【实务研究】商业银⾏个⼈信息保护法律风险与应对策略探析
作者|王志强供职于中国⼈民银⾏滨州市中⼼⽀⾏
责任编辑|杨琪
交响乐名曲
近年来,个⼈信息⾮法获取、泄漏和滥⽤事故⾼发,保障个⼈敏感信息成为⼤众关⼼的现实问题。2021年11⽉,《个⼈信息保护法》的施⾏,给个⼈信息保护⼯作带来了更为有⼒的法律武器。商业银⾏属于信息密集型企业,如何依法维护好个⼈信息数据安全,是其必须⾯对的重要课题。
¥
中国个⼈信息保护法制发展进程
过去,在社会观念、经济环境、科技应⽤等诸多原因限制下,我国对个⼈信息保护没有给予⾜够重视,有关法律规定分散于《消费者权益保护法》《刑法》等⼀系列法律、司法解释和技术标准,从不同层⾯规范个⼈信息保护制度。2016年以后,随着国家对个⼈信息保护⼒度的加⼤,相关法律规范相继颁布实施,为不同领域个⼈信息保护⼯作提供了系统全⾯的法律依据。
2016年11⽉,《⽹络安全法》颁布,⾸次⽴法界定了个⼈信息并集中规范对侵害个⼈信息⾏为的惩处措施。2017年10⽉,《民法总则》施⾏,从民法层次确认个⼈信息权利受到法律保障,规范个⼈信息保护的基本⾏为,为制订个⼈信息保护单⾏法奠定了⽴法基础。2018年8⽉,历时六年的《电⼦商务法》颁布,其个⼈信息保护规定较《⽹络安全法》更为细分。2021年1⽉施⾏的《民法典》进⼀步对个⼈信息法定地位、保护原则和信息处理者法定义务进⾏规范。2021年11⽉《个⼈信息保护法》出台,成为中国⾸部专门的个⼈信息保护法律,全⾯规制个⼈信息权利、处理规则、处理者义务和法律
责任,有效改善了原有法条分散、标准不齐的⽴法状况。
⾦融监管关于个⼈信息保护的管理规范,可以追溯⾄2006年中国⼈民银⾏反领域出台的个⼈信息保护相关制度。近年来,《⾦融消费者权益保护实施办法》《个⼈⾦融信息保护技术规范》《个⼈⾦融信息(数据)保护试⾏办法》等⾦融信息监管规定、国家标准相继发布,对⾦融机构处理个⼈信息的合规性提出更为具体的要求。其中,2020年2⽉中国⼈民银⾏发布的《个⼈⾦融信息保护技术规范》,密切结合监管实践,系统规范个⼈⾦融信息全⽣命周期的安全防护,为⾦融机构建⽴个⼈⾦融信息保护体系提供了专业指南。
综上所述,当前我国在个⼈信息保护⽅⾯已逐步建⽴基本法与专门法并存、部门规章和⾏业规范相结合的全⽅位⽴法体系。其中,《个⼈信息保护法》创制的《宪法》背景将个⼈信息保护提升到公民基本权利的最⾼层次,充分体现了国家尊重和保障⼈权的决⼼,对数字时代个⼈信息保护将起到重要的促进作⽤。
¥
《个⼈信息保护法》主要合规性规定
个⼈信息权益涉及⼈⾝、财产和隐私等多重基本权利,《个⼈信息保护法》以此规定公开、透明、合
皮肤美白产品法、正当、必要和诚信为个⼈信息保护的基本原则,并确⽴以“告知同意”为核⼼内容的多项个⼈信息处理规则,维护个⼈知情权和决定权等信息权利,强调信息处理者的责任,进⼀步完善个⼈信息保护⼯作机制。《个⼈信息保护法》重点制定如下合规要求:
其⼀,明确定义敏感个⼈信息及其处理规则。《个⼈信息保护法》明⽂规定,敏感个⼈信息处理必须符合“特定⽬的性”“充分必要性”以及“采取严格保护措施”三项条件,须在事前评估影响且向个⼈告知可能产⽣的不利影响,并取得个⼈单独同意或者书⾯同意。
其⼆,明确个⼈所享有的信息控制权利。《个⼈信息保护法》更注重对个⼈权利的实质性保障,赋予个⼈知情决定、撤回许可、查询复制、转移携带、修改补充、申请删除、代为⾏使、获得救济和请求解释等多项信息权利,规定信息处理者必须准确完整地向个⼈告知⾏使⽅式和流程,为个⼈⾏使权利提供便捷的受理处理机制,保障个⼈⾃主维护合法权益。
其三,界定信息处理者的法定义务。《个⼈信息保护法》坚持“合法、正当、必要”原则,遵守“最⼩影响、最⼩范围、最短时间”规则,规范个⼈信息处理的原则、义务和责任。信息处理者必须公开个⼈信息处理规则,以明⽰处理⽬的、⽅式和收集范围以及对个⼈权益的影响。在⽬的性上,应当明确、合理和直接相关,体现“合法性、正当性”原则。在影响程度和范围上,应当选择对个⼈权益影响最⼩的⽅式和达成处理⽬的的最⼩范围,不得过度收集个⼈信息。《个⼈信息保护法》明确个⼈信息质量应
上海游玩景点以防⽌对个⼈权益产⽣不利影响为合规标准。如果个⼈信息不准确、不完整对个⼈权益产⽣不良影响,或者未采取必要措施维护信息安全的,信息处理者应承担相应责任。
《个⼈信息保护法》参考欧盟⽴法经验,确⽴域外管辖权,如果涉及向中国境内⾃然⼈提供产品或服务,或者涉及分析和评价中国境内⾃然⼈的⾏为,则即使该信息处理者为主体或信息处理活动发⽣在,仍须受到本法规制。
¥
违反个⼈信息保护相关规定的法律后果
根据《刑法》《个⼈信息保护法》等法律规定,侵害个⼈信息权益的违法⾏为需视情形承担相应的民事责任、⾏政责任和刑事责任。商业银⾏收集处理的个⼈⾦融信息归属敏感个⼈信息,如果泄露可能直接危害个⼈⾝⼼健康和财产权益,商业银⾏将会依法承担法律责任,甚⾄可能形成系统性风险。
民事责任。为破解⼤数据时代个⼈信息权益维护难题,《个⼈信息保护法》实⾏过错推定和公益诉讼制度,商业银⾏在承担民事责任时可能⾯临过错推定风险和公益诉讼风险。
春天的童话⼀是过错推定风险。作为数据收集、存储和使⽤的主体,信息处理者是数据价值的最⼤受益者,应承担与其地位和受益相当的责任。《个⼈信息保护法》明确适⽤过错推定原则,确定信息处理者必须承
担侵权举证责
任,通过转移举证责任实现对个⼈信息的保护。需要注意的是,多个信息处理者协同处理个⼈信息损害个⼈权益的,相互承担连带责任,不受双⽅约定的影响。因此,商业银⾏必须全⾯记载其个⼈信息处理活动并妥善留存相关记录,实现有据可查以满⾜举证责任。
⼆是公益诉讼被诉风险。在互联⽹⼤数据环境下,侵犯个⼈信息案件存在取证难、认定难、赔偿难等难点。《个⼈信息保护法》进⼀步健全司法救济机制,赋予检察院、依法成⽴的消费者组织以及国家⽹信主管部门认定的组织向法院进⾏公益诉讼的权⼒,有效解决个⼈信息侵权案件波及范围⼴、个体举证难等问题。
⾏政责任。《个⼈信息保护法》实施后,针对违法严重程度,严格划分法律责任,梯次设置⾏政处罚,⼤幅提⾼处罚⼒度,增强监管执法震慑。对尚未造成严重后果的轻微或⼀般违法⾏为,可由执法部门责令改正,给予警告、没收违法所得以及责令暂停或者终⽌提供服务,对拒不改正的可处最⾼⼀百万元;对情节严重的违法⾏为,可处最⾼五千万元或上⼀年度营业额百分之五的(⼆者择其⾼),除⾏政之外,还可责令暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照;并对相关责任⼈员判处最⾼100万元或予禁业限制,记⼊信⽤档案。
刑事责任。在当前信息产业“刑法先⾏”的治理背景下,厘清《个⼈信息保护法》与刑法的衔接问题,
对于商业银⾏防范刑事风险具有重要意义。2017年5⽉《最⾼⼈民法院、最⾼⼈民检察院关于办理侵犯公民个⼈信息刑事案件适⽤法律若⼲问题的解释》(下称《解释》)发布,确认公民个⼈信息保护的“国家有关规定”包括法律、⾏政法规和部门规章,《个⼈信息保护法》依此属于“国家有关规定”的类型,违反《个⼈信息保护法》处理个⼈信息的将可能被追究刑事责任。
近年来,侵犯公民个⼈信息犯罪⾏为持续⾼发,形成从⾮法收集窃取、出售提供到交易交换等环节完整的利益链条,交易数据涵盖⽤户账号、密码、⽹银等鉴别信息以及⼿机号码、兴趣爱好等隐私信息,其中银⾏员⼯往往成为个⼈⾦融信息贩卖的重要源头。因此,银⾏或其⼯作⼈员⾮法获取、出售或提供个⼈信息达到上述标准,将构成犯罪并承担刑事责任,并将严重损害银⾏声誉。
¥
商业银⾏个⼈信息保护应对策略
《个⼈信息保护法》将个⼈信息保护从⼀般性监管要求上升到强制性法律规定,信息处理者是个⼈信息保护的⾸要责任⼈,应当对其信息处理活动担责,并采取业务、技术等必要措施保障信息安全。这给⽇常收集处理海量敏感个⼈信息的商业银⾏带来更严苛的合规挑战。银⾏应更加严格遵守个⼈信息保护的法律规定,谨慎、合理、合法收集和使⽤个⼈信息,周密防范法律风险。
建⽴全⽣命周期个⼈信息保护制度,纳⼊商业银⾏合规管理体系。在部门设置和内控管理层⾯,《个⼈信息保护法》明确规定信息处理者制定内部管理制度和操作规程。商业银⾏应对标梳理业务条线涉及的个⼈信息处理活动,按照个⼈信息保护相关法律法规、标准指南的要求,对既有个⼈信息保护制度与操作进⾏合规性评估,从部门设置、制度修订、流程优化、⼈员培训、审计追踪等⽅⾯提出针对性整改规划,系统建⽴全⾯覆盖个⼈⾦融信息处理全流程的内控制度和操作规程体系。
在部门设置和职能设定⽅⾯,银⾏应设⽴⾸席数据信息官履⾏信息保护管理职责,明确牵头部门和业务部门的职能分配。在员⼯管理⽅⾯,应强化信息法规培训,牢固树⽴责任意识,严格落实奖惩。在职位设置上,清晰界定操作分⼯,合理确定操作权限,实时监控风险预警,对异常查询下载、传播提供客户信息侵害客户权益的,应予追责并承担法律后果。在合规审计上,建⽴个⼈信息全⽣命周期合规审计制度,开展定期专项审计或纳⼊外部审计,依据法律法规识别风险隐患,从技术、业务、管理等⽅⾯追踪问责。为防范、补救和处
理信息风险事件,制订必要的应急预案并开展模拟演练,建⽴针对信息处理活动、保护措施及其风险事件的报告制度。
修订完善隐私政策,明⽰客户信息处理规则。长期以来,商业银⾏主要通过隐私协议、个⼈信息保护政策等⽂件向客户明⽰个⼈信息处理规则。银⾏已习惯于将隐私政策作为可预先制订且不需与客户商
议的格式条款,以致银⾏App隐私协议存在不当免责条款现象较为普遍。《个⼈信息保护法》⽣效后,银⾏应及时更新完善业务条线⾯向客户的各类协议章程所包含的隐私政策⽂本,显著标识限制或者免除责任等客户权益重⼤关系条款,明⽰信息处理规则,并取得个⼈客户授权。
充分告知并取得个⼈主体单独同意。告知同意原则是个⼈信息保护⽴法的核⼼原则。银⾏在取得客户单独同意时,应全⾯履⾏充分告知义务,安排专门⼈员进⾏咨询服务,明确提⽰隐私协议条款设置及其内容,引导客户完整阅读并应其要求予以正确解释,待客户明⽰没有疑义后再⾏勾选相应约定内容,保证客户充分知情及⾃愿做出同意的表⽰与⾏为,以充分维护客户的知情权与选择权。客户通过线上渠道办理业务前,应明确告知其信息获取范围,并经客户明⽰同意后开始收集。若线上渠道通过Cookie等同类技术或者嵌⼊第三⽅代码及插件收集个⼈信息,需明⽰⽤户并取得同意。
《个⼈⾦融信息保护技术规范》明确指出App默认勾选隐私政策或者注册即代表同意隐私政策的授权⽅式都不合规,弹窗式⼀揽⼦授权⽅式也需要相应调整。如果银⾏制订冗长晦涩的隐私政策或是以密集排版等⽅式集中展⽰,也不符合充分告知要求,构成对个⼈信息知情权和决定权的实质侵害。概⽽⾔之,告知同意是个⼈信息权益的核⼼与底线。银⾏应建⽴健全告知同意合规制度,寻隐私保护与商业利⽤的平衡。
电脑老是死机怎么回事禁⽌过度处理个⼈信息。商业银⾏在采集信息时,应明确告知客户收集的⽬的和范围,客户授权范围
应与⾦融产品和服务相匹配,严格控制收集信息的范围,保证收集信息的维度与内容合规,不应要求收集和业务功能⽆关的隐私数据。商业银⾏应统筹结合《App违法违规收集使⽤个⼈信息⾏为认定⽅法》等规定规范,重点关注⽤户告知同意、App申请权限正当性、收集信息最⼩必要原则、⽤户权利实现机制以及敏感个⼈信息处理的特殊要求等⽅⾯,开展App必要个⼈信息收集合规梳理与⾃查⾃纠,规避违规收集个⼈信息的法律风险。
个⼈信息分类分级保护。《个⼈信息保护法》规定对敏感个⼈信息采取严格的分类保护措施。商业银⾏遵循《个⼈⾦融信息保护技术规范》《⾦融数据安全数据安全分级指南》等⾏业标准,实施个⼈⾦融信息分类分级保护,有利于规范数据处理活动,降低数据破坏损害,提⾼信息安全⽔平。必须说明的是,个⼈⾦融信息类别应当结合业务场景动态识别,并尽可能与⾦融数据资产分级相衔接。
特别值得注意的是,银⾏基于敏感个⼈信息处理后得到的衍⽣信息,仍归属敏感个⼈信息。但是,衍⽣信息经匿名化处理后已⽆法重识别或还原为具体的⾃然⼈信息,即不再属于《个⼈信息保护法》所定义的个⼈信息,⽽是转化为商业银⾏可⾃主运⽤的数据资产。商业银⾏应综合参考技术规范,确保脱敏处理的充分性,降低个⼈信息泄露风险。
建⽴便捷的个⼈信息权利的申请受理和处理机制。《个⼈信息保护法》规定,信息处理者应当建⽴便捷的个⼈⾏使权利的申请受理和处理机制。商业银⾏应当积极保障个⼈⾏使信息权利,在实施过程中,应着重关注以下个⼈权利的申请受理和处理情况:
⼀是个⼈撤回同意。个⼈信息收集⼊库后,银⾏将会应⽤到不同业务条线系统。⼀旦客户撤回同意,银⾏应⽴即向关联平台同步发送停⽌处理指令,并及时删除储存的个⼈信息。建议银⾏优化信息处理流程,在获得个⼈信息后同步匿名化存储,⽤户撤回同意时仅需删除⾮匿名化数据,并在共享、转让环节设置撤回同意联
动机制或者约定撤回同意联动处置条款,提⾼处置效率。
⼆是个⼈申请查询更正删除信息的。银⾏应设置合理的查询途径,及时响应并提供个⼈信息,说明个⼈信息的合法来源,并便利个⼈查阅、复制。银⾏还应提供便捷的个⼈信息更正、删除的选项和⽅式。为降低信息处理成本和数据库运维成本,按照《个⼈⾦融信息保护技术规范》信息删除相关规定,银⾏处理个⼈删除请求,可仅去除⾦融产品和服务所涉及的业务系统中的个⼈⾦融信息,使其不可被检索和访问,在新业务触发⽤户授权时再从数据库调⽤。
无损检测专业加强对外合作信息安全管理。银⾏对外业务合作过程中涉及个⼈信息的转移和共享较为普遍,银⾏应⾼度关注个⼈⾦融信息在外部第三⽅之间的流转,需要在合作协议以及操作流程中厘清信息边界和责任义务,共同落实个⼈信息保护的相关法律规定,避免来⾃外部的风险传递。
⾸先,银⾏对外提供个⼈信息,应恪守最⼩必要原则并进⾏脱敏处理,避免提供原始数据。《个⼈⾦融信息保护技术规范》严格规制信息共享与委托处理。⼀是特定类别的个⼈⾦融信息不应共享和转让。
⼆是共享和转让环节,对⽀付账号及其等效信息进⾏脱敏,并每年⾄少评估⼀次⽀付信息安全。三是委托处理环节,银⾏应建⽴外包服务机构与外部合作机构管理制度。
其次,全⾯核查合作⽅从业资质,系统评估和持续监测其信息保护能⼒。从合作⽅获取个⼈信息应确认其来源合法,防⽌合作⽅违规引发银⾏声誉危机或法律风险,通过协议明确双⽅职责和保密义务及违约责任,并采取必要监督措施。再次,应⽤技术⼿段预防潜在风险,增强数据共享安全可信⽔平。银⾏应当深⼊核查清理,删除或停⽌接⼊存在隐秘收集或滥⽤个⼈信息以及存在信息安全隐患的第三⽅产品或服务;若必须接⼊的,应当向客户明确标识由第三⽅提供并详细披露第三⽅个⼈信息处理情况
严密数据跨境传输履⾏跨境程序。按照《个⼈信息保护法》规定,向提供个⼈信息,必须遵守必要的法定程序,包括向个⼈充分告知并取得单独同意、通过国家安全评估和专业保护认证、使⽤国家⽹信主管部门制定的标准合同等。《个⼈⾦融信息保护技术规范》要求所有⾦融业机构在中国境内收集和产⽣的个⼈⾦融信息都应在境内存储、处理和分析。银⾏与接收机构签署跨境传输协议,应明确约定接收⽅的保密、数据删除、案件协查等义务,在条件允许的情况下,还应当采取现场核查等⽅式,监督机构对其职责义务的履⾏情况。另外,⾦融机构向外国司法或执法机构提供信息的,须获得中国⼈民银⾏等主管机构的批准,不得擅⾃提供存储于境内的个⼈信息。当前,银⾏应密切关注《个⼈信息出境安全评估办法(征求意见稿)》⽴法进展,及时调整优化个⼈⾦融信息出境管理内
控制度与操作规程,严格履⾏跨境合规义务,积极降低个⼈信息跨境风险。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论