热搜产品

金融 · 看法丨《个保法》实施后,金融机构如何做好合规管理?

2024-10-13 0

前言:2021年8月20日通过的《中华人民共和国个人信息保护法》(以下简称“《个保法》”)将于2021年11月1日正式实施。《个保法》构建了以“告知-同意”为核心的个人信息处理规则,明确了个人信息处理者的义务,对个人信息处理者提出了从制度、协议到系统、技术等全方位的要求,以保障个人在个人信息处理活动中的各项权利。

作为处理客户信息的数据密集型机构,《个保法》的实施将对金融机构提出更严格的合规要求。基于此,北京市兰台律师事务所金融团队根据相关法律法规,并结合本所律师服务不同类型金融机构的执业经验,就《个保法》实施后,金融机构应关注的合规要点和风险提示如下,以飨读者。


一、处理个人信息的基本原则

《个保法》在总则部分明确了处理个人信息的基本原则,通过对基本原则的梳理,厘清个人信息处理的底线如下:

(一)合法性原则

合法性原则系指个人信息处理的依据、目的及利用方式合法。《个保法》第13条列举了七种个人信息处理的合法性基础,包括基于同意的处理、履行合同所必需、履行法定义务所必需等。

(二)正当性原则

正当性原则系指个人信息处理者不得通过误导、欺诈、胁迫等方式处理个人信息。《关于开展纵深推进APP侵害用户权益专项整治行动的通知》列举的非服务所必需或无合理场景,通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为,系欺骗误导用户提供个人信息的典型行为。

(三)必要性原则

必要性原则体现在:(1)收集个人信息应当限定在处理目的所必要的最小范围;(2)敏感个人信息只有“在充分的必要性”情形下方可处理;(3)个人信息处理者应在实现个人信息处理目的前提下选择对个人权益影响最小的方式;(4)个人信息保存期应当为实现处理目的所必要的最短时间。

(四)公开、透明原则

《个保法》第7条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围,不得隐瞒产品或服务所具有的收集个人信息功能及用途。

具体而言,《个保法》规定公开透明原则应落实在:(1)个人信息处理者必须保障个人在充分知情的前提下自愿、明确作出同意的意思表示;(2)个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地告知相关事项,并详尽列出了具体要素,同时处理规则应当公开,并且便于查阅和保存;(3)个人信息处理者应对个人信息处理规则进行解释说明,以充分保障个人的知情权;(4)对于转移个人信息或向其他个人信息处理者提供处理的个人信息,应履行告知义务;(5)针对利用个人信息进行自动化决策情形,应保证决策的透明度、结果公平公正原则;(6)在公共场所采集个人信息时,应设置显著提示标志。

(五)完整性和准确性原则

《个保法》第8条规定了处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

相应地,《个保法》明确了个人有权在发现信息不准确、不完整时,请求更正、补充的权利,以及个人信息处理者主动更正、补充的义务。

(六)责任原则和安全原则

《个保法》第9条规定了个人信息处理活动中的责任原则和安全原则,即个人信息处理者应当对其个人信息处理活动承担责任,并采取必要措施保障所处理的个人信息的安全。


二、个人信息处理中的“告知+同意”规则

(一)个人信息处理规则的制定和公开

金融机构在处理个人信息前,应当公开发布个人信息保护政策(如隐私政策),根据不同业务场景落实个人信息处理告知同意规则。在涉及个人信息处理的具体场景中,金融机构应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知:个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使《个保法》规定权利的方式和程序。此外,个人信息处理规则应当公开,并且便于查阅和保存。

(二)需取得个人同意的情形

取得个人自愿、明确同意是个人信息处理者处理个人信息的前提,也是原则性规定。其中,需取得个人单独同意的五种情形为:①向其他个人信息处理者提供其处理的个人信息的、②处理敏感个人信息、③向中华人民共和国境外提供个人信息的、④公开其处理的个人信息、⑤所收集的个人图像/身份识别信息用于其他目的;应重新取得个人同意的情形为:个人信息的处理目的、处理方式和处理的个人信息种类发生变更。

(三)无需取得个人同意的情形

根据《个保法》第13条的规定,结合金融机构的业务内容,在以下情形下金融机构无需取得个人同意:一是基于履行法定义务所必需而处理个人信息,包括:基于履行反洗钱管理、司法协助等法定义务而处理的个人信息;二是基于订立、履行与个人之间的金融产品或服务合同所必需而处理的个人信息,如为履行合同中约定的金钱给付义务,需获得个人的银行账号。

特别地,在“告知+同意”的形式上,建议金融机构在公司网站、APP、小程序等显著位置,或以合同附件交付于客户查阅等形式,向个人客户告知个人信息处理规则,并设置用户阅读和勾选同意/签字同意的功能,以公开、透明的方式充分保障个人客户的知情权和决定权。此外,需要注意的是,《个保法》中涉及的“单独同意”不应只通过隐私政策进行一揽子告知,而应通过弹窗提醒、二次同意等方式取得客户的单独同意。

比如,在金融机构与个人开展的融资类交易中,建议金融机构在协议中明确约定信息收集条款。如约定为:“为配合【金融机构】对甲方【自然人】融资/担保资格、履约能力等的评估及持续跟踪,甲方同意授权乙方记录、收集并使用甲方的联系信息(包括但不限于工作单位名称及地址、联系电话、家庭地址、联系人)、信用信息(包括但不限于征信记录和信用报告)、财产信息(包括但不限于甲方所有的店铺/企业经营状况、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等投资信息和负债信息等)、甲方在行政机关、司法机关留存的任何信息(包括但不限于户籍信息/工商信息、诉讼信息、执行信息和违法犯罪信息等),以及与甲方留存的其他自然人、法人和组织的相关信息。”


三、有关合作处理、委托处理的规则

(一)合作处理

《个保法》第20条规定:“ 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。”

在个人信息处理中,基于信息不对称等原因,个人处于弱势地位。为更好的保护个人合法权益,《个保法》明文规定,个人信息权益遭受侵害的,合作处理个人信息的双方承担连带赔偿责任。基于此,对金融机构而言,如确需与第三方合作处理个人信息,则合作方的选择和准入尤为重要。建议金融机构严格限定合作方(共同决定处理个人信息的单位)准入条件,构建严格的准入和退出机制,充分审查评估合作方保护个人金融信息的能力,避免因合作方原因承担赔偿责任。

(二)委托处理

《个保法》第21条规定:“个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。”

基于委托代理的法律关系,受托人在委托权限范围内、以委托人的名义实施的行为应由委托人承担一切责任。基于此,如金融机构确需委托第三方处理个人信息,则受托人的准入选择、委托人对受托人行为的监督尤为重要。此外,根据《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知(银发〔2020〕45号)》第6.1.4.4条委托处理的相关规定的规定[1],金融机构进行委托处理还需遵守上述规定。


四、个人在个人信息处理活动中的权利

个人在个人信息处理活动中的权利与上文总结的个人信息处理者的义务相对应,概括来说,在个人信息收集时,个人享有知情权、决定权、撤回同意权、要求解释说明权。在个人信息维护时,享有更正、补充权、特定信息的删除权。在个人信息获取时,享有查阅复制权、承继行使权、可携带权。基于此,为实现个人在个人信息处理活动中的权利,金融机构应履行的义务和责任包括:

1. 个人请求查阅、复制其个人信息,金融机构应当及时提供。

2. 个人有权撤回其同意,金融机构应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

3. 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,金融机构应当提供转移的途径。

4. 个人请求更正、补充其个人信息,金融机构应当对其个人信息予以核实,并及时更正、补充。

5. 按照必要性原则,金融机构应主动删除如下个人信息:①处理目的已实现、无法实现或者为实现处理目的不再必要;②个人信息处理者停止提供产品或者服务,或者保存期限已届满;③个人撤回同意;④个人信息处理者违反法律、行政法规或者违反约定处理个人信息;⑤法律、行政法规规定的其他情形。此外,如果法定保存期限未届满[2],或者删除个人信息从技术上难以实现的,金融机构应当停止除存储和采取必要的安全保护措施之外的处理。

6. 个人要求金融机构对其个人信息处理规则进行解释说明的,金融机构应及时说明;

7. 自然人死亡的,其近亲属为了自身的合法、正当利益,对死者的相关个人信息行使查阅、复制、更正、删除等权利的,金融机构应及时配合,但死者生前另有安排的除外。


五、个人信息处理者的内控制度建设

金融机构作为个人信息处理者,在内控制度方面,还需履行如下义务:

1. 制定内部管理制度和操作规程。

2. 对个人信息实行分类管理。

金融机构对个人信息的分类管理,可以参照《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知(银发〔2020〕45号)》附件《个人金融信息保护技术规范》的规定,将个人金融信息按照敏感程度从高到低分为C3、C2、C1三类。

3. 采取相应的加密、去标识化等安全技术措施。

比如,在个人信息的收集阶段,通过客户交易终端需采集个人信息时,金融机构应采取技术措施(如弹窗、明显位置URL链接等),引导个人信息主体查阅隐私政策,并获得其明示同意后,开展有关个人信息的收集活动,其中对于C3类别信息(即用户鉴别信息,具体包括银行卡磁道数据或芯片等效信息、卡片验证码、卡片有效期、银行卡 密码、网络支付交易密码;账户登录密码、交易密码、查询密码;用于用户鉴别的个人生物识别信息)应使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取。

4. 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。

比如,金融机构交易业务系统的后台管理及其他业务支撑系统应通过严格的权限管理措施防范个人信息在展示过程中的泄露或被未经授权的拷贝。业务上不需要对证件类号码、证券账号、客户法定名称、预留手机号码或其他类识别客户身份信息完整展示的,应进行屏蔽处理。交易业务系统的后台管理应对个人信息的查询功能通过权限管理进行适当限制,并对查询操作保留行为审计。

5. 制定并组织实施个人信息安全事件应急预案。

如发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(三)个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。

6. 指定个人信息保护负责人。

根据《个保法》第52条的规定,如金融机构处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

7. 特定情形下进行事前个人信息保护影响评价。

根据《个保法》第55条规定:“下列情形,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。”

8. 定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。


六、个人信息处理者的过错推定责任

《个保法》对于违法处理个人信息的行为设定了民事赔偿制度,明确了过错推定责任,即处理个人信息侵害个人信息权益造成损害的,个人信息处理者如不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

过错推定责任给予了个人信息处理者更严格的举证责任。基于此,金融机构在处理个人信息时需严格按照上述法律规定执行,同时需做好留痕记录,以便于证明其自身无过错。

[1] 金融业机构因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(包含外包服务机构与外部合作机构)处理时,不得超过被征集人授权同意的范围;禁止委托第三方处理C3以及C2类别信息中的用户鉴别辅助信息;还应对个人信息脱敏处理;应对委托行为进行安全评估与监督。此外,金融机构应对第三方机构等受委托者提出如下要求:①应严格按照金融业机构的要求处理个人金融信息,如因特殊原因受委托者未能按照要求处理个人金融信息,应及时告知金融业机构,并配合金融业机构进行信息安全评估,并采取补救措施以保护个人金融信息的安全,必要时应终止其对个人金融信息的处理;②经书面授权,受委托者不应将其处理的个人金融信息再次委托给其他机构进行处理;③应协助响应个人金融信息主体的请求;④如受委托者在处理个人金融信息过程中无法提供足够的信息安全保护水平或发生安全事件,应及时告知金融业机构,配合进行信息安全评估与安全事件调查,并采取补救措施以保护个人金融信息的安全,必要时应终止其对个人金融信息的处理;⑤在委托关系解除时(或外包服务终止后),受委托者应按照金融业机构的要求销毁其处理的个人金融信息,并依据双方协商的期限承担后续的个人金融信息保密责任;⑥应准确记录和保存委托处理个人金融信息的情况。

[2] 如《反洗钱法》第十九条第三款:客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。《商业银行理财业务监督管理办法》第五十一条从事理财产品托管业务的机构应当履行下列职责,确保实现实质性独立托管:(七)理财托管业务活动的记录、账册、报表和其他相关资料保存15年以上。


作者:王瑶;指导律师:王清

To Top