隱私保護落地要點及金融業典型實踐

翁澤鴻 陳雪夫 劉蓉

近年來，隱私與個人信息保護已經逐漸完成從立法到落地的過程，銀行作為金融業重合規體系下的先鋒，這方面的探索實踐首當其沖。本文旨在總結近年來個人信息保護的立法趨勢，理解合規及實務要點，提供銀行業典型實施路徑與實操建議。

全球隱私保護趨勢

自2018年歐盟《一般數據保護條例》（以下簡稱“GDPR”）正式生效并引發全球關注以來，全球多個主要國家和地區也先后配置了一系列與隱私保護相關的法規和標準。例如：美國的《加州消費者隱私保護法》（CCPA）、《加利福尼亞隱私權和執法法案》（CPRA），從不同立法層次、不同行業領域對隱私保護提出了要求;加拿大、俄羅斯、印度、馬來西亞、韓國、日本、中國香港、新加坡等國家和地區紛紛結合自身情況針對隱私保護出臺了專門的個人數據或個人信息保護法;中國則先后出臺了《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）《中華人民共和國數據安全法》（以下簡稱《數據安全法》）《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）及若干法規、標準，對新時代隱私保護挑戰進行回應。此外，仍有許多國家和地區正在籌備并可能在近年發布相關法規。

全球隱私保護已逐年呈現越來越規范、嚴苛、專業的態勢。不僅如此，從全球立法的趨勢來看，隱私保護不僅被賦予了人權和自由基座的地位，從執法和指導執法等層面備受關注的事件中也可以看出，各國在保護個人隱私權益之外仍存在其他考量。例如：美國前總統特朗普曾簽署行政令，禁止美國人或美國管轄范圍內的機構與微信或TikTok進行任何交易，最終以國家安全為由強迫字節跳動出售TikTok在美業務;2020年，印度以國家安全為由封殺大量中國App;近兩年間，歐洲國家大力推進數字稅、歐盟委員會發布《人工智能白皮書》，歐洲國家與數字經濟發達經濟體爭奪數據價值的期望日益顯著。

從以上事件中可以看出，全球隱私保護逐步展現出以下趨勢：一是價值訴求，從權利保護到與商業促進的融合與平衡;二是戰略定位，從立足國內利益調整的法律工具，到著眼國際利益重構的制度藩籬;三是制度趨勢，從單個國家自然生發的制度產物，到經貿關系和地緣政治撬動的融合演進。

隨著信息技術和生產生活方式的交匯融合，各類數據海量聚集，迅猛增長，對隱私的保護不僅是行業自發使然，更是國家管理的必然。數據發展與應用在創造價值的同時，也面臨著復雜而嚴峻的安全挑戰，如：公民個人信息和隱私數據被泄露的風險大大增加;行業或企業在利用大數據獲得信息價值時的風險持續累積;海量數據在采集、傳輸、存儲、處理過程中，增加了國家信息遭受攻擊的可能性，進而威脅到國家安全。對數據的掌控、利用以及保護能力，已成為衡量國家之間競爭力的核心要素。推進隱私保護，已不僅是企業為滿足法規的基礎要求，更是在全球博弈的大背景下，全面合規和構建信任的必要舉措。

我國隱私保護立法及監管體系

過去五年是我國隱私保護立法從草創到逐步完善的五年。從2017年開始實施的《網絡安全法》中對隱私保護的五條基本要求，到《信息安全技術——個人信息安全規范》（GB/T 35273-2020）《信息安全技術——個人信息安全影響評估指南》（GB/T 39335-2020），再到2021年《數據安全法》和《個人信息保護法》正式生效，從綜合立法到監管層面，我國依據三大法規及配套指引的監管態勢已初具雛形。

如表1所示，目前我國已初步形成“法律+指南+標準”的體系，亦可預期，對于隱私保護的合規管控將愈加完善。

對金融行業個人信息保護監管要點的理解

金融行業作為“強合規”的代表，監管機構在跟進國家法規要求以及指導金融企業落地時，大量標準也隨行業所遇重點、難點逐步出臺。僅2022年1月起，相關部門就出臺了多份重量級監管要求或指導意見（見表2）。

2022年3月，在銀保監會舉行的“銀行業保險業深入推進金融消費者保護”專題發布會上，銀保監會消保局表示2022年將開展銀行業保險業個人信息保護專項整治，推動銀行業保險業落實《個人信息保護法》，提升個人信息使用的規范性，保護消費者信息安全權。

從其他歷年來監管發文及須遵循的國標中可以很明顯地看出，在金融業，隱私合規不是一項獨立的工作，而是必須充分結合反洗錢、個人身份認證等監管要求，形成“融合”“兼顧”的合規方案（見表3）。

從最近發生的處罰案例中可以提取一些核心關鍵詞：一是未落實管理要求。監管要求是維護信息安全的底線，企業必須承擔起主體責任，提高數據安全意識。二是違規使用。企業致力于從數據資產中獲得價值，但同時也要防止客戶信息未經授權或被不當訪問，這就需要企業細化相關制度和流程，落實各層級管理責任，嚴格防止超范圍查看、操作及使用數據。三是個人責任。《個人信息保護法》中明確規定，“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益”，個人也會因違反法律法規而承擔相應個人責任。因此，企業應當加強培訓宣導，員工需要提升內控合規意識（見表4）。

從合規能力來說，銀行作為強合規遵從的第一線，各業務條線均已有大量的經驗和能力，但是卻在隱私合規中屢屢出現失誤，在落實管理、不違規使用等基礎問題上出現紕漏，其核心原因除了個人隱私數據帶來的巨大利益外，也有行業特點及法規不明確帶來的困難。一是除去包括線上、線下的官方渠道，部分業務如銀保合作、營銷活動、新渠道獲客等數據采集來源，涉及相關方多，數據來源雜，無法準確界定入行數據的合法性。二是在目前的法規實踐中，多數場景下單獨同意難以實現。例如，沒有準確的判斷方法來準確區分哪些是屬于需單獨同意的數據，哪些是不需要的。三是反洗錢、征信等業務活動，必須結合大量數據進行判斷，且必須接入外部數據源，在數據聚合后產生的合規影響不明確。四是數據治理不到位，無法繪制準確的數據地圖，導致難以落地隱私管控。五是各行在面對復雜合規問題時，均難以統一各方認識，明確牽頭方。

金融業合規落地實踐建議

需充分利用三道防線的組織體系。銀行業多年來利用三道防線的組織體系，可借鑒至隱私保護工作中，在任命DPO的同時，結合原有三道防線中分工的設計，將體系建設、操作合規和審查的工作恰當分配至各道防線中，在適配現有組織架構的同時，完全滿足《個人信息保護法》第五十二條關于信息保護負責人的要求（見圖1）。

采取的數據安全措施須嚴格遵循中國人民銀行和銀保監會的指引要求，采取高強度的保護措施，而不能僅遵循《個人信息保護法》中的通用要求。

現有系統開發設計流程中應考慮數據安全相關要求，作為數據控制者，各產品應建立數據安全評估制度。建議充分考慮銀行采集數據的特點，結合有關監管要求，包括在系統設計時增加隱私嵌入設計（PbD）需求，上線前進行個人信息安全影響評估（PIA），同時解決個性化展示、軟件開發工具包（SDK）、應用編程接口（API）、個人信息存儲及銷毀等問題。

使用加密和脫敏等措施時，充分考慮數據在不同狀態下所需采取的措施的不同，盡可能采取高效、安全的算法。

銀行對個人信息的處理，需適配多種合法性基礎，不完全基于同意處理數據。由于客戶身份識別、反洗錢等多重法律要求，銀行在選擇合法性基礎時，須判斷其數據使用的真實目的，進而選擇恰當的合法性基礎，避免過度依賴客戶同意導致的無法履行其他法定義務。

金融業典型場景分析

面對復雜的監管環境、業務難點和處罰案例，本文分析了在典型場景下，可供借鑒的隱私保護落地實施路徑。

場景一：銀行觸發個人身份信息聯網核查

具體場景：在預定期限內（如15個工作日）內，調取客戶信息，與第三方（電信運營商）實施聯網核查，以驗證數據的真實性，是否也需要獲取客戶同意。

在數據治理過程中，須確認客戶留存電話的真實性，會存在批量查詢手機實名的情況，該做法能否引用執行客戶識別相關法規，而無需征得客戶同意。目前對單獨同意的適用范圍仍存在不清晰和討論的空間，例如，如適用其他合法性基礎的情形下，是否還需單獨同意目前暫未出臺明確指引。但參考海外合規實踐，如GDPR合規實踐，如采取合法性基礎非同意，則無需采集同意。

場景二：向電信運營商查詢手機實名情況

具體場景：向運營商查詢手機實名情況是否屬于委托處理的范疇，該做法是否需要重復客戶單獨同意;如需要，應采用何種方式征得。

對于這種情況，有以下幾種解決方法。

一是基于《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》履行法定的實名義務時，其處理的合法性基礎是第十三條第三款，履行法定職責和義務，無需獲取單獨同意。

二是無論采取任何合法性基礎，銀行均需采取盡可能有效的手段，向數據主體（客戶）告知數據處理的方式，即滿足透明性的原則，因此，企業須在客戶有效接觸的渠道發布隱私政策，并用強制閱讀、彈窗、勾選等形式（非同意，而是確認閱讀）使客戶知悉、了解個人信息處理的方式。

三是可查詢行內數據庫可作為告知項之一，在隱私政策中告知。但需有合理理由，或可借鑒的各行實踐，界定保留的合理性。

四是數據治理過程中批量查詢收集實名：如僅出于數據治理目的，則超出實名查詢的既有范圍，需獲取用戶同意。但此場景更傾向于定期通過批量查詢確保客戶數據的真實性，在已告知且使用履行法定義務作為合法性基礎的前提下，無需額外措施。

場景三：客戶聯系信息變更，影響客戶的主體權益

具體場景：存量客戶原留存的手機號碼后續不使用時，運營商將手機號碼回收并重新發放，新用戶使用該手機號碼時，因數據治理或業務問題觸發短信發送，發至真實手機號使用者，引起真實手機號碼使用客戶的投訴。

存量手機號回收后觸發投訴，可歸類為個人信息不完整或不準確而影響客戶主體權利。

從實踐層面看，對于數據治理成熟度較低的企業，很容易產生因為數據不準確導致的誤觸權利侵犯的情景。作為數據治理的工作內容，應采取手機號驗證、運營商核對等措施，盡可能保障存儲數據的準確性，最大程度降低存量客戶手機號碼錯誤率。銀行還需保持客戶服務響應渠道暢通，將此場景作為常見業務，標準化至客服業務流程中。

同時，基于監管報送所需而開展的數據治理工作，可以和個人信息保護工作充分結合，利用客戶信息一致化，報送數據質量提升等過往工作的成果（如數據標準、數據資產清單等），結合《個人信息保護法》中對告知和準確性的要求，充分達成對外的客戶透明和對內的數據準確。

結語

隱私與個人信息保護是長期、復雜的合規工作。隨著法規越來越成熟，要求越來越嚴格，在滿足業務增長中對個人信息“渴望”的同時，要結合業務需求和場景設計合規保護動作，而非簡單地“一刀切”。同時，目前的法規要求依然具有不確定性，監管及客戶都在不斷提出新的要求和想法。因此，在使用個人信息持續創造價值的同時，關注數據倫理，做到尊重、保護、不濫用，是值得持續探討和持續投入的。銀行在面對復雜合規問題時，不應采用簡單的終止業務，更不應敷衍地一致同意，而是真正做到為客戶著想，真正理解客戶、理解合規要求，并采取靈活多樣的保護措施。

（作者單位：普華永道商務咨詢〔上海〕有限公司）

責任編輯：孫 爽