《《中华人民共和国个人信息保护法》对金融机构经营影响、执行难点的调查研究.docx》由会员分享,可在线阅读,更多相关《《中华人民共和国个人信息保护法》对金融机构经营影响、执行难点的调查研究.docx(8页珍藏版)》请在优知文库上搜索。
1、中华人民共和国个人信息保护法对金融机构经营影响、执行难点的调查研究2021年11月1日中华人民共和国个人信息保护法(以下简称新法)正式施行后,对个人信息保护提出了严格要求。2022年全国两会,“个人信息保护”成为最高人民法院和最高人民检察院工作报告关注的焦点内容。2021年法院系统审结侵犯个人信息的案件增长60.2%,检察院系统办理的相关公益诉讼增长3倍。金融机构拥有海量个人信息及敏感信息,是新法重点约束对象之一;如何有效执行新法要求,是金融业面临的一大挑战。笔者走访调研部分金融机构,发现新法实施对金融机构经营的四方面影响、机构执行存在的四个难点值得关注。一、新法对金融机构的四大影响(一)业务
2、模式方面,银行个贷业务、保险承保业务亟待完善新法要求金融机构应取得客户个人同意后方可处理客户个人信息。目前新法对于收集客户本人以外的联系人或其他人信息的同意原则并未作出明确细化规定,执行方面可能存在不同理解。银行方面表示,若个贷业务收集联系人信息需征得本人同意将大幅增加业务成本。以某银行为例,信用卡业务开办时均要求持卡人预留紧急联系人或直系亲属姓名与电话用于债务催告等,若需经联系人明确同意,银行机构收集紧急联系人信息将极大增加确认成本,绝大部分业务因联系人拒绝提供信息而无法办理,同时,缺少紧急联系人信息将造成贷后管理难度大幅增加。截至2021年末,全国信用卡和借贷合一卡共计8亿张。新法可能促使
3、上述业务模式重塑。保险方面,被保险人、指定受益人信息收集的保险展业模式可能需调整。目前,保险公司一般无需保险受益人同意即可登记受益人信息,团体保险业务收集被保险人信息同样存在类似情形,一般采取投保企业告知甚至默许方式为其员工投保,收集员工信息未经员工逐一明确同意,也可能需调整业务模式。(二)线上授信审批管理方面,限制“自动化决策”,导致人工营销成本增加新法要求金融机构通过自动化决策方式作出对客户个人权益有重大影响的决定时,客户有权要求金融机构予以特别说明,亦有权拒绝金融机构作出的业务决定。以某股份制银行为例,目前该行信用卡申领、互联网贷款审批业务已基本实现自动化审批。根据新法要求,线上申请信用
4、卡或贷款“被拒”客户可要求银行说明“被拒”原因并有权申请人工审批。根据该行信用卡、互联网贷款“被拒”客户人次测算,随着新法深入实施,该行测算至少需储备10人以上强化客户沟通解释及开展人工审批工作,金融机构人力成本将大幅提升。(三)产品创新方面,新法要求客户单独同意,限制金融综合增值服务新法要求金融机构向其他个人信息处理主体(如业务第三方)提供客户个人信息时,应取得客户的“单独同意”,不得以概括性的同意来替代,并告知客户信息接收方的详细情况。在金融大数据背景下,要求客户单独同意将限制金融机构综合服务发展,增加业务营销成本。金融机构未来在进行数据融合时,无论是与其集团内公司、关联公司或者第三方服务
5、机构,均应当取得客户个人单独同意。调研一些有综合金融集团背景的机构显示,机构均认为部分金融消费者可能不同意个人信息用于综合金融服务开发,直接影响金融机构对消费者精准画像、产品设计等业务发展,增加机构营销成本。(四)案件风险方面,金融机构个人信息类案件风险防控持续承压新法执行半年来,已有部分金融消费者要求金融机构按新法要求撤回个人信息,个别消费者甚至对金融机构提起民事诉讼,部分地区金融机构也因个人信息管理等问题被监管部门处以高额行政处罚。此外,统计显示近年金融机构从业人员侵犯公民个人信息案件有所攀升,其中,机构内部人员与外部人员共同犯罪案件占比最高。同时,新法增加公益诉讼机制,个人信息保护公益诉
6、讼主体包括检察院、省级以上消费者组织或网信部门指定组织等,公益诉讼主体较多,金融机构案件防控、信访舆情风险持续面临较大压力。2021年,检察机关共办理个人信息保护领域公益诉讼2000余件,同比上升近3倍,其中上海、重庆等地区检察机关已对违法收集使用个人信息开展专项监督,并推动网信、通信管理等部门实行综合治理。2021年最高法工作报告披露,各级人民法院严惩各类侵犯公民个人信息犯罪,审结相关案件4098件,同比上升60.2%,惩治侵犯公民个人信息犯罪呈现从严趋势。二、信息管理的四个执行困难新法施行后目前也尚未发布司法解释。金融机构普遍反映,完全执行新法要求存在较大困难,特别集中在以下四个领域。难点
7、一:信息收集方面,存在新法“三最”原则要求不明、金融机构信息收集系统短期难以改造完成新法规定“三最”原则,即“采取对个人权益影响最小的方式、限于实现处理目的的最小范围,保存期限为实现处理目的所必需的最短时间”收集、处理客户个人信息,多家金融机构反映机构隐私政策及相关管理机制仍在持续完善,可能未能完全符合新法要求。一是“三最源则要求不明,增加执行难度。金融机构业务种类繁多,除了常见类型移动互联网应用程序必要个人信息范围规定对手机银行类业务收集客户信息作出明确规定外,其他业务尚无明确要求,金融机构执行新法难度较大。二是金融机构短期内实现客户“单独同意”和隐私政策系统设置调整任务较大。金融机构收集客
8、户信息、处理敏感信息、公开个人信息、向境外提供信息等均需按新法要求设置“单独同意”程序,系统涉及数据量大、应用场景多、辐射面积广,短期内难以全部改造完成,急需保留系统改造过渡期。难点二:信息删除方面,新法对部分信息保存期限不明、金融机构删除信息技术成本较高新法要求金融机构如遇客户信息保存期限届满,或客户个人提出撤回要求等情形,应及时删除客户个人信息。一是部分业务领域信息保存期限不明确。新法要求客户个人信息保存期限应当为金融机构开展业务所必需的最短期限。目前仅反洗钱、投诉管理、金融消费者权益保护等领域对客户信息保存作出明确时限要求,其他领域则不明确。部分银行反映因留存期限不明,银行仍可能需保留客
9、户信息甚至是已销户客户信息。二是金融机构信息删除技术成本高。目前,金融机构收集客户信息时需对客户信息标记处理,作出基本服务、衍生服务信息区分。客户信息达到删除条件时金融机构需重新识别前期打标处理的客户个人信息并调整权限,频繁往复授权和撤回将产生较大成本。同时随着金融机构区块链技术的深入运用,金融机构客户信息撤回权、删除权的适用将会受到较大限制。难点三:信息传输方面,第三方信息业务传输流程改造压力大新法要求金融机构向业务第三方等其他个人信息处理者提供其处理的客户个人信息时应取得客户单独同意。信用卡业务向持卡人提供形式多样的增值服务及市场活动涉及向多个业务第三方提供客户信息情形,因涉及业务主体、客
10、户数量众多,金融机构短期难以完成流程再造。难点四:信息管理方面,个人信息保护管理机制及相关系统改造任务较大新法要求客户个人有信息查询、复制、更正、补充、删除和撤回同意授权等权利,金融机构需提供便利的渠道满足客户要求。同时,金融机构还应保证客户个人信息质量、采取必要措施保障客户个人信息安全,避免因客户个人信息不准确、不完整以及信息泄露对客户个人权益造成不利影响。不少金融机构反映,机构信息管理系统暂未符合新法要求,需投入大量系统改造和人力配合成本。如某银行的业务系统暂未提供个人信息授权的撤回、删除相关功能,客服部门尚未建立相应操作处理流程。某保险公司暂未建立便捷的个人行使权利的申请受理和处理机制。
11、三、工作建议(一)完善个人信息保护领域制度体系一是建议国家有关部门尽快出台个人信息保护法相关司法解释和执行标准,对于金融机构普遍反映的“三最”原则认定、信息保存期限等有关法律条文明确执行要求。二是金融监管部门制定出台金融机构特别是银行业保险业领域个人信息保护的专门监管制度,根据新法要求,结合行业实际,明确金融机构个人信息保护工作有关的体制建设、信息处理、内部管控等环节要求,增强执行的针对性和可操作性。三是金融业有关行业组织结合新法要求,建立健全个人信息保护相关标准和技术规范,在信用卡及个人贷款信息收集、隐私政策、“单独同意”文本等方面,研究制定行业标准。组织金融业开展新法学习执行的培训交流,推
12、动个人信息保护法在金融业规范有效执行。(二)加强个人信息保护监管协同建议金融监管部门、网信部门、人民法院等部门监管协同。一是加强个人信息保护监管标准协同,统一各部门对新法的理解和要求。二是加强对金融机构个人信息保护领域现场检查协同,互通检查情况,探索开展多部门联合检查,形成监管合力。三是加强监管与司法审判沟通,对金融机构涉及个人信息保护法的有关重点案件审判,人民法院适时加强与网信部门、金融监管部门的信息交流,依法科学审判。四是关注金融业有关个人信息保护的信访投诉、负面舆情风险,及时妥善应对,维护金融稳定。(三)开展金融业执行新法情况评估和督导一是对有关可能违反新法要求的相关业务开展评估,掌握对业务影响程度。二是对难以执行新法要求的重点环节开展评估,及时掌握金融机构在信息收集、删除、传输,配合个人行使权利等方面执行新法情况,指导金融机构完善管理体制机制和服务流程,加大服务投入,执行新法要求。三是推动金融机构完善管理体制机制和服务流程,优化有关隐私保护协议、客户信息送达机制,采用加密存储、精细化管理、数据脱敏、数据使用跟踪等方式,确保数据信息安全,保护金融消费者权益。