特邀作者
樊晓娟 中伦律师事务所合伙人律师
3月15日,中国银行保险监督管理委员会(“银保监会”)召开“银行业保险业深入推进金融消费者保护”专场新闻发布会。新闻发布会上,银保监会消保局郭武平局长指出,今年的重点工作之一是“开展银行业保险业个人信息保护专项整治”。本文是在监管进一步强化的背景下,给予银行保险机构在个人信息保护方面的合规建议。
01 个人金融信息安全
所谓个人金融信息,是指银行业金融机构在开展业务、提供服务、接入中国人民银行征信系统、支付系统及其他系统时获取、保存、加工的个人信息,包括但不限于账户信息、鉴别信息、金融交易信息、个人身份信息、个人财产信息等,是个人隐私的重要部分。随着金融科技化、数字化的进程,个人金融信息被泄露、转卖的情况比比皆是,成为了监管部门整治工作的重点。
(一)个人金融信息安全的行业标准
2020年,中国人民银行提出了《个人金融信息保护技术规范(JR/T 0171-2020)》(“《规范》”),从行业特性出发,对个人金融信息的保护提供了详细的行业标准。
《规范》将其直接适用范围划定为“由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构”(“金融业机构”),这就意味着包括银行业金融机构、各类证券、基金、保险机构在内的广义的持牌金融业机构,以及处理个人金融信息的相关机构(可能持牌或非持牌),例如第三方支付公司、金融科技公司等,都将直接适用《规范》。
《规范》还从个人金融信息的生命周期入手,设计并实施覆盖个人金融信息的收集、传输、存储、使用、删除、销毁等全生命周期的安全保护策略。并从个人金融信息全生命周期的安全技术要求、安全管理要求、安全制度体系的建立及其组织架构和岗