《个人信息保护法》的施行,明确了金融数字化发展应当遵循的基本准则和行为规范。个人金融信息是金融机构日常业务工作中积累的一项重要基础数据,也是金融机构客户个人隐私的重要内容。

个人信息保护的专门法律,与《民法典》、《网络安全法》、《数据安全法》、《电子商务法》、《消费者权益保护法》等法律共同组成一张公民个人信息保护网。

《个人信息保护法》的正式施行,标志着违规采集个人信息的行为将受到严格监管,而金融行业更是监管的重中之重。金融机构在个人金融信息保护方面应采取哪些措施?《个人信息保护法》规定的“告知-同意”对金融行业的影响又有哪些?金融机构应如何开展《个人信息保护法》实施后的合规审计工作?本文将从金融行业面临的挑战、《个人信息保护法》重点内容和金融机构应对机制三个方面进行解读。

1、金融行业面临的挑战

《个人信息保护法》的施行,明确了金融数字化发展应当遵循的基本准则和行为规范。个人金融信息是金融机构日常业务工作中积累的一项重要基础数据,也是金融机构客户个人隐私的重要内容。个人金融信息在金融业务的收集、传输、存储、使用、删除和销毁的数据生命周期过程中面临着诸多挑战,个人敏感数据泄露事件时有发生,保护个人敏感数据是《个人信息保护法》重点保护的领域之一。

《个人信息保护法》的贯彻落实在金融行业主要面临以下挑战:

(1)个人信息收集时明确同意要求

个人信息保护法中规定个人信息处理者在处理敏感个人信息等五种情形时,应当取得个人的单独同意。“单独同意”并不是单纯的同意,而是一种更高标准的“同意”,必须是个人在充分知情的情况下作出的行为,并且要赋予个人撤回同意的权利。单独同意的标准目前还未明确规定,金融机构应该如何做才能满足“单独同意”的要求呢?在实践中原有的通过隐私政策概括性地履行告知义务,并要求用户点击同意进行一揽子授权,是无法保障用户的知情权和决定权的,这点对于金融机构而言无疑是一个新的挑战。

(2)自动化决策使用保障透明规则

利用大数据分析消费者的个人特征用于商业营销,选择性提供产品或服务已成为当前商业活动的普遍现象,生活中自动化决策的应用范围已非常广泛,营销平台、各类APP等均使用自动化决策引擎提供精准推销。但随之出现的是“大数据杀熟”等事件,因此个人信息保护法中明确规定利用个人信息进行自动化决策引导要保证决策的透明度,不得“差别待遇”。那么如何制定出保证决策透明度的规则,以及如何能做到“说明清楚”,已成为金融机构面临的又一挑战。

(3)个人金融信息管理规范性增强

伴随着金融科技的应用,数据已成为驱动金融行业创新发展的重要生产元素。个人金融信息是个人信息在金融领域围绕账户信息、金融交易信息等方面的扩展与细化。2020年中国人民银行发布的《个人金融信息保护技术规范》明确了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,我国的个人信息保护法在惩罚力度上比欧盟《通用数据保护条例》(GDPR)更为严格。因此,金融行业需尽快梳理出各系统、各业务中对于个人金融信息是如何存储和使用的。然而金融机构多种的系统、纷杂的业务和不同人员权限的梳理工作对于任何一个金融机构来说,都是一个巨大的挑战。

2、《个人信息保护法》的重点要求

针对金融行业面临的挑战及关注点,以下分别从总体框架、适用范围、个人信息保护法的核心要点、强化个人自主权的单独同意等方面对个人信息保护法的重点内容进行分析与解读。

(1)总体框架

主要内容:

(2)适用范围

从个人信息保护法的适用范围来说,采用的是属地原则为主,属人原则为辅的方式,即明确了在中华人民共和国境内处理自然人个人信息的活动,适用个人信息保护法。同时规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,如果符合以下三种情形之一的,也应适用个人信息保护法:(1)以向境内自然人提供产品或者服务为目的;(2)分析、评估境内自然人的行为;(3)法律、行政法规规定的其他情形。

(3)个人信息保护法的核心要点

个人信息保护法在一般规定中明确了处理个人信息的基本条件。除部分规定情形外,个人信息保护法在第二章明确规定了 “取得个人同意”是个人信息处理者处理个人信息的基本条件。个人信息保护法充分参考和借鉴了有关国际组织、国家和地区的做法,确立了以“告知-同意”为核心的个人信息处理规则。相比于《网络安全法》,个人信息保护法对于告知义务规定得更为详细、明确。个人信息保护法中明确了六大场景下的个人信息处理规定,包括:共同处理、委托处理、转移个人信息、共享个人信息、自动化决策和公共场所采集。对于金融机构来说,应重点关注在不同场景下如何具体落实“告知-同意”的规则。

在告知原则方面,应该做到显著,便于发现和阅读,告知用语应通俗易懂、清晰准确,还应当根据情景优化告知的展现形式;当处理个人信息的目的、处理方式和种类发生变化时需突出显示并重新取得个人同意;而且针对特殊群体,还应提供除文本外的图片、语音或视频等适合其理解的方式对告知内容进行阐述。

在同意原则方面,应保证征得授权同意的授权范围与所告知内容一致,并且要做到区分产品及具体服务,采取对个人权益影响最小的方式;要做到主动展示授权同意的选项,以促进个人更好地理解并支持其做出选择,并且在给出不同意时,仅影响当前服务类型的正常使用。

(4)强化个人自主权的单独同意

个人信息保护法除了明确个人信息处理的一般规定外,个人信息保护法的第二章和第三章中还对于敏感个人信息和一些特殊场景规定了“单独同意”的保护规则。总结起来共涉及五种情形:

  1. 向第三方提供个人信息。

  2. 公开处理个人信息。

  3. 在公共场所安装图像采集、个人身份识别设备,用于维护公共安全之外的其他目的。

  4. 处理敏感个人信息。

  5. 向境外提供个人信息。

“单独同意”强化了个人的自主权,“单独同意”要求个人信息处理者将需要“单独同意”的场景与其他场景区分开来,做到“单独场景-单独告知-获取同意”,避免一揽子授权的方式,以及过度索权、随意收集等违法违规情形。还需通过增强告知或即时提示等方式,单独向个人信息主体告知处理个人信息的目的、方式和范围,以及存储时间、安全措施等规则。

对于金融机构来说,在办理业务时应注意在收集个人身份证号、手机号、人脸识别信息时设置单独同意。个人信息保护法对收集敏感个人信息限定更严、告知事项更多。除一般规定外,还应当向个人告知处理敏感个人信息的必要性及对个人权益的影响。处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或其他监护人的同意;应当制定专门的个人信息处理规则。作为金融机构,应进一步完善业务场景的识别和隐私政策的修订。

(5)自动化决策的合法合规要求

个人信息保护法针对“大数据杀熟”进行了严格的规范,个人信息保护法第二章中明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。“自动化决策”方式已普遍应用到金融机构向客户推送信息和开展营销等场景中,包括人们熟悉的 “人工智能”、“客户画像”等概念。但从个人信息保护法合规的角度分析,金融机构应在收集个人信息时,明确信息是用于大数据营销和大数据画像的用途,在得到“告知-同意”的前提下开展信息收集工作。

从合规角度分析,金融机构还应当同时提供客户拒绝的方式,让用户可关闭个性化推荐选项。同时使用技术手段避免信息被过度收集,防止用户数据被泄露到其他平台,避免超出约定范围的使用。如建设统一客户关系管理系统,统一管理用户金融信息,将金融账户、手机号、身份证号等通过加密方式存储和使用。下游系统通过对接客户关系管理系统,识别用户ID等字段后向客户推送营销信息,避免下游系统再次抓取和存储用户敏感信息,防止个人信息泄露。

除此之外,为保障自动化决策的合规,还应制定自动化决策的规则,并定期进行修订,保证决策的透明度,对依据自动化决策做出的差别待遇进行合理化解释并保存记录,不得对交易价格等实行不合理的差别待遇,保证公平公正。

(6)开展合规审计和影响评估策略

个人信息保护法在第五章个人信息处理者的义务中,明确指出应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,以及需开展个人信息保护影响评估的具体情形和评估内容。

结合行业特点,金融机构实施个人信息保护审计可依据人民银行《个人金融信息保护技术规范》中有关个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全要求,从安全技术和安全管理两个维度对个人金融信息保护实施审计。

金融机构在开展个人信息影响评估时,应先对待评估的业务、产品或某项具体合作等进⾏调研,形成数据清单及数据映射图表,并梳理出待评估的个⼈信息处理活动。评估过程中,一方面,分析个人信息处理活动对个⼈权益可能造成的影响及其程度;另一方面,分析现有的安全保护措施是否有效,以及可能会导致安全事件发⽣的可能性程度。综合两⽅⾯结果,得出个⼈信息处理活动的风险等级,并提出相应的改进建议,形成评估报告。

(7)法律责任

个人信息保护法对于个人信息处理者的法律责任总的来说可总结为“责任分类,从严处罚”。根据责任行为违反的法律性质,分为行政责任、民事责任和刑事责任。

在行政处罚方面,加大了处罚力度,从严处罚。个人信息保护法规定,违法行为情节严重的,将面临责令改正,没收违法所得,并处五千万元以下或者上一年度营业额的百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照。相比较欧盟的通用数据保护条例(GDPR)规定的营业额的百分之四更加严格。

在民事责任方面,个人信息保护法明确提出,个人信息处理者不能证明自己没有过错的,其应当承担损害赔偿等侵权责任。说明个人信息保护法对于侵害个人信息权益的处理活动,适用过错推定原则。建议金融企业在与第三方合作前,开展个人信息合规审查,并在合作中留存好相应的处理记录以备查。如合作协议、数据处理日志、用户授权文件等。金融企业应该建立个人信息收集清单、第三方信息共享清单的“双清单”,实现服务能力的“四提升”。

在刑事责任方面,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

3、金融行业的应对建议与机制

金融行业在落实个人信息保护法时,应结合金融行业特点和自身情况,采取有效的机制和措施落实相关要求,并建立持续的改进机制。

(1)加强个人信息保护法和个人金融信息法规的学习,全面落实合规要求

应加强对个人信息保护法和个人金融信息法规的学习,通过培训进一步理解法律的基本原则和个人金融信息保护的要点,全面落实合规要求。同时,进一步提升员工个人金融信息保护的安全意识,为个人金融信息保护打下坚实基础。

(2)制定个人金融信息保护组织架构,落实个人金融信息保护职责

应建立健全个人金融信息保护组织架构,明确金融机构各层级内设部门与相关岗位个人金融信息保护职责与总体要求,明确主要负责人的领导责任,明确个人金融信息管理牵头部门,并提供必要的资源,落实个人金融信息保护职责。

(3)健全个人金融信息保护管理制度,夯实个人金融信息保护基础

应根据个人信息保护法要求,结合金融机构管控现状,健全个人金融信息保护管理制度,夯实个人金融信息保护基础。通过制定个人金融信息保护管理制度,明确个人金融信息保护的岗位设置与工作职责,制定专门的个人金融信息处理规则。形成“方针策略-办法规定-规程细则”从上而下结构化的个人金融信息制度体系管控模式,有效指导和全面落实个人金融信息保护的各项管控要求。

(4)实施个人金融信息数据分类分级,落实差异化安全保护机制

《个人金融信息保护技术规范》中的个人金融信息主要包括:账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息等七大类。

个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,其中C3信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害;C2信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响;C1信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响,金融机构在进行个人金融信息分类分级时,可参考下列框架实施有效分类分级。

(5)个人金融信息全生命周期保护,筑起全方位安全保护屏障

金融机构应建立个人金融信息全生命周期保护机制,对信息的收集、传输、存储、使用、删除及销毁等各环节实施全面保护。制定保护策略、访问控制等管理措施,部署管理系统、信息加密等技术措施,结合管理和技术要求,筑起全方位的安全保护屏障。

(6)开展个人金融信息保护审计,持续完善个人金融信息保护体系

金融机构应在完善个人金融信息保护制度的基础上,定期开展个人金融信息保护合规审计。审计内容包括但不限于:个人金融信息的安全策略、访问控制、安全监测与风险评估、安全事件处置、安全管理要求、安全技术要求等方面,金融机构可参照此审计框架实施合规审计。

4、总结与展望

在各行各业数字化转型的关键时期,我国《个人信息保护法》的出台是大势所趋,结合《网络安全法》、《数据安全法》等相关法律的发展历程,可以看出我国的法律建设逐步从宏观布局向微观实操迈进,并且始终强调 “以人为本”的理念,切实保障个人信息安全,维护公民的个人合法权益。而且对个人信息安全违法者的处罚力度也在不断增强。因此,金融机构在业务运营和日常管理中要加强数据安全合规建设,注重个人金融信息收集和处理的记录存储,以满足举证责任的要求。由于金融机构对个人金融信息的搜集、使用和处理是其开展业务的基础,未来个人金融信息保护机制与信息系统全生命周期的全面融合将是金融机构重点关注的方向,为此,金融机构应通过不断提升个人金融信息的管理和技术管控能力,在为客户提供“安全、高效、专业”金融业务服务的同时,更需要为客户建立起一道个人金融信息保护的“坚固城墙”。

责任编辑:姜华来源: 安全牛