《中华人民共和国个人信息保护法》(以下简称为《个人信息保护法》)于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过,并将于2021年11月1日起施行。《个人信息保护法》的出台使个人信息处理有法可依,是数字社会治理与数字经济发展的基本法。该法与已施行的《网络安全法》、《数据安全法》,共同构成了中国网络法律体系的“三驾马车”。荷兰学者Nadezhda Purtova指出,当数据驱动的超级互联网络生活到来时,任何信息都可能与某个人产生联系,任何事物都将包含个人信息。《个人信息保护法》的立法目的即是衡量个人对信息的控制以及数据经济时代个人信息的合理利用的平衡。个人信息的法益保护首先要厘清个人信息的内涵和外延,由此再延伸至其法律关系的处理。
一、金融账户属于敏感个人信息,需满足更严格的保护
“金融业是高度信息化的行业”。客户与金融机构的每一次互动,都会产生数据。金融机构对这些数据进行收集和处理后,在下一次与客户互动时,能够优化响应。从金融监管角度,银行对个人金融信息的保护是重中之重。
(一)合理分类金融机构掌握的各类信息
金融机构所掌握的个人信息,依据其获取途径和发挥作用的不同,在《个人信息保护法》之下可归于不同的类型,相应地由金融机构进行不同程度的保护。如员工个人信息属于《个人信息保护法》下“个人信息”类型,客户相关信息、业务合作方相关个人信息属于“敏感个人信息”。
《个人信息保护法》第二十八条关于“敏感个人信息”的规定中,将“金融账户”信息与“医疗健康”、“行踪轨迹”等信息并列列举,且为不完全列举。笔者认为此处的“金融账户”信息应做广义理解,或者说,金融机构涉及敏感个人信息的不仅“账户信息”。从《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《中国人民银行金融消费者权益保护实施办法》《个人金融信息规范》对金融信息的界定来看,金融信息包含“交易信息”“账户信息”“征信信息”“财产信息”等;而《信息安全技术 个人信息安全规范》中,仅账户信息被归入为敏感个人信息的内涵范畴,《个人信息保护法》亦是如此。并非金融信息其他类别如“交易信息”、“财产信息”等不被纳入“敏感信息”的框架下,而应理解为,若此类信息符合敏感个人信息“一旦泄漏或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”的定义,其同金融账户信息一样需要受“敏感个人信息”特殊规则的约束。故金融机构应当结合个人敏感信息的内涵和外延,参照金融信息保护相关规定,合理确定金融信息的处理机制和规则。
(二)匿名化处理后的信息属于金融机构自有的商业信息
《个人信息保护法》第四条关于个人信息的定义将“匿名化处理后”的信息排除在本法规制之外,匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。对与交易相关“敏感个人信息”总结归纳、演绎后得到的“衍生个人信息”(如交易习惯、消费偏好)也属于敏感个人信息。如果“衍生个人信息”已经脱离了具体化的自然人,且其信息源是来自于某个自然人群体,能够实现不指向具体某个自然人而“匿名化”,那么这一类的“衍生个人信息”就不再是《个人信息保护法》所定义和适用的“个人信息”,而是转化为金融机构自有的商业信息、商业秘密、知识产权。
(三)《个人信息保护法》对敏感个人信息保护的特殊规则
《个人信息保护法》对敏感个人信息规定了专门的处理规则。除了满足对个人信息保护的规定,个人信息处理者还需要取得个人的单独同意、向个人告知处理敏感个人信息的必要性以及对个******益的影响。法律、行政法规规定处理敏感个人信息应当取得书面同意的,还应取得书面同意。这意味着在处理敏感个人信息时,概括同意或推定同意的授权模式为法律所禁止。不满十四周岁未成年人的个人信息也属于敏感个人信息,金融机构在收集处理此类信息时应当取得未成年人的父母或者其他监护人的同意,并制定专门的个人信息处理规则。
二、个人金融信息的处理规则要点解读
个人信息事实上包含着人格权和财产权双重属性。《个人信息保护法》规定了个人信息的处理包括“个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,相较《民法典》新增“删除”,完善了个人信息处理的环节。不论是规定的个人信息处理的原则还是方式,都彰显着保护与利用并重的价值内核。
(一)个人信息保护原则
《个人信息保护法》规定了合法、正当、必要、诚信的原则(第五条)、 目的明确、直接相关原则、***小必要原则(第六条)、公开透明原则(第七条)、准确完整原则(第八条)、必要措施保障原则(第九条)。这些原则应当贯穿于个人信息处理的全过程、各环节。其中,***小必要原则包含两方面的内涵,一是采取对个人权益影响***小的方式,而是限于实现处理目的的***小范围。个人信息的保存期限应当为实现处理目的所必要的***短时间,也就是说,原先各金融机构存在的******性保存、保存期限不明确、使用完毕不删除等的做法都不被法律所允许,应予修正。
(二)告知同意与例外的多元合理事由模式
“告知-同意”是法律确立的个人信息保护核心规则,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。第十三条在“个人同意处理”的传统基础上,进一步拓展了个人信息处理的正当化事由,从维护公共利益和保障社会正常生产生活的角度,细化了公共利益例外的情形(公共卫生事件、履行法定义务、法定职责、新闻报道),并纳入了“为订立或者履行个人作为一方当事人的合同所必需”,形成了融知情同意在内的“多元合理事由模式”,以实现承载于个人信息之上的多元价值。
(三)个人信息保护贯穿信息处理全程
对个人信息进行保护的重点包括严格事前收集、事中管理、事后责任。 在个人信息处理着在收集、转委托处理、向其他处理者提供时,应当征得个人充分知情基础上的自愿明确的同意,告知要真实、准确、完整;个人信息处理目的、方式和种类发生变更的,应当重新取得个人同意。在信息存储、使用、提供传输等过程中,个人享有知情权、决定权,有权限制或拒******个人信息的处理;个人有权撤回其同意,并保证“撤回同意”的难度不应大于“同意”的难度;并且《个人信息保护法》还规定了个人信息的可携带权,个人信息提供者应当提供转移的途径。当处理目的已经实现、保存期限届满、个人撤回同意的情况下,信息处理者应当主动删除个人信息。违法处理的还应承担行政、民事责任,构成犯罪的还应承担刑事责任。
(四)个人信息流动规则
“银行对客户信息资料负有金融隐私权保护之义务是在长期的业务实践中所形成的一种惯例”。但是大数据时代也更强调数据的共享和开放。出于风控授信、贷后催收、商业营销、服务客户等需要,个人金融信息在金融机构内部、金融机构与金融机构之间、金融机构与科技公司之间、金融机构与政府之间的流通屡见不鲜。根据《个人信息保护法》,个人信息流通纳入四类规范之中,即:与他人共同处理、委托他人处理、向其他处理者提供以及跨境提供。
由于银行服务方式越来越向数据化方向发展,技术不仅存在于电子银行、手机银行,还体现在客户信息的数据存储和整理加工、科技外包等环节。通过技术,随客户所需,即时提供内嵌的、无所不在的银行服务。故大多数的银行都需要委托第三方技术公司处理所获取的客户信息,如Cookie和同类技术。在此种情况下,《个人信息保护法》第二十一条规定,委托人应当详细约定委托事项,并监督受托人的处理活动。
《个人信息保护法》第二十条,规定了与他人共同处理个人信息,值得特别关注。即两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益的,应当承担连带责任。
三、金融机构个人信息保护合规要求
《个人信息保护法》出台后,上述机构一旦出现违反个人信息保护义务的行为,将可能面临轻则由监管部门责令改正、重则吊销相关业务许可和牌照,同时面临对机构处以******五千万元罚款、对直接责任人员处以******一百万元罚款与限期从业禁止。对比《中国人民银行金融消费者权益保护实施办法》,《个人信息保护法》中对于违法处理信息的惩戒力度大幅增加。可见,“个人信息保护”将成为金融机构新的合规重地。
伴随技术的进步,金融机构需要建立起一整套的数据合规体系,《个人信息保护法》要求企业需要设立便捷的个人行使权利的申请受理和处理机制(第五十条)、个人信息专人保护制度(第五十二条)、定期审计(第五十四条)、事前个人信息的影响评估等。要达到《个人信息保护法》合规标准,企业要将个人信息保护的理念贯穿金融机构的各项服务中,首先更新相关配套机制,明确内部职责;同时需要增加法务、安全方面的人员配置、培训和相应机制,做到定岗定责、定岗定人;还要制定应急预案,熟知关键技术服务流程等。
《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了******的、体系化的法律依据,是个人信息保护法治堤坝的重要一环。各银行机构要重视法律实施过程中可能面临的新问题和新挑战,尽快根据《个人信息保护法》,梳理、识别目前涉及客户信息处理的各类业务类型,并从信息收集、存储、使用、加工、传输、提供、公开、删除等各个环节进行排查。商业银行应进行监管法规的跟踪、解读和预判,及时为行内个人信息保护的规划和执行工作提供建议和依据。同时,修改和完善内部管理制度,加强员工教育培训,防范信息泄露、滥用等违法违规事件的发生。
