普华永道翁泽鸿团队：隐私保护落地要点及金融业典型实践

作者 | 翁泽鸿陈雪夫刘蓉

近年来，隐私与个人信息保护已经逐渐完成从立法到落地的过程，银行作为金融业重合规体系下的先锋，这方面的探索实践首当其冲。本文旨在总结近年来个人信息保护的立法趋势，理解合规及实务要点，提供银行业典型实施路径与实操建议。

全球隐私保护趋势

自2018年欧盟《一般数据保护条例》（以下简称“GDPR”）正式生效并引发全球关注以来，全球多个主要国家和地区也先后配置了一系列与隐私保护相关的法规和标准。例如：美国的《加州消费者隐私保护法》(CCPA)、《加利福尼亚隐私权和执法法案》(CPRA)，从不同立法层次、不同行业领域对隐私保护提出了要求；加拿大、俄罗斯、印度、马来西亚、韩国、日本、中国香港、新加坡等国家和地区纷纷结合自身情况针对隐私保护出台了专门的个人数据或个人信息保护法；中国则先后出台了《中华人民共和国网络安全法》（以下简称《网络安全法》）《中华人民共和国数据安全法》（以下简称《数据安全法》）《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）及若干法规、标准，对新时代隐私保护挑战进行回应。此外，仍有许多国家和地区正在筹备并可能在近年发布相关法规。

全球隐私保护已逐年呈现越来越规范、严苛、专业的态势。不仅如此，从全球立法的趋势来看，隐私保护不仅被赋予了人权和自由基座的地位，从执法和指导执法等层面备受关注的事件中也可以看出，各国在保护个人隐私权益之外仍存在其他考量。例如：美国前总统特朗普曾签署行政令，禁止美国人或美国管辖范围内的机构与微信或TikTok进行任何交易，最终以国家安全为由强迫字节跳动出售TikTok在美业务；2020年，印度以国家安全为由封杀大量中国App；近两年间，欧洲国家大力推进数字税、欧盟委员会发布《人工智能白皮书》，欧洲国家与数字经济发达经济体争夺数据价值的期望日益显著。

从以上事件中可以看出，全球隐私保护逐步展现出以下趋势：一是价值诉求，从权利保护到与商业促进的融合与平衡；二是战略定位，从立足国内利益调整的法律工具，到着眼国际利益重构的制度藩篱；三是制度趋势，从单个国家自然生发的制度产物，到经贸关系和地缘政治撬动的融合演进。

随着信息技术和生产生活方式的交汇融合，各类数据海量聚集，迅猛增长，对隐私的保护不仅是行业自发使然，更是国家管理的必然。数据发展与应用在创造价值的同时，也面临着复杂而严峻的安全挑战，如：公民个人信息和隐私数据被泄露的风险大大增加；行业或企业在利用大数据获得信息价值时的风险持续累积；海量数据在采集、传输、存储、处理过程中，增加了国家信息遭受攻击的可能性，进而威胁到国家安全。对数据的掌控、利用以及保护能力，已成为衡量国家之间竞争力的核心要素。推进隐私保护，已不仅是企业为满足法规的基础要求，更是在全球博弈的大背景下，全面合规和构建信任的必要举措。

我国隐私保护立法及监管体系

过去五年是我国隐私保护立法从草创到逐步完善的五年。从2017年开始实施的《网络安全法》中对隐私保护的五条基本要求，到《信息安全技术——个人信息安全规范》（GB/T 35273-2020）《信息安全技术——个人信息安全影响评估指南》(GB/T 39335-2020)，再到2021年《数据安全法》和《个人信息保护法》正式生效，从综合立法到监管层面，我国依据三大法规及配套指引的监管态势已初具雏形。

如表1所示，目前我国已初步形成“法律+指南+标准”的体系，亦可预期，对于隐私保护的合规管控将愈加完善。

对金融行业个人信息保护监管要点的理解

金融行业作为“强合规”的代表，监管机构在跟进国家法规要求以及指导金融企业落地时，大量标准也随行业所遇重点、难点逐步出台。仅2022年1月起，相关部门就出台了多份重量级监管要求或指导意见（见表2）。

2022年3月，在银保监会举行的“银行业保险业深入推进金融消费者保护”专题发布会上，银保监会消保局表示2022年将开展银行业保险业个人信息保护专项整治，推动银行业保险业落实《个人信息保护法》，提升个人信息使用的规范性，保护消费者信息安全权。

从其他历年来监管发文及须遵循的国标中可以很明显地看出，在金融业，隐私合规不是一项独立的工作，而是必须充分结合反洗钱、个人身份认证等监管要求，形成“融合”“兼顾”的合规方案（见表3）。

从最近发生的处罚案例中可以提取一些核心关键词：一是未落实管理要求。监管要求是维护信息安全的底线，企业必须承担起主体责任，提高数据安全意识。二是违规使用。企业致力于从数据资产中获得价值，但同时也要防止客户信息未经授权或被不当访问，这就需要企业细化相关制度和流程，落实各层级管理责任，严格防止超范围查看、操作及使用数据。三是个人责任。《个人信息保护法》中明确规定，“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益”，个人也会因违反法律法规而承担相应个人责任。因此，企业应当加强培训宣导，员工需要提升内控合规意识（见表4）。

从合规能力来说，银行作为强合规遵从的第一线，各业务条线均已有大量的经验和能力，但是却在隐私合规中屡屡出现失误，在落实管理、不违规使用等基础问题上出现纰漏，其核心原因除了个人隐私数据带来的巨大利益外，也有行业特点及法规不明确带来的困难。一是除去包括线上、线下的官方渠道，部分业务如银保合作、营销活动、新渠道获客等数据采集来源，涉及相关方多，数据来源杂，无法准确界定入行数据的合法性。二是在目前的法规实践中，多数场景下单独同意难以实现。例如，没有准确的判断方法来准确区分哪些是属于需单独同意的数据，哪些是不需要的。三是反洗钱、征信等业务活动，必须结合大量数据进行判断，且必须接入外部数据源，在数据聚合后产生的合规影响不明确。四是数据治理不到位，无法绘制准确的数据地图，导致难以落地隐私管控。五是各行在面对复杂合规问题时，均难以统一各方认识，明确牵头方。

金融业合规落地实践建议

需充分利用三道防线的组织体系。银行业多年来利用三道防线的组织体系，可借鉴至隐私保护工作中，在任命DPO的同时，结合原有三道防线中分工的设计，将体系建设、操作合规和审查的工作恰当分配至各道防线中，在适配现有组织架构的同时，完全满足《个人信息保护法》第五十二条关于信息保护负责人的要求（见图1）。

采取的数据安全措施须严格遵循中国人民银行和银保监会的指引要求，采取高强度的保护措施，而不能仅遵循《个人信息保护法》中的通用要求。

现有系统开发设计流程中应考虑数据安全相关要求，作为数据控制者，各产品应建立数据安全评估制度。建议充分考虑银行采集数据的特点，结合有关监管要求，包括在系统设计时增加隐私嵌入设计（PbD）需求，上线前进行个人信息安全影响评估（PIA），同时解决个性化展示、软件开发工具包（SDK）、应用编程接口（API）、个人信息存储及销毁等问题。

使用加密和脱敏等措施时，充分考虑数据在不同状态下所需采取的措施的不同，尽可能采取高效、安全的算法。

银行对个人信息的处理，需适配多种合法性基础，不完全基于同意处理数据。由于客户身份识别、反洗钱等多重法律要求，银行在选择合法性基础时，须判断其数据使用的真实目的，进而选择恰当的合法性基础，避免过度依赖客户同意导致的无法履行其他法定义务。

金融业典型场景分析

面对复杂的监管环境、业务难点和处罚案例，本文分析了在典型场景下，可供借鉴的隐私保护落地实施路径。

场景一：银行触发个人身份信息联网核查

具体场景：在预定期限内（如15个工作日）内，调取客户信息，与第三方（电信运营商）实施联网核查，以验证数据的真实性，是否也需要获取客户同意。

在数据治理过程中，须确认客户留存电话的真实性，会存在批量查询手机实名的情况，该做法能否引用执行客户识别相关法规，而无需征得客户同意。目前对单独同意的适用范围仍存在不清晰和讨论的空间，例如，如适用其他合法性基础的情形下，是否还需单独同意目前暂未出台明确指引。但参考海外合规实践，如GDPR合规实践，如采取合法性基础非同意，则无需采集同意。

场景二：向电信运营商查询手机实名情况

具体场景：向运营商查询手机实名情况是否属于委托处理的范畴，该做法是否需要重复客户单独同意；如需要，应采用何种方式征得。

对于这种情况，有以下几种解决方法。

一是基于《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》履行法定的实名义务时，其处理的合法性基础是第十三条第三款，履行法定职责和义务，无需获取单独同意。

二是无论采取任何合法性基础，银行均需采取尽可能有效的手段，向数据主体（客户）告知数据处理的方式，即满足透明性的原则，因此，企业须在客户有效接触的渠道发布隐私政策，并用强制阅读、弹窗、勾选等形式（非同意，而是确认阅读）使客户知悉、了解个人信息处理的方式。

三是可查询行内数据库可作为告知项之一，在隐私政策中告知。但需有合理理由，或可借鉴的各行实践，界定保留的合理性。

四是数据治理过程中批量查询收集实名：如仅出于数据治理目的，则超出实名查询的既有范围，需获取用户同意。但此场景更倾向于定期通过批量查询确保客户数据的真实性，在已告知且使用履行法定义务作为合法性基础的前提下，无需额外措施。

场景三：客户联系信息变更，影响客户的主体权益

具体场景：存量客户原留存的手机号码后续不使用时，运营商将手机号码回收并重新发放，新用户使用该手机号码时，因数据治理或业务问题触发短信发送，发至真实手机号使用者，引起真实手机号码使用客户的投诉。

存量手机号回收后触发投诉，可归类为个人信息不完整或不准确而影响客户主体权利。

从实践层面看，对于数据治理成熟度较低的企业，很容易产生因为数据不准确导致的误触权利侵犯的情景。作为数据治理的工作内容，应采取手机号验证、运营商核对等措施，尽可能保障存储数据的准确性，最大程度降低存量客户手机号码错误率。银行还需保持客户服务响应渠道畅通，将此场景作为常见业务，标准化至客服业务流程中。

同时，基于监管报送所需而开展的数据治理工作，可以和个人信息保护工作充分结合，利用客户信息一致化，报送数据质量提升等过往工作的成果（如数据标准、数据资产清单等），结合《个人信息保护法》中对告知和准确性的要求，充分达成对外的客户透明和对内的数据准确。

结语

隐私与个人信息保护是长期、复杂的合规工作。随着法规越来越成熟，要求越来越严格，在满足业务增长中对个人信息“渴望”的同时，要结合业务需求和场景设计合规保护动作，而非简单地“一刀切”。同时，目前的法规要求依然具有不确定性，监管及客户都在不断提出新的要求和想法。因此，在使用个人信息持续创造价值的同时，关注数据伦理，做到尊重、保护、不滥用，是值得持续探讨和持续投入的。银行在面对复杂合规问题时，不应采用简单的终止业务，更不应敷衍地一致同意，而是真正做到为客户着想，真正理解客户、理解合规要求，并采取灵活多样的保护措施。

作者单位：普华永道商务咨询（上海）有限公司

文章刊发于《银行家》杂志2022年第7期「金融科技」栏目

往期推荐

活动回顾&资料下载