2015年7月1日实施的《国家安全法》明确提出“提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控” 。2017年6月1日即将实施的《中华人民共和国网络安全法》(简称“《网络安全法》”)第31条提出“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。这些规定对金融机构进行个人信息保护提出了新的挑战。

银行业金融机构涉及的个人信息种类较为丰富,包括:个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人交易信息等。客户每一次使用信用卡、进行ATM取款、购买金融产品等都会在银行留下记录,而这些信息是获知客户消费偏好、财产情况的重要依据。若个人信息被银行泄露或不当使用,在给信息主体带来财产损失的同时,银行可能会遭到行政处罚。如此背景下,银行业金融机构该如何做到恰当保护的同时进行有效利用呢?

银行收集客户个人信息需明示并取得客户同意

2016年10月10日,中国人民银行营业管理部对某全国性股份制商业银行作出行政处罚决定,该银行因违反《征信业管理条例》相关规定(违规采集个人信息)而被罚款人民币40万元整。“银行收集客户个人信息需明示并取得客户同意”的原则在本次颁布的《网络安全法》第22条第3款中也有所体现:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

上述银行收集客户个人信息时的明示与同意要求与中国人民银行对个人信息保护的监管思路整体是一脉相承的。早在2005年10月起实施的《个人信用信息基础数据库管理暂行办法》就已经提出:银行除对已发放的个人信贷进行贷后风险管理,查询个人信用报告时应当取得被查询人的书面授权。

书面授权可以通过在银行服务申请书中增加相应条款的模式进行,增加“征信查询授权”、“信息披露条款”等。比如在征信查询授权方面可以描述如下:因本人向银行申请某业务,基于业务的需要,本人授权银行向中国人民银行信用信息基础数据库和经中国人民银行批准设立的征信机构采集、查询、使用、报送本人的征信信息,并对银行授权如下……(说明授权期限、用途、查询范围等)。

在法律服务的过程中,我们发现有的银行在前期开展服务时并未与客户约定相关的信息披露条款,后期希望委托第三方提供清收核查等外包服务时补签信息披露条款,这种做法在实践中存在难度。

个人信息应当依照法律、法规以及与用户的约定进行有效使用

美国与欧盟曾就个人信息跨国流通问题签订《安全港协议》,该协议要求:收集个人数据的企业必须通知个人其数据被收集,并告知他们将对数据进行的处理,企业必须得到允许才能将信息传递给第三方,必须允许个人访问被收集的数据,并保证数据的真实性和安全性以及采取措施保证这些条款得以遵从。但2015年10月,欧盟法院认为上述协议无法充分保证个人信息安全,必须予以撤销。

《网络安全法》第42条第1款提出:未经被收集者同意,不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外。银行在进行个人信息保护时需注意, “被收集者”涉及的对象可能是直接客户,也可能是间接客户。这里的间接客户是指未直接从银行获取服务,但在银行为直接客户服务过程中充当担保人等角色,向银行提供了个人信息的主体。由于间接客户同样属于《网络安全法》第42条中提及的“被收集者”,所以银行在业务过程中也应关注间接客户的相关授权问题。

银行集团客户信息的共享

随着传统商业模式的转型,客户需求的把握变得尤为重要,个人信息对于银行集团的价值不言而喻。银行应当如何在合法合规的情况下协助集团有效使用个人信息呢?1)银行可在信息披露部分明确个人信息相关定义,比如:“客户”可指基于有关协议,与银行有业务往来的人员、“个人资料”可指银行从非公开渠道不时取得的与客户有关的信息和资料以及任何担保人(若有)和/或其他相关人员和实体有关的信息和资料,形式上包括但不限于各类书面文件、电子数据、视听资料及电话录音等、“集团成员”可指集团控股公司及其直接或间接投资的公司、企业或其他组织等等。2)为了避免银行使用客户个人信息时发生不必要的争议,银行与客户需进一步明确约定授权查询、使用和对外提供信息的原因、范围、用途等。如果只是简单的约定:“银行可以为了更好得服务客户,而将个人信息披露或与集团成员交换”是不可取的。3)需谨防将客户的上述概括性授权作为建立业务关系的先决条件。上述建议可供参考,银行集团需根据自身情况与具体业务情况选择合适的约定方式。

本次的《网络安全法》对集团使用个人信息提供了另一种渠道,根据该法第42条,如果个人信息经过处理无法识别特定个人且不能复原,那么即使未经过被收集人同意,银行也可将经过处理的个人信息提供给集团使用。但对于何种信息属于“不能识别特定个人”,又如何认定“不能复原”还有待相关监管机构进一步明确。

银行对个人信息的境内储存与跨境传输

《网络安全法》第37条规定,关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。早在2011年,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》就曾规定:在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。

在《网络安全法》颁布之前,我们曾经遇到某外资汽车金融公司咨询:汽车金融公司作为非银行业金融机构,可否可以将在中国境内收集的个人信息传输并储存至境外?我们认为,汽车金融机构虽不是央行上述文件的规范对象,但作为持牌金融机构,一旦客户个人信息发生泄漏,同样将导致严重后果,所以我们建议在进行个人信息跨境传输前仍应咨询央行与监管机构的意见。在《网络安全法》实施之后,上述问题将迎刃而解。关于“因业务需要,确需在境外存储或者向境外的组织或者个人提供”中 “业务需要”的内涵,我们倾向认为仅指企业为客户提供服务而进行的内部处理程序,不涉及第三方机构。

银行业金融机构落实客户个人信息保护的工作任重道远,我们将持续关注相关监管动态,为银行合法合规收集、使用、储存、传输客户个人信息保驾护航。

编者按:本文同步发表于金杜中国法律博客(Chinalawinsight.com)