2021年8月20日,全国人大常委会通过并发布《个人信息保护法》,自2021年11月1日起施行;2021年9月27日,中国人民银行发布《征信业务管理办法》并将于2022年1月1日正式施行。在此之前,对个人信息的保护,主要通过《民法典》《刑法》等法律零散条款及部门规章、规范性文件进行规范。
《个人信息保护法》的颁布,意味着首次以一部专门法律的形式,对个人信息的保护作出了较为全面和系统性的规定。《征信业务管理办法》明确了信用信息概念及征信管理的边界、规范征信业务全流程、强调信用信息安全和依法合规跨境使用、提高征信业务公开透明要求,明确了征信机构、信息提供者和信息使用者的法律责任,为金融机构收集客户信用信息提出更高规范要求。《个人信息保护法》《征信业务管理办法》与《数据安全法》《密码法》《网络安全法》等共同构建了我国数据治理法律法规体系。
从内容上看,《个人信息保护法》《征信业务管理办法》增加了个人信息主体的权利及个人信息处理者的责任与义务,加大了个人信息处理违规的处罚力度。金融机构在业务开展中需广泛收集个人客户的基本信息、财产信息、征信信息等个人信息,势必使金融机构面临更高的合规要求。
一、核心概念的明确对企业合规的要求
《个人信息保护法》《征信业务管理办法》明确了“个人信息”“敏感个人信息”“信用信息”和“个人信息处理”的概念。其中:
(1)个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(2)敏感个人信息指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(3)信用信息指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。据此,判断某一信息是否属于信用信息,主要基于三个维度:1)依法采集;2)为金融等活动提供服务;3)用于识别判断企业 和个人信用状况。
以上可知信用信息的范畴和个人信息存在交叉,结合金融机构业务实际,其处理的个人信用信息,同时受到《征信业务管理办法》及《个人信息保护法》的规制。正如中国人民银行相关负责人在答记者问中所说,《征信业务管理办法》既是对《征信业管理条例》等现有征信业法规制度的必要补充,也是《民法典》《网络安全法》《数据安全法》《个人信息保护法》等法律法规在征信领域贯彻落实的具体体现,做到了与这些法律法规的全面衔接。这要求金融机构全面落实相关法律法规的要求,做到全面合规。
“个人信息处理”的范围新增了“删除”,要求金融机构在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期落实合规义务。
二、处理个人信息的基本原则
《个人信息保护法》为个人信息处理行为提出了需遵循的基本原则,主要包括“三最”原则、公开透明原则及“明确同意”原则。
- “三最”原则
(1)处理方式对个人权益影响最小
《个人信息保护法》第六条第一款规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”因此,在处理方式上,金融机构应按照非必要不处理的原则,减少对个人权益产生影响。
同时,金融机构还应按照《个人信息保护法》第八条、第九条的规定,保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响,并采取必要措施保障所处理的个人信息的安全。
(2)以实现处理目的为限,将收集范围限缩到最小
《个人信息保护法》第六条第二款规定:“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”即意味着金融机构不得收集非提供服务/产品所必要的无关个人信息。结合《信息安全技术个人信息安全规范》第5.2条的规定,金融机构收集的个人信息类型应限于与产品/服务的业务功能有直接关联的信息,且需保持最低收集频率。其中,“直接关联”指没有此等个人信息的参与,产品或服务的功能无法实现。
(3)以实现处理目的为限,将保存个人信息的期限压缩到最短
《个人信息保护法》第十九条规定:“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。”以信贷业务为例,金融机构开展业务时收集的部分个人信息,在贷后管理阶段并无必要的,金融机构不应将其保存至信贷业务全部结清之日或其后一定期限。 - 公开透明原则
《个人信息保护法》第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。该项原则对个人信息处理者课以公开、明示义务,同时也是对于个人信息主体知情权的保障。
据此,意味着金融机构的个人信息保护政策应做到:(1)内容上应至少包括个人信息处理的目的、范围及方式;(2)公开发布且易于访问,例如,在网站主页、移动互联网应用程序安装页、以交互界面显著位置设置链接;逐一送达个人信息主体;用户注册或首次运行产品/服务时需主动提示用户阅读并勾选同意后才可继续使用。
3.“明确同意”原则
金融机构应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知必要事项,原则上经个人信息主体明确同意后,金融机构方可在授权范围内处理其个人信息。根据《个人信息保护法》的规定,结合金融机构业务实际,无需取得个人同意的情形主要包括:
(1)为订立、履行个人作为一方当事人的合同所必需,或者按照 依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理 所必需;
(2)为履行法定职责或者法定义务所必需;
(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和 财产安全所必需;
(4)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。
特别值得金融机构注意的是,根据《个人信息保护法》的相关规定,以下信息处理事项,需要取得客户的单独同意:
(1)向其他个人信息处理者提供处理的个人信息;
(2)公开金融机构处理的个人信息;
(3)在公共场所(如营业网点、自助银行区域)安装图像采集、 个人身份识别设备收集个人图像、身份识别信息用于维护公共安全 以外目的;
(4)处理敏感个人信息;
(5)向境外提供个人信息;
(6)处理已公开的个人信息,对个人权益有重大影响。
结合《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《关于开展App违法违规收集使用个人信息专项治理的公告》相关规定,“单独同意”是指针对上述个人信息处理事项,应由个人信息主体做出专项性授权,不得与其他个人信息处理事项“捆绑授权”,且不得采取任何“默认”“视为同意”“停止安装使用等强迫或变相强迫授权”等方式,如不授权则影响/限制使用相关产品/服务或提供相关产品/服务必须进行相应个人信息处理的除外。
三、充分尊重并保护个人信息主体的法定权利
《个人信息保护法》第四章专章规定了个人在个人信息处理活动中的权利。据此规定,个人信息主体享有以下法定权利,金融机构在处理个人信息过程中应切实保障: - 知情权
知情权的范围应当至少包括应当充分告知客户的事项,包括但不限于个人信息处理规则、处理目的、处理方式和处理范围,法律、行政法规规定应当保密或者不需要告知的情形除外。其中,个人信息处理规则应通过在金融机构官网、APP、微信公众号等予以公开。此外,个人信息主体还有权要求个人信息处理者对个人信息处理规则进行解释说明。
2. 更正不准确信息、补充不完整信息的权利
在更正、补充之前,个人信息处理者应对相关个人信息予以核实。
3. 决定权
个人信息处理者有权自行决定是否授权处理,也有权自行决定撤回授权。对此,《个人信息保护法》第十五条、第十六条明确规定:“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”
金融机构应为客户提供撤回同意的便捷方式,如客户无法通过在APP、微信公众号等上自行操作撤回授权时,应为其提供人工服务。
4. 查阅、复制个人信息的权利
《个人信息保护法》第四十五条规定:“个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。”
在《民法典》施行前,相关规定仅规定有权机关有权要求金融机构协助查询,对个人信息主体自行查询本人信息的,金融机构通常把握不准是否应当/有权协助查询并提供相关资料。对此,《民法典》第一千零三十七条做出了肯定性的规定,《个人信息保护法》予以进一步明确,金融机构在业务开展中应落实个人信息主体查询、复制个人信息的要求。 - 删除权
根据《个人信息保护法》第四十七条,有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(1)处理目的已实现、无法实现或者为实现处理目的不再必要;
(2)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(3)个人撤回同意;
(4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(5)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,金融机构应当停止除存储和采取必要的安全保护措施之外的处理。
为充分保障个人行使权利,金融机构应注意在个人信息主体死亡的情况下,其近亲属为了自身合法、正当利益,可以对死者相关个人信息行使查阅、复制、更正、删除等权利。因此,业务实践中诸多死者近亲属向金融机构查阅、复制死者借款、还款信息等情形,金融机构应及时提供相关服务。 - 可携带权
《个人信息保护法》第四十五条规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”对于个人信息主体而言,可携带权将有利于打破大企业的数据垄断,促进数据共享与数据流通,但具体可携带的情形及规则,还有待于相关部门做出细化规定。
四、落实个人信息处理的制度建设要求
1. 制定个人信息保护内部管理制度和操作规程
根据《个人信息保护法》第五十一条规定,为确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失,个人信息处理者应制定内部管理制度和操作规 程。由此,金融机构应根据个人信息处理事项,制定专门的管理制度和操作规程,其内容应至少包括个人信息的处理目的、处理 方式、个人信息种类、个人信息安全及相关风险控制措施等。
2.制定未满十四周岁未成年人个人信息处理的专门规则
《个人信息保护法》第三十一条规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。”
如金融机构业务开展过程中,可能涉及到向未满十四周岁未成年人提供产品/服务的,如办理开卡、接受未成年人按揭贷款、申请助学贷款等业务的,应当制定专门的个人信息处理规则,以不低于《个人信息保护法》的标准切实保障未成年人个人信息安全及相关权利。
3.建立便捷的个人行使权利的申请受理和处理机制
《个人信息保护法》第五十条规定:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”据此,金融机构应将个人信息保护纳入金融消费者权益保护的范围,建立专门的申请受理和处理机制,充分保护个人信息主体的法定权利。
4.视情况建立健全个人信息保护合规制度体系
如金融机构通过互联网平台开展业务且用户数量巨大、业务类型复杂,根据《个人信息保护法》第五十八条的规定,应当建立健全个 人信息保护合规制度体系,并落实以下具体要求:
(1)成立主要由外部成员组成的独立机构,对金融机构个人信息保护情况进行监督;
(2)遵循公开、公平、公证的原则,制定平台规则,明确个人信 息处理规范,承担个人信息保护义务;
(3)定期发布个人信息保护社会责任报告,接受社会监督。
目前,“用户数量巨大”、“业务类型复杂”等标准尚待明确,需等待法律法规的进一步规定,但金融机构可基于审慎经营原则,逐步建立健全个人信息保护合规制度体系。
5.视情况建立个人信息保护负责人制
《个人信息保护法》第五十二条规定:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。”
目前“国家网信部门规定数量”尚不明确,金融机构作为服务广大 个人客户的金融机构,可秉着从严要求、谨慎经营的原则,结合经营管理实际,建立个人信息保护负责人制,并向广大客户公开个人信息保护负责人的联系方式。
6.落实个人信息安全保护措施
根据《个人信息保护法》第五十一条、第五十五条的相关规定,金融机构应采取以下个人信息安全保护措施:
(1)对个人信息实行分类管理;
(2)采取加密、去标识化等安全技术措施;
(3)合理确定个人信息处理的操作权限;
(4)定期对从业人员进行安全教育和培训;
(5)制定并组织实施个人信息安全事件应急预案;
(6)在一定情形下事先对个人信息保护影响进行评估;
(7)发生个人信息泄露、篡改、丢失的,应当立即采取补救措施;
(8)定期对处理个人信息遵守法律、行政法规的情况进行合规审计。
7.落实个人信息保护影响事前评估要求
根据《个人信息保护法》的规定,就个人信息保护影响评估事宜,金融机构应遵照如下规定:
(1)应当事前评估的情形包括:处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息;其他对个人权益有重大影响的个人信息处理活动。
(2)事前评估的主要内容包括:个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。
(3)保存期限:个人信息保护影响评估报告和处理情况记录应当至少保存三年。
五、金融机构与第三方合作的注意事宜
《个人信息保护法》《征信业务管理办法》对金融机构与合作机构的合作提出了新的要求,如责任承担、第三方资质要求,以下具体分析:
首先,在合作开展业务的情况下,如金融机构与其他方开展联合贷款或其他合作业务,涉及到共同处理个人信息的,除自身严格按照法律规定进行处理、充分尊重个人信息主体法定权利外,还应高度关注合作方对个人信息的处理,避免因合作方处理不当被追究连带责任。
其次,根据《征信业务管理办法》的规定,从事征信业务需取得许可或备案,对征信机构在个人信息收集、整理、保存、加 工、提供、使用等方面提出了具体要求,并明确了征信机构的信用信息安全保障义务,对征信机构提出了更高的合规要求。这要求金融机构审查合作的征信机构的审查是否取得征信业务资质,对已合作的征信机构需进行清理。否则,根据《征信业务管理办法》第四十六条第二款的规定,可能面临被中国人民银行及其分支机构责令改正及罚款。
