在大数据广泛应用、个人信息合规成为各方关注的背景下,在充分发挥数据价值的前提下,确保个人信息合规非常重要。相关企事业单位作为个人信息密集、个人信息监管处于前列的银行业和保险业,面临着严峻的安全挑战。
近日,中国银行业和保险监督管理委员会办公厅向银行和保险监督管理局、大型银行、股份制银行、外资银行、直销银行、金融公司、保险集团(控股)公司、保险公司发布了《关于银行和保险机构侵犯个人信息权益专项整治的通知》,要求各机构对2021年以来与消费者个人信息处理活动相关的经营行为和管理进行全面调查,深入发现机构个人信息保护存在的问题,并积极整改。
侵犯个人信息权益的银行保险机构非常普遍
根据文件披露,银行和保险机构侵犯个人信息权益的混乱,涵盖了个人信息从收集到删除的整个生命周期:
第一,个人信息收集。未经消费者同意,使用移动互联网应用程序(App)获取手机通讯录,监控输入内容,监控语音,收集消费者个人信息;不在官网,App积极披露隐私政策;通过非法手段窃取或购买消费者个人信息等。
第二,个人信息的存储和传输。例如,电子数据存储管理是混乱的。下载、存储和记录消费者敏感的个人信息违反规定。机构人员将下载未脱敏的消费者个人敏感信息,并存储在具有存储功能的终端或媒体上,如个人办公电脑、移动硬盘或U盘。
第三,个人信息查询。银行账户信息查询业务操作不规范,存在未按规定保留查询授权材料、未经消费者同意私下查询、虚构理由、业务背景查询信息等问题;保险公司对查询权限没有严格限制,导致没有权限的员工可以查询完整的保单号、投保人和被保险人的证件号、联系电话、联系地址等未脱敏的个人信息。
第四,个人信息的使用。例如,用于不当营销。私下收集或非法收集用于营销的消费者信息和联系方式;在消费者明确拒绝营销后继续营销;避免销售系统向消费者销售产品。
第五,提供个人信息。例如,未经同意向他人或外部机构提供信息。未经消费者同意,向外部机构或其他个人提供消费者个人信息;向外部机构或个人出售消费者个人信息。
第六,删除个人信息。未规定各类消费者个人信息、电子数据和纸质材料的保存期限和到期删除、销毁要求,未明确删除和销毁的程序和方法。
第七,第三方合作。向第三方合作机构提供超出合作业务范围的个人信息,不进行必要的脱敏;个人信息不通过互联网等不安全渠道通过有效加密传输给第三方合作机构。
侵犯个人信息权益的银行保险机构非常普遍,需要深入发现机构个人信息保护存在的问题,并积极整改。
版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档,如有版权意见,请及时告知安策公司,我们将及时查证纠正错误,谢谢支持。有问题请及时电邮 market@ SafePloy.com