本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况

1. 个人信息定义

根据《中华人民共和国个人信息保护法》要求，个人信息包括以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

根据中国人民银行颁布的《个人信息安全规范》（GB/T 35273—2020）、《个人金融信息保护技术规范(JR/T 0171-2020)》，个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。

银行及金融业机构根据具体业务开展、具体服务场景对信息进行识别和归类，并根据不同类别个人金融信息在全生命周期中的阶段，针对性的采取保护措施。本次自评中金融机构可识别C1-C3不同场景要求，开展个人信息保护自查工作。

2.自查要点场景

针对监管对于个人信息管理整治工作的通知内容，我们按照7类重点领域梳理、总结以下自查点，覆盖银行涉及个人信息方面的流程管理与业务范围，同时需特别提示，监管在针对如何界定侵害个人信息行为类别时，预留了“其他”一类作为补充清查中发现清单外违法违规的行为类型，金融机构可根据数据生命周期管理流程，识别数据采集、存储、传输、处理、传输和共享环节中可能存在的数据安全隐患与应用安全隐患。

个人信息收集：在未取得消费者同意的情况下，利用移动互联网应用程序（App）获取手机通讯录、监测输入内容、监听语音收集消费者个人信息；未在官网、App主动披露隐私政策；通过非法途径盗取或购买消费者个人信息等。

个人信息存储和传输：电子数据存储管理混乱，违反规定下载、存储、记录消费者敏感个人信息，机构人员超职权范围将未经加密、脱敏的消费者个人敏感信息下载、存储至个人办公计算机、移动硬盘或U盘等具有存储功能的终端或介质等。

个人信息查询：银行账户信息查询业务操作不规范，存在未按规定留存查询授权材料、未经消费者同意私自查询、虚构理由和业务背景查询信息等问题；保险公司未对查询权限严格限制，导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。

个人信息使用：用于不当营销。私自收集或违规收集消费者信息和联系方式用于营销；在消费者明确拒绝营销后仍继续营销；规避销售系统向消费者营销产品等。

个人信息提供：未经同意向他人或外部机构提供信息。在无法定事由，且未获得消费者同意的情况下，将消费者个人信息提供给外部机构或其他个人；向外部机构或个人贩卖消费者个人信息。

个人信息删除：未对各类消费者个人信息电子数据和纸质材料规定保存期限和到期删除、销毁要求，未明确删除、销毁的程序和方式。

第三方合作：向第三方合作机构提供个人信息超出合作业务必须范围、未进行必要脱敏；未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。

3.常见问题点及管理措施和技术措施识别参考

个人信息数据在金融机构内部流转，一般需要经过数据生成、数据存储、数据创数、数据应用与归档、数据销毁等流程，通过全面梳理个人信息处理生命周期过程中的风险点，管理措施和技术手段，明确优化的流程节点和内容，不仅应确保金融机构内部个人信息管理流程符合监管方向，更应通过制度优化明确流程中各类关键控制，保证管理活动的顺利衔接，向个人信息数据管理提供高效、高质量赋能。