金融机构在个人信息保护中的十大法律盲点
2022/4/20 9:36:32

对2021年11月1日起生效的《个人信息保护法》,奋力哥相信整个金融业还理解不足,金融机构还不知道这是一部有牙齿的法律。大多数金融机构对个人信息保护的理解还停留在两个维度:一是保护账户信息不泄露,不让“池子事件”再发生;二是查询征信要授权,需要获得客户同意。

事实上个人信息保护绝不仅限于此,看看你是否有以下盲点。‍

盲点一:以为征信评分不算处理信息‍

银行都知道外部征信信息不能随便获取,于是想了个简便的方法,让这些机构给出一个评分数值,供银行评审使用。孰不知,征信评分本身就是基于综合个人信息而得出的对其经济信用的评价,是处理个人信息的一种方式。没有信息主体的许可,是不可获取的。

盲点二:以为政务信息等于公开信息‍‍

银行早就发现可以使用税务信息、公积金信息、社保信息等等来了解贷款人的还款能力,有的银行整合各种渠道已达几十项之多。可是政务信息不等于公开信息。比如税务信息,一个人一年交多少个人所得税,属于绝对的个人敏感信息,除非其本人知情同意,银行就是接入了信息渠道也不能用。

盲点三:以为概括授权是客户有效的知情同意‍‍

银行与外部第三方合作,好不容易弄来了潜在客户的信息,以为仅仅客户同意,就可以向客户营销各类金融产品,从贷款到财富管理、再到帮助验证支付账户等等。涉及金融业务的信息基础属于对个人的经济、人身、财产有重大意义的信息,属于敏感信息。对敏感信息的处理(包括使用),首先要让客户充分知情,知道其信息的具体使用目的,其次才是在知情基础上的具体同意。银行需要的客户授权并非仅仅是客户概括授权就能满足的。

盲点四:做了歧视算法尚不自知‍‍

据说有家银行为了挽住流失的客户,特意针对高流失倾向的客户推出了高收益率的理财产品,实行这种做法的银行还被称为先进的、精细化的银行。可是明眼人一看就这知道,这没有公平对待客户啊。这一操作一般是系统根据一定的参数算出来的,这相当于“我要走,你就卖我高收益产品,我忠实就不卖给我”。大家想想,这是不是与某著名商旅网站的“杀熟”行为很有相仿之处?

盲点五:以为报告监管就不用告知客户‍‍

如果监管要求银行报送某个专项数据,估计大部分的银行都只顾忙不迭赶工上报,根本想不到还要告知客户这件事。很多人也有误会,心想监管让报的,还用告知吗?这里面有两个层次的问题要分清。第一,监管获得个人信息,除非认为告知会影响保密或履职等法定理由外,政府一般也有告知义务。这和台湾关于“法定机关履行职务收集信息可以不告知”的做法不一样,我们比他严。第二,银行向监管提供信息,这个提供的过程也是处理信息的一种方式,银行也同样应该告知客户,除非符合《个人信息保护法》第18条规定的可以豁免告知的情形。

盲点六:以为数据不出库就万事大吉‍‍

奋力哥发现,很多金融数字化的成功案例中宣传的原则都是“数据不出库”,以为这就实现了客户信息的有效保护。比如公共政务数据与银行授信数据进行比对时,反复强调其成功之处是数据不出库,这是对个人信息保护内容的误读。不出库主要解决的是传输环节,且仅解决保密问题。而《个人信息保护法》针对的是信息处理,包括收集、存储、使用、加工、传输、提供、公开、删除等至少八大环节,且法律的要求不仅仅是保密,而且需要符合信息主体授权的目的。换句话说,如果客户买理财的时候,曾经为了证明自己是合格投资者提供过财产信息,银行也不能认为数据不出库就能用来作授信额度评估等其他用途,除非客户同意。

盲点七:以为交叉营销是天经地义‍‍

银行喜欢以交叉营销的成功率来考核一线客户经理。所以,客户往往收到这样的电话:“你的银行账户里有10万活期存款,买点理财吧,收益好多了。”这里有两层问题,第一层是给客户主动打电话,属于获取客户的电话信息进行营销,这要看符不符合客户当初提供电话号码的目的,以及客户是否同意了你的主动营销。第二层是获取了客户金融账户的存款数额,这也是敏感信息。对这种信息的获取,需要客户对具体使用目的的同意,即对营销理财目的的同意。你也许说,银行也是存款合同的一方当事人,它是知道存款数额的。是的,但此时你的知悉只能用于履行存款合同的目的,不能用于其他目的,不然就需要另行同意。

盲点八:以为公示不良是惩恶扬善‍‍

有的银行为了惩戒违约者,向社会公众公布了个人违约信息,或者以悬赏财产线索为名,公示违约债务人的个人信息。这种做法直接违法《个人信息保护法》第25条规定的“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。”只有政府机关在涉及公共利益的时候可以考虑是否公开个人隐私政府信息,而银行作为商事企业无此特权。

盲点九:以为“可用不可见”是万无一失‍‍

很多银行在设计数据共享时,以为数据互通,只要开发人员或业务人员看不见就可以,这是对《个人信息保护法》保护对象的误读。不让内部员工看到信息,解决的只是信息泄露的问题,而《个人信息保护法》主要保护的还在于信息的使用。银行所获得的信息只能用于信息主体所同意的目的,不是信息在你银行手上,想共享就能共享的。

盲点十:以为共同处理就无需授权‍‍

很多银行对个人信息的共同处理可能还闻所未闻。举例说来,外卖APP的隐私政策中规定客户数据除了用于外卖,还会用于共享单车和金融产品等。然后银行就会收到外卖平台申请消费贷客户的一些精确的或者模糊的交易数据。此时,银行要明白,你的处理目的是用于金融产品的提供,而外卖平台的数据获取是用于外卖业务。信息虽然一次性提供,但两者是不同的信息使用目的,是共同处理个人信息,此时就需要对每一项信息处理目的各自明确授权,而不是简单地概括授权。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消