普华永道解读《个人信息保护法》对银行零售业务的影响

将于今年11月起生效的《个人信息保护法》(以下简称“个保法”),明确将金融账户列为敏感个人信息。这无疑将给商业银行的零售业务带来更多合规挑战。有道是“不信不立,不诚不行”,保护个人信息不仅是为满足合规需要,也是银行强化客户信任、构筑品牌之本,尤其是在处理大量个人金融信息的零售银行业务方面。数字科技时代,商业银行应以此为契机,建立长效机制平衡业务发展与客户隐私保护。

个人信息是零售银行数字化转型的突破口

数字经济时代,零售业务日渐成为商业银行的利润增长来源。利用数字渠道压缩经营成本、加强风险管控,同时利用大数据分析提升用户体验,是当下零售业务的突破口。
与此同时,云购物、数字生活等新趋势,也促使银行更注重零售用户的行动轨迹洞察与消费场景变迁。线上化、智能化、生态化成为银行零售业务的主要发展策略,与“长尾”市场的交互,以及全口径客户管护,也是关注点。

个人信息保护日趋成为监管焦点

零售业务运用的大数据技术与相关应用,依赖海量用户信息,一旦泄露不仅损害银行信誉,也将给客户带来巨大影响。因此,监管机构在个保法出台前,已通过各类行政法规和技术标准规范银行对个人信息的使用。例如,人民银行早在2011年1月21日已发布《关于银行业金融机构做好个人金融信息保护工作的通知》。2020年3月4日,央行再度发布《关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》;其中《个人金融信息规范》是该通知的核心内容。
近年来各机构发布的相关规范性文件
虽有上述规范性文件,近年来仍有多家银行因个人信息保护违规,被监管机构处罚。2020年10月21日,即《个人信息保护法(草案)》发布的同一天,六家银行因侵害消费者金融信息安全收到监管罚单,被罚超过4000万元。
可以预见,个保法生效后,监管将进一步强化消费者金融信息安全执法。个人信息保护合规,势必将成为银行零售业务的工作重点。

个保法时代银行零售业务面临的合规挑战

移动应用(App)合规。零售银行业务通过手机银行App延伸服务触角、优化客户体验,实现线下与线上服务和运营联动。为从法律层面规制App滥用个人信息现象,个保法第六十一条将“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”设为履行个人信息保护职责的部门职责,且在法律责任中规定“对违法处理个人信息的应用程序,责令暂停或者终止提供服务”。银行在使用App推广零售业务时,应重点关注用户“知情同意”、App申请权限的正当性、收集个人信息“最小必要原则”、用户权利的实现机制,以及敏感个人信息处理的特殊要求。个人信息保护已成为合规义务。

自动化决策合规。零售银行数字化转型倾向通过人工智能驱动场景运营,在不同获客渠道部署自动化决策引擎,提供千人千面的金融服务。针对屡遭市场诟病的“大数据杀熟”现象,个保法不仅有专门规定,还新增了“商业营销”作为自动化决策的具体场景,对此提出了更高的个人选择权与透明度要求。此外,国标《信息安全技术个人信息安全影响评估指南》更是将银行在提供贷款前使用人工智能算法对个人信息主体进行信用评估列示为高风险个人信息处理活动。可见对神经网络等人工智能参与的自动化决策进行解释说明、开展安全评估,将成为零售银行业务个人信息保护合规的难点之一。

生态合规。银行越来越侧重生态化建设,纷纷联合金融科技公司,通过互联网平台批量化引流。个保法明确要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者建立健全个人信息保护合规制度体系、制定平台规则、定期发布个人信息保护社会责任报告。零售银行与互联网金融相融合,将面临更高的个人信息合规要求。此外,生态化建设可能涉及个人信息的委托处理与转让,除了要考虑告知同意机制、数据传输过程中的安全性、双方的权利和义务,还应按照个保法第五十五及五十六条的要求,进行个人信息保护影响评估。

完善个人信息保护体系,强化客户信任

个保法时代,银行高度重视个人金融信息保护,不仅是为了满足合规需要,也是银行强化客户信任、构筑品牌之本。普华永道建议银行从以下三个步骤建立个人信息保护合规体系:

识别个人信息处理活动。系统性识别当前业务涉及的个人信息处理活动,建立个人信息和相关系统的映射关系,全链路梳理个人信息收集、存储、共享、跨境传输等。

开展个人信息保护合规差距评估与整改。根据个保法和其他适用法规,进行个人信息保护合规性差距评估,识别当前业务环境中的潜在合规差距,并制定整改路线图。

建立个人信息合规长效机制。完善内部管理制度,建立个人信息全生命周期管理体系与相关合规审计制度,加强员工安全教育和培训等措施,切实提高个人信息保护水平。

《银行业快讯》

(0)

相关推荐