在消費者與金融機構聯系日益密切的當下,隨之而來的權益侵害亂象也時有發(fā)生。8月10日,北京商報記者從多家銀行、理財公司處獲悉,銀保監(jiān)會近日下發(fā)《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》(以下簡稱《通知》),嚴打金融機構侵害個人信息權益亂象!锻ㄖ放兜慕鹑跈C構侵害個人信息權益亂象主要有利用“有獎問答”等行為收集個人信息、虛構業(yè)務背景查詢消費者信息等多種。分析人士指出,此次《通知》意在督促金融機構自查自糾,給了部分機構整改的“緩沖期”,預計后續(xù),監(jiān)管將就個人信息保護工作中存在的侵害消費者權益行為進一步加大督查與處罰力度。
不得利用“有獎問答”等行為收集個人信息
過度收集個人信息、強制要求消費者同意使用信息等行為將受到嚴打。在信息收集方面,《通知》披露的侵害個人信息權益亂象主要有,在未取得消費者同意的情況下,利用移動互聯網應用程序(App)獲取手機通訊錄、監(jiān)測輸入內容、監(jiān)聽語音收集消費者個人信息;未在官網、App主動披露隱私政策;通過非法途徑盜取或購買消費者個人信息等。
另外,超出業(yè)務辦理所必需的范圍收集個人信息的行為也被“點名”。如通過格式化合同、業(yè)務申請表向消費者收集非辦理業(yè)務或提供服務所必需的個人信息;利用有獎問答、贈送禮物等方式誘導消費者提供與本人業(yè)務或服務無關的個人信息;App收集超出《常見類型移動互聯網應用程序必要個人信息范圍規(guī)定》限定范圍的個人信息;要求授權使用的時限超出必要范圍等。
此外,強制要求同意使用信息、要求給予不合理的授權也成為侵害個人信息權益亂象的“重災區(qū)”。具體案例包括:在格式化的合同、業(yè)務申請表、App隱私政策中加入無法選擇的不合理授權條款,強制消費者同意將其信息用于與所辦理業(yè)務無關的用途(如同意用于營銷推介、同意向外部機構或個人提供等),否則無法正常辦理業(yè)務、使用服務或功能。消費者提交業(yè)務申請時,規(guī)定無論業(yè)務是否通過審批,機構均可獲得授權繼續(xù)使用消費者申請業(yè)務時提供的個人信息等。
不得虛構業(yè)務背景查詢消費者信息
數字經濟時代下,一些金融機構為了牟利,隨意收集、違法獲取甚至非法買賣個人信息,不少消費者深受其害,《通知》的出臺也可謂是正當其時。
在個人信息存儲傳輸以及個人信息查詢方面,《通知》也披露了多條侵害個人信息權益的亂象。主要包括機構人員超職權范圍將未經加密、脫敏的消費者個人敏感信息下載、存儲至個人辦公計算機、移動硬盤或U盤等具有存儲功能的終端或介質;機構人員使用謄抄、拍屏、掃描文字識別等方式私自記錄消費者個人信息數據;機構人員濫用職權或利用管理漏洞篡改消費者個人信息數據等。
還有部分銀行賬戶信息查詢業(yè)務操作不規(guī)范,存在未按規(guī)定留存查詢授權材料、未經消費者同意私自查詢、虛構理由和業(yè)務背景查詢信息等問題;保險公司未對查詢權限嚴格限制,導致不具備權限的員工可以查詢完整的保單號、投保人和被保險人證件號碼、聯系電話、聯系地址等未經脫敏處理的個人信息等侵害個人信息權益的情形。
易觀分析金融行業(yè)高級分析師蘇筱芮表示,此次《通知》對銀行保險等金融機構侵害個人信息權益亂象作出了高度提煉與總結,一方面有助于歸納合規(guī)重點,另一方面也方便機構進行對標,在整改工作中有的放矢。
蘇筱芮進一步指出,近年來,個人信息保護工作持續(xù)深化、有序推進,金融機構的合規(guī)意識、合規(guī)技術水平等均有所提升,但在實際情況中,依然存在一些“頑疾”,這既需要通過機構自身對信息保護工作開展全面而系統(tǒng)的梳理,也需要外部不斷加大監(jiān)管力度。
處罰力度將進一步加大
當前,個人信息收集已成為銀行違規(guī)的高發(fā)地帶,近年以來,有多家銀行被點名通報,主要存在的問題為“違規(guī)收集個人信息”“App強制、頻繁、過度索取權限”等,除了違規(guī)收集個人信息之外,有部分銀行還存在強制用戶使用定向推送功能;超范圍收集個人信息;App強制、頻繁、過度索取權限等情況。
根據《通知》內容,銀保監(jiān)會要求,2022年8-9月,各銀保監(jiān)局應組織轄內銀行保險機構(含保險專業(yè)中介機構)認真開展對照自查,并在自查基礎上及時完成整改。2022年9-11月,各銀保監(jiān)局在機構自查基礎上開展監(jiān)管抽查。抽查對象和抽查數量由各銀保監(jiān)局根據轄區(qū)情況自行決定,應突出重點機構和重點業(yè)務。2022年12月2日前,各銀保監(jiān)局應向銀保監(jiān)會消費者權益保護局報送銀行保險機構侵害人信息權益亂象專項整治工作報告。
博通咨詢金融行業(yè)資深分析師王蓬博在接受北京商報記者采訪時指出,金融行業(yè)近年來已經經歷過多輪這樣的整頓,在消費者信息安全方面特別是App個人信息收集方面有了長足的改善,但仍然存在多收集和亂收集個人信息,未脫敏即傳輸和使用個人信息等多種問題,所以《通知》要求開展整頓措施,從具體文件來看監(jiān)管設定了時間限制要形成報告,相信會在短時間內取得積極成效。
當下個人信息保護越來越受到監(jiān)管重視,2021年11月1日起,《個人信息保護法》正式施行,法規(guī)明確收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。違反該法規(guī)定處理個人信息者,將由相關部門責令改正給予警告,并沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務。
正如蘇筱芮所言,此次《通知》意在督促金融機構自查自糾,給到了部分機構以整改的“緩沖期”,預計后續(xù),監(jiān)管將就個人信息保護工作中存在的侵害消費者權益行為進一步加大督查與處罰力度,金融機構不能夠掉以輕心。
北京商報記者 宋亦桐
最新評論