融资租赁公司如何应对《个人信息保护法》的挑战

浙江大学融资租赁研究中心 浙江大学融资租赁研究中心
2021-08-25 15:52 2791 0 0
在融资租赁业务过程中,作为融资租赁公司无论是在前期尽调中,还是在合同签署以及后续的纠纷处理上,都会对客户的个人信息进行处理。

作者:特约研究员

来源:浙大融资租赁研究中心(ID:zju-rzzl)

个人信息保护一直是现代网络社会中比较突出的问题之一,在融资租赁业务过程中,作为融资租赁公司无论是在前期尽调中,还是在合同签署以及后续的纠纷处理上,都会对客户的个人信息进行处理。如何在对客户信息进行收集、存储、使用、加工等过程中做好对个人信息的保护,也是摆在融资租赁公司必须要面临的一个重要问题。

继《民法典》对个人信息的定义、处理原则、处理个人信息的免责事由、安全保障义务等内容有了专项条款(详见《民法典》第一千零三十四条至第一千零三十九条)进行规定以后,2021年8月20日通过的《个人信息保护法》,又对个人信息的保护给予了更为详尽的规定,包括敏感信息的处理原则、国家机关处理个人信息的规则、个人处理个人信息的权利、个人信息处理者的义务以及相关的法律责任等,内容非常丰富,可以说,《个人信息保护法》是真正给个人信息保护上了一道“安全锁”。笔者就在针对《个人信息保护法》相关条款进行梳理和归纳的基础上,试图对融资租赁公司在个人信息的保护上提供一些建议,以供抛砖引玉。

一、个人信息的范围及处理原则

根据《个人信息保护法》第四条的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。又根据《民法典》第一千零三十四条的规定,个人信息可以包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法》也特别对敏感个人信息进行了规定,根据第二十八条之规定,敏感个人信息包括个人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。

根据《个人信息保护法》的规定,对个人信息(包括敏感信息)进行处理(包括收集、存储、使用、加工、传输、提供、公开、删除等),应遵循包括但不限于以下原则:

(一)应坚持合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

(二)应当具有明确、合理的目的,并应当与处理目的直接相关。

(三)应当在对个人权益影响最小、实现处理目的的最小范围内收集,不得过度收集个人信息。

(四)应当公开个人信息处理的规则,明示处理的目的、方式和范围。

(五)应当采用必要措施保障所处理的个人信息的安全。

(六)应当合法使用个人信息,不得危害国家安全、公共利益。

二、个人信息处理者的相关义务

根据《个人信息保护法》第十三条第二项的规定,在为订立、履行个人作为一方当事人的合同所必需的情况下,个人信息处理者可以对个人信息进行处理,但需要履行包括但不限于以下义务:

(一)在处理个人信息前需要以显著方式、清晰易懂的语言真实、准确、完整地履行告知义务。需要向个人告知个人信息处理者的名称或姓名和联系方式以及个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等。

(二)个人信息处理者向他人提供或公开处理的个人信息或处理敏感个人信息,需取得个人单独同意。

(三)对处理敏感个人信息或利用个人信息进行自动化决策的,应当事前对个人信息的处理目的、处理方式等是否合法、正当、必要性等进行评估。

(四)个人信息处理者应当建立便捷的个人行使查阅、复制其个人信息的通道。

(五)需要对个人信息实行分类管理、制定内部管理制度和操作规程,并采取相应的加密、去标识化等安全技术措施,防止个人信息泄露、篡改、丢失。

(六)应合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,制定应急预案机制,明确具体的负责人。

(七)在处理目的已实现、无法实现或者为实现处理目的不再必要时应主动删除个人信息。

(八)需要向境外提供个人信息的,还需要经国家网信部门安全评估和专业机构进行个人信息保护认证。

三、违反《个人信息保护法》的法律后果

违反《个人信息保护法》规定处理个人信息,或者处理个人信息未履行相关规定的个人信息保护义务的,可能会面临以下不利后果:

(一)在法律上首先会面临举证责任倒置的风险,即若不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

(二)被责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,被责令暂停或者终止提供服务。

(三)被处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

(四)情节严重的,可面临被责令暂停相关业务或者被停业整顿、通报有关主管部门吊销相关业务许可或者被吊销营业执照。

(五)情节严重的,直接负责的主管人员和其他直接责任人员可能会面临处十万元以上一百万元以下罚款,并可能会被禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

(六)相关信息会被记入信用档案,并予以公示。

四、针对融资租赁公司的建议

通过上述分析,作为个人信息处理者的融资租赁公司在处理个人信息(包括收集、存储、使用、加工、传输、提供、公开、删除等)上会面临较大的限制,必须履行“告知+同意”的义务,在个人信息的管理上也需要建立完善的内部管理制度,保护个人信息的安全,防止个人信息泄露、篡改、丢失等,否则,可能会面临非常不利的法律后果(包括但不限于举证责任倒置、被处罚、停业整顿、被吊销营业执照、高管被限制从业等)。为防范融资租赁公司在个人信息保护上的风险,确保个人信息处理的合规与合法,建议融资租赁公司可以考虑从以下几各方面入手:

(一)可对自己公司所开展的不同业务类型所涉及到的个人信息进行梳理和分析,明确哪些个人信息是必须要处理的,哪些不是必须要处理的个人信息,对需要处理的个人信息进行汇总和归纳。

(二)针对自动化(如大数据风控等系统)收集到的个人信息以及涉及到的个人敏感信息进行重新梳理和评估。特别需要针对相关的敏感个人信息进行归纳和整理,如有的融资租赁公司采取了人脸识别等技术进行项目申报和签约的,则会涉及到个人的生物识别信息;对以车辆作为租赁物的项目中,融资租赁公司会通过GPS来获得客户车辆的运营轨迹信息等,这些都属于个人敏感信息的处理。

(三)在融资租赁相关合同中增加相关告知和同意的条款,通过条款向客户告知融资租赁公司收集个人信息的必要性,明确会收集的范围、个人信息的处理目的、处理方式,保存期限等。

(四)个人信息的存储最好在本地进行,并指定专门的负责人进行个人信息

安全的管理,定期形成个人信息安全管理报告,制定相关个信息处理的使用权限,并对个人信息数据进行加密。个人信息需要存储于其他平台内的,应当选择具有较好资质的平台,并取得该平台对个人信息保护的承诺及相关的风控措施和预案。

(五)在业务申报系统设置上,设置客户同意个人信息被处理的选项,制订相应的隐私政策。对于敏感信息设置单独同意的模块。必要时,单独增加相关“告知+同意”处理个人信息的授权书或文件。

(六)制定内部管理手册,禁止内部员工将个人信息向境外人员或机构提供,禁止内部员工对外公开个人信息,并制定严格的考核机制。

《个人信息保护法》将于2021年11月1日起实施生效,在实施生效之前,融资租赁公司可以对本公司涉及到的个人信息进行事前梳理,提前做好相关的准备和研究。个人信息保护的趋严,也是本次《个人信息保护法》的核心之意,融资租赁公司也需要顺应大势,不断思考怎样在个人信息保护与充分挖掘个人信息价值、促进业务健康发展之间寻求平衡。当然,《个人信息保护法》中的有些规定还需要相关管理部门或司法机关进行细化,相关规则还需要在中国这个土壤中的不断地接受实践检验,以便尽快寻找到更切合中国国情的、可落地的实施方案和实践经验。融资租赁公司也需要密切关注后续相关的监管动态、实施细则、相关案例等,以便在个人信息的保护上做到更加合规、合法,为公司融资租赁业务的稳健发展奠定更坚实的合规基础。

注:文章为作者独立观点,不代表资产界立场。

题图来自 Pexels,基于 CC0 协议

本文由“浙江大学融资租赁研究中心”投稿资产界,并经资产界编辑发布。版权归原作者所有,未经授权,请勿转载,谢谢!

原标题: 温涛:融资租赁公司如何应对《个人信息保护法》的挑战

浙江大学融资租赁研究中心

中国融资租赁(西湖)论坛、浙江大学融资租赁研究中心,依托浙大研发团队及学术顾问委员会的力量,聘请经济、金融界知名人士及业内资深人士为学术顾问、特聘专家、特约研究员,行业智库专家,力争打造国内领先的融资租赁学术研究和政策咨询平台。

53篇

文章

10万+

总阅读量

热门文章
推荐专栏
更多>>
  • 资产界
  • 蒋阳兵
    蒋阳兵

    蒋阳兵,资产界专栏作者,北京市盈科(深圳)律师事务所高级合伙人,盈科粤港澳大湾区企业破产与重组专业委员会副主任。中山大学法律硕士,具有独立董事资格,深圳市法学会破产法研究会理事,深圳市破产管理人协会个人破产委员会秘书长,深圳律师协会破产清算专业委员会委员,深圳律协遗产管理人入库律师,深圳市前海国际商事调解中心调解员,中山市国资委外部董事专家库成员。长期专注于商事法律风险防范、商事争议解决、企业破产与重组法律服务。联系电话:18566691717

  • 刘韬
    刘韬

    刘韬律师,现为河南乾元昭义律师事务所律师。华北水利水电大学法学学士,中国政法大学在职研究生,美国注册管理会计师(CMA)、基金从业资格、上市公司独立董事资格。对法律具有较深领悟与把握。专业领域:公司法、合同法、物权法、担保法、证券投资基金法、不良资产处置、私募基金管理人设立及登记备案法律业务、不良资产挂牌交易等。 刘韬律师自2010年至今,先后为河南新民生集团、中国工商银行河南省分行、平顶山银行郑州分行、河南投资集团有限公司、郑州高新产业投资基金有限公司、光大郑州国投新产业投资基金合伙企业(有限合伙)、光大徳尚投资管理(深圳)有限公司、河南中智国裕基金管理有限公司、 兰考县城市建设投资发展有限公司、郑东新区富生小额贷款公司等企事业单位提供法律服务,为郑州科慧科技、河南杰科新材料、河南雄峰科技新三板挂牌、定向发行股票、股权并购等提供法律服务。 为郑州信大智慧产业创新创业发展基金、郑州市科技发展投资基金、郑州泽赋北斗产业发展投资基金、河南农投华晶先进制造产业投资基金、河南高创正禾高新科技成果转化投资基金、河南省国控互联网产业创业投资基金设立提供法律服务。办理过担保公司、小额贷款公司、村镇银行、私募股权投资基金的设立、法律文书、交易结构设计,不良资产处置及诉讼等业务。 近两年主要从事私募基金管理人及私募基金业务、不良资产处置及诉讼,公司股份制改造、新三板挂牌及股票发行、股权并购项目法律尽职调查、法律评估及法律路径策划工作。 专业领域:企事业单位法律顾问、金融机构债权债务纠纷、并购法律业务、私募基金管理人设立登记及基金备案法律业务、新三板法律业务、民商事经济纠纷等。

  • 睿思网
    睿思网

    作为中国基础设施及不动产领域信息综合服务商,睿思坚持以专业视角洞察行业发展趋势及变革,打造最具公信力和影响力的垂直服务平台,输出有态度、有锐度、有价值的优质行业资讯。

  • 大队长金融
    大队长金融

    大队长金融,读懂金融监管。微信号: captain_financial

  • 破产圆桌汇
    破产圆桌汇

    勘破破产事,与君破僵局。

微信扫描二维码关注
资产界公众号

资产界公众号
每天4篇行业干货
100万企业主关注!
Miya一下,你就知道
产品经理会及时与您沟通