青岛银保监局 王晓骁

2021年8月，十三届全国人大常委会表决通过《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），自2021年11月1日起实施。近期，青岛银保监局对照梳理银行经营管理中的常见问题，分析监管履职面临的突出风险挑战，并提出工作思路及相关建议。

一、商业银行存在的常见问题

（一）查询从业人员金融账户的法律保障措施不足

在数字化技术广泛运用于风控领域的背景下，商业银行搭建自动化风控管理体系，建立从业人员异常行为监测模块，查询筛选符合违纪、违法、违规特征的疑点信息，由分行进一步核实确认并开展整改问责工作。但监管发现，部分银行运用系统查询从业人员金融账户，未能采取充分有效的法律保障举措，导致违反《个人信息保护法》关于金融账户属于敏感个人信息、处理敏感个人信息应当取得个人单独同意的法律规定。有的银行虽然按照《中国银监会办公厅关于进一步加强银行业务和员工行为管理的通知》规定与员工本人签署协议获得授权或同意，但却随意扩大查询金融账户的对象范围，将从业人员配偶、亲属等关联人纳入监测。为了改进管控举措，规避法律风险及合规风险，有的银行要求本人配合提供个人征信报告、工商信息、账户流水等材料替代系统自动化查询，但“配合”是否对从业人员提供个人敏感信息形成强制性约束，能否对从业人员异常行为形成有效管控，有关情况值得持续跟踪关注。

（二）未甄别客户意愿随意发送商业信息

与运营商等第三方开展合作，向个人客户发送载有金融服务与产品宣传等各类内容的短信或微信，已成为商业银行普遍常用且简便快捷的营销方式之一。但在实践中，部分银行未足够重视《个人信息保护法》《消费者权益保护法》《中国银监会办公厅关于加强银行业消费者权益保护 解决当前群众关切问题的指导意见》中关于消费者授权或同意等约束条件，不甄别客户意愿随意向个人发送，或仅依赖运营商随机选号等方式发送，由此而引发客户不满的投诉、举报现象时有发生。例如，某银行经网上银行业务环节获取客户预留的手机号码，随后向其发送业务营销短信，客户受干扰后明确拒绝接收此类信息，但该分行未做相应处理，仍频繁多次向其发送营销信息。

二、监管履职面临的突出挑战

（一）个人信息保护对监管履职的法律限权易被忽视

《个人信息保护法》明确国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。《中华人民共和国银行业监督管理法》（以下简称《银监法》）修改草案征求意见稿，在原《银监法》对“银行业金融机构及其业务活动监督管理”规定的基础上，新增“对银行业金融机构从业人员的从业行为进行监督管理”内容，并且保留及明确了“在涉嫌金融违法的前提下监管部门有权查询工作人员以及关联行为人的账户”“需获得派出机构负责人的批准”要求。因此，在未满足法律规定的前提下，查询商业银行从业人员及其关联行为人的账户，以其作为获取涉嫌金融违法、违规的疑点线索方式，即使对相关信息的处理使用未对商业银行或其从业人员、关联行为人产生不利影响，但相关人员一旦知悉并掌握有关证据，可能引发对监管履职行为的信访、司法诉讼等情况。同时，法律明确了监管部门查询银行从业人员以及关联行为人账户需获得派出机构负责人的批准，也应引起足够重视，避免监管履职触犯红线。

（二）个人举报事项法律风险隐患较为突出

一是对冒名举报缺少有效甄别及反制措施。近年来，遇到以“实名举报”之名行“冒名举报”之实的情况增多，相关举报核查不仅潜在一定的法律风险，而且缺少针对冒名举报的有效反制措施。一类是有效身份信息资料缺失的“冒名举报”。部分举报意图规避提供身份证复印件等有效身份信息要求，蒙混实现冒充他人名义实施举报的目的，而受理环节一旦审查不严，即使核查发现冒名举报的情况，也较难做出妥善的后续处理。但更为隐蔽的是形式要件齐备的“冒名举报”，现行《银行保险违法行为举报处理办法》（以下简称《办法》）规定实名举报应提供本人有效身份信息，确保实名举报行为符合举报人的真实意思表示，但监管现有确认或核查手段难以有效甄别或充分防范故意利用“真实”的身份证复印件、虚假的联系方式进行冒名举报的情况。二是实名举报回复意见易忽视保护个人客户相关信息。《办法》未禁止举报他人银行业务违规行为，而部分举报人为实现特定目的向监管部门举报与其无关的个人业务情况屡见不鲜，监管通常将其作为揭示银行存在违规线索，但若回复意见反映涉及被举报人或其相关的业务信息，则存在泄露他人信息的风险或问题。

三、工作思路及相关建议

（一）优化商业银行对从业人员行为的管理机制

引导全面排查、评估、纠补涵盖员工异常行为等一揽子内控管理举措潜在的个人信息保护相关法律风险漏洞。探索优化监测系统的应用维度，在深度挖掘数字信息基础上，加强保密脱敏技术应用，严格查询访问权限，依法合规构建长期有效的从业人员行为管理监测机制。采用上下一致的工作方案，完善以定立承诺或签署协议等方式查询、获取员工个人信息，以最小必需原则，不得强制或随意扩大、脱离内控管理目标获取员工个人信息内容，严格有效防范各类违法侵害从业人员个人信息保护权益的行为。

（二）完善“以客户为中心”的信息保护与投诉处理机制

针对典型问题，加强规范营销宣传信息发布的合法性与合规性管理。确保在获得客户同意或授权基础上，约束与之建立合作关系的第三方运营商发送符合规定且制式统一的产品与服务信息。探索通过技术手段完善内部系统功能，查找筛选符合发送信息条件的目标客户，实现自建渠道以及运营商合作推送等方式下目标客户的精准选择。同时，各级商业银行重视健全个人信息保护领域的客户投诉处理机制，加强业务条线与经营单位之间、前台部门与中后台部门的充分有效协调，不断完善客户投诉事项的敏捷反应机制，同步有效改进金融服务，提升问题处理质效。

（三）构建完善依法履职与监管有效并重的工作机制

一是不断完善商业银行员工异常行为监管方式。坚持在法定职责所必需的范围和限度内履行监管职责，针对涉及个人信息敏感领域，采用差异化方式开展监督管理，探索运用科技手段收集公开渠道资源、加工管理型信息以及筛查非涉个人账户等领域的个人信息。同时，压实机构员工异常行为管理主责，推动完善自纠能力，加强内控案防管理水平。二是针对举报受理环节，加强对实名举报和匿名举报情况的甄别，严格依据受理条件审查举报资料，对不完整、不清晰或存在疑点瑕疵的材料及时补充完善。同时，建议从完善《银行保险违法行为举报处理办法》关于确保举报人真实意思表示角度，探索研究有效防范冒名举报的应对举措。针对回复环节，加强对举报回复意见相关内容的细致审查，防范泄露客户个人信息的法律风险。