一、人行对个人信息保护处罚的主要原因
1.1未经许可,擅自查询和使用征信信息(东亚银行、渣打银行案);
1.2未经同意滥用客户个人信息
(中信银行与池子争议案)
1.3采集过多与业务无关的个人信息
(平安银行天津分行案)
1.4限制个人主张个人信息受保护的权利(建设银行德阳分行案)
二、个人信息、敏感信息、个人信息处理
引子 中国保护模式与欧洲GDPR模式类似
2.1 个人信息的内涵和外延
2.2个人敏感信息
- 商业银行处理的个人信息都是敏感信息
- 采集个人人脸图像信息应注意的合规性
2.3商业银行的角色
- 既是个人信息处理者
- 也是关键信息基础设施的运营者
三、个人信息处理的主要原则
3.1知情、同意原则
- 同意的书面形式
- 需要“单独同意”的情形
3.2公开、透明原则
- 披露个人信息处理的方式
3.3可用、最小原则
- 平衡业务所需信息的数量
- 合理确定信息保存的时间
四、商业银行个人信息从哪里来
4.1 来自于客户尽职调查
4.1.1 个人客户的基本信息
4.1.2 个人客户的辅助信息
4.1.3非个人客户所涉自然人信息
- 如“受益所有人”
4.2来自于业务开展要求
- 如个人征信信息、个人工商户经营信息
4.3 来自于从第三方获取
- 如抖音等营销平台跳转、互联网联合贷款的合作方(涉征信资格)
五、商业银行个人信息保护的重点方面
5.1 通过APP收集个人信息
- 《移动金融客户端应用软件安全管理规范》
5.2特别关注处理个人生物信息
- 就收集和使用征得用户的单独同意;
- 避免将生物识别作为唯一的验证方式;
- 原则上不应存储原始个人生物识别信息;
- 采取安全措施存储和传输生物识别信息,
5.3 分级授权,限制内部获取个人金融信息
5.4 用户画像与自动化决策
- 披露个人信息是否用于用户画像的用途;
- 消除明确身份指向性,尽量使用群体画像而非个体画像;
5.5 银行科技信息外保风险管理
- 外包服务商设置外包准入机制
- 对外包商获取的信息采取措施保障安全
5.6 个人信息的删除和销毁
- 应与反洗钱、客户适当性等要求期限衔接
