银保监会将开展银行保险侵害个人信息权益乱象专项整治

近日，银保监会办公厅下发通知称，将开展银行保险机构侵害个人信息权益乱象专项整治工作。

通知表示，各机构要对照“银行保险机构侵害个人信息权益乱象主要表现形式”，全面摸排本机构2021年以来与消费者个人信息处理活动相关的经营行为和管理情况，深入查找本机构个人信息保护方面存在的问题，列出问题清单。

通知提到，当前，银保监会披露的银行保险机构侵害个人信息权益乱象主要有：

一是个人信息收集。在未取得消费者同意的情况下，利用移动互联网应用程序（App）获取手机通讯录、监测输入内容、监听语音收集消费者个人信息；未在官网、App主动披露隐私政策；通过非法途径盗取或购买消费者个人信息等。

二是个人信息存储和传输。如，电子数据存储管理混乱。违反规定下载、存储、记录消费者敏感个人信息。机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质等。

三是个人信息查询。银行账户信息查询业务操作不规范，存在未按规定留存查询授权材料、未经消费者同意私自查询、虚构理由和业务背景查询信息等问题；保险公司未对查询权限严格限制，导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。

四是个人信息使用。如，用于不当营销。私自收集或违规收集消费者信息和联系方式用于营销；在消费者明确拒绝营销后仍继续营销；规避销售系统向消费者营销产品等。

五是个人信息提供。如，未经同意向他人或外部机构提供信息。在无法定事由，且未获得消费者同意的情况下，将消费者个人信息提供给外部机构或其他个人；向外部机构或个人贩卖消费者个人信息。

六是个人信息删除。未对各类消费者个人信息电子数据和纸质材料规定保存期限和到期删除、销毁要求，未明确删除、销毁的程序和方式。

七是第三方合作。向第三方合作机构提供个人信息超出合作业务必须范围、未进行必要脱敏；未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。

通知要求，强化整治问责。对于整治发现的问题，银行保险机构要逐一建档，确保整改到位、问责到位。对违反银行业保险业规章制度的问题，要依规处理；对不当操作行为，要立即叫停或纠正，出现泄露个人信息等严重侵害消费者信息安全权问题的，要问责到人；对涉及违法犯罪的问题，要移送司法机关惩处。

根据通知，本次专项整治工作以银行保险机构自查为主，监管部门适时开展抽查和督导。确保全面覆盖与消费者个人信息处理相关的业务环节、员工行为和管理流程。银行保险机构和各银保监局要成立专项工作组，制定专门工作方案。

通知显示，本次专项整治工作有三个阶段：

一是自查整改阶段。2022年8-9月，各银保监局组织辖内银行保险机构（含保险专业中介机构）认真开展对照自查，在自查基础上及时完成整改。

二是监管抽查阶段。2022年9-11月，各银保监局在机构自查基础上开展监管抽查。抽查对象和抽查数量由各银保监局根据辖区情况自行决定，应突出重点机构和重点业务。

三是总结汇报阶段。各银保监局应于2022年12月2日前，向银保监会消费者权益保护局报送银行保险机构侵害人信息权益乱象专项整治工作报告。