銀保監會：開展銀行侵害個人信息權益亂象專項整治，分3個階段

8月9日，記者獨家獲悉，銀保監會辦公廳近日向各銀保監局，各大型銀行、股份制銀行、外資銀行、直銷銀行、理財公司，各保險集團(控股)公司、保險公司下發《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》（下稱《通知》）。

《通知》強調，自查過程中要堅持立查立改。對短期無法整改完成的問題，要建立整改臺賬，明確整改措施，逐項逐步推進。

推進根源性整改

《通知》指出，各機構要對照“銀行保險機構侵害個人信息權益亂象主要表現形式”，全面摸排本機構2021年以來與消費者個人信息處理活動相關的經營行為和管理情況，深入查找本機構個人信息保護方面存在的問題，列出問題清單。

當前，銀保監會披露的銀行保險機構侵害個人信息權益亂象主要有：

一是個人信息收集。在未取得消費者同意的情況下，利用移動互聯網應用程序（App）獲取手機通訊錄、監測輸入內容、監聽語音收集消費者個人信息；未在官網、App主動披露隱私政策；通過非法途徑盜取或購買消費者個人信息等。

二是個人信息存儲和傳輸。如，電子數據存儲管理混亂。違反規定下載、存儲、記錄消費者敏感個人信息。機構人員超職權范圍將未經加密、脫敏的消費者個人敏感信息下載、存儲至個人辦公計算機、移動硬盤或U盤等具有存儲功能的終端或介質等。

三是個人信息查詢。銀行賬戶信息查詢業務操作不規范，存在未按規定留存查詢授權材料、未經消費者同意私自查詢、虛構理由和業務背景查詢信息等問題；保險公司未對查詢權限嚴格限制，導致不具備權限的員工可以查詢完整的保單號、投保人和被保險人證件號碼、聯系電話、聯系地址等未經脫敏處理的個人信息等。

四是個人信息使用。如，用于不當營銷。私自收集或違規收集消費者信息和聯系方式用于營銷；在消費者明確拒絕營銷后仍繼續營銷；規避銷售系統向消費者營銷產品等。

五是個人信息提供。如，未經同意向他人或外部機構提供信息。在無法定事由，且未獲得消費者同意的情況下，將消費者個人信息提供給外部機構或其他個人；向外部機構或個人販賣消費者個人信息。

六是個人信息刪除。未對各類消費者個人信息電子數據和紙質材料規定保存期限和到期刪除、銷毀要求，未明確刪除、銷毀的程序和方式。 

七是第三方合作。向第三方合作機構提供個人信息超出合作業務必須范圍、未進行必要脫敏；未使用有效加密方式通過互聯網等不安全渠道向第三方合作機構傳輸個人信息等。

對于上述亂象，《通知》要求強化整治問責。對于整治發現的問題，銀行保險機構要逐一建檔，確保整改到位、問責到位。對違反銀行業保險業規章制度的問題，要依規處理；對不當操作行為，要立即叫停或糾正，出現泄露個人信息等嚴重侵害消費者信息安全權問題的，要問責到人；對涉及違法犯罪的問題，要移送司法機關懲處。

同時，各銀行保險機構要深入剖析本次專項整治發現的問題，查找問題根源。《通知》提出，問題原因在下級機構的，要壓實分支機構責任，不折不扣完成整改；問題根源在總部的，要及時調整和優化相關工作機制，強化制度約束和責任落實，推進根源性整改。

以銀行保險機構自查為主

《通知》稱，本次專項整治工作以銀行保險機構自查為主，監管部門適時開展抽查和督導。確保全面覆蓋與消費者個人信息處理相關的業務環節、員工行為和管理流程。銀行保險機構和各銀保監局要成立專項工作組，制定專門工作方案。各銀保監局要靠前指揮，做好統籌部署和全流程督促工作，確保層層推進落實、整改到位。

《通知》顯示，本次專項整治工作有三個階段：

一是自查整改階段。2022年8-9月，各銀保監局組織轄內銀行保險機構（含保險專業中介機構）認真開展對照自查， 在自查基礎上及時完成整改。

二是監管抽查階段。2022年9-11月，各銀保監局在機構自查基礎上開展監管抽查。抽查對象和抽查數量由各銀保監局根據轄區情況自行決定，應突出重點機構和重點業務。 

三是總結匯報階段。各銀保監局應于2022年12月2日前，向銀保監會消費者權益保護局報送銀行保險機構侵害人信息權益亂象專項整治工作報告。 

《通知》要求，各級監管部門要結合日常監管、現場檢查、舉報調查、投訴督查中發現的侵害消費者信息安全權問題開展監管抽查和督導，突出重點。對違反相關法律法規的問題，要依法依規嚴肅查處；對機構自查并整改到位的問題，可結合行為違法程度及造成后果情況依法從輕、減輕或不予處罰；對發現自查不力、隱瞞不報的機構，要嚴肅追責并從重處罰。