金融机构个人信息保护合规要点解读

法园金融法律研究 法园金融法律研究
2021-11-09 14:54 4296 0 0
金融机构在日常业务开展中,诸多环节会涉及到处理自然人信息,本文就金融机构就业务过程涉及的个人信息处理合规问题分析

作者:王平lawyer

来源:法园金融法律研究(ID:LAW_FINANCE_WP)

2021年11月1日,《中华人民共和国个人信息保护法》正式实施,该法规定,在中华人民共和国境内处理自然人个人信息的活动适用本法。同时,该法还明确,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。金融机构在日常业务开展中,诸多环节会涉及到处理自然人信息,本文就金融机构就业务过程涉及的个人信息处理合规问题分析如下:

一.金融机构涉及处理个人信息的领域

   1、金融机构资金端涉及的个人信息收集。

由于开户等提供金融服务的需要,金融机构需要收集资金端投资者的一系列个人信息,包括姓名、身份证号等。另外,出于特殊产品类型,包括合格投资者、反洗钱等特殊监管需要,金融机构还需要收集投资者更多的信息。

     2、金融机构在资产端涉及的个人信息收集。

金融机构在对外投资过程中,也会涉及自然人作为融资人的业务类型,这个过程中会涉及收集融资人个人信息的情形。当然,对于企业客户,也会涉及收集法定代表人甚至自然人股东信息等情形。出于风险控制的需要,在资产端往往需要收集融资方较为详尽的信息。

     3、金融机构员工管理涉及的个人信息收集。

金融机构对员工进行管理以及在满足监管员工信息申报时,需要收集员工个人乃至家庭成员的个人信息。

二.金融机构处理个人信息的合规要点

    《个人信息保护法》对个人信息处理进行了详细的全流程规范,对于金融机构处理个人信息,笔者认为以下要点需要予以重视:

1.处理个人信息应遵循必要原则

     根据《个人信息保护法》的规定,收集信息遵循处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

对于必要原则,2020年11月央行颁布的《中国人民银行金融消费者权益保护实施办法》(中国人民银行令[2020]第5号)已将收集信息的必要性原则纳入。在业务开展中,如果过度收集信息,一旦这些信息被滥用,将严重损害个人的隐私权益。因此,笔者认为必要性原则的引入有利于约束机构处理个人信息的目的。不过,必要性原则如何进行判定,这需要相关部门对各类处理个人信息事项进行具体明确。当然,金融机构也可以自行制定制度进行明确。

2.处理个人信息应取得自愿同意

     根据《个人信息保护法》的规定,符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。

同时,《个人信息保护法》还规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。

     金融机构在个人信息处理实践中,除前款第二项至第七项规定情形外,处理个人信息应当取得个人同意。不过,这种同意也不应当是对所有信息的同意,即不能将所有可能存在的信息形式均予以罗列,然后以公司统一安排的格式条款的形式要求个人全部同意。毕竟,取得同意应当受到信息处理必要性及自愿等原则的约束。

3.个人有权撤回处理个人信息的同意

     根据《个人信息保护法》的规定,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

对于个人同意处理其个人信息的,个人可随时予以撤回,而且金融机构不得就同意设置阻碍,而应当提供便捷的撤回同意的方式。当然,同意撤回之前的信息处理活动依然有效。此外,个人撤回信息处理同意的,除非该信息是提供产品或服务所必需,否则,金融机构不得拒绝提供产品或服务。

4.处理个人信息应确保准确性

     根据《个人信息保护法》的规定,处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

实践中确实存在处理个人信息质量不过关,导致个人信息不准确,严重者会损害个人权益。比如,把个人欠款金额、性别、婚姻状况等弄错,从而给当事人造成一些不必要的麻烦。确保处理个人信息的准确性,其实是对金融机构内部员工工作质量的要求,为此,金融机构应加强个人信息处理岗位的人员的管理,确保处理个人信息的准确性。

5.处理个人信息应注意敏感信息

     根据《个人信息保护法》的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

《个人信息保护法》对个人信息中的敏感信息部分进行了罗列,并对敏感信息的处理提供了更为严格的处理要求。因此,金融机构在处理个人信息时,应当将敏感信息单独管理,并制定专门的处理原则,确保敏感信息的处理符合法律的要求。当然,敏感信息与普通信息的区分,意味着金融机构在信息处理前,应当对信息进行分类,不同类别的信息设置不同的接触人员范围及不同的保密要求。

6.跨境提供个人信息须符合特定流程要求

      根据《个人信息保护法》的规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。

      对于信息的跨境提供,主要针对那些拥有境外股东的金融机构,其在向股东提供个人信息时,意味着个人信息的跨境流转。举例而言,在《个人信息保护法》出台前,向境外股东提供员工个人信息属于正常行为,但是《个人信息保护法》出台后,此类信息的提供也应当按照法定的流程进行。

7.个人有权查阅复制个人信息

     根据《个人信息保护法》的规定,个人有权向个人信息处理者查阅、复制其个人信息;个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。

个人有权查阅、复制其个人信息,既是对个人对金融机构处理信息行为的监督,又是个人对其已提供过的信息的一种知情了解。不过在实践中,个人在与金融机构或第三方发生争议时查阅复制信息的需求更大。如果是与金融机构发生争议的,金融机构则不能违规隐匿一些信息或拒不提供相关信息。

三.结语

   个人信息保护在近年逐步得到了国家的关注,本次专门通过法律的形式对个人信息保护予以规范,表明了国家在个人信息保护领域的决心。作为市场上非常重要的个人信息处理者的金融机构,应当针对自身业务情况,就个人信息处理制定可行的制度,确保个人信息处理过程合法合规。

注:文章为作者独立观点,不代表资产界立场。

题图来自 Pexels,基于 CC0 协议

本文由“法园金融法律研究”投稿资产界,并经资产界编辑发布。版权归原作者所有,未经授权,请勿转载,谢谢!

原标题: 数据合规 I 金融机构个人信息保护合规要点解读

法园金融法律研究

专注金融法律服务!

84篇

文章

10万+

总阅读量

热门文章
推荐专栏
更多>>
  • 资产界
  • 蒋阳兵
    蒋阳兵

    蒋阳兵,资产界专栏作者,北京市盈科(深圳)律师事务所高级合伙人,盈科粤港澳大湾区企业破产与重组专业委员会副主任。中山大学法律硕士,具有独立董事资格,深圳市法学会破产法研究会理事,深圳市破产管理人协会个人破产委员会秘书长,深圳律师协会破产清算专业委员会委员,深圳律协遗产管理人入库律师,深圳市前海国际商事调解中心调解员,中山市国资委外部董事专家库成员。长期专注于商事法律风险防范、商事争议解决、企业破产与重组法律服务。联系电话:18566691717

  • 刘韬
    刘韬

    刘韬律师,现为河南乾元昭义律师事务所律师。华北水利水电大学法学学士,中国政法大学在职研究生,美国注册管理会计师(CMA)、基金从业资格、上市公司独立董事资格。对法律具有较深领悟与把握。专业领域:公司法、合同法、物权法、担保法、证券投资基金法、不良资产处置、私募基金管理人设立及登记备案法律业务、不良资产挂牌交易等。 刘韬律师自2010年至今,先后为河南新民生集团、中国工商银行河南省分行、平顶山银行郑州分行、河南投资集团有限公司、郑州高新产业投资基金有限公司、光大郑州国投新产业投资基金合伙企业(有限合伙)、光大徳尚投资管理(深圳)有限公司、河南中智国裕基金管理有限公司、 兰考县城市建设投资发展有限公司、郑东新区富生小额贷款公司等企事业单位提供法律服务,为郑州科慧科技、河南杰科新材料、河南雄峰科技新三板挂牌、定向发行股票、股权并购等提供法律服务。 为郑州信大智慧产业创新创业发展基金、郑州市科技发展投资基金、郑州泽赋北斗产业发展投资基金、河南农投华晶先进制造产业投资基金、河南高创正禾高新科技成果转化投资基金、河南省国控互联网产业创业投资基金设立提供法律服务。办理过担保公司、小额贷款公司、村镇银行、私募股权投资基金的设立、法律文书、交易结构设计,不良资产处置及诉讼等业务。 近两年主要从事私募基金管理人及私募基金业务、不良资产处置及诉讼,公司股份制改造、新三板挂牌及股票发行、股权并购项目法律尽职调查、法律评估及法律路径策划工作。 专业领域:企事业单位法律顾问、金融机构债权债务纠纷、并购法律业务、私募基金管理人设立登记及基金备案法律业务、新三板法律业务、民商事经济纠纷等。

  • 睿思网
    睿思网

    作为中国基础设施及不动产领域信息综合服务商,睿思坚持以专业视角洞察行业发展趋势及变革,打造最具公信力和影响力的垂直服务平台,输出有态度、有锐度、有价值的优质行业资讯。

  • 大队长金融
    大队长金融

    大队长金融,读懂金融监管。微信号: captain_financial

  • 破产圆桌汇
    破产圆桌汇

    勘破破产事,与君破僵局。

微信扫描二维码关注
资产界公众号

资产界公众号
每天4篇行业干货
100万企业主关注!
Miya一下,你就知道
产品经理会及时与您沟通