切磋琢磨成宝器——个人金融信息保护的合规要点解读(下)
切磋琢磨成宝器——个人金融信息保护的合规要点解读(下)
在上篇《既遵道而得路个人金融信息保护的合规要点解读(上)》中,我们结合《个人信息保护法》(“个保法”)、《金融消费者权益保护实施办法》(“金融消保实施办法”)及《个人金融信息保护技术规范》(“个金技术规范”)等相关规定,为金融业机构梳理了个人金融信息的定义及范围、分类分级规则,并为如何展开个人金融信息的全流程的生命周期保护提供了合规建议。
在金融数字化不断驱动行业转型的趋势下,如何确保金融业机构在对个人金融信息进行共享利用、价值挖掘的同时,能够将相关生命周期保护的合规要求有针对性地落地,还需要深入金融业机构展业运营的各业务场景当中。为此,我们在下篇中选取了金融业机构日常业务开展中的外部合作管理、跨境传输、App运维、营销宣传及自动化推广等四个涉及个人金融信息处理的重要业务场景,梳理了各场景下的核心合规义务,以及更具可操作性的建议,以供金融业机构参考。
一、个人金融信息外部合作管理
金融业机构与外部机构合作开展个人金融信息处理活动已然成为业内常态,合作内容通常涉及以下两个环节:一是在收集端,即通过数据提供商、互联网平台等外部渠道间接收集个人金融信息;二是使用端,主要是对已收集的信息委托外部机构进行分析、加工等处理活动,或向其他关联和非关联合作方共享以合作开展相关业务。
就收集端而言,金融业机构需要重点对第三方个人信息来源的合法性进行审核,形成规范性审核流程,并且应要求外部合作机构确保其将个人信息提供给金融业机构的情形已经明确为个人信息主体所知晓并同意。如果相关收集行为是为了对相关用户信用状况进行判断,涉及从事个人征信业务,金融业机构还必须核实该个人金融信息提供方是否为个人征信持牌机构。[1]此外,在外部机构主要通过爬虫技术获取信息的情形下,金融业机构需要注意核实信息来源是否确为公开网站等渠道、是否为个人信息主体同意并主动公开,例如爬取用户通讯录中第三人联系信息的行为,就往往因缺乏相应信息主体的同意,不具有合法性基础。
就使用端而言,根据个金技术规范的要求,金融业机构在其个人金融信息保护制度体系的管理范畴中,除了本机构,还应涵盖相关外包服务机构与外部合作机构,确保相关制度传达至外部合作方,并且在委托处理或与外部机构共享前对上述机构进行审查评估。在此基础之上,金融业机构在就个人金融信息开展外部合作时还应当特别注意以下合规义务:
• 妥善签署合作协议,协议应明确双方个人金融信息保护责任、保密义务、监督、处罚、合同终止和突发情况下的应急处置,并要求外部机构不留存C2、C3级信息;如因业务需要(清分清算、差错处理)确需留存的C2级信息(如支付账号),应明确合作方保密义务与保密责任,并落实相应的安全控制措施、将有关资料留档备查;
• 访问权限与控制:对于可能访问个人金融信息的外部机构及其人员,应要求外部机构同时向有关人员传达个人金融信息保护安全要求,并与其签署保密协议、对协议履行情况进行监督;
• 数据库的运维主体:除委托外包服务机构处理个人金融信息的情形之外,对于其他外部合作机构,不应将存储个人金融信息的数据库交由其运维;
• 监督与检查:定期以信息安全评估、现场检查等方式对外部机构个人金融信息保护措施落实情况进行确认;
• 数据分析中的信息脱敏:开展数据分析等方面的合作时,应确保使用的是脱敏后的个人金融信息;
• 合作方为互联网平台企业时的特殊义务:如外部机构为互联网平台企业,则未经个人授权同意,应要求其不得跨平台传递个人金融信息。
另外,当出现个人金融信息泄露事件时,如果还因此产生了一定经济损失或社会影响,金融业机构还应及时委托外部的安全评估机构,重新进行相关安全评估与检查活动,同时将相关结果报送行业主管部门。
二、个人金融信息跨境传输
在跨国金融业机构进行用户研究,或境内外金融机构在处理跨境支付、对外联络等业务场景时,通常会产生个人信息跨境传输的需求。需要注意的是,个金技术规范确立了个人金融信息本地化存储原则下的跨境传输制度。[2]如因业务需要,金融业机构确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息时,需满足以下要求:
• 符合国家法律法规及行业主管部门有关规定;
• 获得个人金融信息主体明示同意;
• 依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;
• 与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。
• 值得注意的是,就上述的“信息出境安全评估”义务,结合《数据出境安全评估办法(征求意见稿)》,可能存在以下几种触发情形:(i)金融业机构被认定为关键信息基础设施运营者(“CIIO”)[3],(ii)出境数据中含有重要数据;(iii)金融业机构处理的个人信息达到100万人,或(iv)金融业机构累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息。就上述的与境外机构签订的数据传输协议,《个保法》《数据出境安全评估办法(征求意见稿)》里也提出了同样要求。2022年6月30日,网信办发布了《个人信息出境标准合同规定(征求意见稿)》,该征求意见稿中公布了《个人信息出境标准合同》,其对个人信息出境的适用范围、备案要求、需重新签订标准合同的情形等做出了明确与规定。
除上述要求外,如果境外司法或执法机构为跨境调查取证,而请求调取存储在中国境内的个人金融信息的,金融业机构还必须确保在获得境内相关主管机关的批准后方可响应该等请求、对境外提供个人金融信息。需要特别注意的是,数据出境安全评估结果的有效期为二年,有效期届满或在一些情形下,数据处理者需要重新申报评估。目前,《数据出境安全评估办法》尚未落地,负责评估的机构、标准合同的架构及条款、既存已出境数据是否须补报等实践问题仍待在未来立法和执法中进一步确定。
三、金融类App运维中的个人金融信息收集
在金融产品数字化背景下,App成为当下金融业机构采集用户个人金融信息的主要工具,但同时也是个人信息处理违法违规的重灾区。根据我们的统计,在网信部门及工信部门自2019年以来的App治理通报中,已经有300余款金融类App被监管部门通报或下架处理,其中,隐私政策提示及收集使用规则公开问题,以及违规或超范围收集问题,各占到通报比例的30%以上。此外,第三方SDK披露问题也日趋成为通报重点,并已占到通报比例的25%。由此可见,个人金融信息收集是当前金融类App监管执法的重点领域。我们在此列出以下App收集端须遵循的合规义务要点以供参考:
• 严守最小必要原则,要求用户必须提供的个人信息,不得超过必要个人信息范围,同时避免收集超出业务实际需要、与业务无关的个人信息。金融业机构可参考《常见类型移动互联网应用程序必要个人信息范围规定》对于网络支付、网络借贷、手机银行、投资理财类App的要求,来确定自身的必要个人信息范围;
• 在通过弹窗、明显位置的URL链接等方式收集信息时,需要引导用户查阅隐私政策,并在获得其明示同意后,方可开展有关个人金融信息的收集活动;
• 在隐私政策等公示文本中,必须逐项列明信息收集和共享的内容、目的及范围,以及所嵌入的SDK等第三方共享对象;
• 当用户明确表示不同意收集某项非业务必要的个人信息后,避免继续频繁地征求用户同意、干扰用户正常使用;
• 使用人脸、指纹等个人生物识别信息作为用户登录的验证方式时,应通过弹窗、即时提示等方式征得用户的单独同意,并避免将生物识别作为唯一的验证方式。
四、金融营销宣传及自动化推广
金融产品和服务的营销宣传在当下是金融业机构引流变现的重要渠道。在个保法及金融消保实施办法等监管要求下,金融业机构在进行营销宣传活动时还应确保遵守如下合规义务:
• 收集个人金融信息用于营销宣传、用户体验改进、市场调查等目的时,需要确保通过适当方式供用户自主选择是否同意将自身的个人金融信息用于以上目的,如果用户不同意,金融业机构也不得因此拒绝提供相关产品或服务;
• 向用户通过电话呼叫、信息群发、网络推送发送营销信息时,金融业机构应当同时提供拒绝继续接收或退订的选择,避免短时间内对相同用户的重复呼叫、短信和高频推送;
• 在根据用户兴趣爱好、消费习惯等开展个性化精准营销时,金融业机构应当同时提供不针对用户个人特征推送的选项,或是界面关闭按钮等便捷的拒绝方式;
• 通过书面合作协议约定及采取相应的技术安全措施等方式,防止互联网平台等外部合作机构利用痕迹数据对用户个人开展未经授权的金融营销活动。
五、结语
在网络安全与数据保护方面,金融作为重点行业在相关制度配套方面走在了前列,既有的标准、规范已对金融数据合规提出了诸多要求,但金融业机构的金融数据合规应当乘上“三驾马车”,在对数据合规的全局性理解下,全面而具有针对性地从重难点问题入手,展开主动合规工作。本金融数据合规系列文章以金融数据分类分级和个人金融信息保护为基础议题,在搭建好金融数据的分类分级框架,梳理了对金融数据进行全生命周期保护与个人金融信息保护的合规要点后,至此暂告一段落,我们会持续关注重点行业领域的数据合规问题,以期为企业提供具有前瞻性和可操性的合规建议。
[注]