银保监会：开展银行侵害个人信息权益乱象专项整治，分3个阶段

8月9日，记者独家获悉，银保监会办公厅近日向各银保监局，各大型银行、股份制银行、外资银行、直销银行、理财公司，各保险集团(控股)公司、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》（下称《通知》）。

《通知》强调，自查过程中要坚持立查立改。对短期无法整改完成的问题，要建立整改台账，明确整改措施，逐项逐步推进。

推进根源性整改

《通知》指出，各机构要对照“银行保险机构侵害个人信息权益乱象主要表现形式”，全面摸排本机构2021年以来与消费者个人信息处理活动相关的经营行为和管理情况，深入查找本机构个人信息保护方面存在的问题，列出问题清单。

当前，银保监会披露的银行保险机构侵害个人信息权益乱象主要有：

一是个人信息收集。在未取得消费者同意的情况下，利用移动互联网应用程序（App）获取手机通讯录、监测输入内容、监听语音收集消费者个人信息；未在官网、App主动披露隐私政策；通过非法途径盗取或购买消费者个人信息等。

二是个人信息存储和传输。如，电子数据存储管理混乱。违反规定下载、存储、记录消费者敏感个人信息。机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质等。

三是个人信息查询。银行账户信息查询业务操作不规范，存在未按规定留存查询授权材料、未经消费者同意私自查询、虚构理由和业务背景查询信息等问题；保险公司未对查询权限严格限制，导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。

四是个人信息使用。如，用于不当营销。私自收集或违规收集消费者信息和联系方式用于营销；在消费者明确拒绝营销后仍继续营销；规避销售系统向消费者营销产品等。

五是个人信息提供。如，未经同意向他人或外部机构提供信息。在无法定事由，且未获得消费者同意的情况下，将消费者个人信息提供给外部机构或其他个人；向外部机构或个人贩卖消费者个人信息。

六是个人信息删除。未对各类消费者个人信息电子数据和纸质材料规定保存期限和到期删除、销毁要求，未明确删除、销毁的程序和方式。 

七是第三方合作。向第三方合作机构提供个人信息超出合作业务必须范围、未进行必要脱敏；未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。

对于上述乱象，《通知》要求强化整治问责。对于整治发现的问题，银行保险机构要逐一建档，确保整改到位、问责到位。对违反银行业保险业规章制度的问题，要依规处理；对不当操作行为，要立即叫停或纠正，出现泄露个人信息等严重侵害消费者信息安全权问题的，要问责到人；对涉及违法犯罪的问题，要移送司法机关惩处。

同时，各银行保险机构要深入剖析本次专项整治发现的问题，查找问题根源。《通知》提出，问题原因在下级机构的，要压实分支机构责任，不折不扣完成整改；问题根源在总部的，要及时调整和优化相关工作机制，强化制度约束和责任落实，推进根源性整改。

以银行保险机构自查为主

《通知》称，本次专项整治工作以银行保险机构自查为主，监管部门适时开展抽查和督导。确保全面覆盖与消费者个人信息处理相关的业务环节、员工行为和管理流程。银行保险机构和各银保监局要成立专项工作组，制定专门工作方案。各银保监局要靠前指挥，做好统筹部署和全流程督促工作，确保层层推进落实、整改到位。

《通知》显示，本次专项整治工作有三个阶段：

一是自查整改阶段。2022年8-9月，各银保监局组织辖内银行保险机构（含保险专业中介机构）认真开展对照自查， 在自查基础上及时完成整改。

二是监管抽查阶段。2022年9-11月，各银保监局在机构自查基础上开展监管抽查。抽查对象和抽查数量由各银保监局根据辖区情况自行决定，应突出重点机构和重点业务。 

三是总结汇报阶段。各银保监局应于2022年12月2日前，向银保监会消费者权益保护局报送银行保险机构侵害人信息权益乱象专项整治工作报告。 

《通知》要求，各级监管部门要结合日常监管、现场检查、举报调查、投诉督查中发现的侵害消费者信息安全权问题开展监管抽查和督导，突出重点。对违反相关法律法规的问题，要依法依规严肃查处；对机构自查并整改到位的问题，可结合行为违法程度及造成后果情况依法从轻、减轻或不予处罚；对发现自查不力、隐瞒不报的机构，要严肃追责并从重处罚。