普华永道解读《个人信息保护法》对银行零售业务的影响
个人信息是零售银行数字化转型的突破口
个人信息保护日趋成为监管焦点
个保法时代银行零售业务面临的合规挑战
移动应用(App)合规。零售银行业务通过手机银行App延伸服务触角、优化客户体验,实现线下与线上服务和运营联动。为从法律层面规制App滥用个人信息现象,个保法第六十一条将“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”设为履行个人信息保护职责的部门职责,且在法律责任中规定“对违法处理个人信息的应用程序,责令暂停或者终止提供服务”。银行在使用App推广零售业务时,应重点关注用户“知情同意”、App申请权限的正当性、收集个人信息“最小必要原则”、用户权利的实现机制,以及敏感个人信息处理的特殊要求。个人信息保护已成为合规义务。
自动化决策合规。零售银行数字化转型倾向通过人工智能驱动场景运营,在不同获客渠道部署自动化决策引擎,提供千人千面的金融服务。针对屡遭市场诟病的“大数据杀熟”现象,个保法不仅有专门规定,还新增了“商业营销”作为自动化决策的具体场景,对此提出了更高的个人选择权与透明度要求。此外,国标《信息安全技术个人信息安全影响评估指南》更是将银行在提供贷款前使用人工智能算法对个人信息主体进行信用评估列示为高风险个人信息处理活动。可见对神经网络等人工智能参与的自动化决策进行解释说明、开展安全评估,将成为零售银行业务个人信息保护合规的难点之一。
生态合规。银行越来越侧重生态化建设,纷纷联合金融科技公司,通过互联网平台批量化引流。个保法明确要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者建立健全个人信息保护合规制度体系、制定平台规则、定期发布个人信息保护社会责任报告。零售银行与互联网金融相融合,将面临更高的个人信息合规要求。此外,生态化建设可能涉及个人信息的委托处理与转让,除了要考虑告知同意机制、数据传输过程中的安全性、双方的权利和义务,还应按照个保法第五十五及五十六条的要求,进行个人信息保护影响评估。
完善个人信息保护体系,强化客户信任
识别个人信息处理活动。系统性识别当前业务涉及的个人信息处理活动,建立个人信息和相关系统的映射关系,全链路梳理个人信息收集、存储、共享、跨境传输等。
开展个人信息保护合规差距评估与整改。根据个保法和其他适用法规,进行个人信息保护合规性差距评估,识别当前业务环境中的潜在合规差距,并制定整改路线图。
建立个人信息合规长效机制。完善内部管理制度,建立个人信息全生命周期管理体系与相关合规审计制度,加强员工安全教育和培训等措施,切实提高个人信息保护水平。