【实务研究】商业银行个人信息保律风险与应对策略探析

　　近年来，个人信息非法获取、泄漏和滥用事故高发，保障个人敏感信息成为大众关心的现实问题。2021年11月，《个人信息保》的施行，给个人信息保护工作带来了更为有力的法律武器。商业银行属于信息密集型企业，如何依法维护好个人信息数据安全，是其必须面对的重要课题。

　　过去，在社会观念、经济环境、科技应用等诸多原因限制下，我国对个人信息保护没有给予足够重视，有关法律规定分散于《消费者权益保》《刑法》等一系列法律、司法解释和技术标准，从不同层面规范个人信息保护制度。2016年以后，随着国家对个人信息保护力度的加大，相关法律规范相继颁布实施，为不同领域个人信息保护工作提供了系统全面的法律依据。

　　2016年11月，《网络安全法》颁布，首次立法界定了个人信息并集中规范对侵害个人信息行为的惩处措施。2017年10月，《民法总则》施行，从民法层次确认个人信息权利受到法律保障，规范个人信息保护的基本行为，为制订个人信息保护单行法奠定了立法基础。2018年8月，历时六年的《电子商务法》颁布，其个人信息保护规定较《网络安全法》更为细分。2021年1月施行的《民法典》进一步对个人信息法定地位、保护原则和信息处理者法定义务进行规范。2021年11月《个人信息保》出台，成为中国首部专门的个人信息保律，全面规制个人信息权利、处理规则、处理者义务和法律责任，有效改善了原有法条分散、标准不齐的立法状况。

　　金融监管关于个人信息保护的管理规范，可以追溯至2006年中国人民银行反洗钱领域出台的个人信息保护相关制度。近年来，《金融消费者权益保护实施办法》《个人金融信息保护技术规范》《个人金融信息（数据）保护试行办法》等金融信息监管规定、国家标准相继发布，对金融机构处理个人信息的合规性提出更为具体的要求。其中，2020年2月中国人民银行发布的《个人金融信息保护技术规范》，密切结合监管实践，系统规范个人金融信息全生命周期的安全防护，为金融机构建立个人金融信息保护体系提供了专业指南。

　　综上所述，当前我国在个人信息保护方面已逐步建立基本法与专门法并存、部门规章和行业规范相结合的全方位立法体系。其中，《个人信息保》创制的《宪法》背景将个人信息保护提升到公民基本权利的最高层次，充分体现了国家尊重和保障的决心，对数字时代个人信息保护将起到重要的促进作用。

　　个人信息权益涉及人身、财产和隐私等多重基本权利，《个人信息保》以此规定公开、透明、合法、正当、必要和诚信为个人信息保护的基本原则，并确立以“告知同意”为核心内容的多项个人信息处理规则，维护个人知情权和决定权等信息权利，强调信息处理者的责任，进一步完善个人信息保护工作机制。《个人信息保》重点制定如下合规要求：

　　其一，明确定义敏感个人信息及其处理规则。《个人信息保》明文规定，敏感个人信息处理必须符合“特定目的性”“充分必要性”以及“采取严格保护措施”三项条件，须在事前评估影响且向个人告知可能产生的不利影响，并取得个人单独同意或者书面同意。

　　其二，明确个人所享有的信息控制权利。《个人信息保》更注重对个利的实质性保障，赋予个人知情决定、撤回许可、查询复制、转移携带、修改补充、申请删除、代为行使、获得救济和请求解释等多项信息权利，规定信息处理者必须准确完整地向个人告知行使方式和流程，为个人行使权利提供便捷的受理处理机制，保障个人自主维护合法权益。

　　其三，界定信息处理者的法定义务。《个人信息保》坚持“合法、正当、必要”原则，遵守“最小影响、最小范围、最短时间”规则，规范个人信息处理的原则、义务和责任。信息处理者必须公开个人信息处理规则，以明示处理目的、方式和收集范围以及对个益的影响。在目的性上，应当明确、合理和直接相关，体现“合法性、正当性”原则。在影响程度和范围上，应当选择对个益影响最小的方式和达成处理目的的最小范围，不得过度收集个人信息。《个人信息保》明确个人信息质量应以防止对个益产生不利影响为合规标准。如果个人信息不准确、不完整对个益产生不良影响，或者未采取必要措施维护信息安全的，信息处理者应承担相应责任。

　　《个人信息保》参考欧盟立法经验，确立域外管辖权，如果涉及向中国境内自然人提供产品或服务，或者涉及分析和评价中国境内自然人的行为，则即使该信息处理者为境外主体或信息处理活动发生在境外，仍须受到本法规制。

　　根据《刑法》《个人信息保》等法律规定，侵害个人信息权益的违法行为需视情形承担相应的民事责任、行政责任和刑事责任。商业银行收集处理的个人金融信息归属敏感个人信息，如果泄露可能直接危害个人身心健康和财产权益，商业银行将会依法承担法律责任，甚至可能形成系统性风险。

　　民事责任。为破解大数据时代个人信息权益维护难题，《个人信息保》实行过错推定和公益诉讼制度，商业银行在承担民事责任时可能面临过错推定风险和公益诉讼风险。

　　一是过错推定风险。作为数据收集、存储和使用的主体，信息处理者是数据价值的最大受益者，应承担与其地位和受益相当的责任。《个人信息保》明确适用过错推定原则，确定信息处理者必须承担侵权举证责任，通过转移举证责任实现对个人信息的保护。需要注意的是，多个信息处理者协同处理个人信息损害个益的，相互承担连带责任，不受双方约定的影响。因此，商业银行必须全面记载其个人信息处理活动并妥善留存相关记录，实现有据可查以满足举证责任。

　　二是公益诉讼被诉风险。在互联网大数据环境下，侵犯个人信息案件存在取证难、认定难、赔偿难等难点。《个人信息保》进一步健全司法救济机制，赋予检察院、依法成立的消费者组织以及国家网信主管部门认定的组织向法院进行公益诉讼的权力，有效解决个人信息侵权案件波及范围广、个体举证难等问题。

　　行政责任。《个人信息保》实施后，针对违法严重程度，严格划分法律责任，梯次设置行政处罚，大幅提高处罚力度，增强监管执法震慑。对尚未造成严重后果的轻微或一般违法行为，可由执法部门责令改正，给予警告、没收违法所得以及责令暂停或者终止提供服务，对拒不改正的可处最高一百万元罚款；对情节严重的违法行为，可处最高五千万元或上一年度营业额百分之五的罚款（二者择其高），除行政罚款之外，还可责令暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照；并对相关责任人员判处最高100万元罚款或予禁业限制，记入信用档案。

　　刑事责任。在当前信息产业“刑法先行”的治理背景下，厘清《个人信息保》与刑法的衔接问题，对于商业银行防范刑事风险具有重要意义。2017年5月《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)发布，确认公民个人信息保护的“国家有关规定”包括法律、行政法规和部门规章，《个人信息保》依此属于“国家有关规定”的类型，违反《个人信息保》处理个人信息的将可能被追究刑事责任。

　　近年来，侵犯公民个人信息犯罪行为持续高发，形成从非法收集窃取、出售提供到交易交换等环节完整的利益链条，交易数据涵盖用户账号、密码、网银等鉴别信息以及手机号码、兴趣爱好等隐私信息，其中银行员工往往成为个人金融信息贩卖的重要源头。因此，银行或其工作人员非法获取、出售或提供个人信息达到上述标准，将构成犯罪并承担刑事责任，并将严重损害银行声誉。

　　《个人信息保》将个人信息保护从一般性监管要求上升到强制性法律规定，信息处理者是个人信息保护的首要责任人，应当对其信息处理活动担责，并采取业务、技术等必要措施保障信息安全。这给日常收集处理海量敏感个人信息的商业银行带来更严苛的合规挑战。银行应更加严格遵守个人信息保护的法律规定，谨慎、合理、合法收集和使用个人信息，周密防范法律风险。

　　建立全生命周期个人信息保护制度，纳入商业银行合规管理体系。在部门设置和内控管理层面，《个人信息保》明确规定信息处理者制定内部管理制度和操作规程。商业银行应对标梳理业务条线涉及的个人信息处理活动，按照个人信息保护相关法律法规、标准指南的要求，对既有个人信息保护制度与操作进行合规性评估，从部门设置、制度修订、流程优化、人员培训、审计追踪等方面提出针对性整改规划，系统建立全面覆盖个人金融信息处理全流程的内控制度和操作规程体系。

　　在部门设置和职能设定方面，银行应设立首席数据信息官履行信息保护管理职责，明确牵头部门和业务部门的职能分配。在员工管理方面，应强化信息法规培训，牢固树立责任意识,严格落实奖惩。在职位设置上，清晰界定操作分工，合理确定操作权限，实时监控风险预警，对异常查询下载、传播提供客户信息侵害客户权益的，应予追责并承担法律后果。在合规审计上，建立个人信息全生命周期合规审计制度，开展定期专项审计或纳入外部审计，依据法律法规识别风险隐患，从技术、业务、管理等方面追踪问责。为防范、补救和处理信息风险事件，制订必要的应急预案并开展模拟演练，建立针对信息处理活动、保护措施及其风险事件的报告制度。

　　修订完善隐私政策，明示客户信息处理规则。长期以来，商业银行主要通过隐私协议、个人信息保护政策等文件向客户明示个人信息处理规则。银行已习惯于将隐私政策作为可预先制订且不需与客户商议的格式条款，以致银行App隐私协议存在不当免责条款现象较为普遍。《个人信息保》生效后，银行应及时更新完善业务条线面向客户的各类协议章程所包含的隐私政策文本，显著标识限制或者免除责任等客户权益重大关系条款，明示信息处理规则，并取得个人客户授权。

　　充分告知并取得个人主体单独同意。告知同意原则是个人信息保护立法的核心原则。银行在取得客户单独同意时，应全面履行充分告知义务，安排专门人员进行咨询服务，明确提示隐私协议条款设置及其内容，引导客户完整阅读并应其要求予以正确解释，待客户明示没有疑义后再行勾选相应约定内容，保证客户充分知情及自愿做出同意的表示与行为，以充分维护客户的知情权与选择权。客户通过线上渠道办理业务前，应明确告知其信息获取范围，并经客户明示同意后开始收集。若线上渠道通过Cookie等同类技术或者嵌入第三方代码及插件收集个人信息，需明示用户并取得同意。

　　《个人金融信息保护技术规范》明确指出App默认勾选隐私政策或者注册即代表同意隐私政策的授权方式都不合规，弹窗式一揽子授权方式也需要相应调整。如果银行制订冗长晦涩的隐私政策或是以密集排版等方式集中展示，也不符合充分告知要求，构成对个人信息知情权和决定权的实质侵害。概而言之，告知同意是个人信息权益的核心与底线。银行应建立健全告知同意合规制度，寻找隐私保护与商业利用的平衡。

　　禁止过度处理个人信息。商业银行在采集信息时，应明确告知客户收集的目的和范围，客户授权范围应与金融产品和服务相匹配，严格控制收集信息的范围，保证收集信息的维度与内容合规，不应要求收集和业务功能无关的隐私数据。商业银行应统筹结合《App违法违规收集使用个人信息行为认定方法》等规定规范，重点关注用户告知同意、App申请权限正当性、收集信息最小必要原则、用户权利实现机制以及敏感个人信息处理的特殊要求等方面，开展App必要个人信息收集合规梳理与自查自纠，规避违规收集个人信息的法律风险。

　　个人信息分类分级保护。《个人信息保》规定对敏感个人信息采取严格的分类保护措施。商业银行遵循《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》等行业标准，实施个人金融信息分类分级保护，有利于规范数据处理活动，降低数据破坏损害，提高信息安全水平。必须说明的是，个人金融信息类别应当结合业务场景动态识别，并尽可能与金融数据资产分级相衔接。

　　特别值得注意的是，银行基于敏感个人信息处理后得到的衍生信息，仍归属敏感个人信息。但是，衍生信息经匿名化处理后已无法重识别或还原为具体的自然人信息，即不再属于《个人信息保》所定义的个人信息，而是转化为商业银行可自主运用的数据资产。商业银行应综合参考技术规范，确保脱敏处理的充分性，降低个人信息泄露风险。

　　建立便捷的个人信息权利的申请受理和处理机制。《个人信息保》规定，信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。商业银行应当积极保障个人行使信息权利，在实施过程中，应着重关注以下个利的申请受理和处理情况：

　　一是个人撤回同意。个人信息收集入库后，银行将会应用到不同业务条线系统。一旦客户撤回同意，银行应立即向关联平台同步发送停止处理指令，并及时删除储存的个人信息。建议银行优化信息处理流程，在获得个人信息后同步匿名化存储，用户撤回同意时仅需删除非匿名化数据，并在共享、转让环节设置撤回同意联动机制或者约定撤回同意联动处置条款，提高处置效率。

　　二是个人申请查询更正删除信息的。银行应设置合理的查询途径，及时响应并提供个人信息，说明个人信息的合法来源，并便利个人查阅、复制。银行还应提供便捷的个人信息更正、删除的选项和方式。为降低信息处理成本和数据库运维成本，按照《个人金融信息保护技术规范》信息删除相关规定，银行处理个人删除请求，可仅去除金融产品和服务所涉及的业务系统中的个人金融信息，使其不可被检索和访问，在新业务触发用户授权时再从数据库调用。

　　加强对外合作信息安全管理。银行对外业务合作过程中涉及个人信息的转移和共享较为普遍，银行应高度关注个人金融信息在外部第三方之间的流转，需要在合作协议以及操作流程中厘清信息边界和责任义务，共同落实个人信息保护的相关法律规定，避免来自外部的风险传递。

　　首先，银行对外提供个人信息，应恪守最小必要原则并进行脱敏处理，避免提供原始数据。《个人金融信息保护技术规范》严格规制信息共享与委托处理。一是特定类别的个人金融信息不应共享和转让。二是共享和转让环节，对支付账号及其等效信息进行脱敏，并每年至少评估一次支付信息安全。三是委托处理环节，银行应建立外包服务机构与外部合作机构管理制度。

　　其次，全面核查合作方从业资质，系统评估和持续监测其信息保护能力。从合作方获取个人信息应确认其来源合法，防止合作方违规引发银行声誉危机或法律风险,通过协议明确双方职责和保密义务及违约责任，并采取必要监督措施。再次，应用技术手段预防潜在风险，增强数据共享安全可信水平。银行应当深入核查清理，删除或停止接入存在隐秘收集或滥用个人信息以及存在信息安全隐患的第三方产品或服务；若必须接入的，应当向客户明确标识由第三方提供并详细披露第三方个人信息处理情况

　　严密数据跨境传输履行跨境程序。按照《个人信息保》规定，向境外提供个人信息，必须遵守必要的法定程序，包括向个人充分告知并取得单独同意、通过评估和专业保护认证、使用国家网信主管部门制定的标准合同等。《个人金融信息保护技术规范》要求所有金融业机构在中国境内收集和产生的个人金融信息都应在境内存储、处理和分析。银行与境外接收机构签署跨境传输协议，应明确约定接收方的保密、数据删除、案件协查等义务，在条件允许的情况下，还应当采取现场核查等方式，监督境外机构对其职责义务的履行情况。另外，金融机构向外国司法或执法机构提供信息的，须获得中国人民银行等主管机构的批准，不得擅自提供存储于境内的个人信息。当前，银行应密切关注《个人信息出境安全评估办法（征求意见稿）》立法进展，及时调整优化个人金融信息出境管理内控制度与操作规程，严格履行跨境合规义务，积极降低个人信息跨境风险。