銀行履行反洗錢義務仍須保護個人信息
2020年4月,某農商行因違規洩露客戶信息,除了被銀保監會罰款30萬元外,業務負責人還被禁止從事銀行業工作三年;另外有家股份制銀行,在未經客戶本人授權情況下,就向第三方提供個人銀行帳戶交易明細,違背銀行應為存款人保密的義務,最後直接被銀保監會消費者權益保護局立案調查。
在金融領域中,個人信息保護一直都很受官方重視,即使是在反洗錢工作上,人民銀行和銀保監會也都禁止銀行向第三方公開因履行反洗錢義務而獲得的客戶身分及交易信息。
銀行針對個人金融信息保護範圍,應結合銀發〔2011〕17號文《中國人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》,和行業標準《個人金融信息保護技術規範》(JR/T 0171—2020),其中可大致分為七類,分別是個人身分信息(基本信息和生物信息);個人財產信息;個人帳號信息;個人信用信息;個人金融交易信息;衍生信息和其他個人信息。
除了上述銀發〔2011〕17號文外,人民銀行還發過銀發〔2016〕314號文《中國人民銀行金融消費者權益保護實施辦法》,要求銀行履行保護個人金融信息安全的義務,並在銀保監會2019年第1號文《銀行業金融機構反洗錢和反恐怖融資管理辦法》中,進一步要求銀行業等金融機構不得向境外提供通過履行反洗錢義務所獲得的客戶身分和金融交易信息,這些都值得銀行在收集、保存、使用、對外提供個人客戶金融信息時多加留意。
銀行需嚴防在三種情形下洩露或濫用個人金融信息:
一、在建立和維持業務關係中導致個人金融信息流向銀行
銀行在收集個人金融信息時應遵循合法、合理原則,不得收集與業務無關的個人信息或採取不正當方式收集個人信息,舉例來說,銀行很容易在查詢個人徵信報告時,因未取得合法授權導致侵權,類似案例常見於法院判決銀行應書面道歉,並在銀行個人徵信系統中消除影響的實際案例。
二、金融集團出於反洗錢需要讓內部共用個人金融信息
雖然法規對金融集團內部共用信息沒有明文規定,但人民銀行仍在《金融控股公司監督管理試行辦法(徵求意見稿)》中,提及金融控股公司及其所控股機構在集團內部共用客戶信息時,應確保合規、風險可控並經客戶書面授權,以防止客戶信息遭到濫用。
取得個人同意或授權是集團內部要共用信息的先決條件,由於此類同意書或授權書均為銀行格式版本,銀行有必要以加黑加粗形式提醒客戶注意授權範圍和具體情況,並在醒目處以通俗易懂用語,明確提示授權或同意可能衍生的後果。
此外,位於境內外的總分行或母子行之間,對可疑信息的共用也要特別注意,須採用去識別化等方式進行脫敏處理,也就是要移除所有可辨識客戶身分的信息,以符合上述銀保監會2019年1號令規定。
三、銀行與第三方業務合作導將致個人金融信息外流
實務中,部分從事貸款仲介服務的公司會與銀行合作,銀行先通過徵信系統查詢個人徵信報告後,再答覆貸款仲介公司,關於該個人是否符合銀行信用卡的發卡條件,或是申請貸款的資格條件。銀行與第三方業務合作為避免洩露個人金融信息,應先做好以下四方面工作。
1.須獲得個人客戶同意或授權,而且要在格式文本醒目處,以顯著方式提醒客戶授權範圍及授權可能後果。
2.與第三方業務合作單位簽訂保密協定,防範個人金融信息被洩露。
3.除了採用加密技術外,還應對相關信息採取去標識化等方式進行脫敏處理。
4.對第三方的主體保密措施和能力分別進行評估,評估標準包含第三方是否了解提供個人金融信息的必要性、安全性、合法性,並評估信息主體本身造成的潛在風險,及第三方所能採取的防控措施有效性。未經評估或經評估仍存在顯著風險者,則不能向第三方提供個人金融信息。