方贞
【农村金融时报】
近年来,个人信息保护理念日益深入人心,各项法律法规、监管规章制度日趋完善。
然而,部分农村中小金融机构个人信息保护工作意识淡薄,存在较大的风险隐患,亟需加大合规成本投入,从顶层设计、全生命周期管理等角度入手,加强个人信息保护力度。
个人信息保护的困境
目前,部分农村中小金融机构个人信息保护存在如下困境,亟需解决:
一是存量数据庞大。由于金融活动的特殊性,在日常经营过程中比较容易获取大量个人信息。这些信息是金融机构为客户提供产品和服务的重要基础,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。多样的个人金融信息给农村中小金融机构的发展带来了便利,是数字化转型的强大基础,但同时也带来了数据管理上的巨大挑战。对于庞大的存量数据,如何从中识别出有问题的数据,以及对该部分数据如何处理,是摆在农村中小金融机构面前的一大难题。
二是第三方合作机构资质不一。随着数字化转型的不断推进,农村中小金融机构也意识到,固有的数据获取渠道太过单一,难以适应转型变革要求,开始拓宽数据获取渠道,寻求与第三方数据公司开展合作。但当前第三方合作机构资质不一,存在较多不可控因素。
三是个人信息保护基础薄弱。近几年,个人信息保护被各方热议,这也是整个国家法制逐步健全、个人信息保护意识不断增强的体现。农村中小金融机构囿于自身人员、技术等方面的不足,在顶层设计、技术防护、人员管理等方面均无法满足即将生效的法律要求,还需进一步改变提升。
四是互联网风险管理能力不足。当个体信息侵害事件发生时,如果通过互联网渠道发声,会对农村中小金融机构声誉风险管理能力产生较大考验。互联网时代,负面舆情发酵迅速,特别是经过一些网络大V们转发,阅读量更是呈几何级数增长,不良影响难以一下消除。
个人信息保护的破局之道
目前,农村中小金融机构应从如下几方面加强个人信息保护:
首先,应做好顶层设计。一是形成自上而下、协同治理的组织架构。个人信息保护事关每一个社会个体,其重要程度显而易见。同时个人信息保护涉及使用信息的业务部门、提供技术支持的科技部门、负责风险管理的风险管理部门、负责投诉处理的消保部门等,因此需要构建自上而下、协同治理的组织架构,明确董事会、高级管理层、总行各部门、各分支机构在个人信息保护中的职责,通过跨条线、跨部门协作,形成多位一体、职责明确的个人信息保护的组织架构。此外,还需要明确个人信息保护的牵头部门,做好各项工作的督促落实,避免部门间相互推诿。二是形成完善的制度机制安排。个人信息保护需要一系列的制度机制安排,包括:建立专门的个人信息保护制度,明确金融机构信息保护的目标、原则,各部门职责权限等;建立分级分类管理机制、全生命周期机制、分级授权机制、数据脱敏机制、评估机制、外包服务机制、应急管理机制、检查监督机制、宣传教育机制等,全方位、多角度的制度机制安排。
其次,应加强个人信息的全生命周期管理。个人信息保护并不是在信息的收集或者存储环节做好管理即可,而应覆盖个人信息的全生命周期,包括收集、存储、使用、加工、传输、提供、公开、删除等环节。在收集环节,应遵循合法、正当、必要等原则,满足“告知-同意”的处理规范要求(其他合法性理由除外),向个人信息主体明示使用目的、方式、范围和规则等;在存储环节要满足最短时间要求,如果反洗钱等法律、行政法规另有规定,则需优先满足法律、行政法规的要求;在使用环节也要明示使用目的、方式和范围等,不能超越权限使用;在加工环节不应超出个人明示授予的权限范围,同时对加工处理记录要做到可追溯;在传输环节要做好传输过程中的安全管理,防范个人信息在传输过程中被泄露,同时确保接收主体有相关权限;在提供环节要识别提供对象的权限;在公开环节,经法律授权或具备合理事由的应公开披露;在删除环节应采取技术手段,确保系统中删除的个人信息不可被检索到。个人信息全生命周期的管理并不仅仅局限在上述要求,但上述要求基本涵盖了核心管理要点。
再次,应建立有效的告知体系。金融机构应以《个人信息保护法》“告知-同意”为核心,构建个人信息处理规则,并设置便捷的撤销同意方式。一是厘清个人信息的最小范围。金融机构在提供产品或服务时,每一种产品或服务需要收集的个人信息是不一样的。农村中小金融机构应全面梳理自身业务,根据最小必要原则确定每项产品或服务需要收集的个人信息范围。二是有效“告知-同意”。有效的告知需要明示收集和使用的目的、方式、范围和规则等,一般通过线下线上签订隐私政策等方式实现,隐私条款应确保无免除自身责任、加重客户责任、排除客户主要权利的条款。有效的同意应采用明示方式,而非默示同意,宜采用权利人确认的方式。对于重点条款,若采取线下确认的,条件允许时可进行双录,以体现充分知情原则。针对敏感个人信息,除前述要求外,还需要告知处理敏感信息的必要性以及对个人权益的影响,建议单独列明、单独同意,而非放在隐私政策里取得一揽子同意。三是便捷撤销同意机制。在取得客户同意的同时,应设置较方便快捷的撤销同意方式,以保障客户的自主选择权。如在商业银行电子银行APP隐私政策界面设置“撤销同意”框。
此外,应规范第三方合作模式。农村中小金融机构基于自身业务和管理需要收集的数据若无法满足发展需要而寻求与第三方数据公司合作时,需要按照“标准明确、责任清晰、流程透明、风险可控”的标准开展外部合作,以防因第三方侵权给自身造成负面影响。一是严把准入关。农村中小金融机构应严把准入标准,选择资质口碑良好的机构开展数据合作,在准入识别时,特别关注该机构近几年在数据合规方面是否存在违法违规事项。二是审慎设计合同条款。农村中小金融机构应通过合同条款设计确立双方权利义务,在合作方义务条款中明确约定不得存在任何侵害个人信息权益的行为,承诺其收集个人信息的合法性,并约定相应的违约责任,通过合同条款设计避免合作方侵权给农村中小金融机构造成损失。三是做好数据来源合法性确认。农村中小金融机构从第三方获取个人信息时,应要求其说明信息来源,并对合法性进行确认:包括是否获得授权,是否同意转让、共享等。四是强化合作机构后续管理。在做好上述工作的同时,还需要强化后续管理,定期评估合作机构风险状况,对存在违法违规等不良情况的机构,应果断停止合作。
(作者单位:宁波慈溪农商银行)
