中國消費者報報道（記者聶國春）近日，銀保監會發布《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》（以下簡稱《通知》），劍指金融行業侵犯個人信息安全的七大亂象，切實保護金融消費者信息安全權。

劍指七大亂象

使用銀行APP竟然要監測心率和步數、未經同意查詢個人征信信息、擅自向他人泄露客戶交易明細……近年來，個人金融信息安全事件時有發生，多次引發公眾和監管機構的關注。

《通知》指出，當前，銀行保險機構侵害個人信息權益亂象主要表現在七大方面：

一是在個人信息收集過程中，金融機構在未取得消費者同意的情況下，利用移動互聯網應用程序(APP)獲取手機通訊錄、監測輸入內容、監聽語音收集消費者個人信息；未在官網、APP主動披露隱私政策；通過非法途徑盜取或購買消費者個人信息等。

二是在個人信息存儲和傳輸方面，電子數據存儲管理混亂，違反規定下載、存儲、記錄消費者敏感個人信息，有的機構人員超職權范圍將未經加密、脫敏的消費者個人敏感信息下載、存儲至個人辦公計算機、移動硬盤或U盤等具有存儲功能的終端或介質等。

三是在個人信息查詢方面，也是侵權重災區。具體表現在：銀行賬戶信息查詢業務操作不規范，存在未按規定留存查詢授權材料、未經消費者同意私自查詢、虛構理由和業務背景查詢信息等問題；保險公司未對查詢權限嚴格限制，導致不具備權限的員工可以查詢完整的保單號、投保人和被保險人證件號碼、聯系電話、聯系地址等未經脫敏處理的個人信息等。

四是在個人信息使用方面，有的機構私自收集或違規收集消費者信息和聯系方式用于不當營銷，或者在消費者明確拒絕營銷后仍繼續營銷，甚至規避銷售系統向消費者營銷產品等。

五是個人信息提供方面的問題也不少。例如，未經同意向他人或外部機構提供信息。在無法定事由，且未獲得消費者同意的情況下，將消費者個人信息提供給外部機構或其他個人；向外部機構或個人販賣消費者個人信息。

六是在個人信息刪除方面，部分金融機構未對各類消費者個人信息電子數據和紙質材料規定保存期限和到期刪除、銷毀要求，未明確刪除、銷毀的程序和方式。

七是在與第三方合作過程中，部分金融機構提供個人信息超出合作業務必須范圍、未進行必要脫敏，或者未使用有效加密方式通過互聯網等不安全渠道向第三方合作機構傳輸個人信息等。

易觀分析金融行業高級分析師蘇筱芮對《中國消費者報》記者表示，此次《通知》對銀行保險等金融機構侵害個人信息權益亂象作出了高度提煉與總結，一方面有助于歸納合規重點，另一方面也方便機構進行對標，在整改工作中有的放矢。

自查整改為主

針對《通知》列出的銀行保險機構侵害個人信息權益亂象主要表現形式，銀保監會要求各機構對照問題進行全面摸排，深入查找本機構2021年以來在個人信息保護方面存在的問題，列出問題清單。

據了解，本次專項整治工作以銀行保險機構自查為主，監管部門適時開展抽查和督導。銀行保險機構和各銀保監局要成立專項工作組，制定專門工作方案。具體來看，專項整治工作分為三個階段。

2022年8月至9月，各銀保監局組織轄內銀行保險機構(含保險專業中介機構)認真開展對照自查， 在自查基礎上及時完成整改。9月至11月，各銀保監局在機構自查基礎上開展監管抽查。12月2日前，各銀保監局應向銀保監會消費者權益保護局報送專項整治工作報告。

《通知》要求，各級監管部門要結合日常監管、現場檢查、舉報調查、投訴督查中發現的侵害消費者信息安全權問題開展監管抽查和督導，突出重點。對違反相關法律法規的問題，要依法依規嚴肅查處。

強化整治問責

數字經濟時代，銀行保險等金融機構也在著力打造數字金融，但在數據治理方面，個人信息安全卻頻頻出現管理漏洞。

如何從根源上杜絕此類問題？在蘇筱芮看來，這既需要金融機構自身加強制度監管，也需要不斷加大監管力度，嚴肅追責。

記者了解到，近年來監管部門對個人信息侵權行為明顯加大了行政執法力度。2020年10月，中行、農行和建行的6家分支行因侵害消費者個人信息安全權，被中國人民銀行合計罰款超4000萬元。2021年11月，浙江余姚一銀行行長沈某因侵犯公民個人信息權益獲刑3年，并被寧波銀保監局處以從業禁止五年的行政處罰。2022年1月，東亞銀行（中國）有限公司、北京銀行上海分行因違反信用信息采集、提供、查詢及相關管理規定，被中國人民銀行上海分行分別罰款1674萬元、255萬元。

對此，《通知》也明確要求強化整治問責。對于整治發現的問題，銀行保險機構要逐一建檔，確保整改到位、問責到位。對違反銀行業保險業規章制度的問題，要依規處理；對不當操作行為，要立即叫停或糾正，出現泄露個人信息等嚴重侵害消費者信息安全權問題的，要問責到人；對涉及違法犯罪的問題，要移送司法機關懲處。