在消费者与金融机构联系日益密切的当下,随之而来的权益侵害乱象也时有发生。8月10日,北京商报记者从多家银行、理财公司处获悉,银保监会近日下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(以下简称《通知》),严打金融机构侵害个人信息权益乱象。《通知》披露的金融机构侵害个人信息权益乱象主要有利用“有奖问答”等行为收集个人信息、虚构业务背景查询消费者信息等多种。分析人士指出,此次《通知》意在督促金融机构自查自纠,给了部分机构整改的“缓冲期”,预计后续,监管将就个人信息保护工作中存在的侵害消费者权益行为进一步加大督查与处罚力度。
不得利用“有奖问答”等行为收集个人信息
过度收集个人信息、强制要求消费者同意使用信息等行为将受到严打。在信息收集方面,《通知》披露的侵害个人信息权益乱象主要有,在未取得消费者同意的情况下,利用移动互联网应用程序(App)获取手机通讯录、监测输入内容、监听语音收集消费者个人信息;未在官网、App主动披露隐私政策;通过非法途径盗取或购买消费者个人信息等。
另外,超出业务办理所必需的范围收集个人信息的行为也被“点名”。如通过格式化合同、业务申请表向消费者收集非办理业务或提供服务所必需的个人信息;利用有奖问答、赠送礼物等方式诱导消费者提供与本人业务或服务无关的个人信息;App收集超出《常见类型移动互联网应用程序必要个人信息范围规定》限定范围的个人信息;要求授权使用的时限超出必要范围等。
此外,强制要求同意使用信息、要求给予不合理的授权也成为侵害个人信息权益乱象的“重灾区”。具体案例包括:在格式化的合同、业务申请表、App隐私政策中加入无法选择的不合理授权条款,强制消费者同意将其信息用于与所办理业务无关的用途(如同意用于营销推介、同意向外部机构或个人提供等),否则无法正常办理业务、使用服务或功能。消费者提交业务申请时,规定无论业务是否通过审批,机构均可获得授权继续使用消费者申请业务时提供的个人信息等。
不得虚构业务背景查询消费者信息
数字经济时代下,一些金融机构为了牟利,随意收集、违法获取甚至非法买卖个人信息,不少消费者深受其害,《通知》的出台也可谓是正当其时。
在个人信息存储传输以及个人信息查询方面,《通知》也披露了多条侵害个人信息权益的乱象。主要包括机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质;机构人员使用誊抄、拍屏、扫描文字识别等方式私自记录消费者个人信息数据;机构人员滥用职权或利用管理漏洞篡改消费者个人信息数据等。
还有部分银行账户信息查询业务操作不规范,存在未按规定留存查询授权材料、未经消费者同意私自查询、虚构理由和业务背景查询信息等问题;保险公司未对查询权限严格限制,导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等侵害个人信息权益的情形。
易观分析金融行业高级分析师苏筱芮表示,此次《通知》对银行保险等金融机构侵害个人信息权益乱象作出了高度提炼与总结,一方面有助于归纳合规重点,另一方面也方便机构进行对标,在整改工作中有的放矢。
苏筱芮进一步指出,近年来,个人信息保护工作持续深化、有序推进,金融机构的合规意识、合规技术水平等均有所提升,但在实际情况中,依然存在一些“顽疾”,这既需要通过机构自身对信息保护工作开展全面而系统的梳理,也需要外部不断加大监管力度。
处罚力度将进一步加大
当前,个人信息收集已成为银行违规的高发地带,近年以来,有多家银行被点名通报,主要存在的问题为“违规收集个人信息”“App强制、频繁、过度索取权限”等,除了违规收集个人信息之外,有部分银行还存在强制用户使用定向推送功能;超范围收集个人信息;App强制、频繁、过度索取权限等情况。
根据《通知》内容,银保监会要求,2022年8-9月,各银保监局应组织辖内银行保险机构(含保险专业中介机构)认真开展对照自查,并在自查基础上及时完成整改。2022年9-11月,各银保监局在机构自查基础上开展监管抽查。抽查对象和抽查数量由各银保监局根据辖区情况自行决定,应突出重点机构和重点业务。2022年12月2日前,各银保监局应向银保监会消费者权益保护局报送银行保险机构侵害人信息权益乱象专项整治工作报告。
博通咨询金融行业资深分析师王蓬博在接受北京商报记者采访时指出,金融行业近年来已经经历过多轮这样的整顿,在消费者信息安全方面特别是App个人信息收集方面有了长足的改善,但仍然存在多收集和乱收集个人信息,未脱敏即传输和使用个人信息等多种问题,所以《通知》要求开展整顿措施,从具体文件来看监管设定了时间限制要形成报告,相信会在短时间内取得积极成效。
当下个人信息保护越来越受到监管重视,2021年11月1日起,《个人信息保护法》正式施行,法规明确收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。违反该法规定处理个人信息者,将由相关部门责令改正给予警告,并没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
正如苏筱芮所言,此次《通知》意在督促金融机构自查自纠,给到了部分机构以整改的“缓冲期”,预计后续,监管将就个人信息保护工作中存在的侵害消费者权益行为进一步加大督查与处罚力度,金融机构不能够掉以轻心。(记者宋亦桐)
关键词: 权益侵害乱象 金融机构 收集个人信息 有奖问答 银行账户信息查询业务