银行业金融机构数据治理中的个人信息保护
数据隐私和网络安全
专栏
作者:冯坚坚
2018年5月21日,银保监会正式出台了《银行业金融机构数据治理指引》(以下简称“数据治理指引”或该指引),该指引取代了《银行监管统计数据质量管理良好标准(试行)》(银监发〔2011〕63号),从“数据质量”到“数据治理”的转变体现了对巴塞尔协议Ⅲ的更全面借鉴。而其中涉及将个人信息安全国家标准纳入银行合规体系的内容,也成为该指引的一大亮点。
《银行业金融机构数据治理指引》对个人信息安全国家标准的引入
2018年3月16日,《银行业金融机构数据治理指引(征求意见稿)》发布,并向社会各界公开征求意见。5月21日,银保监会即发布了《银行业金融机构数据治理指引》的正式稿,要求各银行业金融机构建立组织架构健全、职责边界清晰的数据治理架构,明确董事会、监事会、高级管理层和相关部门的职责分工,建立多层次、相互衔接的运行机制。该指引从征求意见稿出台到正式稿落地,仅仅用了两个月时间,足以看出银行业金融机构加强数据管理的现实性和紧迫性。
对比正式稿与征求意见稿,最为引人注意的调整是正式稿在第24条新增设了一款内容:“银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准”。该款内容的加入,实际上将包括今年5月1日正式生效的GB/T35273-2017 《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)等国家标准正式纳入银行业金融机构的合规标准体系中。
《个人信息安全规范》的内容与效力
《个人信息安全规范》于2017年12月29日正式发布,并于2018年5月1日正式实施。该规范明确了个人信息处理活动中各项术语的定义,例如“个人信息控制者、收集、明示同意、用户画像、个人信息安全影响评估、删除、去标识化”等;并对个人信息收集、保存、使用、转让和披露、通用安全各个环节,提出了非常明确具体的要求。该规范突出了个人信息处理活动应当遵循的原则,呼应了国家有关个人信息安全的政策战略、法律法规以及其他规范内容,尝试勾勒具体且明确的操作规则,进而为信息控制者提供切实可行的合规指南。
从性质上来说,《个人信息安全规范》其本身属于推荐性国家标准,而不具有法律的强制效力。但其在相当程度上反映了我国监管机关的态度,同时也为企业在个人信息安全合规工作上提供了切实可以借鉴的模板,所以对企业合规具有非常重要的指导意义。在《个人信息安全规范》于2017年年底公布时,也引起了部分银行特别是外资银行的重视,但大多数银行考虑到该规范不具有强制效力,且对银行现有业务流程可能产生较大影响而没有推动该规范在银行系统内的实施。
但是在《银行业金融机构数据治理指引》出台后,通过征求意见稿与正式稿的差别比较来揣摩监管部门的心态,不难得出这样的倾向性结论,即《个人信息安全规范》有可能从一部“软法”升级成为在银行业金融机构合规标准体系中实际具有较强约束力的“硬法”。银行业金融机构在未来的数据治理工作中将很难再回避这部国家标准。
银行业金融机构个人信息保护现状的观察
笔者通过对国内主要商业银行的官网访问、APP使用,再结合国外金融机构以及国内大型互联网公司的相关情况,在进行综合比对分析后,对于中国银行业金融机构目前的个人信息保护现状有如下的观察:
第一,商业银行对于个人信息保护,偏重于安全防护但对于合规性认识不足。银行普遍认为其信息安全基础设施建设(硬件)和内控制度(软件)远远领先于一般企业,但是对于个人信息保护的合规性认识不足。
第二,在隐私权政策方面,国内大多数商业银行仅在用户协议中,有部分条款涉及个人信息保护的内容,并且条文设计简略,无法涵盖个人信息保护的大部分内容。在用户首次注册并登陆商业银行APP后,大多就无法再继续查询到相关隐私权政策的内容,也无法进一步获悉自己的个人信息收集和使用情况,不符合《个人信息安全规范》的相关要求。同时,外资银行普遍在隐私权政策的设计方面比中资银行更为重视。
第三,近年来,商业银行的线上APP的功能日益多元化,不仅包括了传统的银行功能,还衍生出大量的服务,例如:消费、娱乐、电商、信用、旅游等方面。其获取的个人信息以及相应的个人信息处理场景,已不是原有的柜面开户协议或网上银行用户协议的相关条款所能简单覆盖的了。在这些丰富的场景中,线上APP收集了大量的用户个人信息,却没有充分的告知和协议基础,存在很大的个人信息合规风险。
第四,随着互联网的广泛应用,许多大型商业银行在各省市的分支机构也分别开设了其微信公众号、服务号、小程序等基于社交软件的衍生应用,这些应用亦存在大量的个人信息获取和使用的行为,如不统一进行个人信息安全的合规管理,将给银行业金融机构带来额外的风险敞口。
第五,从银行业金融机构的性质上来说,由于关乎用户的财产安全,因而其用户群体对其具有更高的隐私期待。微小的个人信息合规风险,也可能被放大成为严重的公关危机和声誉风险。因此,银行业金融机构在个人信息问题的处理上应当更加谨小慎微。
合规建议
在《银行业金融机构数据治理指引》出台后,银行业金融机构在个人信息保护方面势必面临着更高的合规要求。结合银行业金融机构在个人信息保护中存在的不足,笔者提出以下合规建议:
第一,银行业金融机构应该重视个人信息保护的合规建设,在继续确保信息安全的基础上,提高对于个人信息收集、使用、处理、共享等环节的合规性要求;
第二,银行业金融机构应将传统金融服务场景和线上围绕金融打造的综合服务场景加以区分,不再用柜面开户协议或网上银行用户协议去代替应有的隐私权政策,对其线上APP和官方网站上的隐私权政策以及用户协议中的相关条款进行自查和完善;
第三,对于用户个人信息进入数据系统后的数据流和风险点,银行业金融机构应当进行系统的管理,尤其是针对线上APP的业务功能开展数据合规治理的专项工作;
第四,针对大型银行业金融机构的分支机构单独运营的公众号、小程序等,可能存在用户个人信息收集、使用情况的,加强管理与整顿;
第五,银行业金融机构应在与第三方机构进行合作、共享信息时,对第三方机构的个人信息保护能力进行评估并将此作为准入门槛,审查第三方合同,要求第三方机构对个人信息保护作出相应承诺;
第六,在银行业金融机构内部,开展全面的个人信息保护合规的培训与学习。
本专栏往期文章
1. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
5. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
6. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
7. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
8. 网安法第37条背景下的境外证据开示与数据出境问题
9. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
10. 对“数据共享合法化”的分析与思考 系列之二 ——欧盟B2B数据共享的案例研究
11. 对“数据共享合法化”的分析与思考 系列之三 ——欧盟B2B数据共享的案例研究
合伙人
021-2613 6221
feng.jianjian@jingtian.com
冯坚坚律师系竞天公诚律师事务所合伙人。
冯坚坚律师的执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。冯律师是上海市律师协会互联网业务研究委员会委员,曾任阿里巴巴特色中国训练营讲师,长期为众多大型跨国企业、大型互联网科技企业提供法律服务,对于互联网新技术与商业模式有独到而深刻的理解。
自2016年开始,冯律师及其团队为大量客户提供了有关网络安全法相关的合规咨询服务,并从2017年网络安全法生效实施后,协助客户应对与网络安全合规有关的政府检查和调查,在公司的网络安全合规和调查应对上积累了丰富的经验。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.