翁澤鴻 陳雪夫 劉蓉

近年來，隱私與個人信息保護(hù)已經(jīng)逐漸完成從立法到落地的過程，銀行作為金融業(yè)重合規(guī)體系下的先鋒，這方面的探索實踐首當(dāng)其沖。本文旨在總結(jié)近年來個人信息保護(hù)的立法趨勢，理解合規(guī)及實務(wù)要點，提供銀行業(yè)典型實施路徑與實操建議。

全球隱私保護(hù)趨勢

自2018年歐盟《一般數(shù)據(jù)保護(hù)條例》（以下簡稱“GDPR”）正式生效并引發(fā)全球關(guān)注以來，全球多個主要國家和地區(qū)也先后配置了一系列與隱私保護(hù)相關(guān)的法規(guī)和標(biāo)準(zhǔn)。例如：美國的《加州消費者隱私保護(hù)法》（CCPA）、《加利福尼亞隱私權(quán)和執(zhí)法法案》（CPRA），從不同立法層次、不同行業(yè)領(lǐng)域?qū)﹄[私保護(hù)提出了要求;加拿大、俄羅斯、印度、馬來西亞、韓國、日本、中國香港、新加坡等國家和地區(qū)紛紛結(jié)合自身情況針對隱私保護(hù)出臺了專門的個人數(shù)據(jù)或個人信息保護(hù)法;中國則先后出臺了《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）及若干法規(guī)、標(biāo)準(zhǔn)，對新時代隱私保護(hù)挑戰(zhàn)進(jìn)行回應(yīng)。此外，仍有許多國家和地區(qū)正在籌備并可能在近年發(fā)布相關(guān)法規(guī)。

全球隱私保護(hù)已逐年呈現(xiàn)越來越規(guī)范、嚴(yán)苛、專業(yè)的態(tài)勢。不僅如此，從全球立法的趨勢來看，隱私保護(hù)不僅被賦予了人權(quán)和自由基座的地位，從執(zhí)法和指導(dǎo)執(zhí)法等層面?zhèn)涫荜P(guān)注的事件中也可以看出，各國在保護(hù)個人隱私權(quán)益之外仍存在其他考量。例如：美國前總統(tǒng)特朗普曾簽署行政令，禁止美國人或美國管轄范圍內(nèi)的機(jī)構(gòu)與微信或TikTok進(jìn)行任何交易，最終以國家安全為由強(qiáng)迫字節(jié)跳動出售TikTok在美業(yè)務(wù);2020年，印度以國家安全為由封殺大量中國App;近兩年間，歐洲國家大力推進(jìn)數(shù)字稅、歐盟委員會發(fā)布《人工智能白皮書》，歐洲國家與數(shù)字經(jīng)濟(jì)發(fā)達(dá)經(jīng)濟(jì)體爭奪數(shù)據(jù)價值的期望日益顯著。

從以上事件中可以看出，全球隱私保護(hù)逐步展現(xiàn)出以下趨勢：一是價值訴求，從權(quán)利保護(hù)到與商業(yè)促進(jìn)的融合與平衡;二是戰(zhàn)略定位，從立足國內(nèi)利益調(diào)整的法律工具，到著眼國際利益重構(gòu)的制度藩籬;三是制度趨勢，從單個國家自然生發(fā)的制度產(chǎn)物，到經(jīng)貿(mào)關(guān)系和地緣政治撬動的融合演進(jìn)。

隨著信息技術(shù)和生產(chǎn)生活方式的交匯融合，各類數(shù)據(jù)海量聚集，迅猛增長，對隱私的保護(hù)不僅是行業(yè)自發(fā)使然，更是國家管理的必然。數(shù)據(jù)發(fā)展與應(yīng)用在創(chuàng)造價值的同時，也面臨著復(fù)雜而嚴(yán)峻的安全挑戰(zhàn)，如：公民個人信息和隱私數(shù)據(jù)被泄露的風(fēng)險大大增加;行業(yè)或企業(yè)在利用大數(shù)據(jù)獲得信息價值時的風(fēng)險持續(xù)累積;海量數(shù)據(jù)在采集、傳輸、存儲、處理過程中，增加了國家信息遭受攻擊的可能性，進(jìn)而威脅到國家安全。對數(shù)據(jù)的掌控、利用以及保護(hù)能力，已成為衡量國家之間競爭力的核心要素。推進(jìn)隱私保護(hù)，已不僅是企業(yè)為滿足法規(guī)的基礎(chǔ)要求，更是在全球博弈的大背景下，全面合規(guī)和構(gòu)建信任的必要舉措。

我國隱私保護(hù)立法及監(jiān)管體系

過去五年是我國隱私保護(hù)立法從草創(chuàng)到逐步完善的五年。從2017年開始實施的《網(wǎng)絡(luò)安全法》中對隱私保護(hù)的五條基本要求，到《信息安全技術(shù)——個人信息安全規(guī)范》（GB/T 35273-2020）《信息安全技術(shù)——個人信息安全影響評估指南》（GB/T 39335-2020），再到2021年《數(shù)據(jù)安全法》和《個人信息保護(hù)法》正式生效，從綜合立法到監(jiān)管層面，我國依據(jù)三大法規(guī)及配套指引的監(jiān)管態(tài)勢已初具雛形。

如表1所示，目前我國已初步形成“法律+指南+標(biāo)準(zhǔn)”的體系，亦可預(yù)期，對于隱私保護(hù)的合規(guī)管控將愈加完善。

對金融行業(yè)個人信息保護(hù)監(jiān)管要點的理解

金融行業(yè)作為“強(qiáng)合規(guī)”的代表，監(jiān)管機(jī)構(gòu)在跟進(jìn)國家法規(guī)要求以及指導(dǎo)金融企業(yè)落地時，大量標(biāo)準(zhǔn)也隨行業(yè)所遇重點、難點逐步出臺。僅2022年1月起，相關(guān)部門就出臺了多份重量級監(jiān)管要求或指導(dǎo)意見（見表2）。

2022年3月，在銀保監(jiān)會舉行的“銀行業(yè)保險業(yè)深入推進(jìn)金融消費者保護(hù)”專題發(fā)布會上，銀保監(jiān)會消保局表示2022年將開展銀行業(yè)保險業(yè)個人信息保護(hù)專項整治，推動銀行業(yè)保險業(yè)落實《個人信息保護(hù)法》，提升個人信息使用的規(guī)范性，保護(hù)消費者信息安全權(quán)。

從其他歷年來監(jiān)管發(fā)文及須遵循的國標(biāo)中可以很明顯地看出，在金融業(yè)，隱私合規(guī)不是一項獨立的工作，而是必須充分結(jié)合反洗錢、個人身份認(rèn)證等監(jiān)管要求，形成“融合”“兼顧”的合規(guī)方案（見表3）。

從最近發(fā)生的處罰案例中可以提取一些核心關(guān)鍵詞：一是未落實管理要求。監(jiān)管要求是維護(hù)信息安全的底線，企業(yè)必須承擔(dān)起主體責(zé)任，提高數(shù)據(jù)安全意識。二是違規(guī)使用。企業(yè)致力于從數(shù)據(jù)資產(chǎn)中獲得價值，但同時也要防止客戶信息未經(jīng)授權(quán)或被不當(dāng)訪問，這就需要企業(yè)細(xì)化相關(guān)制度和流程，落實各層級管理責(zé)任，嚴(yán)格防止超范圍查看、操作及使用數(shù)據(jù)。三是個人責(zé)任?！秱€人信息保護(hù)法》中明確規(guī)定，“自然人的個人信息受法律保護(hù)，任何組織、個人不得侵害自然人的個人信息權(quán)益”，個人也會因違反法律法規(guī)而承擔(dān)相應(yīng)個人責(zé)任。因此，企業(yè)應(yīng)當(dāng)加強(qiáng)培訓(xùn)宣導(dǎo)，員工需要提升內(nèi)控合規(guī)意識（見表4）。

從合規(guī)能力來說，銀行作為強(qiáng)合規(guī)遵從的第一線，各業(yè)務(wù)條線均已有大量的經(jīng)驗和能力，但是卻在隱私合規(guī)中屢屢出現(xiàn)失誤，在落實管理、不違規(guī)使用等基礎(chǔ)問題上出現(xiàn)紕漏，其核心原因除了個人隱私數(shù)據(jù)帶來的巨大利益外，也有行業(yè)特點及法規(guī)不明確帶來的困難。一是除去包括線上、線下的官方渠道，部分業(yè)務(wù)如銀保合作、營銷活動、新渠道獲客等數(shù)據(jù)采集來源，涉及相關(guān)方多，數(shù)據(jù)來源雜，無法準(zhǔn)確界定入行數(shù)據(jù)的合法性。二是在目前的法規(guī)實踐中，多數(shù)場景下單獨同意難以實現(xiàn)。例如，沒有準(zhǔn)確的判斷方法來準(zhǔn)確區(qū)分哪些是屬于需單獨同意的數(shù)據(jù)，哪些是不需要的。三是反洗錢、征信等業(yè)務(wù)活動，必須結(jié)合大量數(shù)據(jù)進(jìn)行判斷，且必須接入外部數(shù)據(jù)源，在數(shù)據(jù)聚合后產(chǎn)生的合規(guī)影響不明確。四是數(shù)據(jù)治理不到位，無法繪制準(zhǔn)確的數(shù)據(jù)地圖，導(dǎo)致難以落地隱私管控。五是各行在面對復(fù)雜合規(guī)問題時，均難以統(tǒng)一各方認(rèn)識，明確牽頭方。

金融業(yè)合規(guī)落地實踐建議

需充分利用三道防線的組織體系。銀行業(yè)多年來利用三道防線的組織體系，可借鑒至隱私保護(hù)工作中，在任命DPO的同時，結(jié)合原有三道防線中分工的設(shè)計，將體系建設(shè)、操作合規(guī)和審查的工作恰當(dāng)分配至各道防線中，在適配現(xiàn)有組織架構(gòu)的同時，完全滿足《個人信息保護(hù)法》第五十二條關(guān)于信息保護(hù)負(fù)責(zé)人的要求（見圖1）。

采取的數(shù)據(jù)安全措施須嚴(yán)格遵循中國人民銀行和銀保監(jiān)會的指引要求，采取高強(qiáng)度的保護(hù)措施，而不能僅遵循《個人信息保護(hù)法》中的通用要求。

現(xiàn)有系統(tǒng)開發(fā)設(shè)計流程中應(yīng)考慮數(shù)據(jù)安全相關(guān)要求，作為數(shù)據(jù)控制者，各產(chǎn)品應(yīng)建立數(shù)據(jù)安全評估制度。建議充分考慮銀行采集數(shù)據(jù)的特點，結(jié)合有關(guān)監(jiān)管要求，包括在系統(tǒng)設(shè)計時增加隱私嵌入設(shè)計（PbD）需求，上線前進(jìn)行個人信息安全影響評估（PIA），同時解決個性化展示、軟件開發(fā)工具包（SDK）、應(yīng)用編程接口（API）、個人信息存儲及銷毀等問題。

使用加密和脫敏等措施時，充分考慮數(shù)據(jù)在不同狀態(tài)下所需采取的措施的不同，盡可能采取高效、安全的算法。

銀行對個人信息的處理，需適配多種合法性基礎(chǔ)，不完全基于同意處理數(shù)據(jù)。由于客戶身份識別、反洗錢等多重法律要求，銀行在選擇合法性基礎(chǔ)時，須判斷其數(shù)據(jù)使用的真實目的，進(jìn)而選擇恰當(dāng)?shù)暮戏ㄐ曰A(chǔ)，避免過度依賴客戶同意導(dǎo)致的無法履行其他法定義務(wù)。

金融業(yè)典型場景分析

面對復(fù)雜的監(jiān)管環(huán)境、業(yè)務(wù)難點和處罰案例，本文分析了在典型場景下，可供借鑒的隱私保護(hù)落地實施路徑。

場景一：銀行觸發(fā)個人身份信息聯(lián)網(wǎng)核查

具體場景：在預(yù)定期限內(nèi)（如15個工作日）內(nèi)，調(diào)取客戶信息，與第三方（電信運營商）實施聯(lián)網(wǎng)核查，以驗證數(shù)據(jù)的真實性，是否也需要獲取客戶同意。

在數(shù)據(jù)治理過程中，須確認(rèn)客戶留存電話的真實性，會存在批量查詢手機(jī)實名的情況，該做法能否引用執(zhí)行客戶識別相關(guān)法規(guī)，而無需征得客戶同意。目前對單獨同意的適用范圍仍存在不清晰和討論的空間，例如，如適用其他合法性基礎(chǔ)的情形下，是否還需單獨同意目前暫未出臺明確指引。但參考海外合規(guī)實踐，如GDPR合規(guī)實踐，如采取合法性基礎(chǔ)非同意，則無需采集同意。

場景二：向電信運營商查詢手機(jī)實名情況

具體場景：向運營商查詢手機(jī)實名情況是否屬于委托處理的范疇，該做法是否需要重復(fù)客戶單獨同意;如需要，應(yīng)采用何種方式征得。

對于這種情況，有以下幾種解決方法。

一是基于《金融機(jī)構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》履行法定的實名義務(wù)時，其處理的合法性基礎(chǔ)是第十三條第三款，履行法定職責(zé)和義務(wù)，無需獲取單獨同意。

二是無論采取任何合法性基礎(chǔ)，銀行均需采取盡可能有效的手段，向數(shù)據(jù)主體（客戶）告知數(shù)據(jù)處理的方式，即滿足透明性的原則，因此，企業(yè)須在客戶有效接觸的渠道發(fā)布隱私政策，并用強(qiáng)制閱讀、彈窗、勾選等形式（非同意，而是確認(rèn)閱讀）使客戶知悉、了解個人信息處理的方式。

三是可查詢行內(nèi)數(shù)據(jù)庫可作為告知項之一，在隱私政策中告知。但需有合理理由，或可借鑒的各行實踐，界定保留的合理性。

四是數(shù)據(jù)治理過程中批量查詢收集實名：如僅出于數(shù)據(jù)治理目的，則超出實名查詢的既有范圍，需獲取用戶同意。但此場景更傾向于定期通過批量查詢確?？蛻魯?shù)據(jù)的真實性，在已告知且使用履行法定義務(wù)作為合法性基礎(chǔ)的前提下，無需額外措施。

場景三：客戶聯(lián)系信息變更，影響客戶的主體權(quán)益

具體場景：存量客戶原留存的手機(jī)號碼后續(xù)不使用時，運營商將手機(jī)號碼回收并重新發(fā)放，新用戶使用該手機(jī)號碼時，因數(shù)據(jù)治理或業(yè)務(wù)問題觸發(fā)短信發(fā)送，發(fā)至真實手機(jī)號使用者，引起真實手機(jī)號碼使用客戶的投訴。

存量手機(jī)號回收后觸發(fā)投訴，可歸類為個人信息不完整或不準(zhǔn)確而影響客戶主體權(quán)利。

從實踐層面看，對于數(shù)據(jù)治理成熟度較低的企業(yè)，很容易產(chǎn)生因為數(shù)據(jù)不準(zhǔn)確導(dǎo)致的誤觸權(quán)利侵犯的情景。作為數(shù)據(jù)治理的工作內(nèi)容，應(yīng)采取手機(jī)號驗證、運營商核對等措施，盡可能保障存儲數(shù)據(jù)的準(zhǔn)確性，最大程度降低存量客戶手機(jī)號碼錯誤率。銀行還需保持客戶服務(wù)響應(yīng)渠道暢通，將此場景作為常見業(yè)務(wù)，標(biāo)準(zhǔn)化至客服業(yè)務(wù)流程中。

同時，基于監(jiān)管報送所需而開展的數(shù)據(jù)治理工作，可以和個人信息保護(hù)工作充分結(jié)合，利用客戶信息一致化，報送數(shù)據(jù)質(zhì)量提升等過往工作的成果（如數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)資產(chǎn)清單等），結(jié)合《個人信息保護(hù)法》中對告知和準(zhǔn)確性的要求，充分達(dá)成對外的客戶透明和對內(nèi)的數(shù)據(jù)準(zhǔn)確。

結(jié)語

隱私與個人信息保護(hù)是長期、復(fù)雜的合規(guī)工作。隨著法規(guī)越來越成熟，要求越來越嚴(yán)格，在滿足業(yè)務(wù)增長中對個人信息“渴望”的同時，要結(jié)合業(yè)務(wù)需求和場景設(shè)計合規(guī)保護(hù)動作，而非簡單地“一刀切”。同時，目前的法規(guī)要求依然具有不確定性，監(jiān)管及客戶都在不斷提出新的要求和想法。因此，在使用個人信息持續(xù)創(chuàng)造價值的同時，關(guān)注數(shù)據(jù)倫理，做到尊重、保護(hù)、不濫用，是值得持續(xù)探討和持續(xù)投入的。銀行在面對復(fù)雜合規(guī)問題時，不應(yīng)采用簡單的終止業(yè)務(wù)，更不應(yīng)敷衍地一致同意，而是真正做到為客戶著想，真正理解客戶、理解合規(guī)要求，并采取靈活多樣的保護(hù)措施。

（作者單位：普華永道商務(wù)咨詢〔上?！秤邢薰荆?/p>

責(zé)任編輯：孫 爽