千万元级罚单对商业银行个人信息保护法律风险警示及应对防范措施

【内容摘要】：商业银行个人信息保护长期以来一直备受社会的关注。《个人信息保护法》的出台，对掌握着庞大客户个人信息的商业银行提出了更高的管理和服务要求。监管部门向商业银行频繁地开出大额罚单，肯定了严监管的力度和决心。商业银行作为个人信息处理者，目前存在的制度不完善，“知情——同意”未全面落实的现状下，建立个人信息数据资产库、完善制度管理、落实自证合规，对防范个人信息法律风险有着重要意义。

【关键词】：个人信息保护、商业银行、知情——同意、数据资产库、自证合规

2022年1月，中国人民银行上海分行与中国人民银行杭州中心支行分别开出1674万元、2236.5万元的千万级罚单（详见表-1），从行政处罚信息公示表中显示，违法行为类型包括：违反信用信息采集、提供、查询及未按规定履行可疑交易报告义务。业内来看，这些处罚类型与个人信息保护、反洗钱及数据治理有密切关系。基于此，本文梳理个人信息保护发展进程、商业银行个人信息保护现状及法律风险，提出商业银行对个人信息保护的应对防范措施。

表-1行政处罚信息公示表

一、个人信息保护在欧洲及国内发展进程

在个人信息保护领域，欧盟相比其他地区和国家，一直处于领先地位¹。1981年1月28日，在自动处理个人数据越境流动日益频繁的背景下，欧洲委员会各成员国在斯特拉斯堡签署第108号条约即《有关个人数据自动化处理的个人保护公约》，这是全球范围内有关数据保护的第一份具有法律约束力的国际性文件。1995年，欧盟发布《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》。2018年，欧盟理事会通过了《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR），这是20年来数据隐私条例最重要的变化，其颁布说明欧盟对个人信息保护和监管达到了最为严格的规定，立法者正努力满足欧盟的数据隐私和算法公平性原则，并提出信息处理前，取得有效的同意标准²，对于违规行为的处罚将会达到2000万欧元或年度全球营业额的4%（以较高者为准）。GDPR的适用范围不限于总部在欧盟地区的企业，而是覆盖到从欧盟公民处收集数据的所有组织，对于与欧盟产生的贸易关系的区域和国家都将或多或少的受其影响。

在我国《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）颁布前，商业银行保护个人信息的法律法规已有一段较完整的发展历史。1992年，国务院发布《储蓄管理条例》，规定“储蓄机构办理储蓄业务有为储户保密的责任”，向商业银行提出了保密的责任。1995年，全国人大常委会发布《中华人民共和国商业银行法》，在法律层面上规定“商业银行办理个人储蓄存款业务，应当为存款人保密的责任”。2005年《个人信用信息基础数据库管理暂行办法》的颁布对个人信用数据收集、加工、留存、查询、异议处理、用户管理、安全管理等方面进行了规范，要求商业银行获取个人信用信息时将当事人的知情权放在首位，开始设立商业银行的“告知”义务。2009年《刑法修正案（七）》和2015年《刑法修正案（九）》均明确指出侵犯公民个人信息将构成刑事犯罪，从刑事责任方面加大了惩罚力度。中国人民银行于2011年和2012年分别发布了《关于银行业金融机构做好个人金融信息保护工作的通知》（银发[2011]17号）和《关于金融机构进一步做好客户个人金融信息保护工作的通知》（银发[2012]80号）。以及之后的《居民身份证法》《关于加强网络信息保护的决定》《银行业消费者权益保护工作指引》《中国人民银行金融消费者权益保护实施办法》《网络安全法》《银行业金融机构数据治理指引》等都对商业银行保护个人信息起到指导、监管的作用。2021年1月1日，《中华人民共和国民法典》开始实施，明确了对个人隐私、个人信息以及个人数据的保护原则及立场。个人信息保护在长达30年的历史发展中，商业银行根据各类政策、法律法规，制定制度、管理办法和实施细则。（详见图-3）

图-3 我国个人信息保护法律法规发展进程

二、商业银行个人信息保护现状及风险警示

（一）制度管理粗放，基层分支机构频发违规现象

自1992年《储蓄管理条例》颁布，随着后续各法律法规的陆续出台，大部分银行在总行层面都有出台一系列的规章制度或操作指引，对个人信息查询、核实、变更、保管做出要求，对于行内各岗位处理个人信息设置了系统上的硬管理和控制。

《个人信息保护法》颁布后，在《中华人民共和国反洗钱法》、《个人存款账户实名制规定》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等法律法规规定下，商业银行触发个人信息违规处理事件频频发生。根据《中国金融机构从业人员犯罪问题研究白皮书（2021）》显示，因总行、省级分行员工不直接面对客户，违法利用客户信息的情况鲜有发生，中层、基层分支机构工作人员对客户个人信息进行核实、收集的过程中，因管理制度或操作指引不细化或管理培训不到位，个人信息保护在实际业务操作中未落地，造成无意违规查询客户个人信息而遭投诉或因工作原因或非工作原因违法违规查询、轻易获取客户个人信息甚至泄露、倒卖客户个人信息，与外部人员勾结，以此牟利的现象却屡见不鲜³（详见表-2）。因管理制度、操作指引以及系统设置不到位或未及时更新，给违规查询、收集、泄露客户个人信息的行为有了可乘之机。

表-2 涉案金融机构从业人员职务分布各年度对比

（二）信息共享第三方平台，脱离银行管控的风险

商业银行已普遍在手机银行、网上银行以及微信小程序中引入第三方合作平台，在未获得客户明确“知情”或未获得客户“同意”的情况下，引导客户进行注册、授权第三方平台查询客户信息等现象普遍存在。客户在商业银行信用背书的前提下，通过商业银行官网、APP、微信小程序等界面进入第三方平台。客户在第三方平台注册用户信息以及授权第三方平台查阅个人信息时降低防备心里，后因第三方平台泄露客户个人信息带来的损失，寻找商业银行“买单”的现象频频发生。或商业银行因业务发展需要，将客户个人信息主动共享与第三方平台，第三方平台获取信息，信息便开始脱离银行监控，此举无疑增加了客户信息泄露的风险。

（三）个人信息保护法律责任

1.民事责任与行政责任

《个人信息保护法》明确了违法、违规需承担的民事责任和行政责任⁴。承担民事责任时，对商业银行实行过错推定原则，增加了商业银行自证合规、合法的责任。《个人信息保护法》还将因违反该法提起诉讼的权利赋予了人民检察院、法律规定的消费者组织和由国家网信部门确定的组织。法律赋予侵犯个人信息公益诉讼的权利，势必增加了商业银行声誉风险和舆情风险。承担行政责任时，针对违法程度，从轻微的由执法部门责任改正，给予警告，没收违法所得等处罚措施；到情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等不同处罚程度的规定。在违规重罚的力度上，《个人信息保护法》参考了欧盟GDPR的做法，大大提高了商业银行在个人信息保护方面违规、违法的成本。今年开年监管部门频频开出的千万级罚单，用实际行动印证了处罚力度和严管的决心。

2.刑事责任

《中华人民共和国刑法（2020修正）》第二百五十三条之一 明确侵犯公民个人信息罪的刑罚。2017年5月8日，最高人民法院,最高人民检察院发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对侵犯公民个人信息罪的“国家有关规定”做了解释，包括法律、行政法规和部门规章。《个人信息保护法》属于其中的法律规定，商业银行及其从业人员违反个人信息保护，将可能被追究刑事责任。根据《中国金融机构从业人员犯罪问题研究白皮书》（2021）分析及研究，金融机构从业人员犯罪的判决中共同犯罪的占比高，除了传统的集资诈骗罪、非法吸收公众存款罪，还涉及到到保险诈骗、侵犯公民个人信息罪等。侵犯公民个人信息罪犯罪案件数量从2020年7起增加到2021年的8起。据此看出，刑事责任从立法层面已明确规定，实际中侵犯公民个人信息罪的犯罪现在屡禁不止。

三、商业银行个人信息保护防范措施

2021年11月1日，《个人信息保护法》正式实施，其为我国首部针对个人信息保护的立法，是个人信息领域的基本法律，构建了完整的个人信息保护框架。《个人信息保护法》明确定义了个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息；规定了个人信息处理采取对个人权益影响“最小的方式”、收集信息应当限于实现处理目的“最小范围”及保存期限应当为实现处理目的所必要的最短时间的“三最”原则；全面强化处理个人信息时应使得客户“知情”的职责，并取得客户的“同意”，处理敏感信息需要取得单独“同意”的处理规定。为此，建议商业银行做好如下信息防范措施：

（一）建立个人信息数据资产库，做好“硬”系统防护

总行层面设置数据资产管理部门，对现有个人信息数据资产进行梳理盘点、统计、清理。根据《个人信息保护法》、《个人金融信息保护技术规范》、《个人信用信息基础数据库管理暂行办法》等规定采取相应措施：一是对数据分类分级管理，按照数据的敏感程度，从高到低分为C3、C2、C1三个级别，并对每条数据的查询、修改、删除等设置处理权限；二是落实数据处置的风险监控预警报告，防止未经授权的访问，避免基层分支机构因“软”系统，如制度不完善或培训不到位而误操作、误处理数据造成个人信息泄露、篡改、丢失，从“硬”系统方面加强对客户个人信息的保护；三是数据处理过程中采取匿名化、去标化等安全技术措施。

（二）细化个人信息数据保护制度，覆盖数据全生命周期

个人金融信息生命周期包括个人金融信息的收集、传输、存储、使用、删除、销毁等处理的整个过程。商业银行作为个人信息处理者，明确行内个人信息保护责任机构，制定信息保护的规章制度和操作指引，与系统相结合，对个人信息数据处置按类别、分层次、全周期进行管理。在建立制度的基础上，加强商业银行从业人员的执业道德培训，风险始终来自于人，使员工敬畏监管、敬畏法律，促进个人信息合规合法处理。个人信息保护制度和操作指引在业务操作中落地。

（三）自证合规，“知情——同意”有迹可循

“知情——同意”是个人客户信息保护原则的核心。商业银行在收集处理个人客户信息前，应充分获得客户同意，并履行告知义务：一是商业银行在线下处理个人信息时，应以显著方式、清晰易懂的语言，知情客户信息处理的目的；客户协议文本中，避免使用“开放性”词语，应以明确的表达方式知情客户处理的目的、方式、范围等，保存好知情和客户同意的签字文本。二是商业银行通过APP、微信公众号、网站等渠道处理客户信息时，避免使用大量冗杂信息，应该同样使用清晰易懂的文字知情客户；避免将默认视为同意，应当设置强制阅读，可以引入滚动触底式、计时式等方式。三是根据数据资产库的等级，对于敏感信息要确保取得客户的“单独同意”。四是线上处理个人信息，需要保存处理信息的日志，以备后续“自证合规”有迹可循。

四、结语

商业银行应主动迎接《个人信息保护法》带来的新机遇与挑战，积极做好个人信息安全防护，建立数据资产库，确保精准服务、专业、敏捷地识别和保障个人信息数据，将压力转为助力，保证个人信息权益的同时，实现商业银行向金融数字化升级。

参考书目：

1.刘恩泽.欧盟《一般数据保护条例》监管实效与影响.银行家, The Chinese Banker, 2022（02）：136-139。

2.于甡甡.《境内外法律环境趋势严态势下银行如何保护个人数据？》 .《中国银行业》,2020（1）：90-93。

3.余保才.《金融科技发展对商业银行个人信息保护的挑战及应对策略》.南方金融2020（529）：78-90。

4.韩晓莹.《商业银行个人信息保护法律分析与措施建议》. 现代金融导刊 2021（04）：72-75。

5.中国司法大数据研究院等单位编写《中国金融机构从业人员犯罪问题研究白皮书（2021）》。

作者：浙江利群律师事务所   叶  萍   15067668220  

浙江利群律师事务所   毛余洋   18358665058