作者 李丹萍
蓝鲸财经记者独家获悉,日前,金融监管总局办公厅向各监管局,各大型银行、股份制银行、外资银行、直销银行、理财公司,各保险集团(控股)公司、保险公司、保险专业中介机构下发《关于银行保险机构侵害个人信息权益乱象***发现主要问题的通报》(下称《通报》)。
此前,金融监管总局组织开展银行保险机构侵害个人信息权益乱象***(下称“***”), ***工作以银行保险机构自查为主,监管部门适时开展抽查和督导。确保全面覆盖与消费者个人信息处理相关的业务环节、员工行为和管理流程。
此次则是***行动中的具体问题和情况通报。“全行业个人信息保护工作水平得到有效提升”,金融监管总局称,但是,“从目前投诉督查、举报调查、监管评价等工作中反映的问题来看,银行保险机构侵害个人信息权益的行为仍时有发生,内部管控还存在短板弱项和风险隐患。”
***全面深入检视了银行保险机构个人信息处理工作各类流程,在个人信息处理具体执行层面发现大量问题或隐患,机构自查共发现问题15.42万个,涉及合同协议、声明等2.63万份。监管部门开展监管抽查共发现问题5561个,涉及机构1985家次、员工3566人,影响消费者1556万人次。
发现的主要问题,集中在以下方面:一是个人信息收集方面,存在强制同意、扩大授权、笼统授权等问题。譬如,某银行在信用卡申请环节,加入消费者无法取消的授权条款,强制消费者同意将其信息用于其他产品或者服务营销。某保险公司短期健康险投保单在格式化的业务申请表中加入预设的不合理授权条款,强制消费者同意将其信息提供给外部机构,并用于与其所办理业务无关的用途。
二是个人信息存储和传输方面,存在电子数据管理混乱、纸质材料管理不严、传输方式不安全等问题。譬如,部分银行保险机构存在员工通过自建业务微信***送客户身份证、社保卡照片等个人信息的情况。
三是个人信息查询和使用方面,存在违规查询账户信息、不当使用客户信息等问题。
四是个人信息提供和删除方面,存在未经授权对外提供、未及时删除等问题。
五是个人信息第三方合作方面,存在对外合作机构管控失效等问题。主要表现为,与第三方机构签订的协议中未约定消费者个人信息保护内容,未及时发现和处置第三方机构侵害个人信息权益行为。
金融监管总局要求,各银行保险机构要严格按照“谁主管谁负责、谁使用谁负责”和“分级管理、逐级负责”的原则,健全前中后台相互制约的责任体系。持续完善监测预警、员工管理、渠道管控、应急处置和内部考核问责等机制,关注产品服务开发、格式文本设计等前端环节的影响,加大信息安全技术防护力度,加强对重点岗位人员行为管理。
