关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知

《关于开展银行保险机构 侵害个人信息权益乱象专项整治工作的通知》 东亚银行（中国）因违反信用信息采集、提供、查询及相关管理规定被罚1674万元 8月9日，中国银保监会向各银保监局，各大型银行、股份制银行、外资银行、直销银行、理财公司，各保险集团（控股）公司、保险公司下发 《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》 （以下简称“通知”）。 《通知》指出，各机构要对照“银行保险机构侵害个人信息权益乱象主要表现形式”，全面摸排本机构与消费者个人信息处理活动相关的经营行为和管理情况，深入查找本机构个人信息保护方面存 在的问题，列出问题清单。并强调自查过程中要坚持立查立改，对短期 无法整改完成的问题，要建立整改台账，明确整改措施，逐项逐步推进。 目录 CONTENTS —七大侵害个人信息权益乱象行为 二三阶段整治时间安排 三三十项法律依据 Part ONE 七大侵害个人信息权益乱象行为 1.个人信息收集 2.个人信息存储和传输 3.个人信息查询 4.个人信息使用 5.个人信息提供 6.个人信息删除 7.第三方合作 1.个人信息收集 ②超出业务办理所必需的范围收集 ①未经同意收集个人信息 ③强制要求同意使用信息 未经同意通过App等获取手机通讯录、监测输入内容、监听语音； 未在官网、App主动披露隐私政策； 通过非法途径盗取或购买消费者个人信息等。 ④要求给予不合理的授权 在消费者提交业务申请时，规定无论业务是否通过审批，机构均可获得授权继续使用消费者申请业务时提供的个人信息等。 通过格式化合同、业务申请表向消费者收集非办理业务或提供服务所必需的个人信息； 利用有奖问答、赠送礼物等方式诱导消费者提供与本人业务或服务无关的个人信息； 将提供非办理业务必需的个人信息作为受理业务前提条件； App收集超出《常见类型移动互联网应用程序必要个人信息范围规定》（国信办秘字〔2021〕14号）； 要求授权使用的时限超出必要范围等。 ⑤要求概括授权 在格式化合同、App隐私政策等文本中故意模糊授权事项范围，取得消费者对个人信息使用“无明确目的、无明确期限”的概括授权等。 如在格式化的合同、业务申请表、App隐私政策中加入无法选择的不合理授权条款，强制消费者同意将其信息用于与所办理业务无关的用途（如同意用于营销推介、同意向外部机构或个人提供等），否则无法正常办理业务、使用服务或功能。 ⑥消费者信息审核不严谨 因对客户信息审核、把关不严谨等原因导致核心业务系统中留存的客户联系电话、通信地址、电子邮箱等信息不真实。 2.个人信息存储和传输 ② ③ ① 电子数据存储 纸质材料保存 通过不安全渠道传输个人信息 管理混乱 管理混乱未采取加密、脱敏等安全措施通过互联网邮箱、微 违反规定下载、存储、记录消费者 敏感个人信息 如机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质； 机构人员使用誊抄、拍屏、扫描文字识别等方式私自记录消费者个人信息数据 机构人员滥用职权或利用管理漏洞篡改消费者个人信息数据等。 未按照规定年限和规范要求保存、 管理包含消费者个人信息的纸质材料 如未保存纸质材料打印记录、未对打印材料添加识别水印； 营业场所纸质材料未按规定入柜加锁保管； 业务申请表、提示书、投保单、合同协议等包含个人信息的纸质业务材料未统一保管、统一编号并严格领用；已填写的业务材料由营销人员私自保存长期未上交等。 信发送消费者个人信息数据； ④ 使用不符合安全要求的商业网盘存储分享个人信息数据等。 因系统或操作原因导致信息外泄 因系统或操作原因在发送包含消费者个人信息的电子保单、红利通知书等资料或服务信息时导致消费者重要信息外泄。 ①查询权限管理混乱 业务系统账号权限设置与岗位职责不符，导致员工可跨业务、跨机构、跨层级、跨地区查询与本人管理业务无关的消费者个人信息； 员工之间共用账号、借用账号查询消费者个人信息； 离职员工账号未及时注销查询权限等。 ②查询业务操作不规范 银行账户信息查询业务操作不规范，存在未按规定留存查询授权材料、未经消费者同意私自查询、虚构理由和业务背景查询信息等问题； 保险公司未对查询权限严格限制，导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。 3.个人信息查询 4.个人信息使用 用于不当营销 私自收集或违规收集消费者信息和联系方式用于营销； 在消费者明确拒绝营销后仍继续营销； 规避销售系统向消费者营销产品等。 撤回同意后继续使用 在消费者明确表示收回对使用其个人信息的同意后，仍继续使用消费者个人信息。 用于不当催收 ① ② ④ ③ 如利用消费者填写工作单位等信息或利用大数据筛选，向与债务无关的第三方发送催收信息或进行电话催收； 在查询到的信息中筛选同一地区、姓名相近人员信息，拨打电话询问是否认识欠款人进行催收等。 擅自办理业务 在未经消费者同意的情况下，利用已获得的消费者个人信息，擅自为消费者办理业务或冒充消费者办理业务等。 5.个人信息提供 ①未经同意向他人或 外部机构提供信息 在无法定事由，且未获得消费者同意的情况下， 将消费者个人信息提供给外部机构或其他个人； 向外部机构或个人贩卖消费者个人信息。 违反法律、行政法规和国家网信部门规定，向境 外提供个人信息。 向境外提供信息 ② 6.个人信息删除 ①未明确个人信息删除要求 ， 未对各类消费者个人信息电子数据和纸质材料规定保存期限和到期删除、销毁要求未明确删除、销毁的程序和方式。 ②未及时删除个人信息 业务关系终结后，未按照约定或消费者的请求删除或销毁已收集的个人信息（法律法规另有规定的除外）； 信用卡、贷款、保险等业务申请未获通过的，未将申请材料及时退还消费者或按规定删除、销毁，导致客户经理或保险代理人长期保存消费者个人信息等。 7.第三方合作 ① ② 与第三方合作机构合作不审慎 未在合作协议中明确合作机构个人信息安全保护责任和险管理责任； 未有效监测第三方合作机构履行个人信息保护责任情况； 合作机构出现侵害个人信息安全行为时未及时处置； 终止与第三方合作机构合作后，未及时监督其删除或销毁在合作期间获得的消费者个人信息等。 违反规定向第三方合作机构提供个人信息 向第三方合作机构提供个人信息超出合作业务必须范围、未进行必要脱敏； 未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。 Part TWO 三阶段整治时间安排 1.自查整改阶段 2.监管抽查阶段 3.总结汇报阶段 三阶段整治时间安排 各机构完成自查整改并书面报告给监管 （含保险专业中介机构） 各监管局向银保监会消费者权益保护局报送专项整治工作报告 9月20日前 9月-11月 12月20日前 各银保监局 在自查基础上开展抽查 （突出重点机构和重点业务） 三十项法律依据 THREE Part 三十项法律依据① 1.《中华人民共和国个人信息保护法》 2.《中华人民共和国消费者权益保护法》 3.《中华人民共和国网络安全法》 4.《中华人民共和国商业银行法》 5.《中华人民共和国银行业监督管理法》 6.《中华人民共和国保险法》 7.《国务院办公厅关于加强金融消费者权益保护工作的指导意见》（国办发〔2015〕81号） 8.《商业银行信用卡业务监督管理办法》（中国银行业监督管理委员会令2011年第2号） 9.《中国银监会关于印发〈商业银行信息科技风险管理指引〉的通知》（银监发〔2009〕19号） 10.《中国银监会关于进一步规范信用卡业务的通知》（银监发〔2009〕60号） 11.《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》（银监发〔2014〕10号） 12.《中国银监会关于印发商业银行内部控制指引的通知》（银监发〔2014〕40号） 13.《中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知》（银保监发〔2018〕22号） 14.《中国银监会办公厅关于加强银行卡发卡业务风险管理的通知》（银监办发〔2007〕60号） 15.《中国银监会办公厅关于加强银行卡信息安全防护工作的通知》（银监办发〔2014〕248号） 三十项法律依据② 16.《中国银监会办公厅关于加强银行业金融机构内控管理有效防范柜面业务操作风险的通知》（银监办发〔2015〕97号） 17.《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》（银监办发〔2017〕2号） 18.《中国银保监会办公厅关于预防银行业保险业从业人员金融违法犯罪的指导意见》（银保监办发〔2020〕18号） 19.《中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知》（银保监办发〔2021〕141号） 20.《人身保险新型产品信息披露管理办法》（中国保险监督管理委员会令2009年第3号） 21.《人身保险业务基本服务规定》（中国保险监督管理委员会令2010年第4号） 22.《保险统计管理规定》（中国保险监督管理委员会令2013年第1号） 23.《互联网保险业务监管办法》（中国银行保险监督管理委员会令2020年第13号） 24.《中国保监会关于印发〈人身保险电话销售业务管理办法〉的通知》（保监发〔2013〕40号） 25.《中国保监会关于印发〈人身保险客户信息真实性管理暂行办法〉的通知》（保监发〔2013〕82号） 26.《中国银保监会办公厅关于印发商业银行代理保险业务管理办法的通知》（银保监办发〔2019〕179号） 27.《保险公估人监管规定》（中国保险监督管理委员会令2018年第2号） 28.《保险经纪人监管规定》（中国保险监督管理委员会令2018年第3号） 29.《保险代理人监管规定》（中国银行保险监督管理委员会令2020年第11号） 30.《中国银保监会办公厅关于印发保险中介机构信息化工作监管办法的通知》（银保监办发〔2021〕3号） 谢谢!