2020年4月,某农商行因违规泄露客户信息,除了被银保监会罚款30万元外,业务负责人还被禁止从事银行业工作3年;另外有家股份制银行,在未经客户本人授权情况下,就向第三方提供个人银行账户交易明细,违背银行应为存款人保密的义务,最后直接被银保监会消费者权益保护局立案调查。
在金融领域中,个人信息保护一直都很受官方重视,即使是在反洗钱工作上,人民银行和银保监会也都禁止银行向第三方公开因履行反洗钱义务而获得的客户身份及交易信息。
银行针对个人金融信息保护范围,应结合银发[2011]17号文《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,和行业标准《个人金融信息保护技术规范》(JR/T 0171—2020),其中可大致分为七类,分别是个人身份信息(基本信息和生物信息)、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息和其他个人信息。
除了上述银发[2011]17号文外,人民银行还发过银发[2016]314号文《中国人民银行金融消费者权益保护实施办法》,要求银行履行保护个人金融信息安全的义务,并在银保监会2019年第1号文《银行业金融机构反洗钱和反恐怖融资管理办法》中,进一步要求银行业等金融机构不得向境外提供通过履行反洗钱义务所获得的客户身份和金融交易信息,这些都值得银行在收集、保存、使用、对外提供个人客户金融信息时多加留意。
银行需严防在三种情形下泄露或滥用个人金融信息:
一、在建立和维持业务关系中导致个人金融信息流向银行
银行在收集个人金融信息时应遵循合法、合理原则,不得收集与业务无关的个人信息或采取不正当方式收集个人信息,举例来说,银行很容易在查询个人征信报告时,因未取得合法授权导致侵权,类似案例常见于法院判决银行应书面道歉,并在银行个人征信系统中消除影响的实际案例。
二、金融集团出于反洗钱需要让内部共享个人金融信息
虽然法规对金融集团内部共享信息没有明文规定,但人民银行仍在《金融控股公司监督管理试行办法(征求意见稿)》中,提及金融控股公司及其所控股机构在集团内部共享客户信息时,应确保合规、风险可控并经客户书面授权,以防止客户信息遭到滥用。
取得个人同意或授权是集团内部要共享信息的先决条件,由于此类同意书或授权书均为银行格式版本,银行有必要以加黑加粗形式提醒客户注意授权范围和具体情况,并在醒目处以通俗易懂用语,明确提示授权或同意可能衍生的后果。
此外,位于境内外的总分行或母子行之间,对可疑信息的共享也要特别注意,须采用去识别化等方式进行脱敏处理,也就是要移除所有可辨识客户身份的信息,以符合上述银保监会2019年1号令规定。
三、银行与第三方业务合作将导致个人金融信息外流
实务中,部分从事贷款中介服务的公司会与银行合作,银行先通过征信系统查询个人征信报告后,再答复贷款中介公司,关于该个人是否符合银行信用卡的发卡条件,或是申请贷款的资格条件。银行与第三方业务合作为避免泄露个人金融信息,应先做好以下四方面工作。
1、须获得个人客户同意或授权,而且要在格式文本醒目处,以显著[C1]方式提醒客户授权范围及授权可能后果。
2、与第三方业务合作单位签订保密协议,防范个人金融信息被泄露。
3、除了采用加密技术外,还应对相关信息采取去标识化等方式进行脱敏处理。
4、对第三方的主体保密措施和能力分别进行评估,评估标准包含第三方是否了解提供个人金融信息的必要性、安全性、合法性,并评估信息主体本身造成的潜在风险,及第三方所能采取的防控措施有效性。未经评估或经评估仍存在显著[C2]风险者,则不能向第三方提供个人金融信息。
(本文作者系上海富拉凯会计师事务所反洗钱项目总监)