台資銀行在大陸應注意強化對個人金融信息保護工作。常見大陸的銀行因客戶信息保護不力,違反審慎經營規則被大陸銀保監會行政處罰;也有銀行在未經客戶本人授權情況下,就向第三方提供個人銀行帳戶交易信息,導致個人信息流至互聯網,被銀保監會消費者權益保護局立案處罰。
因此,台資銀行在大陸一樣應加強管理,防範違規洩露客戶信息的風險,並在收集、保存、使用、對外提供個人金融信息時,採取有效措施加強對個人金融信息保護,避免出現信息風險管理問題。
台資銀行首先要注意的是,在建立和維持業務關係時,個人金融信息會流向銀行,因此銀行在收集個人金融信息時,應當遵循合法、合理原則。不能收集與業務無關的信息,或採取不正當方式收集信息。最容易引發糾紛的領域,主要是銀行在查詢個人徵信報告時,若沒有取得合法授權,隨意查詢個人金融信息,會存在侵犯公民隱私權的侵權風險,此類案例中,法院判決銀行書面道歉並在個人徵信系統中消除影響的案件並不少見。
其次是在金融集團內部共用個人金融信息時,取得個人金融消費者的同意或授權,是集體內部共用的先決條件。由於此類同意書或授權書均是銀行格式版本,因此需要以加黑加粗的形式提醒客戶,加以注意授權的範圍和具體情形,並在醒目位置使用通俗易懂的語言明確提示,該授權或同意的可能後果。
由於2019年1號令《銀行業金融機構反洗錢和反恐怖融資管理辦法》,明確規定銀行業不得向境外提供,履行反洗錢和反恐怖融資義務獲得的客戶身份資料和交易信息,實務中,境內外總分行或母子行之間對可疑信息的共用,主要採用去識別化方式進行脫敏處理,也就是移除所有可辨識使用者身份的信息。同時,銀反洗發[2018]19號《法人金額機構洗錢和恐怖融資風險管理指引》中,對跨境信息保密做出嚴格規定,機構除了嚴格保密外,還需要建立跨境信息保密保障措施、內部跨境信息傳遞體系、風險控制流程和授權審批機制。
實務中台資銀行不可避免與第三方進行業務合作,個人金融信息則流向了第三方,此時尤其應慎重避免踩雷,起碼要做好以下四項工作:
第一、獲得個人金融消費者的同意或授權,格式文本的製作上需要以顯著方式提醒客戶授權範圍以及可能產生的後果。
第二、與第三方簽訂保密協議,以防範個人金融信息洩露。
第三、除採用加密技術外,還應對委託處理的信息採用去標識化等方式進行脫敏處理。
第四、對第三方主體保密措施和能力進行三方面評估,主要是向第三方提供個人金融信息的必要性、安全性、合法性;對信息主體可能造成的潛在風險以及第三方所能採取的防控措施有效性,未經評估或經評估存在顯著風險隱患時,不能向第三方提供個人金融信息。
(本文發自上海,網址www.mychinabusiness.com)