2021年8月20日,《中华人民共和国个人信息保护法》(以下简称“《个保法》”)由第十三届全国人民代表大会常务委员会第三十次会议通过予以公布,并自2021年11月1日起施行。在个人信息被随意倒卖、泄露事件频发,骚扰电话与精准诈骗屡禁不止的互联网与大数据时代,该法的出台和实施必将对各行各业产生深远影响。
金融行业作为数据密集型行业,是个人信息汇聚和应用的重要领域。在新的监管背景下,如何进一步强化个人信息保护,规范数据治理,是金融机构必须面对和解决的重要课题。幸运的是,此前金融领域在个人信息保护层面的监管并非完全空白,业内已有相应的部门规章、行业标准等提供指导。
在此背景下,我们将通过本文对金融领域的个人信息保护规范进行梳理,并重点关注此次《个保法》与既有规范的区别之处,以期对行业提供有益参考。
一、金融领域关于个人信息保护的规范体系
在《个保法》颁布以前,金融领域内关于个人信息保护的规定散落于法律、行政法规和部门规章之中,且多为原则性的规定。行业标准层面,尽管有诸如《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》等细化的操作指引,但效力层级较低,并非强制适用标准,实际效果可能较为有限。
《个保法》作为我国首部针对个人信息保护的专门性立法,将个人信息保护的重要性提到法律层面,通过8章74个条文,对个人信息的定义、分类、处理规则、跨境提供规则、相关主体的权利义务与法律责任等事项进行了系统规定,亦搭建起了金融领域个人信息保护的基本框架。
二、《个保法》与既有规范之间的区别
如前所述,由于《个保法》的效力层级较高,如现有行政法规、部门规章、行业标准的规定与《个保法》不一致,则应优先适用《个保法》的相关规定。由此,对金融机构而言,充分了解《个保法》与既有规范之间的区别以及该等区别对日常业务的影响就显得尤为重要。
我们将《个保法》与既有规范进行比较分析后发现,《个保法》在如下方面对金融机构提出了更高的要求:
1. 个人金融信息作为敏感个人信息的监管要求
《个保法》规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
《个人金融信息保护技术规范》(以下简称“《技术规范》”则规定,个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。
据此,大部分个人金融信息均属于敏感个人信息。根据《个保法》的规定,除非是为订立、履行个人作为一方当事人的合同所必需,或为履行法定职责或者法定义务所必需,否则处理敏感个人信息应当取得个人的单独同意。
这就对金融机构处理个人金融信息提出了更高的要求,原因在于“单独同意”,必须是在个人充分知情的前提下自愿、明确作出的,不能通过一揽子告知同意等方式征得个人同意,也不能采用与其他授权捆绑、不点击同意就不提供服务或默认同意等方式强迫或者变相强迫个人同意,甚至也不同于《技术规范》规定的“明示同意”(即个人金融信息主体主动作出声明、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等)。
如要求金融机构就每一项个人金融信息逐一取得用户同意,无疑将极大地加重金融机构的义务和负担,影响正常业务的开展。因此,在具体操作中,金融机构具体如何实现“单独同意”,还有待后续实施细则予以明确。
2. 个人金融信息共享与转让的监管要求
关于个人金融信息的共享与转让,此前《技术规范》仅规定了个人信息处理者内部在共享和转让过程中的具体技术要求,例如,应开展个人金融信息安全影响评估,并依据评估结果采取有效措施保护个人金融信息主体权益;应开展个人金融信息接收方信息安全保障能力评估,并与其签署数据保护责任承诺;应部署信息防泄露监控工具,监控及报告个人金融信息的违规外发行为,等等。至于个人信息处理者对个人应履行何种义务,《技术规范》则未有规定。
对此,《民法典》规定,未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。据此理解,个人信息处理者与他人共享或向他人转让个人信息的,需经个人同意。
此次《个保法》则在上述规范基础上将“同意规则”进一步细化为“告知-同意”规则。关于个人信息的转让,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和凯发首页官网登陆的联系方式;接收方应当继续履行个人信息处理者的义务;接收方变更原先的处理目的、处理方式的,应当重新取得个人同意。关于个人信息的共享,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、凯发首页官网登陆的联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当重新取得个人同意。
据此,在金融产品的推介、销售等场景下,金融产品的管理人、代销机构如何共享个人信息,如何在现有流程、系统中落实“告知-同意”规则,亦需要机构予以充分关注和考虑。
3. 利用个人信息进行自动化决策的监管要求
随着人工智能技术和云计算的不断升级发展,智能投顾在证券投资领域中的应用也越来越广泛,金融机构利用个人信息进行自动化决策,向个人进行信息推送、商业营销的需求也越加凸显。但由此产生的垃圾信息泛滥、大数据杀熟等问题也不容忽视。
对此,2020年颁布实施的《中国人民银行金融消费者权益保护实施办法》进行了初步规定。根据该办法,银行、支付机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择是否同意银行、支付机构将其金融信息用于上述目的;金融消费者不同意的,银行、支付机构不得因此拒绝提供金融产品或者服务。银行、支付机构向金融消费者发送金融营销信息的,应当向其提供拒绝继续接收金融营销信息的方式。
此次《个保法》针对大数据杀熟行为则进一步规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
4. 个人金融信息删除的监管要求
基于监管、追责等的需要,目前金融领域内的法规政策一般会对金融机构保存相关重要文件、资料的期限作出明确规定,例如,《证券期货投资者适当性管理办法》规定,经营机构应当按照相关规定妥善保存其履行适当性义务的相关信息资料,对匹配方案、告知警示资料、录音录像资料、自查报告等的保存期限不得少于20年;对金融机构删除个人金融信息的义务,规范层面则鲜有规定,此前仅有《技术规范》简单规定,金融机构应采取技术手段,在金融产品和服务所涉及的系统中去除个人金融信息,使其保持不可被检索和访问。据此理解,似乎并不要求金融必须删除个人金融信息,匿名化、去标识化、加密、脱敏亦是可行的操作方式。
但此次《个保法》则进一步明确规定,处理目的已实现、无法实现或者为实现处理目的不再必要;或个人信息处理者停止提供产品或者服务,或者保存期限已届满的,个人信息处理者应当主动删除个人信息。仅在法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,方可停止除存储和采取必要的安全保护措施之外的处理。
三、《个保法》下金融机构的应对
《个保法》将个人信息保护提升到了前所未有的高度,行政责任层面大大提高处罚力度,仅罚款上限就高达五千万元或者上一年度营业额的百分之五;民事责任层面则规定举证责任倒置,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
在此背景下,对金融机构而言,个人信息保护将与反洗钱、投资者适当性管理、网络安全等传统合规事项一并纳入日常合规管理,并至少需在如下方面优化、完善合规工作:
1. 制定个人信息保护的内部管理制度和操作规程,至少包括个人信息保护管理规定、日常管理及操作流程、外包服务机构与外部合作机构管理、内外部检查及监督机制、应急处理流程和预案。
2. 对个人信息实行分类管理,针对不同类别和敏感程度的个人信息,实施相应的安全策略和保障措施。
3. 采取相应的加密、去标识化等安全技术措施,建立个人信息脱敏管理规范和制度,明确不同敏感级别个人信息脱敏规则、脱敏方法和脱敏数据的使用限制。
4. 合理确定个人信息处理的操作权限,建立信息系统分级授权管理机制,在不影响履行反洗钱等法定义务的前提下,制定本机构人员个人信息调取权限与使用范围,并制定专门的授权审批流程。此外,定期对从业人员进行安全教育和培训。
5. 制定并组织实施个人信息安全事件应急预案,将个人信息泄露等相关事件处理纳入机构信息安全事件应急处置工作机制,制定专门的流程和预案,并定期评估应急处理流程和预案,及时保障、有效应对个人信息安全事件,降低安全事件造成的损失及不利影响。