近期,银保监会在业内下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(以下简称《通知》),要求银行业保险业在个人信息保护方面的问题和漏洞进行全面梳理和排查,并督促银行保险机构建立健全消费者个人信息保护工作机制,完善个人信息收集、使用、存储、传输、删除等各环节管理流程和操作要求,提升个人信息管理规范性。
《通知》剑指金融行业侵犯个人信息安全的七大乱象,切实保护金融消费者信息安全权。
1
个人信息收集方面
在个人信息收集过程中,金融机构在未取得消费者同意的情况下,利用移动互联网应用程序(APP)获取手机通讯录、监测输入内容、监听语音等,收集消费者个人信息;未在官网、APP主动披露隐私政策;通过非法途径盗取或购买消费者个人信息等。
耍保SaaS平台为加强个人信息安全工作,全面提高信息安全管理能力,规范信息安全管理组织体系,已建立健全个人信息安全管理机制,积极主动披露隐私政策。
2
个人信息存储和传输方面
在个人信息存储和传输方面,电子数据存储管理混乱,违反规定下载、存储、记录消费者个人敏感信息,有的机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质等。
耍保SaaS平台的权限角色功能,可以对不同职权的员工进行权限分配,数据之间进行安全有效隔离。
3
个人信息查询方面
在个人信息查询方面。这方面是侵权重灾区,具体表现在:银行账户信息查询业务操作不规范,存在未按规定留存查询授权材料、未经消费者同意私自查询、虚构理由和业务背景查询信息等问题;保险公司未对查询权限严格限制,导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。
耍保系统的权限角色功能,按员工职级分配权限,员工无法查看本机构其他人员的保单信息和订单信息,加上CRM策略设置功能的加持,开启客户信息脱敏功能后,下级员工也无法查看到完整的客户信息。
4
个人信息使用方面
在个人信息使用方面,有的机构私自收集或违规收集消费者信息和联系方式并用于不当营销,或者在消费者明确拒绝营销后仍继续营销,甚至规避销售系统向消费者营销产品等。
系统对客户信息进行脱敏处理,员工无法带走客户信息,从源头上杜绝不当营销的现象。
5
个人信息提供方面
在个人信息提供方面。例如,未经同意向他人或外部机构提供信息。在无法定事由且未获得消费者同意的情况下,将消费者个人信息提供给外部机构或其他个人;向外部机构或个人贩卖消费者个人信息。
6
个人信息删除方面
在个人信息删除方面,部分金融机构未对各类消费者个人信息电子数据和纸质材料规定保存期限和到期删除、销毁的要求,未明确删除、销毁的程序和方式。
公司已获得国家高新技术企业认证,国家信息安全等级保护三级认证,ISO 9001 国际质量标准认证, ISO27001信息安全管理体系认证,各机构间数据隔离,多重安全保障,筑牢个人隐私权益“保护墙”!
7
与第三方合作方面
在与第三方合作过程中,部分金融机构提供个人信息超出合作业务必须范围、未进行必要脱敏,或者未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。
耍保SaaS平台与各保司或第三方合作时,采用的是API接口对接形式,数据传输过程中通过加密技术进行,保障机构和个人信息的安全。
此次《通知》对银行保险等金融机构侵害个人信息权益乱象作出了高度提炼与总结,一方面有助于归纳合规重点,另一方面也方便机构进行对标,在整改工作中有的放矢。
耍保SaaS平台在赋能保险行业信息化建设时,重点关注信息安全保障,加强对服务器、网络设备的安全管理,提高业务数据传递过程中的安全性。在个人信息安全频出管理漏洞的环境下,耍保筑牢个人隐私权益“保护墙”!
