监管通报银行保险机构侵害个人信息权益乱象:机构自查出15.42万个问题,影响消费者1.99亿人次
3月26日,记者从相关渠道获悉,日前,金融监管总局办公厅向各监管局,各大型银行、股份制银行、外资银行、直销银行、理财公司,各保险集团(控股)公司、保险公司、保险专业中介机构下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》(以下简称《通报》)。
金融监管总局表示,从目前投诉督查、举报调查、监管评价等工作中反映的问题来看,银行保险机构侵害个人信息权益的行为仍时有发生,内部管控还存在短板弱项和风险隐患。为落实中央金融工作会议精神,进一步强化个人金融信息保护,维护好金融消费者合法权益,现将专项整治发现的突出问题予以通报,并提出相关工作要求。
主要问题集中在五大方面
据悉,此次专项整治以银行保险机构自查为主,监管部门适时进行督导和抽查。从自查和抽查结果看,专项整治全面深入检视了银行保险机构个人信息处理工作各类流程,在个人信息处理具体执行层面发现大量问题或者隐患,机构自查共发现问题15.42万个,涉及员工14.09万人,影响消费者1.99亿人次,涉及合同协议、声明等2.63万份;监管部门开展监管抽查共发现问题5561个,涉及机构1985家次、员工3566人,影响消费者1556万人次。
发现的主要问题集中在以下五大方面:一是个人信息收集方面,存在强制同意、扩大授权、笼统授权等问题。譬如,某银行在信用卡申请环节,加入消费者无法取消的授权条款,强制消费者同意将其信息用于其他产品或者服务营销。某保险公司短期健康险投保单在格式化的业务申请表中加入预设的不合理授权条款,强制消费者同意将其信息提供给外部机构,并用于与其所办理业务无关的用途。
二是个人信息存储和传输方面,存在电子数据管理混乱、纸质材料管理不严、传输方式不安全等问题。譬如,部分银行保险机构存在员工通过自建业务微信群发送客户身份证、社保卡照片等个人信息的情况。
三是个人信息查询和使用方面,存在违规查询账户信息、不当使用客户信息等问题。
四是个人信息提供和删除方面,存在未经授权对外提供、未及时删除等问题。
五是个人信息第三方合作方面,存在对合作机构管控失效等问题。主要表现为,与第三方机构签订的协议中未约定消费者个人信息保护内容,未及时发现和处置第三方机构侵害个人信息权益行为。
层层压实责任,强化内控管理
对于专项整治中发现问题,金融监管总局也对于金融机构提出了要求。具体来看:
提高思想认识,落实主体责任。各银行保险机构要提高政治站位,将个人信息保护作为一项基础性、长期性工作抓实抓细,实现整治工作成果的制度化、常态化,严格落实金融消费者个人信息保护主体责任。要认真对照通报情况,深入开展自查自纠,举一反三,全面排查内部制度、业务规则、操作流程等方面存在的类似问题,严肃整改问责,推动溯源治理,筑牢客户个人信息保护防线。
聚焦风险短板,健全长效机制。各银行保险机构要聚焦客户信息安全的风险易发领域和管理薄弱环节,严格落实《中华人民共和国个人信息保护法》和《银行保险机构消费者权益保护管理办法》(银保监会令〔2022〕9号)等法律法规和监管要求。要建立覆盖客户个人信息收集、存储、查询、加工、使用、传输、提供、公开、删除等全生命周期的数据治理和安全管理制度体系,构建事前、事中、事后全流程的个人信息保护体系,提升个人信息管理规范性和操作合规性。
层层压实责任,强化内控管理。各银行保险机构要严格按照“谁主管谁负责、谁使用谁负责”和“分级管理、逐级负责”的原则,健全前中后台相互制约的责任体系。要持续完善监测预警、员工管理、渠道管控、应急处置和内部考核问责等机制,关注产品服务开发、格式文本设计等前端环节的影响,加大信息安全技术防护力度,加强对重点岗位人员行为管理。要强化对合作机构的持续管理,按规定在合作协议中约定个人信息保护的责任和义务,认真执行准入和退出标准,严格控制合作方行为与权限。
加强教育培训,树牢消保理念。各银行保险机构要进一步加大个人信息保护的教育培训力度,将金融消费者权益保护和个人信息保护法律法规和监管制度全面纳入员工培训范围,结合不同业务条线特点,强化违法违规案例警示教育,引导督促员工树牢个人信息保护理念。
金融监管总局表示,信息安全权是金融消费者八项基本权利之一,提升银行保险机构消费者个人信息管理规范性、保护信息安全权是全面强化银行业保险业金融消费者权益保护工作,增强人民群众获得感、幸福感、安全感的重要内容。各监管局要提高对金融消费者个人信息保护工作重要性的认识,跟踪专项整治成效,紧盯薄弱环节、弥补短板弱项,综合运用非现场监管和现场检查等方式,严肃查处违法违规行为,在消费者权益保护监管评价、投诉督查等工作中持续关注银行保险机构个人信息保护工作情况,督促辖内银行保险机构健全消费者个人信息保护工作机制,推动全面提升行业个人信息保护水平。