《個人資訊保護法》正式實施 銀行App這些改變與你有關

中新經緯11月1日電 （魏薇）近日，北京的李女士注意到，不少銀行的App已經更新，並自動彈出了某某銀行的客戶協議與隱私政策。這些變化與11月1日起正式實施的《個人資訊保護法》密切相關。

中新經緯發現，近日部分銀行已經開始更新電子銀行個人客戶服務協議、使用者服務須知並展示相關的隱私政策。哪些與儲戶個人資訊相關的內容進行了修改？長長的格式條款要重點關注哪些內容？中新經緯為你一一劃重點。

不同個人資訊分級處理

《個人資訊保護法》的一大亮點，就是對個人資訊進行了界定，區分了敏感個人資訊與非敏感個人資訊。

哪些是敏感個人資訊？根據《個人資訊保護法》，敏感個人資訊指一旦洩露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊，以及不滿十四周歲未成年人的個人資訊。

“《個人資訊保護法》建立了以告知同意作為核心的資訊處理原則。對於金融機構而言，處理的很多資訊都屬於敏感個人資訊，比如金融賬戶等，對於敏感資訊的保護區別於一般個人資訊，保護要求會更高。”某股份行信用卡中心消保部人士在接受中新經緯採訪時表示。

中新經緯瞭解到，針對敏感個人資訊的處理，《個人資訊保護法》要求處理敏感個人資訊應當取得個人的單獨同意。法律、行政法規規定處理敏感個人資訊應當取得書面同意的，從其規定。“個人在與銀行等其他行業建立業務關係時，為了加大合約簽訂的效率，往往使用的是格式條款，也就是說事先並未和客戶進行充分協商。”該人士說。

他分析稱，之前機構會把客戶授權銀行採集使用、加工或者對外提供某些資訊的授權內容，直接放到信用卡的領用合約或者章程裡面，讓客戶統一做授權，但是現在對於個人敏感資訊對外提供或者使用方面，都要求透過單獨同意的方式。所謂的單獨同意，也就是不允許透過格式條款這種方式來“概括性的統一”。他直言，這對銀行的業務模式將是一個非常大的挑戰。

中新經緯查閱多家銀行App最新更新的個人隱私政策發現，銀行方面將與客戶權益存在重大關係的條款和個人敏感資訊，採用粗體字進行標註。

在如何取得客戶明示同意和單獨同意方面，華夏銀行相關負責人在接受中新經緯採訪時介紹，一是銀行在業務辦理協議的相關條款中，涉及個人客戶資訊的收集、使用的，透過採用字型加黑等顯著方式向個人客戶進行告知，同時增加強制閱讀時間，確保客戶完全閱讀後明確勾選相關協議；二是客戶透過線上渠道辦理業務或開通具體功能前，會明確告知客戶獲取資訊範圍，並經客戶在頁面操作表示明確同意後，才會開始收集明示收集範圍內的資訊。如客戶不同意，則中止該項業務功能的辦理和開通，其他業務不受影響。

有權撤回同意

中新經緯注意到，《個人資訊保護法》要求，賦予個人撤回同意的權利，在個人撤回同意後，個人資訊處理者應當停止處理或及時刪除其個人資訊。

中國銀行法學研究會理事肖颯在接受中新經緯採訪時介紹，《個人資訊保護法》中“同意撤回”是指個人資訊主體基於“告知同意”原則，對自己已經作出的“同意資訊處理者對其個人資訊進行處理”的授權予以取消的意思表示。

“客戶同意之後，也享有撤回同意的權利。之前可以同意，但是如果一旦客戶改變主意了，也可能會撤回同意，銀行也需要保障客戶履行撤回獨立的權利。如何透過業務設定、業務流程去保障其權利，這對於銀行系統建設要求非常高，也會對業務流程產生很大變化。”上述消保部負責人談道。

以招商銀行為例，中新經緯在招商銀行App的個人隱私政策中看到，使用者可以透過手機系統許可權設定、招商銀行App的“設定—安全中心—授權管理”頁面、聯絡客服等方式改變部分授權該行收集個人資訊的範圍或撤回授權，也可以透過登出該行一網通使用者的方式，撤回該行繼續收集個人資訊的全部授權。

民生銀行信用卡中心審計專家、合規總監閆春仲介紹，該中心對客戶個人資訊進行收集時，收集過程會取得客戶授權，並給客戶提供撤回授權的相關途徑。同時，透過公示方式明確該中心處理個人資訊的相關規則。

肖颯進一步指出，《個人資訊保護法》要求個人資訊處理者提供便捷的撤回同意方式。就“便捷”而言，銀行應當依照相關國家標準的精神，其便捷程度宜與給予授權的便捷程度相對等。因此，銀行一方面應當提供“便捷”的撤回方式，另一方面應當在享有撤回權的主體撤回同意後，即時終止處理個人資訊且有效刪除儲存的資訊。

值得注意的是，在個人首次授權之後，一些個人資訊很容易會被複制走，客觀上已經造成了資訊流失。

對此，肖颯認為，對於姓名、身份證號、手機號、地址等靜態、簡短的資訊在個人給出後極易流失，基本上一經給出就無法再有效撤回。並且在實踐中即使撤回同意後，後續資料處理者也很難控制資料的流轉。

肖颯指出，《個人資訊保護法》第15條第2款明確“撤回同意不影響撤回前基於個人同意已進行的個人資訊處理活動的效力，但需停止處理或及時刪除其個人資訊。”也就是說，《個人資訊保護法》上的撤回權不是將個人資訊的存在狀態回溯到被給出之前，而是要求資訊處理者以此為時間節點，終止收集處理個人資訊並將已經獲取的個人資訊刪除。《個人資訊保護法》賦予公民此項權利的意義在於保障公民對個人資訊擁有更多的決定權，充分體現了對公民人權、人格尊嚴和隱私的保障和尊重。

進一步加強第三方合規准入

在日常生活中，我們經常會遇到，搜尋了某一商品後，在另外的App上會出現相關內容或產品推薦。這就涉及到跨平臺資訊的收集、儲存、共享、使用個人資訊的行為。

《個人資訊保護法》第23條規定，個人資訊處理者向其他個人資訊處理者提供其處理的個人資訊的，應當向個人告知接收方的名稱或者姓名、聯絡方式、處理目的、處理方式和個人資訊的種類，並取得個人的單獨同意。

另外，接收方應當在上述處理目的、處理方式和個人資訊的種類等範圍內處理個人資訊。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

上述信用卡中心消保部人士介紹，該中心與網際網路平臺合作時，主要利用的是平臺流量的導流功能，所有客戶在申請信用卡時，需要導流渠道跳轉到銀行自有的連結上，去填寫相關的個人資訊，這些資訊全部都在銀行、受銀行控制，而且這些資訊不會共享給網際網路平臺。

在談到《個人資訊保護法》對銀行帶來的挑戰時，華夏銀行相關負責人稱，《個人資訊保護法》對大型網路平臺的資訊保護加強了監管，如對平臺內嚴重違法處理個人資訊的產品或者服務提供者，將強制其停止提供服務。上述規定也對銀行與第三方業務合作管理提出更高要求，銀行需要進一步加強三方合規准入，最佳化與第三方的合作模式及業務流程，強化個人資訊保護全流程的協同式穿透管控，提前與三方制定協同應急措施及風險控制策略。

“未來銀行應該加強與第三方關於個人資訊保護職責邊界的區分管理。”上述負責人稱。

個人要注意哪些條款？

中新經緯注意到，不少銀行已經開始在更新個人隱私條款。比如華夏銀行相關負責人對中新經緯介紹，該行嚴格落實客戶資訊保護工作要求，手機銀行每次新功能上線，如涉及新增採集客戶資訊，或涉及到資訊與第三方共享等情況，會同時更新《華夏銀行手機銀行隱私協議政策》供客戶閱讀知悉，並在功能的操作頁面進行提示引導，待客戶同意後再行辦理資訊採集、儲存或傳輸等。

不過，雖然銀行採取了黑體加粗、延長閱讀時間等方式，但是仍會有部分客戶只是勾選協議，並不會仔細閱讀相關條款。那麼在長長的條款中，使用者需要著重閱讀哪些？肖颯律師提醒，使用者可以著重閱讀以下幾個條款：一、涉及向第三方提供個人資訊的條款；二、涉及公開個人資訊的條款；三、涉及在公共場所安裝影象採集、個人身份識別裝置，用於維護公共安全之外的其他目的條款；四、涉及敏感個人資訊條款；五、涉及個人資訊出境的條款。

此外，涉及不滿十四周歲未成年人個人資訊的條款，本人及其監護人應當額外注意，及時向工作人員諮詢。（中新經緯APP）

中新經緯版權所有，未經書面授權，任何單位及個人不得轉載、摘編以其它方式使用。

更多精彩內容請關注中新經緯（jwview）官方微信公眾號。