金融 · 看法丨银行业金融机构个人金融信息保护合规要点十问十答
作者:金融团队银行组 蔡敏
兰台
引 言
银行业金融机构在开展业务的过程中需要大量地处理客户的个人金融信息。对于个人金融信息的保护,一方面需要考虑以《民法典》和未来即将出台的《个人信息保护法》为代表的基本法律所奠定的保护框架,另一方面也需要考虑金融监管机关提出的特殊监管要求。对于金融机构个人金融信息保护,本文以问答的形式,对实践中常见的问题予以讨论,以飨读者。
Q1:现在个人金融信息的保护越来越受到重视,请问哪些信息属于个人金融信息?
根据中国人民银行制定的《个人金融信息保护技术规范》,个人金融信息指的是金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,诸如账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息均属于个人金融信息。
Q2:原来个人金融信息有这么多种,那个人金融信息和个人信息又是什么关系呢?
个人金融信息属于个人信息下属的一个分支,可以视作是一种特殊的个人信息。关于个人信息的保护,主要是规定在《民法典》的人格权编和即将出台的《个人信息保护法》之中,但是《民法典》和《个人信息保护法》作为基本法律,更多地是对各类个人信息的保护做出一般性的规定,所以对于个人金融信息的保护,在与上位法不相冲突的前提下,还需适用其特别保护规范。近年来,金融监管部门在个人金融信息保护方面也是下了很大的功夫,制定和发布了很多监管规定和行业标准,例如《中国人民银行金融消费者权益保护实施办法》、《中国人民银行关于进一步加强征信信息安全管理的通知》、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》以及前述提及的《个人金融信息保护技术规范》等,因此金融机构在日常的经营中,就是要主要对照这些特别的监管规定来履行其保护消费者个人金融信息的义务。
Q3:既然个人金融信息那么重要,那对于所有的个人金融信息,金融机构需要履行的保护义务程度都是一样的吗?
民事权益的保护程度总是在价值衡量之中选择一个合理的边界,绝对的保护也意味着对他人自由绝对的限制,个人金融信息的保护也不例外。就像我们刚才提到的,个人金融信息的范围非常的广泛,但是在这个人金融信息的大家族里,也有一些个人金融信息因为其非常的重要以至于我们需要其更多的保护。《个人金融信息保护技术规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,对此金融机构需要给予针对性的保护措施。
Q4:关于个人金融信息是如何分级,可以再具体展开讲一讲吗?
可以。刚才我们说到,个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。C3类别信息主要为用户鉴别信息,该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害,例如你的银行卡密码,C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害,比如你的银行交易流水,C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响,比如你的银行账户开立名称。
Q5:金融机构对于敏感程度不同的个人金融信息保护,都需要注意什么呢?
总体而言,个人金融信息敏感程度越高,金融机构越需要采取严格的保护措施。例如,根据《个人金融信息保护技术规范》,金融机构不应委托或授权无金融业相关资质的机构收集C3、C2类别信息;C3 以及C2 类别信息中的用户鉴别辅助信息,金融机构不应委托给第三方机构进行处理;C3 类别信息以及C2 类别信息中的用户鉴别辅助信息不应共享、转让。因此,金融机构在处理个人金融信息时,应注意根据个人金融信息的敏感程度采取与之相适应的保护措施。
Q6:现在我们有很多的业务都需要收集客户的个人金融信息,请问我们需要取得客户的授权同意吗?
原则上是的,如果客户是未成年人的话,还需要取得其监护人的同意。不过,根据《个人金融信息保护技术规范》,如下几种特殊的情形,可以无需取得个人金融信息主体的授权同意:
①与履行国家法律法规及行业主管部门有关规定的义务相关的;
②与国家安全、国防安全直接相关的;
③与公共安全、公共卫生、重大公共利益直接相关的;
④与犯罪侦查、起诉、审判和判决执行等直接相关的;
⑤出于维护个人金融信息主体或其他主体的生命、财产等重大合法权益但又很难得到本人同意的;
⑥个人金融信息主体自行向社会公众公开的;
⑦根据个人金融信息主体要求签订和履行合同所必需的;
⑧从合法公开披露的信息中收集个人金融信息的,如合法的新闻报道、政府信息公开等渠道;
⑨用于维护所提供的金融产品或服务的安全稳定运行所必需的,例如识别、处置金融产品或服务中的欺诈或被盗用等。
上面的规定虽然比较多,但可以简单地理解为,以需要授权为原则,以无需授权为例外。
Q7:既然原则上都是需要取得客户授权的,那我们取得客户授权时需要注意什么?
第一,客户的授权应当是积极的授权,不能推定客户已经授权同意。如果金融机构将客户的个人信息授权条款直接勾选为同意,则有侵害客户个人金融信息权益之嫌;第二,客户的授权应当是具体明确的。这就要求金融机构在取得客户授权时应明确个人金融信息授权的目的、方式和范围,而不是笼统地要求客户将“相关信息”授权给金融机构;第三,应该允许客户撤回个人金融信息授权的同意。实践中一种常见的做法是要求客户对个人金融信息授权做出“不可撤销地同意”,实际上我们应当允许客户撤回授权的同意,因此应尽可能避免采用类似的文本表述。
Q8:我们可否通过让客户签署个人金融信息授权书等方式来取得客户授权?
可以,实际上这也是实践中普遍的做法。不过,需要注意的是,无论是制定专门的个人金融信息授权书又或者在业务文本中设置专门的个人金融信息授权条款,都可能会被认定为是格式文本。格式文本的好处即在于通过让客户签署标准制式文本的方式来提升交易效率,避免一对一磋商导致的低效,但是因为格式文本由金融机构单方预先拟定,作为个体的消费者通常难以改变文本内容,所以为了保护消费者的个人金融信息权益,也需要对金融机构通过格式文本取得个人金融信息授权的行为予以规范。例如《中国人民银行金融消费者权益保护实施办法》第三十一条即规定“银行、支付机构应当履行《中华人民共和国消费者权益保护法》第二十九条规定的明示义务,公开收集、使用消费者金融信息的规则,明示收集、使用消费者金融信息的目的、方式和范围,并留存有关证明资料。银行、支付机构通过格式条款取得消费者金融信息收集、使用同意的,应当在格式条款中明确收集消费者金融信息的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果”,此外《中国人民银行金融消费者权益保护实施办法》第二十一条还规定“银行、支付机构不得以通知、声明、告示等格式条款的方式作出含有下列内容的规定:……(三)排除或者限制金融消费者依法对其金融信息进行查询、删除、修改的权利”的规定,这也是金融机构通过格式文本取得客户个人金融信息授权时需要予以注意的。
Q9:金融机构在取得客户的授权以后,是不是意味着可以在内部自由地传递个人金融信息?
当然不是,“吃瓜有风险,吃瓜需谨慎”。金融机构取得客户的个人金融信息并不意味着其内部所有的员工也同时获得了授权。《中国人民银行金融消费者权益保护实施办法》第三十三条规定“银行、支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响本机构履行反洗钱等法定义务的前提下,合理确定本机构工作人员调取信息的范围、权限,严格落实信息使用授权审批程序”,所以个人金融信息在金融机构的内部传递都是需要取得相应权限的,不能随意传递。
Q10:最后一个问题,我们在实际开展业务的时候,有时候也需要将客户的个人金融信息共享给第三方合作机构,请问这种也需要取得客户授权吗?
这种情况原则上也是需要取得客户授权的。根据《个人金融信息保护技术规范》,除法律法规与行业主管部门另有规定或开展金融业务所必需的数据共享与转让(如转接清算等)外,金融业机构原则上不应共享、转让其收集的个人金融信息,确需共享、转让的,应充分重视信息安全风险,具体要求如下:
①应向个人金融信息主体告知共享、转让个人金融信息的目的、数据接收方的类型,并事先征得个人金融信息主体明示同意,共享、转让经去标识化处理(不应仅使用加密技术)的个人金融信息,且确保数据接收方无法重新识别个人金融信息主体的除外。
②应帮助个人金融信息主体了解数据接收方对个人金融信息的存储、使用等情况,包括个人金融信息主体的权利,例如访问、更正、删除、注销账户等;在法律法规规定、行业主管部门有关规定及个人金融信息主体约定的范围内,个人金融信息主体行使其个人金融信息控制权利,金融业机构应配合响应其请求。
③C3 类别信息以及C2 类别信息中的用户鉴别辅助信息不应共享、转让。
④转接清算、登记结算等情况,应依据国家有关法律法规与行业主管部门有关规定与技术标准执行。
作者简介
蔡敏 律师
金融团队
caimin@lantai.cn
北京
毕业院校:中国人民大学 法律硕士
执业领域:金融法律事务、公司法律顾问事务、民商事争议解决
INTRO
团队简介
银行法律业务是兰台从事最早、发展最成熟且具有突出市场竞争优势的核心业务之一。多年来,兰台陆续担任国家开发银行、中国建设银行、中国农业银行、邮储银行、中信银行、北京银行、百信银行、华夏银行、恒丰银行、农银理财等多家大型商业银行、开发性金融机构和创新直销银行以及理财子公司的常年法律顾问和专项法律顾问,与上述机构建立了密切良好的合作关系。
兰台金融团队银行组坚持独立审慎而又协助客户实现“心想、事成、不逾矩”的原则,秉持“外部服务内部化”的服务态度,为银行提供业务全覆盖的法律服务支持。特别在银行表内业务、表外业务、表表外业务、国际业务、合规经营、投行业务、复杂争议解决等各个方面,兰台具有深度而广泛的经验。