日本金融个人信息保护启示录


来源:麻袋研究院    作者:苏筱芮    2020-9-2 9:53

大数据时代,个人信息保护正受到市场空前重视。

近年来,央视315晚会曝光了各类窃取个人信息的非法行径,引发社会高度关注。与此同时,伴随着App专项治理工作组的成立及《App违法违规收集使用个人信息行为认定方法》等文件的落地,我国个人信息保护领域的监管工作正有条不紊展开。

然而,就我国金融领域,尤其是银行业的个人信息保护工作而言,纲领性、针对性规范几乎处于空白状态,笔者比对了国内外银行的个人信息保护政策与监管架构等,发现还存在相当大的差距。

从国际视角来看,发达国家存有值得借鉴的先进经验,尤其是日本,在银行业的个人信息保护工作方面内容较为丰富、架构相对完整。基于此,笔者查阅了大量一手外语资料,挑选重点内容研究分析,试图为我国相关工作的开展提供一些实务参考。

一、日本银行个人信息保护的协会管理渠道

日本大型银行的隐私政策页面,均显著标明了个人信息保护相关咨询投诉渠道,除了银行自身的内部渠道外,还有来自外部的四类渠道,分别解析如下:

1.银行个人信息保护协会(All Banks Personal Data Protection Council)

银行个人信息保护协会成立于2005年,是由银行、银行控股股东、各地银行业协会等主体共同发起组建的自律组织,旨在引导会员单位正确处理用户信息。该协会由日本银行业协会牵头成立。

银行个人信息保护协会(下文简称“信息保护协会”)作为管理日本银行业机构个人信息保护工作的专门协会,是日本《个人信息保护法》授权的“个人信息保护团体”,官网显示,截至2020年7月27日,该协会共拥有242名会员,如表1所示:

针对会员管理,信息保护协会制定了专门章程。《银行个人信息保护协会章程》共十章三十九条,分别从会员资格管理、会费缴纳、董事监事及秘书处的设立、会长副会长的设立等角度予以规范。

协会接受来自外部的咨询与投诉,并在官网公布了日本各都道府县的联系方式,包括办公地址、邮编及联系电话,由协会特别会员——银行地方协会提供。

就咨询与投诉结果,协会还会按年度发布工作总结报告,从平成17年度(2005年)到令和元年度(2019年)连续披露了15年。笔者选取奇数年度的投诉量及咨询量数据,以观察协会成立以来的工作量变化:

可以看出,协会成立首年共受理474件工作案件,其中投诉为181件,咨询为293件;随着时间的推移,投诉数量先升后降,咨询数量稳步下降,整体来看案件总量也在下降。笔者认为,信息保护协会的建立为推动银行业个人信息保护工作带来了积极意义,让银行与个人的交流变得更加透明,也促使银行会员单位充分重视来自外部渠道的反馈,不断提升个人信息保护工作的水平能力。

信息保护协会针对个人信息保护工作制定的规范性文件,下文将有专门阐述。

2.日本证券业协会(Japan Securities Dealers Association)

日本证券业协会成立于1973年7月,是管理全国证券公司的注册协会,根据日本《金融商品交易法》设立,目前共拥有会员单位269家、特定业务会员17家、特别会员202家。

日本证券业协会下设名为“个人信息咨询室”的部门,接受外部信息反馈,并将工作数据定期公示在官网上。针对会员单位的个人信息保护工作,日本证券业协会制定了若干规范文件,如表2所示:

3.日本消费者信用协会(Japan Consumer Credit Association)

日本消费者信用协会成立于2009年,由1958年成立的国家信用协会、1967年成立的日本信用行业协会与2005年成立的信用个人信息保护促进委员会合并组成。截至2020年4月,该协会共拥有969名会员。

该协会同样设置了个人信息保护咨询窗口,同为日本《个人信息保护法》授权的“个人信息保护团体”,接受个人消费者对机构的咨询投诉,疫情期间仅能通过电话咨询,不负责现场接待。该协会还标注了咨询范围的除外事项:

  • 针对非协会会员的咨询投诉
  • 由申请人或其代理人以外人员提出的申请
  • 事件造成损害或与损害赔偿有关
  • 存在未决诉讼(包括民事调解)

4.日本金融期货交易协会(The Financial Futures Association of Japan)

日本金融期货交易协会成立于1989年8月,截至2020年7月末,拥有会员144家、特别会员3家。该协会亦是被官方认可的“个人信息保护团体”,设置了“个人信息咨询投诉窗口”以接受外部反馈。

二、日本银行个人信息保护的相关文件

本章从两方面阐述,首先聚焦银行个人信息保护协会,角度侧重银行业;其次扩大至全行业通用的《个人信息保护法》法系。

1.信息保护协会的五项规范文件

针对会员管理,银行个人信息保护协会从管理框架、技术标准等层面制定了五项规范文件,如表3所示:

日本银行版《个人信息保护指南》及别册《个人信息数据安全管理措施指南》,是信息保护协会针对成员制定的纲领性文件,从个人信息的定义、采集与使用、信息真实性确认、安全管理与监督措施、第三方共享数据管理、个人信息的对外披露规范、外包服务商的选择、储存/传输/删除等环节的处置规则、如何应对信息泄露事件等角度进行了全面而详细的规定。

《全国银行个人征信中心信息保护指南》及别册《全国银行个人征信中心会员安全管理措施指南》与《个人信息保护指南》框架接近,但其主要针对的是来自征信中心的个人信息。

《匿名加工信息规则》则包括了匿名加工信息的定义范围、规则创建等内容,并列举了大量官方范例,例如在处理具体地址信息时用XX县代替、将年龄信息“116岁”替换为“90岁以上”等。

2.《个人信息保护法》法系

日本在个人信息保护领域最为权威的法律当属《个人信息保护法》,该法诞生于2005年(正式实施),从总则、国家及地方公共团体职责、个人信息保护措施、个人信息相关从业者义务、杂则、罚则等进行了系统、全面的梳理。该法提出了“个人信息保护团体”的概念,为银行个人信息保护协会等协会组织制定规范性文件提供了法律依据。

图2是日本政府部门公布的《个人信息保护法》适用领域资料,该法第1-3章既适用于政府机关,又适用于民营领域;但第4-7章仅适用于民营领域。此外,在政府机关的个人信息保护方面,另有《行政机关个人信息保护法》、《独立行政法人个人信息保护法》等法律法规。

在法律层级上,日本与我国较为相似,最高层为宪法,其次为法律(国会颁布)、政令(内阁颁布)、省府令和条例等。日本政府就个人信息保护颁布了多项文件并构成了“法系”,在《个人信息保护法》法系中,主要文件如表4所示:

三、日本银行业个人信息保护工作的启示与思考

日本在金融个人信息保护领域所做的工作,具有一定的借鉴意义与参考价值,总结为如下四点:

1.完善的信息披露

笔者随机浏览了几家日本银行的官网,发现隐私政策页面均按照《个人信息保护指南》、《全国银行个人征信中心信息保护指南》等信息保护协会列示的五项文件进行详细披露,涵盖个人信息的定义、使用目的、信息采集渠道、安全措施管理、个人信息材料证明的披露程序等。

值得一提的是,日本针对银行客户个人信息的共同使用、第三方使用制定了详细方案。实际上,这也是我国个人信息保护工作中一块难啃的“硬骨头”,例如今年以来,在工信部发布的侵害用户权益APP的相关通报中,“私自共享给第三方”沦为重灾区。在日本各银行官网,可以观察到共同使用个人信息的商业机构名单:

完善的信息披露不仅体现在从业机构和自律协会层面,政府部门也会定期公示个人信息保护的工作成效,笔者在日本内阁府网站查询到相关数据披露:

备注:图4中,蓝色为咨询投诉案件数量,红色为信息泄露案件数量,由于内阁府数据的统计口径涵盖了全行业领域,因此案件数量显著多于银行个人信息保护协会发布的报告。不过,无论是信息保护协会还是内阁府,在经历了个人信息保护工作的各项规范后,相关案件数量均呈现出明显下降趋势。

2.明确的监督渠道

日本各大银行网站还披露了外部监督渠道,如果想要就个人信息保护问题进行咨询或投诉,可以按照公开方式联络:

日本银行在披露外部监督渠道的同时,也会披露内部监督渠道。据观察,目前国内银行仅存在内部监督渠道,即便个人可以通过“App个人信息举报”栏目向App专项治理工作组递交和查询举报内容,但未发现有银行将该类外部监督渠道对公众进行披露。

3.专门的部门协会

银行个人信息保护协会作为银行业针对个人信息保护工作而成立的专门协会,在维护金融消费者权益、提升会员机构工作水平方面发挥了积极作用。但这仅仅是协会层面。在政府层面,日本还拥有层级更高的部门——个人信息保护委员会(Personal Information Protection Commission,官方简称“PPC”)。

PPC作为内阁府的外局,是日本的行政机关之一,于2016年1月依照《个人信息保护法》成立,前身为2014年设立的特定个人信息保护委员会。官网显示,PPC设委员长1位、委员8位(常务与非常务各4位),以及特别委员5位。

与《个人信息保护法》类似,PPC同样对个人信息保护相关的团体组织进行了授权,认可其合法地位,涵盖银行个人信息保护协会等组织。

4.丰富的法规文件

丰富的法律法规及规范性文件,为日本个人信息保护监管体系筑牢根基。PPC官网披露了其主要法律框架,有两大“法系”,一个即是前文提到的《个人信息保护法》法系,另一个则与《个人号码(My Number)法》相关,如图6所示:

四、总结与展望

截稿前,笔者刚好看到中国互联网金融协会的李东荣会长新发表了题为《建设个人金融信息保护体系的必要性和紧迫性》的署名文章,其中提到“科学借鉴欧盟、美国、英国、日本等国家和地区立法经验”,再回顾这些天来对国外网站及文件资料的梳理,能深刻感受到,在构建个人金融信息保护体系的工作方面,我们还有很长一段路要走。

笔者认为,李东荣会长在文中提到的五项建议——“强化法律规范”、“严格行政监管”、“推进行业自律”、“加强机构自治”和“加强公众参与”,可以借鉴一部分日本经验,再结合我们自身的实际情况,找到着力点、瞄准落脚点:

强化法律规范方面,需加强顶层设计。我国《个人信息保护法》被列入全国人大常委会2020年立法规划,《个人金融信息(数据)保护试行办法》亦被央行列入2020年规章制定工作计划,截至目前尚未出台,笔者认为,如要推进行业自律,可参照日本将相关条款纳入法律,明确有关团体组织的合法地位,亦可以为自律组织制定更为细化的规范性文件提供法律依据。

严格行政监管方面,日本经验是成立一个全新的部门——隶属内阁的个人信息保护委员会以统筹全国不同行业的监管,但我国目前还没观察到相关讨论,如有类似考虑,或者需要明晰不同部门之间分工协作、权利义务的,也应尽早写入法律。

推进行业自律方面,日本经验是由各金融行业协会进行管理,涉及到银行业协会、证券业协会、消费者信用协会和期货协会等,但考虑到我国金融科技水平比较发达,中国互联网金融协会已牵头开展金融App实名备案等重要工作,因此不能完全照搬外国经验,而是需要结合实际“因地制宜”。

加强机构自治方面,笔者认为,要想加强机构自治,先要提升机构意识,有一些中小银行,连个人信息保护相关的内部联络渠道都没有披露,隐私政策更只有寥寥数行,自治水平与国外相比天差地别,需要政府部门、自律组织等加大监督和培训。

加强公众参与方面,笔者对李东荣会长所述的“加强违法违规行为举报奖励、举报人保护等机制建设”深表赞同,可参照日本经验,督促机构在其官方网站、App等开设专门页面公示举报渠道,亦可提升公众的参与度与个人信息保护意识。

道阻且长,行则将至。个人信息保护体系的建设虽长路漫漫但前景可期。以史为镜,我们能够看到日本在颁布《个人信息保护法》、建立个人信息保护的一系列制度后,其工作成效与社会口碑均不断提升。笔者亦期待,我国的《个人信息保护法》能够在吸纳众长后予以落地,使个人信息保护体系的建设之路早日迈上正轨。

关于本站联系我们手机版
Copyright © 2020 安知讯 粤ICP备11061396号 粤公网安备 44030602001878号