浅论个人信息保护法下信用卡业务合规挑战与对策建议

作者：中国银行银行卡中心 祝凯

《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）作为我国首部个人信息领域的基础性法律，对个人信息主体权利响应、敏感个人信息处理、信息泄露管理、合作机构管理等进行了明确要求。近年来，个人客户信息保护领域的“严监管”“重处罚”趋势日趋明显，人民银行、银保监会针对客户信息违规查询、泄露等问题开出多张罚单。信用卡是个人客户日常使用最为高频的金融产品，相关业务链条长、合作的第三方机构繁多，能否有效落实个人信息保护法要求，成为各家银行信用卡部门高悬在头的“达摩克利斯之剑”。

一、信用卡业务客户信息保护的三重挑战

金融领域个人信息治理并非一夕之功，早在2020年人民银行就下发了《个人金融信息保护技术规范》，围绕账户信息、金融交易信息、借贷信息等个人金融信息保护，提出了细化要求与标准化规范。个人信息保护法在《中华人民共和国民法典》等法律法规的基础上，进一步明确了个人信息的定义，完善了个人信息处理的规则，厘清了个人信息处理活动中的权利义务边界，进一步促进商业银行完善个人信息保护体系，强化客户信息保护能力，但同时也给商业银行处理信用卡客户相关信息带来合规挑战。

1. 获取信息处理授权的挑战

个人信息保护法第十三条、第十四条进一步明确了处理个人信息的合法性基础，除订立或履行合同所必需、法律法规规定应当保密或不需要告知以及其他合法处理个人信息的情形外，对于向其他个人信息处理者提供个人信息、处理敏感个人信息、向境外提供个人信息等特殊情形则需获得个人同意。此外，个人信息保护法还赋予了个人撤回同意的权利，明确个人信息处理者需提供便捷的撤回同意的方式。依据该规定，银行需全面梳理信用卡业务信息处理场景，并结合具体场景完善相应的授权规则，增加获取授权环节，这无疑将增加信用卡业务的合规流程。此外，新增客户单独授权同意及撤回同意选项涉及信用卡业务系统功能优化和技术改造，将考验各家银行系统的响应及处理能力。

2. 涉及多方处理个人信息的挑战

个人信息保护法第二十条、第二十一条分别就共同处理及委托处理个人信息情形进行了规定：对于共同处理信息，双方共同决定个人信息处理目的和处理方式，应约定各自的权利和义务，对于侵害个人信息权益造成损害的，应依法承担连带责任；对于委托处理信息，应约定委托处理的目的、期限、处理方式、个人信息种类、保护措施等，并对受托方活动进行监督。信用卡业务涉及的供应商、外包商众多，涉及处理客户信息的行为频繁，例如信用卡催收外包、第三方合作营销等，都涉及个人信息的委托处理，个人信息保护法上述要求进一步压实了银行的主体责任，提高了对第三方机构的日常管理要求。

3. 敏感信息内部合规管理的挑战

个人信息保护法第二十八条明确生物识别、特定身份、金融账户等信息均属于敏感个人信息，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可进行处理。此外，个人信息保护法第五十一条要求个人信息处理者应通过完善内部制度、开展信息分级管理、合理确定操作权限、增加应急预案以及员工培训等强化个人信息保护。上述规定一方面要求各家银行重检现有的数据加工处理流程，完善信用卡业务系统中查询、授权、管控等功能；另一方面将推动各家银行强化客户信息保护警示教育与日常培训，守牢防范客户信息泄露合规底线。

二、银行对策建议

个人信息保护法落地工作是一项系统工程，涉及信用卡业务全流程，商业银行应坚持全局观念，依据法律规定，结合具体业务场景进行制度完善、流程优化、系统改造；具体推进时应突出重点，区分轻重缓急，优先开展客户感知强、信息敏感度高的业务流程优化，清单式推进整改落地。此外，商业银行应重点关注员工异常信息查询管理，防范客户信息泄露风险。

1. 重检业务场景，完整获取授权

商业银行应根据个人信息保护法适用范围，重检个人信息的业务场景，厘清个人信息处理活动中所包含的具体个人信息种类和数量。除法律、行政法规规定应当保密或无需告知之外的个人信息处理活动，商业银行应依据个人信息保护法规定，补充完善个人信息处理前的告知内容，确保其真实、准确和完整；同时，需重点关注客户信用卡申领、应用程序使用等涉及客户敏感个人信息的处理活动，修订完善与客户签订的协议、个人客户信息授权书，以及隐私政策内容等相关文本，明确告知客户有关产品或服务提供者处理个人信息的情形，以及相关处理活动下的信息保护规则。此外，商业银行应完善系统功能与客户服务，为客户增设便捷的撤回同意的选项或渠道。

2. 做好合作方全流程管控

商业银行应对多方处理个人信息的业务场景进行分类与重检，并按共同处理或委托处理的不同情形补充明确各方的权利与义务，确定各方信息处理的目的与边界。在业务合作前，商业银行应开展个人客户信息保护影响评估，充分审查、评估合作机构保护个人客户信息的资质、能力和信誉；在合作过程中，应定期对合作机构所保护的个人客户信息进行安全检查或评估，判断合作机构个人客户信息保护能力是否达到法律法规及监管要求；合作结束后，应要求第三方合作机构及时清理相关客户信息。

3. 技防与人控相结合

商业银行应将强化系统管控与员工日常行为管理相结合，有效防范客户信息泄露：一方面，需完善客户信息安全的系统保护措施，针对涉及客户敏感信息应用系统、交互系统、交互页面等，积极推进数据脱敏、分级授权查询和专线传输改造，并对涉及客户信息系统的登录、查询、下载等行为进行日志标准化改造；另一方面，要制定分层、分类的员工培训与警示教育方案，对重点岗位员工开展“清单式”管理，加强员工尤其是一线操作员工合规培训，提高警示教育的有效性和针对性，明确客户信息禁止性行为和操作“高压线”。

本文刊于《中国信用卡》2023年第4期

声明：本文来自中国信用卡，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。