近日，北京的李女士注意到，不少银行的App已经更新，并自动弹出了某某银行的客户协议与隐私政策。这些变化与11月1日起正式实施的《个人信息保护法》密切相关。

　　中新经纬发现，近日部分银行已经开始更新电子银行个人客户服务协议、用户服务须知并展示相关的隐私政策。哪些与储户个人信息相关的内容进行了修改？长长的格式条款要重点关注哪些内容？中新经纬为你一一划重点。

　　不同个人信息分级处理

　　《个人信息保护法》的一大亮点，就是对个人信息进行了界定，区分了敏感个人信息与非敏感个人信息。

　　哪些是敏感个人信息？根据《个人信息保护法》，敏感个人信息指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

　　“《个人信息保护法》建立了以告知同意作为核心的信息处理原则。对于金融机构而言，处理的很多信息都属于敏感个人信息，比如金融账户等，对于敏感信息的保护区别于一般个人信息，保护要求会更高。”某股份行信用卡中心消保部人士在接受中新经纬采访时表示。

　　中新经纬了解到，针对敏感个人信息的处理，《个人信息保护法》要求处理敏感个人信息应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。“个人在与银行等其他行业建立业务关系时，为了加大合约签订的效率，往往使用的是格式条款，也就是说事先并未和客户进行充分协商。”该人士说。

　　他分析称，之前机构会把客户授权银行采集使用、加工或者对外提供某些信息的授权内容，直接放到信用卡的领用合约或者章程里面，让客户统一做授权，但是现在对于个人敏感信息对外提供或者使用方面，都要求通过单独同意的方式。所谓的单独同意，也就是不允许通过格式条款这种方式来“概括性的统一”。他直言，这对银行的业务模式将是一个非常大的挑战。

　　中新经纬查阅多家银行App最新更新的个人隐私政策发现，银行方面将与客户权益存在重大关系的条款和个人敏感信息，采用粗体字进行标注。

　　在如何取得客户明示同意和单独同意方面，华夏银行相关负责人在接受中新经纬采访时介绍，一是银行在业务办理协议的相关条款中，涉及个人客户信息的收集、使用的，通过采用字体加黑等显著方式向个人客户进行告知，同时增加强制阅读时间，确保客户完全阅读后明确勾选相关协议；二是客户通过线上渠道办理业务或开通具体功能前，会明确告知客户获取信息范围，并经客户在页面操作表示明确同意后，才会开始收集明示收集范围内的信息。如客户不同意，则中止该项业务功能的办理和开通，其他业务不受影响。

　　有权撤回同意

　　中新经纬注意到，《个人信息保护法》要求，赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。

　　中国银行法学研究会理事肖飒在接受中新经纬采访时介绍，《个人信息保护法》中“同意撤回”是指个人信息主体基于“告知同意”原则，对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权予以取消的意思表示。

　　“客户同意之后，也享有撤回同意的权利。之前可以同意，但是如果一旦客户改变主意了，也可能会撤回同意，银行也需要保障客户履行撤回独立的权利。如何通过业务设置、业务流程去保障其权利，这对于银行系统建设要求非常高，也会对业务流程产生很大变化。”上述消保部负责人谈道。

　　以招商银行为例，中新经纬在招商银行App的个人隐私政策中看到，用户可以通过手机系统权限设置、招商银行App的“设置—安全中心—授权管理”页面、联系客服等方式改变部分授权该行收集个人信息的范围或撤回授权，也可以通过注销该行一网通用户的方式，撤回该行继续收集个人信息的全部授权。

　　民生银行信用卡中心审计专家、合规总监闫春仲介绍，该中心对客户个人信息进行收集时，收集过程会取得客户授权，并给客户提供撤回授权的相关途径。同时，通过公示方式明确该中心处理个人信息的相关规则。

　　肖飒进一步指出，《个人信息保护法》要求个人信息处理者提供便捷的撤回同意方式。就“便捷”而言，银行应当依照相关国家标准的精神，其便捷程度宜与给予授权的便捷程度相对等。因此，银行一方面应当提供“便捷”的撤回方式，另一方面应当在享有撤回权的主体撤回同意后，即时终止处理个人信息且有效删除存储的信息。

　　值得注意的是，在个人首次授权之后，一些个人信息很容易会被复制走，客观上已经造成了信息流失。

　　对此，肖飒认为，对于姓名、身份证号、手机号、地址等静态、简短的信息在个人给出后极易流失，基本上一经给出就无法再有效撤回。并且在实践中即使撤回同意后，后续数据处理者也很难控制数据的流转。

　　肖飒指出，《个人信息保护法》第15条第2款明确“撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力，但需停止处理或及时删除其个人信息。”也就是说，《个人信息保护法》上的撤回权不是将个人信息的存在状态回溯到被给出之前，而是要求信息处理者以此为时间节点，终止收集处理个人信息并将已经获取的个人信息删除。《个人信息保护法》赋予公民此项权利的意义在于保障公民对个人信息拥有更多的决定权，充分体现了对公民人权、人格尊严和隐私的保障和尊重。

　　进一步加强第三方合规准入

　　在日常生活中，我们经常会遇到，搜索了某一商品后，在另外的App上会出现相关内容或产品推荐。这就涉及到跨平台信息的收集、存储、共享、使用个人信息的行为。

　　《个人信息保护法》第23条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

　　另外，接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

　　上述信用卡中心消保部人士介绍，该中心与互联网平台合作时，主要利用的是平台流量的导流功能，所有客户在申请信用卡时，需要导流渠道跳转到银行自有的链接上，去填写相关的个人信息，这些信息全部都在银行、受银行控制，而且这些信息不会共享给互联网平台。

　　在谈到《个人信息保护法》对银行带来的挑战时，华夏银行相关负责人称，《个人信息保护法》对大型网络平台的信息保护加强了监管，如对平台内严重违法处理个人信息的产品或者服务提供者，将强制其停止提供服务。上述规定也对银行与第三方业务合作管理提出更高要求，银行需要进一步加强三方合规准入，优化与第三方的合作模式及业务流程，强化个人信息保护全流程的协同式穿透管控，提前与三方制定协同应急措施及风险控制策略。

　　“未来银行应该加强与第三方关于个人信息保护职责边界的区分管理。”上述负责人称。

　　个人要注意哪些条款？

　　中新经纬注意到，不少银行已经开始在更新个人隐私条款。比如华夏银行相关负责人对中新经纬介绍，该行严格落实客户信息保护工作要求，手机银行每次新功能上线，如涉及新增采集客户信息，或涉及到信息与第三方共享等情况，会同时更新《华夏银行手机银行隐私协议政策》供客户阅读知悉，并在功能的操作页面进行提示引导，待客户同意后再行办理信息采集、存储或传输等。

　　不过，虽然银行采取了黑体加粗、延长阅读时间等方式，但是仍会有部分客户只是勾选协议，并不会仔细阅读相关条款。那么在长长的条款中，用户需要着重阅读哪些？肖飒律师提醒，用户可以着重阅读以下几个条款：一、涉及向第三方提供个人信息的条款；二、涉及公开个人信息的条款；三、涉及在公共场所安装图像采集、个人身份识别设备，用于维护公共安全之外的其他目的条款；四、涉及敏感个人信息条款；五、涉及个人信息出境的条款。

　　此外，涉及不满十四周岁未成年人个人信息的条款，本人及其监护人应当额外注意，及时向工作人员咨询。

（文章来源：中新经纬）