《管理办法》正式施行,银保机构消费者个人信息保护圈重点!
2022年12月26日,中国银保监会制定并发布了《银行保险机构消费者权益保护管理办法》(以下简称《管理办法》),已于2023年3月1日起正式施行。目前该《管理办法》已正式施行3个月,本文将对《管理办法》中消费者个人信息保护的监管重点进行梳理,并分享相应的合规管控思路。
针对当前我国金融消费者识别风险能力较弱、金融消费纠纷频发的现状,《管理办法》提出保障金融消费者知情权、自主选择权、公平交易权、财产安全权、依法求偿权、受教育权、受尊重权、信息安全权八大权益。《管理办法》重点内容主要分为四个方面:一是明确银行保险机构承担保护消费者合法权益的主体责任和工作原则;二是建立健全消费者权益保护体制机制;三是明确规范机构经营行为,保护消费者基本权利;四是加强行业监督监管,加大行政处罚力度。
《管理办法》分八章,共57条,其中保护消费者个人信息安全权占据了重要篇幅。02《管理办法》体现了消费者个人信息保护的哪些重点要求?
第一章 总则
第二条 本办法所称银行保险机构,是指在中华人民共和国境内依法设立的向消费者提供金融产品或服务的银行业金融机构和保险机构。
2020年11月1日起施行的《中国人民银行金融消费者权益保护实施办法》在金融消费者保护领域起到了一定的引领作用,但仍存在如监管边界模糊以及部分保险、证券、基金等金融机构未纳入适用等问题。本次部门规章《管理办法》遵循同类业务、同类主体统一标准原则,加大行政处罚力度。其中,统一同类金融业务的监管标准,将对银行业机构建立消费者适当性管理机制的要求,扩展适用至保险公司。第二章 工作机制与管理要求
第十三条 银行保险机构应当建立消费者个人信息保护机制,完善内部管理制度、分级授权审批和内部控制措施,对消费者个人信息实施全流程分级分类管控,有效保障消费者个人信息安全。
《管理办法》对银行保险机构消费者权益保护的体制建设和各项机制作出规定,明确“两会一层”消保工作职责,要求银行保险机构建立健全消费者权益保护审查、消费者适当性管理、销售行为可回溯管理、合作机构管理等11项工作机制。其中,对银行保险机构建立健全个人信息保护机制,实施全流程分级分类管控提出了明确要求。同时,对实践中常见的典型问题,针对性设立个人信息处理行为规范。重点要求3:最小必要原则设置访问、操作权限,禁止违规查询第六章 保护消费者信息安全权
第四十五条 银行保险机构应当在消费者授权同意等基础上与合作方处理消费者个人信息 ...... 合作过程中,银行保险机构应当严格控制合作方行为与权限,通过加密传输、安全隔离、权限管控、监测报警、去标识化等方式,防范数据滥用或者泄露风险。
第四十七条 银行保险机构处理和使用个人信息的业务和信息系统,遵循权责对应、最小必要原则设置访问、操作权限,落实授权审批流程,实现异常操作行为的有效监控和干预。
第四十八条 银行保险机构应当加强从业人员行为管理,禁止违规查询、下载、复制、存储、篡改消费者个人信息。从业人员不得超出自身职责和权限非法处理和使用消费者个人信息。
《管理办法》对银行保险机构内部人员消费者个人信息使用要求、业务应用系统要求以及第三方合作要求等方面作出了明确规定。具体而言,即银行保险机构在收集、使用、传输消费者个人信息,外部合作、系统和人员管理等方面,要求在消费者授权同意基础上开展各项个人信息处理活动,开展外部合作应当在合作协议中约定数据保护责任、保密义务等事项,并严格控制合作方行为和权限。银行保险机构对于《管理办法》有关消费者个人信息保护合规监管重点,具体表现为以下两方面:个人信息存储和传输、个人信息查询。在个人信息存储和传输方面,具体表现为:电子数据存储管理混乱,违反规定下载、存储、记录消费者敏感个人信息;机构人员超职权范围将未经脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或 U 盘等具有存储功能的终端或介质等;机构人员使用誊抄、拍屏、扫描文字识别等方式私自记录消费者个人信息数据。在个人信息查询方面,则是侵权重灾区,具体表现在:业务系统账号权限设置与岗位职责不符,导致员工可跨业务、跨机构、 跨层级、跨地区查询与本人管理业务无关的消费者个人信息;银行保险机构未对查询权限严格限制,导致不具备权限的员工可以查询完整的消费者客户的证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。04 银行保险机构应如何对消费者敏感个人信息进行有效管控?
银行保险机构对消费者敏感个人信息进行有效管控,可以从构建敏感数据目录着手。首先明晰需要保护哪些类型的敏感数据以及存储的位置,重点是自动感知数据结构和数据敏感性的变化,确保目录的实时性。其次,对业务应用、DBA、开发运维、数据探索、数据分析等场景中的数据访问行为实施细粒度的监督分析,刻画对敏感数据的访问轨迹,利用工具对敏感数据地图和数据访问行为进行深度梳理,洞悉潜在的安全合规风险,为制定保护措施的实施点和场景优先级划分提供依据。第三,结合机构业务和数据安全管理制度逐步实施数据访问控制、数据权限管控、动态数据脱敏等技术措施。在建设过程中,建议关注敏感数据目录、监督分析、保护措施之间的无缝衔接和联动,同时监督记录数据访问的主客体(业务侧的主体是指系统的登录用户)、访问行为、访问过程中涉及的敏感数据类型、访问过程中是否启用了保护策略及策略的执行结果等全面细粒度的过程和结果信息,从而形成可持续运营的长效机制。对于银行保险机构而言,在应对消费者敏感个人信息保护方面,敏感个人信息脱敏是最有效的管控手段。根据金融行业标准 JR/T 0223—2021《金融数据安全数据生命周期安全规范》,“数据脱敏”是指从原始环境向目标环境进行敏感数据交换时,通过一定的方法消除原始环境中数据的敏感性,并保留目标环境业务所需的数据特性或内容的数据处理过程。“数据脱敏”是能够有效降低数据敏感性但不改变数据原有属性的安全技术措施,适用于银行保险机构进行敏感个人信息处理。《银行保险机构消费者权益保护管理办法》对于银行保险机构在日常实践中常见的侵害消费者个人信息权益的典型问题进行了规范,体现了监管部门对于保护银行业保险业消费者合法权益的理念,尤其是在个人信息保护方面的重视。然而,银行保险机构在具体落实消费者个人信息保护合规的实践过程中,仍具有管理、技术与制度上的难处。6月7日-9日,原点安全将携“金融机构消费者个人信息保护解决方案”,正式亮相于南京国际博览中心举办的“2023中国金融业数字化转型发展大会 暨第十三届中国城市商业银行信息化发展创新座谈会 ”,欢迎各位拔冗莅临!
