日前,为进一步规范数据处理活动,加强个人信息保护等,充分发挥监管的“指挥棒”作用,国家金融监管总局起草了《银行保险机构数据安全管理办法(征求意见稿)》(下称《办法》)。
柒财经注意到,近年来,随着金融行业科技的进步和数字化转型升级,金融机构尤其是保险行业数据安全问题不容忽视,滥用技术过度收集个人信息的情况并不少见,因数据管理存在疏漏和导致用户信息泄露的事件也时有发生。
业内个人信息等数据安全问题并不鲜见
前不久,澎湃新闻刊发了一则调查报道《人保一分公司陷“偷拍门”:被指偷拍客户手机窃信息,警方已立案》。
报道显示,河北省石家庄市的姚先生通过中国人民财产保险股份有限公司石家庄市分公司办理了一份河北银行的助贷后,他手机通讯录里的所有联系人、部分通话记录、微信好友及聊天记录等,全部被偷拍并存储于中国人保财险的百度网盘里。
人保财险在掌握了他的这些信息后,在他的贷款未逾期时就进行催收。他手机里的朋友、亲戚、同事、甚至村干部都接到了催收电话,母亲也因此脑梗住院,这给他带来很大痛苦。
而姚先生获得的证据显示,人保财险拍摄存储的这类信息不只是他一个人的,而是2018年-2023年在人保财险石家庄分公司办理助贷业务的大批人员。
这一问题并不是个例。去年6月15日,据国家金融金融监督管理总局发布一季度银行业保险业消费投诉情况通报,监管部门一共接受保险消费投诉2.62万件。
3月25日,柒财经在消费者服务平台黑猫投诉上输入“保险”二字,共有20.01万条投诉,投诉内容多涉及“诱导投保”“拒绝理赔”“个人信息泄露致过度催收”等。
柒财经注意到,涉及到理赔和退保等问题的,多是消费者与保险公司信息不对称导致。而“诱导投保”和“个人信息泄露”等则涉及到保险公司内控管理及用户的数据安全问题。
近年来,因数据安全问题等被罚的保险公司并不鲜见。3月13日,据国家金融监督管理总局大庆监管分局公布的行政处罚信息,因“未与保险人对投保信息保密及合理使用进行依法约定”等,昆仑保险经纪股份有限公司黑龙江分公司被警告并罚款1万元。
去年,上海市静安区人民法院公布的一起刑事判决书显示,某保险公司多位员工利用客服人员的职务便利查询客户信息,并售卖给他人赚取利益。从中非法获利超26万元,最终被判处有期徒刑一至三年,并处以罚款。
2022年6月,宁夏银保监局针对国寿财险和太平洋财产保险的3位员工做出了禁止进入保险业五年的行政处罚。值得一提的是,这三位员工均存在违反法律规定侵犯公民个人信息的行为。
同年,柒财经曾发文,在黑猫投诉平台上,有很多用户质疑泰康人寿侵害了自己权益、个人信息遭到泄露。有用户表示,在自己没有投保的情况下,“突然收到泰康人寿短信,说飞铁保Plus领取成功,还有链接和保单号,证明我的信息被泄露了。”
还有用户称,“有泰康工作人员电话通知有飞铁保产品时,自己表明拒绝办理,但仍会收到链接短信,几分钟后又收到标有保单号的办理成功短信。”
上述《办法》中提到,银行保险机构应当对数据安全威胁进行有效监测,实施监督检查,主动评估风险,防止数据篡改、破坏、泄露、非法利用等安全事件发生。
具体到监测的内容包括:超范围授权或者使用系统特权账号;内部人员异常访问、使用数据;对数据集中共享的系统或者平台的网络安全、数据安全威胁;敏感级及以上数据在不同区域的异常流动;移动存储介质的异常使用;外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改;客户有关数据安全的投诉;数据泄露、仿冒欺诈等负面舆情等情况。
监管要求金融机构处理个人信息先经过授权
实际上,早在2020年,央行发布的《个人金融信息保护技术规范》中,就明确了对个人金融信息安全防护的相关要求。
2021年,《数据安全法》《个人信息保护法》等上位法相继发布;同年5月,国家网信办等四部委联合制定的《常见类型移动互联网应用程序必要个人信息范国规定》正式实施,提出App不得强制收集非必要个人信息。
此外,央行在《金融科技发展规划(2022-2025)》中也提到,要做好数据安全保护,建立健全数据全生命周期安全管理长效机制和防护措施,落实数据安全合规要求。
前述《办法》更是在以上法规的基础上,进一步通过强化政策要求引导银行保险机构压实主体责任。
另外,一直以来,金融类App、小程序等都是不规范使用用户隐私信息的“重灾区”,而这些行为多涉及违规收集个人信息、App强制、频繁、过度索取权限;未明示个人信息处理规则等。
前几日,据“网信天津”公众号,《天津农商银行》(版本6.5.0,应用宝)及《捷信金融》(版本34.46.0,应用宝)均因嫌隐私不合规被通报。
更早之前,山西银行、珠海农商行、广东揭阳农商行在内的多家银行旗下App或小程序因违规收集个人信息被通报。
2022年2月21日,工信部通报的2022年第一批侵害用户权益的APP名单,泰康保险旗下泰康医生APP位列其中。所涉问题为APP强制、频繁、过度索取权限。随后,泰康回应尽快整改完成。
《办法》中第六章“个人信息保护”中明确,银行保机构处理个人信息应当按照“明确告知、授权同意”的原则实施,法律、行政法规另有规定的除外,并在信息系统中实现相关功能控制;银行保险机构处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,收集个人信息应当限于实现金融业务处理目的的最小范围,不得过度收集个人信息。不得利用所收集的个人信息从事违法违规活动。
处罚方面,《办法》明确,银行业金融机构违反本办法要求的,国家金融监督管理总局或者其派出机构可以依据《中华人民共和国银行业监督管理法》相关规定,责令银行机构改正,并处以二十万以上五十万以下罚款;情节特别严重或者逾期不改正的,可以责令停业整顿或者吊销其经营许可证。根据违规情况,可以责令银行业金融机构对直接负责的董事、高级管理人员和其他直接责任人员给予纪律处分;银行业金融机构的行为尚不构成犯罪的,对直接负责的董事、高级管理人员和其他直接责任人员给予警告,处五万元以上五十万元以下罚款;取消直接负责的董事、高级管理人员一定期限直至终身的任职资格,禁止直接负责的董事、高级管理人员和其他直接责任人员一定期限直至终身从事银行业工作。构成犯罪的,依法追究刑事责任。
保险机构违反本办法要求的,国家金融监督管理总局或者其派出机构可以依据《中华人民共和国保险法》相关规定,责令保险机构改正,处五万元以上三十万元以下的罚款;情节严重的,限制其业务范围、责令停止接受新业务或者吊销业务许可证。根据违规情况,对其直接负责的主管人员和其他直接责任人员给予警告,并处一万元以上十万元以下的罚款;情节严重的,撤销任职资格。构成犯罪的,依法追究刑事责任。
业内人士认为,《办法》的出台有利于充分发挥监管的“指挥棒”作用,确保客户信息和金融交易数据安全。而加强金融数据合规治理,也是促进金融安全发展和高质量发展的重要保障。
