禁业处罚、自查、整改，金融业打出整治侵害个人信息权益乱象组合拳

（图片来源：东方IC）

消费者，苦个人信息侵害久矣，尤其在金融消费领域，案件频发，常对消费者造成严重损失，而又以其隐蔽性、普遍性，导致屡禁难止。近日，蓝鲸保险注意到，围绕侵害个人信息权益乱象，监管以顶格处罚、要求银行保险机构自查整改等动作为行业再敲警钟。

三名保险从业者侵害个人信息遭禁业，银行保险业开展自查

近日，宁夏银保监局下发了两封针对个人的行政处罚书，所点名违法事由，均涉及侵犯公民个人信息。

具体来看，根据宁夏银保监局18号罚单，时任中国人寿财产保险股份有限公司宁夏分公司银川中心支公司创新电子部经理樊蓉、原中国人寿财产保险股份有限公司宁夏分公司员工刘璐因违反法律规定侵犯公民个人信息，分别遭宁夏银保监局禁止进入保险业5年的处罚。

同时收到罚单的，是时任中国太平洋财产保险股份有限公司宁夏分公司电网销业务部总经理徐无忌，同样因违反法律规定侵犯公民个人信息被禁止进入保险业5年。

罚单显示处罚依据，是《保险法》中：违反法律、行政法规的规定，情节严重的，国务院保险监督管理机构可以禁止有关责任人员一定期限直至终身进入保险业。

显然，三名保险从业人员侵犯公民个人信息的行为，被视为“情节严重”。

恰也在近期，银保监会在业内下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》，要求银行业保险业在个人信息保护方面的问题和漏洞进行全面梳理和排查，并督促银行保险机构建立健全消费者个人信息保护工作机制，完善个人信息收集、使用、存储、传输、删除等各环节管理流程和操作要求，提升个人信息管理规范性。

根据《通知》制定的时间表，今年8-9月为机构自查整改阶段，9-11月进入监管抽查阶段。

“其实监管部门和保险机构一直关注个人信息保护，但确实难以‘根治’，相关投诉也时有发生，各方都在努力”，多家保险机构向蓝鲸保险表态道。

“首先，国家在民事法律制度上虽然已经建立了相关的受害人保护制度，但是由于隐蔽性太强，防范和调查取证都比较困难，消费者个人往往无法举证来要求侵权赔偿”，对于个人信息侵害事件发生的屡禁难止，首都经贸大学保险系副主任李文中分析指出，“其次，虽然法律还从打击刑事犯罪和加大行政处罚方面加强了消费者个人信息的保护，但是由于执法力量有限，很多案件难以得到及时的调查与处理。”

个人信息泄漏危害明确，除可能会导致客户频繁被电话或者邮件骚扰，影响客户的工作与生活外，李文中还列举指出：可能会导致客户因隐私信息泄漏而社会评价降低；可能会导致客户因商业秘密被泄漏而市场竞争中处于不利地位；可能会使客户成为电信诈骗或其他犯罪活动的侵害对象。比如近年来监管持续打击的退保黑产，即涉及窃取倒卖个人信息。

监管、机构协同发力，布局内控、技术、人员端堵漏洞

数字化时代，个人信息受到侵犯的方式更为隐蔽、也更加多元，在此背景下，监管详列关于个人信息违规乱象涉及的具体行为，帮助银行保险机构进行自查。

“在大数据、云计算等科技手段的运用普及下，金融机构进入全面的数字化时代，科技成为前、中、后台各个环节的重要支撑力，这就使得机构运营的各个环节均涉及到信息的相关动作，从收集到处理、管理、保护等，都对相关机构提出了更高的要求”，一家保险机构消保部门负责人向蓝鲸保险分析指出，“且与一般行业相比，金融机构所触达的个人信息更为敏感、复杂，由此在一定程度上导致更易导致信息泄露等乱象产生。”

主要问题有哪些？根据监管汇总，侵害个人信息权益乱象主要涉及“个人信息存储和传输”“个人信息查询”“个人信息使用”“个人信息提供”“个人信息删除”与“第三方合作”七个方面。

具体来说，个人信息收集方面，涉及在未取得消费者同意的情况下，利用移动互联网应用程序（APP）获取手机通讯录、监测输入内容、监听语音收集消费者个人信息；未在官网、APP主动披露隐私政策；通过非法途径盗取或购买消费者个人信息等。

再如个人信息存储和传输方面，具体包括：电子数据存储管理混乱；违反规定下载、存储、记录消费者敏感个人信息；机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质等。

“侵犯个人信息的行为乱象具有普遍性和隐秘性”，一位保险业内人士提出观点，据其观察，在个人端，除部分恶意进行消费者信息盗窃或删除等违规行为外，还有诸多从业人员因合规意识不足、对信息便捷认知模糊、对信息保护敏感性低等原因，造成消费者相关信息的泄露。“这也是行业此前保险营销员整体素质较低、队伍大进大出，粗放经营下的后遗症之一。”

对此，银保监会也围绕员工对相关信息查询权限、使用个人信息进行营销等方面要求银行保险机构进行自查。

如何落实个人信息保护？李文中认为，首先，加强金融消费者个人信息保护的责任主体是金融机构，应当加强内控制度建设，运用科技手段加强内部防控与监督。

机构如何动作？以某保险机构的动作来看，“在保护消费者信息安全方面，公司首先是从战略层面进行明确，强调消费者权益保护的重要性，梳理明确、清晰的信息安全保护机制。基于此，建立严格、精准的客户信息操作授权机制。以及针对与第三方合作机构的信息安全管控，同时持续加强科技投入，扎实信息保护的技术基础，防止被盗”，前述保险机构消保部门负责人介绍指出，此外，在人员培训方面，包括客户信息保护和使用的内容也在持续推进，警钟长鸣。

其次，李文中建议，金融监管机构和相关的行业协会应当加强同司法机关的合作，充分利用现代科技手段强化案件预警和办理。

“对于消费者举报线索，公司都会进行甄别与调查，对于涉及侵犯消费者权益的员工和合作机构，将进行追索并配合有关部门进行调查、追责，不会姑息”，前述保险机构负责人表示。