银行保险机构哪些行为涉侵害个人信息权益？银保监会划了范围

8月10日，澎湃新闻获悉，银保监会近日发文，要求银行保险机构全面摸排本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况，深入查找本机构个人信息保护方面存在的问题，列出问题清单。

根据银保监会通知，银行保险机构侵害个人信息权益乱象主要表现形式包括个人信息收集、个人信息存储和传输、个人信息查询、个人信息使用、个人信息提供、个人信息删除、第三方合作等七个方面。

在个人信息收集上，主要包括未经同意收集个人信息、超出业务办理所必需的范围收集个人信息、强制要求同意使用信息、要求给予不合理的授权、要求概括授权、消费者信息审核不严谨等。

例如，在未取得消费者同意的情况下，利用移动互联网应用程序（App）获取手机通讯录、监测输入内容、监听语音收集消费者个人信息；利用有奖问答、赠送礼物等方式诱导消费者提供与本人业务或服务无关的个人信息。

在个人信息储存和传输上，银行保险机构侵害个人信息权益乱象主要包括：电子数据存储管理混乱、纸质材料保存管理混乱、通过不安全渠道传输个人信息、因系统或操作原因导致信息外泄等。

如，机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质；如未采取加密、脱敏等安全措施通过互联网邮箱、微信发送消费者个人信息数据；使用不符合安全要求的商业网盘存储分享个人信息数据等。

针对个人信息查询方面的侵权，银保监会指出，主要表现为查询权限管理混乱和查询业务操作不规范。比如，员工之间共用账号、借用账号查询消费者个人信息；银行账户信息查询业务操作不规范，存在未按规定留存查询授权材料、未经消费者同意私自查询、虚构理由和业务背景查询信息等问题；保险公司未对查询权限严格限制，导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。

对于个人信息使用方面的侵权，不少消费者有过深切感受的。银保监会指出，这方面的侵权行为主要为个人信息被用于不当营销、不当催收、撤回同意后继续使用，以及在未经消费者同意的情况下，利用已获得的消费者个人信息，擅自为消费者办理业务或冒充消费者办理业务等等。

比如，银行保险机构私自收集或违规收集消费者信息和联系方式用于营销；在消费者明确拒绝营销后仍继续营销；规避销售系统向消费者营销产品等。又如，利用消费者填写工作单位等信息或利用大数据筛选，向与债务无关的第三方发送催收信息或进行电话催收；在查询到的信息中筛选同一地区、姓名相近人员信息，拨打电话询问是否认识欠款人进行催收等。

而在个人信息的提供和个人信息删除上，银行保险机构侵害个人信息权益乱象主要表现形式为未经同意向他人或外部机构提供信息；违反法律、行政法规和国家网信部门规定，向境外提供个人信息；未明确个人信息删除要求；未及时删除个人信息。

例如，业务关系终结后，未按照约定或消费者的请求删除或销毁已收集的个人信息（法律法规另有规定的除外）；信用卡、贷款、保险等业务申请未获通过的，未将申请材料及时退还消费者或按规定删除、销毁，导致客户经理或保险代理人长期保存消费者个人信息等。

除此之外，银保监会还点出了与第三方合作机构合作不审慎、违反规定向第三方合作机构提供个人信息等乱象。如未有效监测第三方合作机构履行个人信息保护责任情况；合作机构出现侵害个人信息安全行为时未及时处置；向第三方合作机构提供个人信息超出合作业务必须范围、未进行必要脱敏；未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。

银保监会要求，各银行保险机构要逐一建档，确保整改到位、问责到位。对违反银行业保险业规章制度的问题，要依规处理；对不当操作行为，要立即叫停或纠正，出现泄露个人信息等严重侵害消费者信息安全权问题的，要问责到人；对涉及违法犯罪的问题，要移送司法机关惩处。