銀保監會開展專項整治，對侵害個人資訊權益說不！

8月9日，中國證券報·中證金牛座記者獨家獲悉，銀保監會辦公廳近日向各銀保監局，各大型銀行、股份制銀行、外資銀行、直銷銀行、理財公司，各保險集團（控股）公司、保險公司下發《關於開展銀行保險機構侵害個人資訊權益亂象專項整治工作的通知》。

《通知》強調，自查過程中要堅持立查立改。對短期無法整改完成的問題，要建立整改臺賬，明確整改措施，逐項逐步推進。

推進根源性整改

《通知》指出，各機構要對照“銀行保險機構侵害個人資訊權益亂象主要表現形式”，全面摸排本機構2021年以來與消費者個人資訊處理活動相關的經營行為和管理情況，深入查詢本機構個人資訊保護方面存在的問題，列出問題清單。

當前，銀保監會披露的銀行保險機構侵害個人資訊權益亂象主要有：

一是個人資訊收集。在未取得消費者同意的情況下，利用移動網際網路應用程式（App）獲取手機通訊錄、監測輸入內容、監聽語音收集消費者個人資訊；未在官網、App主動披露隱私政策；透過非法途徑盜取或購買消費者個人資訊等。

二是個人資訊儲存和傳輸。如，電子資料儲存管理混亂。違反規定下載、儲存、記錄消費者敏感個人資訊。機構人員超職權範圍將未經加密、脫敏的消費者個人敏感資訊下載、儲存至個人辦公計算機、行動硬碟或隨身碟等具有儲存功能的終端或介質等。

三是個人資訊查詢。銀行賬戶資訊查詢業務操作不規範，存在未按規定留存查詢授權材料、未經消費者同意私自查詢、虛構理由和業務背景查詢資訊等問題；保險公司未對查詢許可權嚴格限制，導致不具備許可權的員工可以查詢完整的保單號、投保人和被保險人證件號碼、聯絡電話、聯絡地址等未經脫敏處理的個人資訊等。

四是個人資訊使用。如，用於不當營銷。私自收集或違規收集消費者資訊和聯絡方式用於營銷；在消費者明確拒絕營銷後仍繼續營銷；規避銷售系統向消費者營銷產品等。

五是個人資訊提供。如，未經同意向他人或外部機構提供資訊。在無法定事由，且未獲得消費者同意的情況下，將消費者個人資訊提供給外部機構或其他個人；向外部機構或個人販賣消費者個人資訊。

六是個人資訊刪除。未對各類消費者個人資訊電子資料和紙質材料規定儲存期限和到期刪除、銷燬要求，未明確刪除、銷燬的程式和方式。

七是第三方合作。向第三方合作機構提供個人資訊超出合作業務必須範圍、未進行必要脫敏；未使用有效加密方式透過網際網路等不安全渠道向第三方合作機構傳輸個人資訊等。

對於上述亂象，《通知》要求強化整治問責。對於整治發現的問題，銀行保險機構要逐一建檔，確保整改到位、問責到位。對違反銀行業保險業規章制度的問題，要依規處理；對不當操作行為，要立即叫停或糾正，出現洩露個人資訊等嚴重侵害消費者資訊保安權問題的，要問責到人；對涉及違法犯罪的問題，要移送司法機關懲處。

同時，各銀行保險機構要深入剖析本次專項整治發現的問題，查詢問題根源。《通知》提出，問題原因在下級機構的，要壓實分支機構責任，不折不扣完成整改；問題根源在總部的，要及時調整和最佳化相關工作機制，強化制度約束和責任落實，推進根源性整改。

以銀行保險機構自查為主

《通知》稱，本次專項整治工作以銀行保險機構自查為主，監管部門適時開展抽查和督導。確保全面覆蓋與消費者個人資訊處理相關的業務環節、員工行為和管理流程。銀行保險機構和各銀保監局要成立專項工作組，制定專門工作方案。各銀保監局要靠前指揮，做好統籌部署和全流程督促工作，確保層層推進落實、整改到位。

《通知》顯示，本次專項整治工作有三個階段：

一是自查整改階段。2022年8-9月，各銀保監局組織轄內銀行保險機構（含保險專業中介機構）認真開展對照自查， 在自查基礎上及時完成整改。

二是監管抽查階段。2022年9-11月，各銀保監局在機構自查基礎上開展監管抽查。抽查物件和抽查數量由各銀保監局根據轄區情況自行決定，應突出重點機構和重點業務。

三是總結匯報階段。各銀保監局應於2022年12月2日前，向銀保監會消費者權益保護局報送銀行保險機構侵害人資訊權益亂象專項整治工作報告。

《通知》要求，各級監管部門要結合日常監管、現場檢查、舉報調查、投訴督查中發現的侵害消費者資訊保安權問題開展監管抽查和督導，突出重點。對違反相關法律法規的問題，要依法依規嚴肅查處;對機構自查並整改到位的問題，可結合行為違法程度及造成後果情況依法從輕、減輕或不予處罰；對發現自查不力、隱瞞不報的機構，要嚴肅追責並從重處罰。

海雲安隱私合規系列