作者:王平lawyer
来源:法园金融法律研究(ID:LAW_FINANCE_WP)
2021年11月1日,《中华人民共和国个人信息保护法》正式实施,该法规定,在中华人民共和国境内处理自然人个人信息的活动适用本法。同时,该法还明确,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。金融机构在日常业务开展中,诸多环节会涉及到处理自然人信息,本文就金融机构就业务过程涉及的个人信息处理合规问题分析如下:
1、金融机构资金端涉及的个人信息收集。
由于开户等提供金融服务的需要,金融机构需要收集资金端投资者的一系列个人信息,包括姓名、身份证号等。另外,出于特殊产品类型,包括合格投资者、反洗钱等特殊监管需要,金融机构还需要收集投资者更多的信息。
2、金融机构在资产端涉及的个人信息收集。
金融机构在对外投资过程中,也会涉及自然人作为融资人的业务类型,这个过程中会涉及收集融资人个人信息的情形。当然,对于企业客户,也会涉及收集法定代表人甚至自然人股东信息等情形。出于风险控制的需要,在资产端往往需要收集融资方较为详尽的信息。
3、金融机构员工管理涉及的个人信息收集。
金融机构对员工进行管理以及在满足监管员工信息申报时,需要收集员工个人乃至家庭成员的个人信息。
《个人信息保护法》对个人信息处理进行了详细的全流程规范,对于金融机构处理个人信息,笔者认为以下要点需要予以重视:
根据《个人信息保护法》的规定,收集信息遵循处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
对于必要原则,2020年11月央行颁布的《中国人民银行金融消费者权益保护实施办法》(中国人民银行令[2020]第5号)已将收集信息的必要性原则纳入。在业务开展中,如果过度收集信息,一旦这些信息被滥用,将严重损害个人的隐私权益。因此,笔者认为必要性原则的引入有利于约束机构处理个人信息的目的。不过,必要性原则如何进行判定,这需要相关部门对各类处理个人信息事项进行具体明确。当然,金融机构也可以自行制定制度进行明确。
根据《个人信息保护法》的规定,符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。
同时,《个人信息保护法》还规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。
金融机构在个人信息处理实践中,除前款第二项至第七项规定情形外,处理个人信息应当取得个人同意。不过,这种同意也不应当是对所有信息的同意,即不能将所有可能存在的信息形式均予以罗列,然后以公司统一安排的格式条款的形式要求个人全部同意。毕竟,取得同意应当受到信息处理必要性及自愿等原则的约束。
根据《个人信息保护法》的规定,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
对于个人同意处理其个人信息的,个人可随时予以撤回,而且金融机构不得就同意设置阻碍,而应当提供便捷的撤回同意的方式。当然,同意撤回之前的信息处理活动依然有效。此外,个人撤回信息处理同意的,除非该信息是提供产品或服务所必需,否则,金融机构不得拒绝提供产品或服务。
根据《个人信息保护法》的规定,处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
实践中确实存在处理个人信息质量不过关,导致个人信息不准确,严重者会损害个人权益。比如,把个人欠款金额、性别、婚姻状况等弄错,从而给当事人造成一些不必要的麻烦。确保处理个人信息的准确性,其实是对金融机构内部员工工作质量的要求,为此,金融机构应加强个人信息处理岗位的人员的管理,确保处理个人信息的准确性。
根据《个人信息保护法》的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
《个人信息保护法》对个人信息中的敏感信息部分进行了罗列,并对敏感信息的处理提供了更为严格的处理要求。因此,金融机构在处理个人信息时,应当将敏感信息单独管理,并制定专门的处理原则,确保敏感信息的处理符合法律的要求。当然,敏感信息与普通信息的区分,意味着金融机构在信息处理前,应当对信息进行分类,不同类别的信息设置不同的接触人员范围及不同的保密要求。
根据《个人信息保护法》的规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
对于信息的跨境提供,主要针对那些拥有境外股东的金融机构,其在向股东提供个人信息时,意味着个人信息的跨境流转。举例而言,在《个人信息保护法》出台前,向境外股东提供员工个人信息属于正常行为,但是《个人信息保护法》出台后,此类信息的提供也应当按照法定的流程进行。
根据《个人信息保护法》的规定,个人有权向个人信息处理者查阅、复制其个人信息;个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人有权查阅、复制其个人信息,既是对个人对金融机构处理信息行为的监督,又是个人对其已提供过的信息的一种知情了解。不过在实践中,个人在与金融机构或第三方发生争议时查阅复制信息的需求更大。如果是与金融机构发生争议的,金融机构则不能违规隐匿一些信息或拒不提供相关信息。
个人信息保护在近年逐步得到了国家的关注,本次专门通过法律的形式对个人信息保护予以规范,表明了国家在个人信息保护领域的决心。作为市场上非常重要的个人信息处理者的金融机构,应当针对自身业务情况,就个人信息处理制定可行的制度,确保个人信息处理过程合法合规。
注:文章为作者独立观点,不代表资产界立场。
题图来自 Pexels,基于 CC0 协议
本文由“法园金融法律研究”投稿资产界,并经资产界编辑发布。版权归原作者所有,未经授权,请勿转载,谢谢!