一、金融机构处理客户信息为什么比普通企业严格得多?
金融业是个人信息保护监管最严格的行业之一。除《个人信息保护法》的一般要求外,金融机构还需要遵循《个人信用信息基础数据库管理暂行办法》、《征信业管理条例》以及中国人民银行和金融监管总局的各项规定。金融机构收集客户信息必须遵循"合法、正当、必要、诚信"四原则——对于与所提供金融服务无关的个人信息收集一律违规。特别需要注意的是:金融机构使用客户信息进行内部风控模型训练、用户画像和营销推荐的,需要取得客户的单独同意不能以一揽子的通用授权覆盖。
二、信用信息的特殊保护——征信系统不是法外之地
个人信用信息(包括信贷记录、担保记录、公共记录等)受到征信特别保护:只有依法设立的征信机构才能采集和提供个人信用信息、向征信机构提供个人不良信息应当事先告知信息主体本人、个人每年可以免费查询自己的信用报告两次。银行在向征信机构报送客户逾期信息时必须在报送前通知客户——这个程序要求在实践中常常被遗漏引发大量纠纷。如果客户以"银行未通知就报送不良信息"为由起诉,法院多数支持删除不良记录并赔偿损失。
三、金融数据的跨境传输
金融数据出境受到特殊的监管限制——中国人民银行对金融数据的跨境传输有专项审批要求。银行业金融机构和支付机构向境外传输客户信息的,除遵守数据出境安全评估或标准合同的一般规定外还需要满足人民银行的数据出境专项要求。金融控股公司和大型互联网平台的数据跨境传输还涉及国家安全审查问题——这些企业的数据出境可能被认定为重要数据而禁止随意出境。
