向他人提供公民个人信息,情节严重,其行为均已构成侵犯公民个人信息罪;被告人杨勇锋身为金融机构工作人员,将其在提供服务过程中获得的公民个人信息非法提供给他人,情节严重,其行为已构成非法提供公民个人信息罪。公诉机关指控罪名均成立。

(五)行政处罚




法律分析



(一)《个人信息保护法》规定的处理个人信息的原则

“告知—同意”原则:“告知—同意”是个人客户信息保护原则的核心。商业银行在处理个人客户信息前,应充分履行告知义务,并获取客户同意。

“合法、正当”及“诚信”原则:商业银行不得非法收集、使用、加工、传输、买卖、提供或公开,不得从事危害国家安全、公共利益的信息处理活动。不得通过欺诈、误导等方式处理个人客户信息。

“必要”及“对个人权益影响最小”原则:商业银行不得过度收集个人客户信息,并应采取对个人权益影响最小的方式处理个人客户信息。

履行保密义务原则:商业银行对产品营销、客户服务、信贷审批等日常经营管理活动中处理的个人客户信息,不得泄露或违法违规对外提供。

信息安全及质量保障原则:商业银行应保证所处理个人客户信息的质量,应采取必要措施保障所处理信息的安全,避免因信息不准确、不完整对个人权益造成不利影响。

(二)《个人信息保护法》涉及商业银行处理个人客户信息的一般要求

处理个人客户信息应取得客户同意

除为履行法定义务或为提供产品、服务所必需等特定情形外,商业银行处理个人客户信息应取得客户同意。某些对个人影响较大的特定情形下(包括:向其他信息处理者提供其处理的个人信息;公开所处理的个人信息;在公共场所安装图像采集、个人身份识别设备,以及将收集的个人图像、身份识别信息用于维护公共安全以外目的;处理敏感个人信息;向境外提供个人信息),《个人信息保护法》进一步限定了同意的形式须为“单独同意”。同时,还须在不影响为客户提供服务的前提下,给予客户选择不同意及同意后撤回的权利。避免商业银行利用优势地位,强迫或变相强迫客户同意非必要的信息处理,体现了立法对金融消费者的倾向性保护。

处理个人客户信息应有明确合理的目的

该要求旨在避免个人信息脱离客户控制后,商业银行滥用所采集的信息,具体包括两方面内容:一是信息处理目的应当合理,不得收集与业务无关的信息;二是应以显著方式、清晰易懂的语言,告知客户信息处理的目的,避免客户无法正确评估处理信息对其本人产生的影响。

处理个人客户信息应采取合法、正当方式

商业银行在采集、使用、传输、提供、删除等信息处理各环节,均需遵守法律法规和监管要求,不得对客户进行欺骗、隐瞒或胁迫。从第三方渠道获取信息,还应审查数据来源的合法合规性,对明知为非法来源的信息不应获取。

处理个人客户信息应确保信息安全及质量

商业银行收集了大量个人敏感信息,一旦出现泄露、篡改、不当或非法提供等信息安全风险,会引发严重不良后果。因此,商业银行应使用安全等级更高的技术手段,采取更为严格的内部控制措施,以保障个人客户信息安全及质量。

处理个人客户信息应保障客户信息权利

商业银行取得个人客户信息后,并非当然成为该信息的“所有者”。法律赋予信息主体查阅、复制权,更正权、删除权等个人信息权利,以保障个人能够在信息脱离其控制后,最大程度参与信息处理,避免自身权益受损。商业银行应健全内部制度、完善系统建设,并公布客户行使个人信息权利的方式和渠道,保障客户信息权利顺利行使。

处理个人客户信息应公开信息处理规则

个人客户与商业银行之间存在着信息不对称,在选择必需金融产品或服务时不具议价能力,同时受自身认知水平限制,对商业银行处理其个人信息的方式、范围、后果等难以正确评估和决策。要求商业银行公开个人信息处理规则且便于查阅和保存,既是个人信息处理“公开、透明”原则的具体体现,也会使商业银行处理个人信息的规则得到更广泛的监督。

案例启示

(一)商业银行个人客户信息保护体系完善建议

1、健全个人客户信息保护内部管理制度

商业银行需要将个人信息保护法律法规、监管管理要求内化为自身管理制度,作为商业银行经营的“基本准则”,渗透进产品研发、业务创新、流程设计、系统开发、营销拓展、客户服务、大数据应用等日常经营管理各环节,形成行之有效的个人客户信息保护内部控制机制。

设计个人客户信息保护制度架构时,商业银行应重点考虑以下内容:一是明确个人客户信息保护牵头管理部门,以及其他涉及信息收集、存储、加工、使用等部门的职责;二是明确个人客户信息处理的基本原则、一般规则及具体要求,包括合法、正当、最小必要、诚信、公开、透明、信息质量及安全保障原则,以及个人信息处理的基本条件,告知义务的履行等法律法规规定的重要事项;三是阐明特殊信息处理规则,例如个人信息跨境提供规则,以及敏感信息的处理,自动化决策、人脸识别设备安装及技术应用的条件与限制等;四是对个人客户信息对外合作进行规范,就涉及的共同处理个人信息、委托处理个人信息以及对外提供个人信息等方面的责任义务及注意事项等进行明确;五是健全个人客户信息权利保障体系,确保个人信息权利的主张、反馈等形成闭环,内部制度、系统功能、业务流程等相互协调统一;六是完善信息安全保障内控措施,施行个人客户信息分类管理,完善信息安全技术手段,制定信息安全事件应急预案,建立信息保护职责考核机制及违规行为负面评价机制,开展合规审计,履行监管报告义务等。

2、完善个人客户信息保护政策

为全面落实个人信息保护法律法规及监管要求,商业银行有必要根据法律法规和监管要求,完善个人客户信息保护政策,以清晰易懂的语言,真实、完整地告知客户个人信息处理规则等内容,并通过门户网站、APP等渠道公布。内容如有变化应及时更新,并确保发布的所有版本均易于查阅、调取和保存。信息保护政策内容应包括:商业银行的基本情况,包括单位名称、单位联系方式及按网信部门要求应公开的个人信息保护负责人联系方式;个人信息处理的一般及特殊规则,针对不满十四周岁未成年人信息的处理规则还应专门列示;涉及个人信息处理的典型业务及共性规则介绍;对外共享、转让、公开披露个人信息,以及数据出境规则;个人信息主体权利和实现机制,如查询、更正、删除、注销账户、撤回授权同意、获取个人信息副本及对自动决策结果进行投诉的方法等;提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施;处理个人信息主体询问、投诉的渠道和机制,以及纠纷解决部门、联络方式等。

3、强化个人客户信息保护系统建设

商业银行的信息系统对个人客户信息保护起着至关重要的作用。在建立健全信息系统建设时,应着重考虑以下问题:一是建立个人客户信息分类管理、分级授权机制。可根据《个人金融信息保护技术规范》(JR/T0171-2020)第4.2条规定,按照信息的敏感程度进行分类,同时满足第6条关于不同类别信息生命周期及安全运行的技术要求,并结合信息的重要性、敏感性以及与岗位关联度等因素进行系统用户权限设置,确定用户调取信息的范围、权限、程序及留痕管理等;二是做好各业务信息系统之间的协调管理。避免多头管理导致制约失衡,或因内部流程不畅导致客户依法行使信息权利受阻,进而引发法律、声誉等风险。同时,还要确保系统功能与内部制度、业务流程相匹配,促进个人客户信息内、外部良性循环;三是采取有效的信息安全风险防范技术措施。定期排查安全隐患,避免外部攻击导致信息泄露风险。

4、针对性做好对关键岗位人员的教育培训

商业银行在收集、存储、使用、加工、传输、提供、公开、删除等个人信息处理的各环节,都离不开“人”这一关键因素。不论是经营管理中直接接触信息的人员,还是管理制度、业务流程、系统功能的制定和设计者,均构成银行个人客户信息风险防控的核心变量。加强对关键岗位人员合规意识、合规能力的重点培训,也是有效防控个人信息滥用、泄露等风险的前提和基础。商业银行应重视并加大对关键岗位人员的教育培训力度,确保相关人员能够将个人信息保护法律法规、监管要求以及内部管理制度内化于心、外化于行。树立正确的个人信息保护依法合规意识,熟练掌握个人信息保护法律法规、监管要求及内部管理规定,严格落实个人信息保护各项管理要求,构建完善的个人客户信息保护体系。

(二)保护个人金融信息的现行做法

1、完善机制和内部制度

当前,除个别村镇银行、小贷公司等规模小、服务半径窄的机构外,绝大多数金融机构开展了线上金融业务,通过网上银行、手机APP等服务客户。个别金融机构如A网络银行没有线下服务网点,所有业务均在互联网上开展,针对线上金融服务的内部制度建设相对较为完善。

(1)建立健全组织架构。以A网络银行为例,该行建立了董事会领导下分工负责的个人金融信息保护组织架构,董事会对个人金融信息保护承担最终责任,高级管理层负责执行经董事会批准的个人信息保护政策。同时,在高级管理层设立以行长为主任、行级领导为委员的数据治理委员会,负责统筹协调、落实各项管理职责。设立数据治理办公室负责数据治理具体事项,并落实执行个人金融信息保护的具体工作。确定技术条线和业务条线相关部门作为个人数据安全管理执行部门,应急保障与公关条线相关部门作为个人数据安全保障部门。



(2)完善业务制度。A网络银行制定了四层、十一项线上金融业务个人信息保护制度。在客户信息方面,制定了《客户信息保护管理办法》《个人客户信息保护管理规范》《客户信息删除销毁台账》等制度;在数据管理方面,制定了《数据安全管理办法》《数据生命周期管理办法》《生产数据管理细则》《敏感数据去标识化规范》等制度。以此形成线上业务中保护个人金融信息的内部管理制度框架,对线上业务中的个人金融信息进行全生命周期管理。

图2. A网络银行个人信息保护制度框架


2、构建较为完善的技术防范措施

线上金融活动中,个人金融信息安全及信息保护不仅仅表现为一套用工具组合的产品解决方案,而且是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整体系。

(1)实施框架式数据安全技术防控。以A网络银行为例,该行从基础安全防护、敏感信息保护、数据安全感知和数据管控流程等四个方面构建数据安全技术防护框架,针对可能发生的非法访问、非授权访问、钓鱼攻击、恶意攻击等可能侵犯个人金融信息安全的行为进行管控,确保线上金融业务涉及的数据可用、完整、保密、可控、可被审查。

(2)实施线上金融业务全流程技术防范。以A网络银行为例,该行从业务流程切入,围绕数据生命周期,采用技防为主、人防为辅的管理策略,制定了客户信息保护整体方案,实现“进不来、拿不走、看不懂、改不了、走不脱”的效果。

“进不来”是指采用访问控制策略,阻止非授权用户进入网络,确保网络可用;“拿不走”是指使用授权策略,通过用户权限控制,实现网络资源与信息可控;“看不懂”是指使用加密机制,确保信息不暴露给未授权的使用者,实现信息保密;“改不了”是指使用数据完整性鉴别机制,确保只有被允许的人才可修改数据,确保信息完整;“走不脱”是指使用审计、监控、防抵赖等安全机制,保证攻击者、破坏者、抵赖者留痕,实现信息的可审查性。


(3)利用算法进行数据加密传输和存储。如B银行在线上业务“蜀信E贷”推动过程中,涉及通过互联网传输数据时,采用Https/Post的请求方式访问,采用国密SM2算法对消息体加密,使用MD5算法对消息头和消息体计算签名,确保信息的保密性和完整性。在数据存储环节,严禁存储银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生物识别信息的样本数据。

3、高度重视查询使用授权

线上金融活动中,金融机构获取个人金融信息的来源主要为客户自行提供、征信系统(征信机构)查询、第三方机构提供等。金融机构通常采用隐私协议的方式获取对客户自行提供的信息进行处理的授权;获取征信(征信机构)信息则按照我国《征信业管理条例》《个人信用信息基础数据库管理暂行办法》等法规制度,取得客户书面授权同意;从第三方机构获取的个人金融信息,一般由第三方机构在合同中保证所提供的信息依法合规。值得肯定的是,B银行在授权方面区分数据来源是本行数据还是代理数据,如为代理数据则需要供应商提供相应的授权文件或其他辅证资料。金融集团内部的银行、保险、基金、理财等独立法人机构间,客户存在高频迁徙与转化,合规、完整获得客户信息的查询授权存在一定难度。如D金融集团为了确保业务合规,2020年10月主动终止了与集团内部E银行在银保业务之间的数据共享。

4、广泛使用外部个人数据产品

以B银行首款互联网信用贷款产品“蜀信E贷”为例,该款产品已于2020年11月上线。为了提高风险识别能力,除使用中国人民银行征信报告之外,该行还通过公开招标引入7家外部数据供应商,涉及8类数据284款产品,上线初期共使用19款外部数据产品辅助信贷决策。调用外部数据之前,B银行主动引导客户阅读同意隐私条款,其中包括线上授信合同和借款合同等法律文件的数据应用授权条款,既授权了B银行查询、存储及应用客户的个人数据,也授权B银行可向第三方机构调取个人数据。据统计,上线3个月内,系统调用外部数据共计94.75万次。