2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)经第十三届全国人民代表大会常务委员会第三十次会议讨论通过并公布,并于2021年11月1日起正式施行,该法作为我国首部专门对个人信息保护的立法,标志着我国个人信息保护的新纪元。
银行金融机构作为处理客户信息的数据密集型机构,《个人信息保护法》已经明确将金融账户纳入个人敏感信息管理,要求银行金融机构将客户信息安全保护作为自身发展的内在要求以及合规管理的重中之重。该举措使得银行金融机构必须将客户信息的保护从一般监管上升到法律强制性规定层面,必然对银行金融机构在个人信息处理规则制定、个人信息处理技术水平提升、个人信息保护机制完善、作为个人信息处理者义务的明确等各方面提出更加严格的合规要求。因此,全面准确认识《个人信息保护法》对银行金融机构进一步加强合规管理具有重大意义。
一、全面认识《个人信息保护法》
《个人信息保护法》作为我国首部专门对个人信息进行保护的立法,通过确立个人信息保护六项基本原则、个人信息“告知+同意”规则、明确个人信息处理者义务、明确过错推定责任等重点内容,就个人信息在被收集、存储、使用、加工、传输、提供、公开、删除过程中的权益保护问题提供全方位保障。
(一)个人信息保护六项基本原则
《个人信息保护法》通过合法性原则、正当性原则、必要性原则、公开透明原则、完整性和准确性原则、责任原则和安全原则等六项基本原则,对个人信息处理者处理以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息的行为进行规制,最大程度保护自然人在个人信息处理活动中的权利,保障个人信息的安全有效利用。具体包括:
1. 合法性原则。即个人信息处理应当依据个人基于同意处理个人信息、履行合同所必需、履行法定职责或义务所必需、突发公共卫生事件或紧急情况所必需、为公共利益监督舆论报道新闻所必需、已合法公开等法定事由;
2. 个人信息处理者不得通过误导、欺诈、胁迫等方式处理个人信息;
3. 个人信息的收集应仅限于实现处理目的的最小范围,不能过度收集个人信息。主要包括敏感个人信息只有在充分必要的情形下才能收集、收集的个人信息保存期限应当为实现个人信息处理目的的最短时间两个方面;
4. 对于公开、透明原则,《个人信息保护法》规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。即首先个人信息处理者必须保障个人在充分知情的前提下自愿、明确作出同意的意思表示;其次个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地告知相关事项,并详尽列出了具体要素,同时处理规则应当公开,并且便于查阅和保存;最后个人信息处理者应对个人信息处理规则进行解释说明,以充分保障个人的知情权。
5. 个人信息处理者应以显著方式、清晰易懂的语言真实、准确、完整地告知相关事项,便于个人在充分知情的前提下自愿、明确作出同意的意思表示;
6. 个人信息处理者应当对其个人信息处理活动承担责任,并采取必要措施保障所处理的个人信息的安全。
(二)个人信息保护核心规则:“告知+同意”规则
《个人信息保护法》确立了我国个人信息保护的核心规则:“告知+同意”规则,要求个人信息处理者应当在事先充分告知个人并取得同意的前提下处理个人信息。尤其针对敏感个人信息的处理、向他人提供或公开个人信息、跨境处理个人信息、公开处理的信息等,应当取得个人的单独同意。
1.收集个人信息时个人信息处理者负有告知义务
个人信息处理者在处理个人信息之前,应当以显著的方式、清晰易懂的语言,真实、准确、完整地向个人告知:个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,个人行使《个人信息保护法》规定权利的方式和程序等。应当告知的事项发生变更的,应当将变更的部分及时告知个人。同时,个人信息处理者采用制定个人信息处理规则的方式向个人告知上述事项的,其应当公开个人信息处理规则,以便于查阅、保存。
2.敏感个人信息的处理
敏感个人信息的处理应遵循“告知特定目的和充分必要性+单独同意”原则。《个人信息保护法》规定敏感个人信息的处理应当取得个人的单独同意,并且只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,个人信息处理者才可处理敏感个人信息。同时,明确规定生物识别、金融账户以及不满十四周岁未成年的个人信息等均被视为敏感个人信息。因此,金融账户作为敏感个人信息,应当包括银行账户、期货账户,以及与其相关的信息等,随着云计算与大数据技术的飞速发展,各类金融诈骗、妨害信用卡管理、盗刷银行卡、非法获取银行账户信息等行为依然存在,银行金融机构应加强各类保护措施,强化管理,尤其是C3类别的用户信息敏感度最高,泄露或被非法使用对个人财产安全影响巨大。对于银行等金融机构,应当在充分理解“告知特定目的和充分必要性+单独同意”原则的基础上,强化金融账户管理保护措施。
3.向他人提供或公开个人信息
《个人信息保护法》第二十三条明确规定了个人信息处理者向其他个人信息处理者提供其处理的个人信息,应当向个人告知接收方名称或姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。该条款作为转移个人信息的新规定,明确规定个人信息处理者向他人提供或公开个人信息的法定条件,同时对接收方处理个人信息的范围进行了合理限制,极大约束了个人信息的非法转移、违法违规利用,降低了个人信息在一次性授权后非法向未授权第三方转移的风险。
(三)明确个人信息处理者的义务
《个人信息保护法》通过设定个人信息保护“告知+同意”规则,意在让个人真正成为本人个人信息使用的决定者、转移的知情者,防止个人信息被肆无忌惮滥用,最大限度保护自然人处理个人信息活动的合法权利。因此,《个人信息保护法》明确了个人信息处理者在使用、转移、加工、公开、删除个人信息的过程中应当遵守的义务。
个人信息处理者的义务主要包括:
1. 个人请求查阅、复制其个人信息时,个人信息处理者应当及时提供,法律、行政法规规定应当保密或者不需要告知的除外;
2. 个人发现其个人信息不准确或者不完整,请求个人信息处理者更正、补充个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充;
3. 个人要求个人信息处理者对其个人信息处理规则进行解释说明的,个人信息处理者应当进行解释说明;
4. 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径;
5. 个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力;
6. 个人信息处理者应主动删除(1)处理目的已实现、无法实现或者为实现处理目的不再必要;(2)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(3)个人撤回同意;(4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(5)法律、行政法规规定的其他情形。此外,如果法定保存期限未届满,或者删除个人信息从技术上难以实现的,银行等金融机构应当停止除存储和采取必要的安全保护措施之外的处理。
通过分析个人信息处理者应当履行的义务可以发现,《个人信息保护法》对个人信息处理者规定了严格的法定义务以保障个人信息处理的正当性和合法性,银行金融机构需要针对新法规定的严格义务出台具体实施举措。
(四)针对个人信息处理者的过错推定责任
根据《个人信息保护法》第六十九条之规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。根据该条款规定,《个人信息保护法》设定了个人信息处理者的过错推定责任,从一定程度上全面加强了个人信息处理者的责任限度,使得个人信息处理者承担了更严格的举证责任。
二、银行金融机构加强合规管理的原则
通过本文第一部分的分析不难看出,《个人信息保护法》从个人信息保护规则、权利义务的设定、法律责任的承担等多方面进行法律规定,意在通过扩大自然人个人信息保护的权利、增加个人信息处理者的法定义务以平衡司法实践中个人在个人信息保护中的相对弱势地位,从而保证个人信息保护的有效实现。作为个人信息处理者,银行金融机构应当加强个人信息保护合规管理,以更好适应新规定。银行金融机构加强合规管理的原则主要包括:
(一)制定内部管理制度和操作规程
银行金融机构加强客户个人信息保护合规管理,首要原则为制定内部管理制度和操作规程。制定内部管理制度和操作规程不仅是银行金融机构合规要求,更是新法施行后对银行金融机构进行合规审计的必然要求。首先,建议制定客户个人信息保护内部管理制度。通过制定客户个人信息保护内部管理制度,提出本行客户个人信息保护工作方针、目标和原则,以统一、标准客户个人信息保护原则、程序、内容,以保证将客户个人信息保护合规落到实处;其次,制定明确、合规的客户个人信息保护操作规程。对客户个人金融信息的收集、传输、存储、使用、删除等环节提出具体的保护要求,制定明确、合规的客户个人信息保护操作规程,明晰涉及客户个人信息保护相关业务的业务范围、业务操作规范、操作程序等,保证客户个人信息保护的标准、统一、合规。
(二)完善客户个人信息保护机制
银行金融机构应当完善客户个人信息保护机制,尤其是针对施行的新法,有针对性地完善本行客户个人信息保护机制。例如针对客户信息个人信息处理者应当遵循的“告知+同意”原则,包括单独同意原则,结合本行具体业务展开客户个人信息保护机制的完善。其次,建议建立客户信息分级授权管理机制。在不影响履行反洗钱等义务的前提下,制定本行人员客户个人信息调取权限与使用范围,并制定专门的授权审批流程。最后,建议制定客户个人信息保护应急预案,例如发生或者可能发生客户个人信息泄露、篡改、丢失的,银行等金融机构应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人,应当通知的内容包括:1.发生或者可能发生客户个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;2.个人信息处理者采取的补救措施和客户可以采取的减轻危害的措施;3.个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知客户,履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知客户。
(三)增强客户个人信息处理技术
针对当前云计算与大数据形势下的客户信息保护,银行等金融机构应当研究增强客户个人信息处理技术,积极采取相应的加密、去标识化等安全技术措施,保证客户个人信息安全。例如,在客户个人信息收集阶段,银行金融机构通过客户交易终端需采集客户信息时,应采取弹窗、明显位置URL链接等技术措施引导客户本人查阅隐私政策,获得其明示同意后,再开展有关客户个人信息的收集活动。
三、银行金融机构加强合规管理的具体措施
银行金融机构应当在加强合规管理原则的指导下,通过具体措施强化客户个人信息安全保护,具体措施如下。
(一)建议更新客户个人信息保护规则
银行金融机构在《个人信息保护法》实施后,应当根据法律规定结合行业相关规则更新客户个人信息保护规则,就新法规定应当由客户同意的情形进行专门性约定,保障其合法权益。
1.建议明确经客户身份认证要素认证的行为确认为客户本人行为。新法施行后,部分客户信息应当由客户本人同意后银行金融机构才能够使用,因此,证明客户同意的行为是客户本人作出成为关键,尤其在客户使用手机银行APP、银行官网等在线操作时。因此,建议银行金融机构在更新的客户个人信息保护规则中明确经客户身份认证要素认证的行为应当确认为客户本人行为,有助于避免不必要的纠纷。
2. 建议明确客户同意收集个人信息的具体情形。根据新法规定,银行金融机构应当在客户个人信息保护规则中列明需要客户授权同意的具体情形,包括具体内容、条件的变化、政策的调整,合作、委托处理客户信息,以及授权同意的具体信息等,包括但不限于客户姓名、出生日期、身份证件号码、通讯联系方式、住址、个人基础资料、账户信息、交易信息等。
(二)敏感个人信息处理的建议
《个人信息保护法》规定了对于敏感个人信息,个人信息处理者应当遵循“告知特定目的和充分必要性+单独同意”原则处理,因此,银行金融机构应审慎对待客户敏感个人信息,尤其是C3类别客户信息。同时,为了保障客户金融账户的安全,银行金融机构应当采取严格措施维护客户敏感个人信息。
1. 采取高级别客户信息系统管理方式管理敏感个人信息。在分级别客户信息系统管理中,对于敏感个人信息应当采用高级别管理方式,银行金融机构交易业务系统在后台管理及其他业务支撑系统中,应通过严格的权限管理措施防范敏感个人信息的泄露或被未经授权后拷贝。
2. 建议银行金融机构在业务上不需要对证件号码、客户法定名称、预留手机号码或其他类识别客户身份信息完整展示的进行相应屏蔽处理。
(三)转移、公开、合作、委托处理客户个人信息的建议
银行金融机构转移或公开客户个人信息,依据《个人信息保护法》的规定,银行金融机构应首先充分告知客户个人信息处理者的名称或姓名、联系方式、个人信息的处理目的、处理方式、个人信息种类、保存期限等,取得客户在完全知晓前提下的单独同意。银行金融机构与第三方合作,或银行金融机构委托第三方处理客户个人信息的,银行金融机构应当与第三方明确约定个人信息处理目的、期限、处理方式、个人信息种类、保护措施以及双方的权利和义务等。在合作处理客户个人信息过程中,因侵害个人信息权益造成损害的,双方应当依法承担连带责任。因此,对银行金融机构而言,如果确需与第三方合作处理个人信息,应当严格选择合作方,明确准入门槛。建议银行金融机构严格限定合作方准入条件,建立严格的准入和退出机制,充分审查评估合作方保护个人金融信息的能力,避免因合作方原因承担连带赔偿责任。
(四)建议指定个人信息保护负责人
根据《个人信息保护法》第五十二条之规定,银行等金融机构处理的个人信息达到国家网信部门规定数量的,个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。银行等金融机构应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
(五)明确作为个人信息处理者的义务并展开人员业务培训
银行金融机构作为个人信息处理者,应当在充分明晰新法规定的个人信息处理者义务的基础上,展开相关合规管理工作。根据《个人信息保护法》的规定,银行金融机构作为个人信息处理者的义务主要包括:为个人及时提供个人信息的查阅、复制,更正、补充个人信息,解释说明个人信息处理规则,提供转移个人信息的途径,给个人提供便捷撤回同意的方式,主动删除保存期限届满、停止提供服务,以及违反法律法规的信息等。针对新法的规定,建议银行金融机构展开对工作人员的培训工作,强化理论对工作实践的指导。
《个人信息保护法》的施行,将对长久以来我国司法实践中个人信息的过度利用、无序滥用等情形,尤其是个人信息的随意收集、非法获取、非法买卖行为起到立法规范的良好效果。我们认为,作为密集处理客户信息的银行金融机构应布局未来业务发展,率先垂范遵照《个人信息保护法》的具体规定,及时制定完善内部管理制度和操作规程,明确违反信息保护的相关法律责任,将个人信息保护的合规管理落到实处。