当前，个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题之一。2021年11月1日《个人信息保护法》正式施行后，金融监管总局积极推动银行业保险业机构落实相关要求，消费者个人信息保护工作水平整体明显提升，也存在一些问题和短板。近期，青岛监管局就消费者个人信息保护问题对辖区70家银行保险机构开展调研。调研发现，机构在落实《个人信息保护法》过程中存在“三最”原则未落实、“单独同意”难落地、“信息删除”难实现三方面掣肘因素亟待解决。

    一、银行保险机构个人信息保护工作存在的问题

（一）“三最”原则未落实

《个人信息保护法》要求按照“三最”原则处理信息，即“采取对个人权益影响最小的方式、限于实现处理目的的最小范围，实现处理目的所必须的最短时间”。调研发现，目前银行业保险业机构对该要求重视程度不高，未针对“三最”原则制定相关制度，在《个人信息保护法》施行一年多后仍未根据“三最”原则对以往的格式条款进行调整，过度收集消费者信息的问题非常突出。例如，某银行在用户申领信用卡时，格式条款规定可收集客户社会关系信息、车辆信息、ETC通行信息等8类67项个人信息，且未告知客户信息的保存期限。某消金公司收集客户通讯行为、通讯信息、互联网使用信息，明显超出处理信息的最小范围，且格式条款排除了消费者的撤回同意权。

    （二）“单独同意”难落地

《个人信息保护法》要求，向其他个人信息处理者提供个人信息时，需取得客户单独同意，并告知接收方的名称、联系方式、处理目的、处理方式和个人信息的种类。银行保险机构在个人信息处理过程中，会涉及敏感信息的处理及个人信息的对外提供，例如向人民银行提供征信、金融集团内部信息共享、向第三方合作机构提供消费者个人信息等。调研发现，目前辖区机构在发展新客户时会组织客户签署“单独同意”授权书，但对外提供存量客户信息时未取得客户“单独同意”。例如，某金融集团内部共享客户信息，但对存量客户未组织补签“单独同意”授权书，未给予消费者拒绝其个人信息提供给集团内其他机构的选择权。

（三）“信息删除”难实现

《个人信息保护法》要求信息处理者在保存期届满、停止提供产品或服务，或个人提出撤回同意等情形时，主动删除个人信息。该要求与《中华人民共和国反洗钱法》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《人民币结算账户管理办法》等监管法律法规不一致，现行监管规定要求信息保存期限为结束服务后五至十五年不等。调研发现，在实际操作中，银行机构往往会基于机构自身档案管理的要求，对开户、销户资料永久保存。而保险公司因满期、退保及理赔等原因终止的保单，为防范后期出现纠纷，均未删除客户信息。保险中介机构、保险代理人在与保险公司结束代理关系、对客户停止提供相关服务后，多未删除消费者个人信息。

    二、监管建议

（一）出台银行业保险业个人信息保护专项制度

当前银行业保险业个人信息保护要求散落于多项法律法规及规范性文件中，初步粗略统计涉及25项，多为原则性、指导性要求，缺乏具体执行标准。建议结合行业实际，研究建立银行业保险业个人信息保护专项制度，完善行业个人信息保护制度体系，增强制度的可操作性，明确银行业保险业“三最”原则的执行标准，细化不同情形下信息保存期限、明确存量客户“单独同意”的解决办法，完善不同业务类型在信息删除等方面的操作标准。

（二）开展银行业保险业机构个人信息保护工作规范性验收

对机构的消费者个人信息保护工作体制机制建设、业务流程环节、信息加密处理、系统个人敏感信息去标识化等方面作出具体要求，并开展验收评估工作。提高被验收机构覆盖度，通过开展个人信息保护专项“短平快”“验收式”检查评估、在合规检查中嵌入消费者个人信息保护内容等方式，促进机构迅速整改。

（三）指导行业协会制订个人信息保护格式条款示范文本

根据银行业保险业个人信息保护专项制度，指导行业协会研究制订格式条款示范文本，例如，制订借记卡、信用卡开卡时消费者签署的信息收集格式条款，确保个人信息收集项目的最小化，防范过度收集消费者个人信息；制订消费者授权金融集团内部信息共享的“单独同意”格式条款，保证消费者的选择权、信息授权的可撤回权，避免格式条款损害消费者权益。

（四）加强与相关部门的沟通联动

加强与人民银行、人民法院、网信部门的协同联动，充分协调发挥司法和行政相互促进的作用。确保各部门在个人信息保护宣传活动、重大案件现场检查联动、个人信息保护业务及数据标准制订、相关系统对接方面的协同一致，防止因部门执行标准不统一出现负面判例。