一�����、人行對(duì)個(gè)人信息保護(hù)處罰的主要原因
1.1 未經(jīng)許可�����,擅自查詢和使用征信信息(東亞銀行�����、渣打銀行案);
1.2 未經(jīng)同意濫用客戶個(gè)人信息
(中信銀行與池子爭(zhēng)議案)
1.3 采集過多與業(yè)務(wù)無關(guān)的個(gè)人信息
(平安銀行天津分行案)
1.4 限制個(gè)人主張個(gè)人信息受保護(hù)的權(quán)利(建設(shè)銀行德陽(yáng)分行案)
二�����、個(gè)人信息�����、敏感信息�����、個(gè)人信息處理
引子 中國(guó)保護(hù)模式與歐洲GDPR模式類似
2.1 個(gè)人信息的內(nèi)涵和外延
2.2 個(gè)人敏感信息
- 商業(yè)銀行處理的個(gè)人信息都是敏感信息
- 采集個(gè)人人臉圖像信息應(yīng)注意的合規(guī)性
2.3 商業(yè)銀行的角色
- 既是個(gè)人信息處理者
- 也是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者
三�����、個(gè)人信息處理的主要原則
3.1 知情�����、同意原則
- 同意的書面形式
- 需要“單獨(dú)同意”的情形
3.2 公開�����、透明原則
- 披露個(gè)人信息處理的方式
3.3 可用�����、最小原則
- 平衡業(yè)務(wù)所需信息的數(shù)量
- 合理確定信息保存的時(shí)間
四�����、商業(yè)銀行個(gè)人信息從哪里來
4.1 來自于客戶盡職調(diào)查
4.1.1 個(gè)人客戶的基本信息
4.1.2 個(gè)人客戶的輔助信息
4.1.3非個(gè)人客戶所涉自然人信息
- 如“受益所有人”
4.2 來自于業(yè)務(wù)開展要求
- 如個(gè)人征信信息�����、個(gè)人工商戶經(jīng)營(yíng)信息
4.3 來自于從第三方獲取
- 如抖音等營(yíng)銷平臺(tái)跳轉(zhuǎn)�����、互聯(lián)網(wǎng)聯(lián)合貸款的合作方(涉征信資格)
五�����、商業(yè)銀行個(gè)人信息保護(hù)的重點(diǎn)方面
5.1 通過APP收集個(gè)人信息
- 《移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范》
5.2 特別關(guān)注處理個(gè)人生物信息
- 就收集和使用征得用戶的單獨(dú)同意�����;
- 避免將生物識(shí)別作為唯一的驗(yàn)證方式�����;
- 原則上不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息;
- 采取安全措施存儲(chǔ)和傳輸生物識(shí)別信息�����,
5.3 分級(jí)授權(quán)�����,限制內(nèi)部獲取個(gè)人金融信息
5.4 用戶畫像與自動(dòng)化決策
- 披露個(gè)人信息是否用于用戶畫像的用途�����;
- 消除明確身份指向性,盡量使用群體畫像而非個(gè)體畫像�����;
5.5 銀行科技信息外保風(fēng)險(xiǎn)管理
- 外包服務(wù)商設(shè)置外包準(zhǔn)入機(jī)制
- 對(duì)外包商獲取的信息采取措施保障安全
5.6 個(gè)人信息的刪除和銷毀
- 應(yīng)與反洗錢�����、客戶適當(dāng)性等要求期限銜接
(微信同號(hào))