法润青银 | 再谈个人信息权益保护

[案例回放]

国家金融监督管理总局发布金融消费者权益保护典型案例

为提升金融消费者教育宣传工作质效，充分发挥正面案例的示范效应和负面案例的警示作用，2023年10月10日，金融监管总局联合中国人民银行、中国证监会发布金融消费者权益保护典型案例，以下案例涉及侵犯消费者个人信息权益：

典型案例1：未严格落实金融消费者权益保护相关规定

人民银行开展执法检查发现，H非银行支付机构存在未有效明示收集、使用消费者金融信息的目的、方式和范围的情形，该机构《隐私政策》中对其“关联公司”的说明为不完全列举，易导致消费者金融信息共享范围不明确；在收集消费者金融信息用于营销、用户体验改进等目的时，未按规定向金融消费者提供事前选择权；存在未按要求使用格式条款的情形，个别格式条款存在减轻、免除自身责任或排除、限制金融消费者权利的不公平、不合理内容；存在未按要求向金融消费者披露与金融产品和服务有关重要内容的情形，如未明示收费规则、电子形式的格式合同不易于获取等。

人民银行依法对H非银行支付机构给予警告并处以罚款，要求该机构认真自查自纠，全面落实整改，切实履行金融消费者权益保护主体责任。

监管提示：本案中，H非银行支付机构相关问题分别违反《金融消费者权益保护实施办法》第三十一条第二款中“银行、支付机构通过格式条款取得消费者金融信息收集、使用同意的，应当在格式条款中明确收集消费者金融信息的目的、方式、内容和使用范围”、第三十条中“银行、支付机构收集消费者金融信息用于营销、用户体验改进或者市场调查的，应当以适当方式供金融消费者自主选择是否同意银行、支付机构将其金融信息用于上述目的”、第二十一条第二款中“银行、支付机构不得以通知、声明、告示等格式条款的方式作出含有下列内容的规定：（一）减轻或者免除银行、支付机构造成金融消费者财产损失的赔偿责任。……（五）其他对金融消费者不公平、不合理的规定”、第十六条中“银行、支付机构应当依据金融产品或者服务的特性，及时、真实、准确、全面地向金融消费者披露下列重要内容：（一）金融消费者对该金融产品或者服务的权利和义务，订立、变更、中止和解除合同的方式及限制……”等规定，应当依照有关规定予以处罚。

典型案例2：非法获取或使用消费者个人信息

某消费金融公司利用格式合同强制授权，无差别地获取借款人关系人、通讯行为、通讯信息、互联网使用信息等个人信息。某银行员工通过虚构业务办理需求，查询公民个人征信报告，累计出售个人征信报告900余份，非法获利20余万元。某保险公司代理人利用客户姓名、身份证号违规查询大量客户理赔信息，涉及个人家庭住址、工作单位、手机号码等敏感信息。

监管提示：《银行保险机构消费者权益保护管理办法》明确要求银行保险机构不得采取变相强制、违规购买等不正当方式收集消费者个人信息，禁止从业人员违规查询、下载、复制、存储、篡改消费者个人信息。去年以来，监管部门对违法违规处理消费者个人信息行为进行了专项整治并加大打击力度，指导和督促银行保险机构在充分发挥数据价值的同时切实保护消费者个人信息安全。

典型案例3：未严格落实消费者金融信息使用管理制度，导致客户信息泄露

2022年，人民银行调查发现，A银行B分行和C银行D信用卡分中心未严格有效落实消费者金融信息保护相关法律法规和内控制度，业务系统权限设置不合理，导致涉案员工得以利用职务便利，在未经授权审批且没有合法、正当事由的情况下，通过银行主要业务系统私自查询、记录客户个人信息，并将相关信息对外贩卖。同时，涉事银行日常消费者金融信息保护排查、风险监测、教育培训工作不到位，在发生上述重大事件时亦未及时向当地金融监管部门报告。

人民银行相关分支机构依法对A银行B分行和C银行D信用卡分中心给予警告并处以罚款，对其中负有直接责任的管理人员给予个人处罚，责令相关银行积极落实整改并进行全面自查。

监管提示：本案中，相关涉案员工因为贩卖客户信息而触犯刑法，并被以侵犯公民个人信息罪判刑。同时，根据《金融消费者权益保护实施办法》第三十三条“银行、支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度，根据消费者金融信息的重要性、敏感度及业务开展需要，在不影响本机构履行反洗钱等法定义务的前提下，合理确定本机构工作人员调取信息的范围、权限，严格落实信息使用授权审批程序”的规定，A银行B分行和C银行D信用卡分中心未能合理设置系统权限，严格落实信息使用授权审批程序，致使发生个别员工非法查询并贩卖消费者金融信息的情形，侵害了金融消费者信息安全权，应当依据《金融消费者权益保护实施办法》第六十条第（五）项、《消费者权益保护法》第五十六条第一款第（九）项进行处罚。

法规解读

诸法合璧，铁腕严惩个人信息权益侵权行为

（一）对单位最高可处以5000万或者上一年度营业额5%的罚款，对责任人最高可处以100万罚款

根据《个人信息保护法》第六十六条，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

（二）计入征信档案并予以公示

根据《个人信息保护法》第六十七条，有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

（三）将举证责任赋予个人信息处理者

《个人信息保护法》第六十九条将举证责任倒置，个人信息处理者不能证明自己没有过错的，就应该承担侵权责任。因此，个人信息处理者必须时刻注意履行“自证合规”义务，在日常的处理活动中严守合规制度，并做好相应的记录和存证。

（四）建立个人信息公益诉讼制度

《个人信息保护法》第七十条规定了公益诉讼制度。个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，起诉的主体不仅限于受侵害的个人，还可以是人民检察院、法律规定的消费者组织和由国家网信部门确定的组织。

（五）明确刑事责任和入刑标准

《个人信息保护法》第七十一条规定：“违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。”

《刑法》第二百五十三条规定了“侵犯公民个人信息罪”：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确规定了入罪的10种情形。对于商业银行而言，最容易侵犯的个人信息是财产信息和征信信息。根据《解释》第五条第一款第（三）项、第（八）项规定，银行员工侵犯个人客户的征信信息或财产信息，入刑标准仅为25条。

律师建议

持续强化金融信息保护，充分保障消费者信息安全权

金融机构相关部门应当坚持以人民为中心的发展思想，牢固树立负责任金融理念，积极践行金融为民、金融惠民、金融便民，完善消费者金融信息保护制度和机制，健全以分级授权为核心的消费者金融信息使用管理制度，综合考虑消费者金融信息的重要性、敏感度及业务开展需要，合理确定员工调取信息的范围、权限，严格落实信息使用授权审批程序。不断强化人员管理和教育，对接触消费者金融信息的岗位人员全面开展业务培训和警示教育工作，培养消费者金融信息安全红线“不能碰、不想碰”的底线思维。加大对消费者金融信息保护管理规定落实情况的监督检查力度，开展专项排查整治，杜绝侵犯消费者个人信息权益问题发生，构建和谐金融消费环境：

（一）完善内控制度和责任追究机制

金融机构相关部门应完善内控制度，强化条线人员在客户个人信息保护方面的责任，完善内部监督和责任追究机制；强化系统管控，严格权限管理，完善信息安全防范措施，有效防范个人金融信息泄露的风险；加强员工教育，提升全员个人信息保护意识，规范个人信息收集处理行为；对员工行为密切监督，对违规行为严厉处罚，严格落实责任追究。

（二）切实落实“告知—同意”规则

金融机构相关部门应向消费者明示处理个人信息的目的、方式和范围；遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围，并提供便捷的撤回同意的方式；确保在事先充分告知的前提下收集消费者个人信息，保证消费者知情，并征得消费者本人同意；不得采取一揽子授权、强制同意等方式处理消费者个人信息；未经消费者同意，不得向消费者推送商业信息；未经明确授权不得将客户信息用于交叉营销或为关联第三方荐客，更不得对外提供。

（三）不得过度收集使用个人信息

金融机构相关部门、各机构收集使用个人信息应当遵循“三最”原则，即“最小范围、最小影响、最短时间”：收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息；处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；除法律、行政法规另有规定外，保存期限应当为实现处理目的所必要的最短时间。

（四) 严格限制对敏感个人信息的处理

“敏感个人信息”是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年的个人信息。金融机构相关部门、各机构只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，并应当向客户告知处理敏感个人信息的必要性以及对个人权益的影响。

（五）切实落实“单独同意”规则

金融机构相关部门、各机构处理敏感个人信息、向其他个人信息处理者提供个人信息、公开个人信息、将公共场所收集的个人身份识别信息用于非公安安全之目的、向境外提供个人信息，均应当单独取得客户的同意。“单独同意”不是一揽子授权，更不是强制同意，可通过弹窗、提供单独的勾选框等方式在网站或APP中向用户告知，并获取客户同意。

（六）强化网络安全防护

金融机构相关部门应构建云环境、分布式架构下的技术安全防护体系，加强互联网资产管理，完善纵深防御体系，做好网络安全边界延展的安全控制；加强金融生态安全防护，强化与外部合作的网络安全风险监测与隔离；建立开放平台安全管理规范，提高业务逻辑安全管理能力；建立新技术引入安全风险评估机制，强化技术风险管理，实施开源软件全生命周期安全管理；建设安全运营中心，充分利用态势感知、威胁情报、大数据等手段，持续提高网络安全风险监测、预警和应急处置能力，加强行业内外部协同联动。

（七）加强数据安全和隐私保护

金融机构相关部门应完善数据安全管理体系，建立数据分级分类管理制度，明确保护策略，落实技术和管理措施；强化对数据的安全访问控制，建立数据全生命周期的安全闭环管理机制；加强第三方数据合作安全评估，交由第三方处理数据的，应依据“最小、必要”原则进行脱敏处理，严密监督第三方信息安全职责履行情况，对出现违规处理个人信息行为的第三方机构及时终止合作并严格追究违约责任；关注外部数据源合规风险，明确数据权属关系，加强数据安全技术保护；加强对外发布信息安全管理，严防信息泄露。

（八）强化客户宣传引导

金融机构相关部门应采取多种宣传方式加大对客户的风险提示和宣传引导力度，强化金融消费者权益保护宣传，增强客户个人信息保护观念，提高风险防范意识。提示客户妥善保管账户信息与个人信息，对不明链接、不明短信不要随意点击，要注意销毁带有个人信息的单据和资料，防止因随意丢弃、使用不当等造成个人信息泄露，造成财产损失。