第一章  金融机构法律风险


               障，这一点也是国家法律法规的要求。隐私政策条款的内容需要落地执行，在银
               行科技系统作为履约证据，业务应用的变化需要及时反映在政策条款中以获得有
               效授权，同时需要银行内部科技部门、业务部门、法律部门密切配合，共同建立

               隐私政策落地机制。
                   2. 建立法律风险管理标准，以底线防范个人信息法律风险
                   个人信息管理涉及的管理机构众多，需要适用的法律规则繁杂，且基本属于
               金融从业人员不具备基本常识的领域，许多违法、违规行为多基于“不懂法”而

               产生，金融产品设计人员很难了解科技类的法律法规，科技人员无法掌握最新的
               数据类法律法规，且在法律风险意识不足的情况下，无人寻求法律专业意见，生
               成法律风险。此时，银行的法律风险管理工作需要从基础做起，以法律风险管理
               标准的建设与运转为抓手，通过确立法律风险管理标准、加强人员培训等方式对

               法律风险予以防范。
                   第一，建立个人信息采购合法性确认标准。在数据供应商的选择中，不能仅
               看公司资格或同业应用经验，还应关注该供应商提供数据来源的合法性，要求供
               应商实际提供数据合法性证据，推荐采购符合“无法识别特定个人且不能复原”

               要求的脱敏数据，如各类信用分、返还数据验证结果的第三方数据服务。在确需
               采购直接可识别出个人身份信息的数据时，除明确约定合作公司的数据合法性保
               证外，还可通过与个人客户联系抽查的方式核实该等授权。
                   第二，对外提供数据分析应采取脱敏或其他措施保证合法性。以数据分析为

               目的向合作公司提供银行获得的个人信息时，可与合作公司共同建立模型对银行
               数据进行分析，由合作公司在银行的平台上进行数据分析，避免银行数据外流，
               但对外提供非脱敏个人数据的，应获得客户有效授权，且注意对外提供的信息使
               用用途应与客户约定一致。

                   第三，合法使用营业中由客户提供的个人信息。禁止对外出售个人信息。在
               为个人办理相关业务所必需的情况下，经个人书面授权或同意，方可向本行以外
               的其他机构和个人提供个人信息；个人提出反对时，不得将个人信息用于交叉营
               销活动；内部使用客户信息，也应在个人客户的授权范围内；禁止无授权或超授

               权查询征信数据，禁止对外提供个人征信数据。
                   第四，数据或数据系统外包，需严格履行监管要求。包括在外包合同签订前
               20 个工作日向银保监会或其派出机构报告，合作机构应具备监管要求资质等。



                                                                                       21