监管重磅政策来了！银保机构这种行为将被严打重罚

国家金融监管总局起草的《银行保险机构数据安全管理办法（征求意见稿）》明确将严打重罚银行保险机构违规处理个人信息的行为，包括超范围收集、数据泄露、未授权使用等，旨在规范数据处理活动并加强个人信息保护。一、银保机构数据安全问题的现状与典型案例近年来，随着金融行业科技化与数字化转型加速，银行保险机构的数据安全问题日益突出，滥用技术过度收集个人信息、数据管理疏漏导致泄露的事件频发。人保财险“偷拍门”事件：河北省石家庄市姚先生通过人保财险石家庄分公司办理助贷后，其手机通讯录、通话记录、微信好友及聊天记录等被偷拍并存储于百度网盘。人保财险利用这些信息在贷款未逾期时进行催收，导致姚先生亲友被骚扰，母亲因刺激脑梗住院。证据显示，此类信息涉及2018-2023年办理助贷业务的大批人员。保险消费投诉中的数据问题：2023年一季度，监管部门接受保险消费投诉2.62万件，涉及“诱导投保”“拒绝理赔”“个人信息泄露致过度催收”等问题。黑猫投诉平台数据显示，截至2024年3月25日，关于“保险”的投诉达20.01万条，其中“个人信息泄露”是核心问题之一。例如，泰康人寿被用户投诉未经同意发送保险短信，甚至在用户明确拒绝后仍推送办理成功通知。行业处罚案例：2024年3月13日，昆仑保险经纪黑龙江分公司因“未与保险人对投保信息保密及合理使用进行依法约定”被警告并罚款1万元。2023年，上海市静安区人民法院公布一起刑事判决，某保险公司员工利用职务便利售卖客户信息非法获利超26万元，被判处有期徒刑一至三年并罚款。2022年6月，宁夏银保监局对国寿财险和太平洋财险的3名员工做出禁止进入保险业五年的处罚，因其违反法律规定侵犯公民个人信息。二、监管政策的核心要求与监测内容为应对数据安全风险，国家金融监管总局在《银行保险机构数据安全管理办法（征求意见稿）》中提出以下要求：数据安全威胁监测：银行保险机构需对以下行为实施监测：超范围授权或使用系统特权账号；内部人员异常访问、使用数据；数据集中共享系统或平台的网络安全威胁；敏感级及以上数据在不同区域的异常流动；移动存储介质的异常使用；外包或第三方合作中的数据处理异常、泄露、丢失或篡改；客户有关数据安全的投诉；数据泄露、仿冒欺诈等负面舆情。个人信息处理原则：授权同意：处理个人信息需遵循“明确告知、授权同意”原则，法律另有规定的除外，并在信息系统中实现功能控制。最小范围收集：收集个人信息应限于实现金融业务目的的最小范围，不得过度收集或用于违法活动。三、违规处罚措施与法律依据《办法》明确了银行保险机构违规处理个人信息的处罚标准，依据《银行业监督管理法》《保险法》等法律实施：银行业金融机构：责令改正，并处20万至50万元罚款；情节严重或逾期不改正的，可责令停业整顿或吊销经营许可证。对直接负责的董事、高管及其他责任人员给予纪律处分；构成犯罪的，依法追究刑事责任。保险机构：责令改正，并处5万至30万元罚款；情节严重的，限制业务范围、责令停止接受新业务或吊销业务许可证。对直接负责的主管人员及其他责任人员警告，并处1万至10万元罚款；情节严重的，撤销任职资格；构成犯罪的，依法追究刑事责任。四、政策背景与行业影响上位法基础：2020年央行发布《个人金融信息保护技术规范》，明确信息安全防护要求。2021年《数据安全法》《个人信息保护法》及《常见类型移动互联网应用程序必要个人信息范围规定》实施，禁止App强制收集非必要信息。2022年央行《金融科技发展规划（2022-2025）》提出建立健全数据全生命周期安全管理机制。行业合规挑战：金融类App、小程序是违规收集用户信息的“重灾区”，常见问题包括强制索取权限、未明示处理规则等。例如，天津农商银行、捷信金融、泰康医生App等曾因隐私不合规被通报。政策意义：业内人士认为，《办法》的出台将发挥监管“指挥棒”作用，确保客户信息和金融交易数据安全，为金融安全发展和高质量发展提供保障。图：银行保险机构数据安全监管政策核心框架五、总结与展望《银行保险机构数据安全管理办法（征求意见稿）》通过强化监测要求、明确处理原则和严惩违规行为，构建了覆盖数据全生命周期的安全管理体系。未来，随着政策落地，银行保险机构需加快完善内控机制，平衡业务创新与合规要求，切实保护用户权益。监管部门也将通过常态化检查和动态处罚，推动行业数据安全水平整体提升。