《中华人民共和国个人信息保护法》从11月1日开始施行，其中明确了不得过度收集个人信息、大数据杀熟，对人脸信息等敏感个人信息的处理作出规范，个人信息保护有了“安全锁”。对此，银行业的反应如何，业务上有哪些调整?

11月1日，《中华人民共和国个人信息保护法》正式生效，这意味着我国对个人信息安全的保护进入了新的历史时期，我国公民的个人信息安全及隐私保护走上了新台阶。

个人信息保护再进一步

近年来，个人数据泄露引发的诈骗事件屡禁不止。中国互联网络信息中心最新数据显示，截至2021年6月，遭遇个人信息泄露的网民比例约为22.8%;遭遇网络诈骗的网民比例为17.2%;遭遇设备中病毒或木马的网民比例为9.4%;遭遇账号或密码被盗的网民比例为8.6%。

“为了获得平台公司的金融服务，中国的消费者往往需要向其提供个人信息。大型平台公司存在过度收集、甚至滥用消费者信息的情况，不利于消费者信息安全和隐私保护。”近日，中国人民银行行长易纲在在国际清算银行(BIS)监管大型科技公司国际会议上表示。

据了解，监管对个人信息保护一直较为重视，自2016年起，陆续出台了《网络安全法》《数据安全法》和《个人信息保护法》，着手治理信息收集和“霸王条款”，督促金融机构严格按照合法、正当、最小必要原则收集、使用和保管用户信息，充分保障个人隐私和消费者知情权、同意权、异议权、投诉权等合法权益。

中国银行法学研究会理事肖飒认为，在我国公民的数据权得到进一步保障的同时，银行等金融机构将面临更加严格和全面的监管。从长远来看，《个人信息保护法》不仅保障了公民的隐私权、人格权等一系列宪法权利，也能有效防止数据资源被不法分子利用给个人和社会造成损害。这是我国在信息化时代的重大战略布局，银行等征信机构只有明确法律红线，在规范之内开展业务才是顺应时代所需，顺应人民所求的正确行为。

部分银行App用户协议发生改变

近日，有不少银行客户发现，部分银行的App已经开始更新电子银行个人客户服务协议、用户服务须知并展示相关的隐私政策。

据了解，《个人信息保护法》的一大亮点，就是对个人信息进行了界定，区分了敏感个人信息与非敏感个人信息。

“《个人信息保护法》建立了以告知同意作为核心的信息处理原则。对于金融机构而言，处理的很多信息都属于敏感个人信息，比如金融账户等，对于敏感信息的保护区别于一般个人信息，保护要求会更高。”某股份制银行信用卡中心消保部人士表示。

该人士介绍，之前机构会把客户授权银行采集使用、加工或者对外提供某些信息的授权内容，直接放到信用卡的领用合约或者章程里面，让客户统一做授权，但是现在对于个人敏感信息对外提供或者使用方面，都要求通过单独同意的方式。所谓的单独同意，也就是不允许通过格式条款这种方式来“概括性的统一”。该人士直言，这对银行的业务模式将是一个非常大的挑战。

调查发现，部分银行已将与客户权益存在重大关系的条款和个人敏感信息，采用粗体字进行标注。

在如何取得客户明示同意和单独同意方面，华夏银行相关负责人介绍，第一是银行在业务办理协议的相关条款中，涉及个人客户信息的收集、使用的，通过采用字体加黑等显著方式向个人客户进行告知，同时增加强制阅读时间，确保客户完全阅读后明确勾选相关协议;第二是客户通过线上渠道办理业务或开通具体功能前，会明确告知客户获取信息范围，并经客户在页面操作表示明确同意后，才会开始收集明示收集范围内的信息。如客户不同意，则中止该项业务功能的办理和开通，其他业务不受影响。

此外，《个人信息保护法》还要求，赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。

“客户同意之后，也享有撤回同意的权利。之前可以同意，但是如果一旦客户改变主意了，也可能会撤回同意，银行也需要保障客户履行撤回独立的权利。如何通过业务设置、业务流程去保障其权利，这对于银行系统建设要求非常高，也会对业务流程产生很大变化。”上述消保部负责人表示。

对此，招商银行App的个人隐私政策显示，用户可以通过手机系统权限设置、招商银行App的“设置—安全中心—授权管理”页面、联系客服等方式改变部分授权该行收集个人信息的范围或撤回授权，也可以通过注销该行一网通用户的方式，撤回该行继续收集个人信息的全部授权。

需进一步加强第三方合规准入

在日常生活中，我们经常会遇到，搜索了某一商品后，在另外的App上会出现相关内容或产品推荐。这就涉及到跨平台信息的收集、存储、共享、使用个人信息的行为。

《个人信息保护法》第23条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。另外，接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

上述信用卡中心消保部人士介绍，该中心与互联网平台合作时，主要利用的是平台流量的导流功能，所有客户在申请信用卡时，需要导流渠道跳转到银行自有的链接上，去填写相关的个人信息，这些信息全部都在银行、受银行控制，而且这些信息不会共享给互联网平台。

在谈到《个人信息保护法》对银行带来的挑战时，华夏银行相关负责人表示，《个人信息保护法》对大型网络平台的信息保护加强了监管，如对平台内严重违法处理个人信息的产品或者服务提供者，将强制其停止提供服务。上述规定也对银行与第三方业务合作管理提出更高要求，银行需要进一步加强三方合规准入，优化与第三方的合作模式及业务流程，强化个人信息保护全流程的协同式穿透管控，提前与三方制定协同应急措施及风险控制策略。

“未来银行应该加强与第三方关于个人信息保护职责边界的区分管理。”上述负责人称。(魏薇)