來源/柒財經(jīng)

日前，為進一步規(guī)范數(shù)據(jù)處理活動，加強個人信息保護等，充分發(fā)揮監(jiān)管的“指揮棒”作用，國家金融監(jiān)管總局起草了《銀行保險機構數(shù)據(jù)安全管理辦法（征求意見稿）》（下稱《辦法》）。

柒財經(jīng)注意到，近年來，隨著金融行業(yè)科技的進步和數(shù)字化轉型升級，金融機構尤其是保險行業(yè)數(shù)據(jù)安全問題不容忽視，濫用技術過度收集個人信息的情況并不少見，因數(shù)據(jù)管理存在疏漏和導致用戶信息泄露的事件也時有發(fā)生。

業(yè)內個人信息等數(shù)據(jù)安全問題并不鮮見

前不久，澎湃新聞刊發(fā)了一則調查報道《人保一分公司陷“偷拍門”：被指偷拍客戶手機竊信息，警方已立案》。

報道顯示，河北省石家莊市的姚先生通過中國人民財產(chǎn)保險股份有限公司石家莊市分公司辦理了一份河北銀行的助貸后，他手機通訊錄里的所有聯(lián)系人、部分通話記錄、微信好友及聊天記錄等，全部被偷拍并存儲于中國人保財險的百度網(wǎng)盤里。

人保財險在掌握了他的這些信息后，在他的貸款未逾期時就進行催收。他手機里的朋友、親戚、同事、甚至村干部都接到了催收電話，母親也因此腦梗住院，這給他帶來很大痛苦。

而姚先生獲得的證據(jù)顯示，人保財險拍攝存儲的這類信息不只是他一個人的，而是2018年-2023年在人保財險石家莊分公司辦理助貸業(yè)務的大批人員。

這一問題并不是個例。去年6月15日，據(jù)國家金融金融監(jiān)督管理總局發(fā)布一季度銀行業(yè)保險業(yè)消費投訴情況通報，監(jiān)管部門一共接受保險消費投訴2.62萬件。

3月25日，柒財經(jīng)在消費者服務平臺黑貓投訴上輸入“保險”二字，共有20.01萬條投訴，投訴內容多涉及“誘導投保”“拒絕理賠”“個人信息泄露致過度催收”等。

柒財經(jīng)注意到，涉及到理賠和退保等問題的，多是消費者與保險公司信息不對稱導致。而“誘導投保”和“個人信息泄露”等則涉及到保險公司內控管理及用戶的數(shù)據(jù)安全問題。

近年來，因數(shù)據(jù)安全問題等被罰的保險公司并不鮮見。3月13日，據(jù)國家金融監(jiān)督管理總局大慶監(jiān)管分局公布的行政處罰信息，因“未與保險人對投保信息保密及合理使用進行依法約定”等，昆侖保險經(jīng)紀股份有限公司黑龍江分公司被警告并罰款1萬元。

去年，上海市靜安區(qū)人民法院公布的一起刑事判決書顯示，某保險公司多位員工利用客服人員的職務便利查詢客戶信息，并售賣給他人賺取利益。從中非法獲利超26萬元，最終被判處有期徒刑一至三年，并處以罰款。

2022年6月，寧夏銀保監(jiān)局針對國壽財險和太平洋財產(chǎn)保險的3位員工做出了禁止進入保險業(yè)五年的行政處罰。值得一提的是，這三位員工均存在違反法律規(guī)定侵犯公民個人信息的行為。

同年，柒財經(jīng)曾發(fā)文，在黑貓投訴平臺上，有很多用戶質疑泰康人壽侵害了自己權益、個人信息遭到泄露。有用戶表示，在自己沒有投保的情況下，“突然收到泰康人壽短信，說飛鐵保Plus領取成功，還有鏈接和保單號，證明我的信息被泄露了。”

還有用戶稱，“有泰康工作人員電話通知有飛鐵保產(chǎn)品時，自己表明拒絕辦理，但仍會收到鏈接短信，幾分鐘后又收到標有保單號的辦理成功短信。”

上述《辦法》中提到，銀行保險機構應當對數(shù)據(jù)安全威脅進行有效監(jiān)測，實施監(jiān)督檢查，主動評估風險，防止數(shù)據(jù)篡改、破壞、泄露、非法利用等安全事件發(fā)生。

具體到監(jiān)測的內容包括：超范圍授權或者使用系統(tǒng)特權賬號；內部人員異常訪問、使用數(shù)據(jù)；對數(shù)據(jù)集中共享的系統(tǒng)或者平臺的網(wǎng)絡安全、數(shù)據(jù)安全威脅；敏感級及以上數(shù)據(jù)在不同區(qū)域的異常流動；移動存儲介質的異常使用；外包、第三方合作中的數(shù)據(jù)處理異常或者數(shù)據(jù)泄露、丟失和篡改；客戶有關數(shù)據(jù)安全的投訴；數(shù)據(jù)泄露、仿冒欺詐等負面輿情等情況。

監(jiān)管要求金融機構處理個人信息先經(jīng)過授權

實際上，早在2020年，央行發(fā)布的《個人金融信息保護技術規(guī)范》中，就明確了對個人金融信息安全防護的相關要求。

2021年，《數(shù)據(jù)安全法》《個人信息保護法》等上位法相繼發(fā)布；同年5月，國家網(wǎng)信辦等四部委聯(lián)合制定的《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范國規(guī)定》正式實施，提出App不得強制收集非必要個人信息。

此外，央行在《金融科技發(fā)展規(guī)劃（2022-2025）》中也提到，要做好數(shù)據(jù)安全保護，建立健全數(shù)據(jù)全生命周期安全管理長效機制和防護措施，落實數(shù)據(jù)安全合規(guī)要求。

前述《辦法》更是在以上法規(guī)的基礎上，進一步通過強化政策要求引導銀行保險機構壓實主體責任。

另外，一直以來，金融類App、小程序等都是不規(guī)范使用用戶隱私信息的“重災區(qū)”，而這些行為多涉及違規(guī)收集個人信息、App強制、頻繁、過度索取權限；未明示個人信息處理規(guī)則等。

前幾日，據(jù)“網(wǎng)信天津”公眾號，《天津農(nóng)商銀行》（版本6.5.0，應用寶）及《捷信金融》（版本34.46.0，應用寶）均因嫌隱私不合規(guī)被通報。

更早之前，山西銀行、珠海農(nóng)商行、廣東揭陽農(nóng)商行在內的多家銀行旗下App或小程序因違規(guī)收集個人信息被通報。

2022年2月21日，工信部通報的2022年第一批侵害用戶權益的APP名單，泰康保險旗下泰康醫(yī)生APP位列其中。所涉問題為APP強制、頻繁、過度索取權限。隨后，泰康回應盡快整改完成。

《辦法》中第六章“個人信息保護”中明確，銀行保機構處理個人信息應當按照“明確告知、授權同意”的原則實施，法律、行政法規(guī)另有規(guī)定的除外，并在信息系統(tǒng)中實現(xiàn)相關功能控制；銀行保險機構處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，收集個人信息應當限于實現(xiàn)金融業(yè)務處理目的的最小范圍，不得過度收集個人信息。不得利用所收集的個人信息從事違法違規(guī)活動。

處罰方面，《辦法》明確，銀行業(yè)金融機構違反本辦法要求的，國家金融監(jiān)督管理總局或者其派出機構可以依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》相關規(guī)定，責令銀行機構改正，并處以二十萬以上五十萬以下罰款；情節(jié)特別嚴重或者逾期不改正的，可以責令停業(yè)整頓或者吊銷其經(jīng)營許可證。根據(jù)違規(guī)情況，可以責令銀行業(yè)金融機構對直接負責的董事、高級管理人員和其他直接責任人員給予紀律處分；銀行業(yè)金融機構的行為尚不構成犯罪的，對直接負責的董事、高級管理人員和其他直接責任人員給予警告，處五萬元以上五十萬元以下罰款；取消直接負責的董事、高級管理人員一定期限直至終身的任職資格，禁止直接負責的董事、高級管理人員和其他直接責任人員一定期限直至終身從事銀行業(yè)工作。構成犯罪的，依法追究刑事責任。

保險機構違反本辦法要求的，國家金融監(jiān)督管理總局或者其派出機構可以依據(jù)《中華人民共和國保險法》相關規(guī)定，責令保險機構改正，處五萬元以上三十萬元以下的罰款；情節(jié)嚴重的，限制其業(yè)務范圍、責令停止接受新業(yè)務或者吊銷業(yè)務許可證。根據(jù)違規(guī)情況，對其直接負責的主管人員和其他直接責任人員給予警告，并處一萬元以上十萬元以下的罰款；情節(jié)嚴重的，撤銷任職資格。構成犯罪的，依法追究刑事責任。

業(yè)內人士認為，《辦法》的出臺有利于充分發(fā)揮監(jiān)管的“指揮棒”作用，確保客戶信息和金融交易數(shù)據(jù)安全。而加強金融數(shù)據(jù)合規(guī)治理，也是促進金融安全發(fā)展和高質量發(fā)展的重要保障。