作者:特约研究员
来源:浙大融资租赁研究中心(ID:zju-rzzl)
个人信息保护一直是现代网络社会中比较突出的问题之一,在融资租赁业务过程中,作为融资租赁公司无论是在前期尽调中,还是在合同签署以及后续的纠纷处理上,都会对客户的个人信息进行处理。如何在对客户信息进行收集、存储、使用、加工等过程中做好对个人信息的保护,也是摆在融资租赁公司必须要面临的一个重要问题。
继《民法典》对个人信息的定义、处理原则、处理个人信息的免责事由、安全保障义务等内容有了专项条款(详见《民法典》第一千零三十四条至第一千零三十九条)进行规定以后,2021年8月20日通过的《个人信息保护法》,又对个人信息的保护给予了更为详尽的规定,包括敏感信息的处理原则、国家机关处理个人信息的规则、个人处理个人信息的权利、个人信息处理者的义务以及相关的法律责任等,内容非常丰富,可以说,《个人信息保护法》是真正给个人信息保护上了一道“安全锁”。笔者就在针对《个人信息保护法》相关条款进行梳理和归纳的基础上,试图对融资租赁公司在个人信息的保护上提供一些建议,以供抛砖引玉。
一、个人信息的范围及处理原则
根据《个人信息保护法》第四条的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。又根据《民法典》第一千零三十四条的规定,个人信息可以包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法》也特别对敏感个人信息进行了规定,根据第二十八条之规定,敏感个人信息包括个人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。
根据《个人信息保护法》的规定,对个人信息(包括敏感信息)进行处理(包括收集、存储、使用、加工、传输、提供、公开、删除等),应遵循包括但不限于以下原则:
(一)应坚持合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
(二)应当具有明确、合理的目的,并应当与处理目的直接相关。
(三)应当在对个人权益影响最小、实现处理目的的最小范围内收集,不得过度收集个人信息。
(四)应当公开个人信息处理的规则,明示处理的目的、方式和范围。
(五)应当采用必要措施保障所处理的个人信息的安全。
(六)应当合法使用个人信息,不得危害国家安全、公共利益。
二、个人信息处理者的相关义务
根据《个人信息保护法》第十三条第二项的规定,在为订立、履行个人作为一方当事人的合同所必需的情况下,个人信息处理者可以对个人信息进行处理,但需要履行包括但不限于以下义务:
(一)在处理个人信息前需要以显著方式、清晰易懂的语言真实、准确、完整地履行告知义务。需要向个人告知个人信息处理者的名称或姓名和联系方式以及个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等。
(二)个人信息处理者向他人提供或公开处理的个人信息或处理敏感个人信息,需取得个人单独同意。
(三)对处理敏感个人信息或利用个人信息进行自动化决策的,应当事前对个人信息的处理目的、处理方式等是否合法、正当、必要性等进行评估。
(四)个人信息处理者应当建立便捷的个人行使查阅、复制其个人信息的通道。
(五)需要对个人信息实行分类管理、制定内部管理制度和操作规程,并采取相应的加密、去标识化等安全技术措施,防止个人信息泄露、篡改、丢失。
(六)应合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,制定应急预案机制,明确具体的负责人。
(七)在处理目的已实现、无法实现或者为实现处理目的不再必要时应主动删除个人信息。
(八)需要向境外提供个人信息的,还需要经国家网信部门安全评估和专业机构进行个人信息保护认证。
三、违反《个人信息保护法》的法律后果
违反《个人信息保护法》规定处理个人信息,或者处理个人信息未履行相关规定的个人信息保护义务的,可能会面临以下不利后果:
(一)在法律上首先会面临举证责任倒置的风险,即若不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
(二)被责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,被责令暂停或者终止提供服务。
(三)被处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
(四)情节严重的,可面临被责令暂停相关业务或者被停业整顿、通报有关主管部门吊销相关业务许可或者被吊销营业执照。
(五)情节严重的,直接负责的主管人员和其他直接责任人员可能会面临处十万元以上一百万元以下罚款,并可能会被禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
(六)相关信息会被记入信用档案,并予以公示。
四、针对融资租赁公司的建议
通过上述分析,作为个人信息处理者的融资租赁公司在处理个人信息(包括收集、存储、使用、加工、传输、提供、公开、删除等)上会面临较大的限制,必须履行“告知+同意”的义务,在个人信息的管理上也需要建立完善的内部管理制度,保护个人信息的安全,防止个人信息泄露、篡改、丢失等,否则,可能会面临非常不利的法律后果(包括但不限于举证责任倒置、被处罚、停业整顿、被吊销营业执照、高管被限制从业等)。为防范融资租赁公司在个人信息保护上的风险,确保个人信息处理的合规与合法,建议融资租赁公司可以考虑从以下几各方面入手:
(一)可对自己公司所开展的不同业务类型所涉及到的个人信息进行梳理和分析,明确哪些个人信息是必须要处理的,哪些不是必须要处理的个人信息,对需要处理的个人信息进行汇总和归纳。
(二)针对自动化(如大数据风控等系统)收集到的个人信息以及涉及到的个人敏感信息进行重新梳理和评估。特别需要针对相关的敏感个人信息进行归纳和整理,如有的融资租赁公司采取了人脸识别等技术进行项目申报和签约的,则会涉及到个人的生物识别信息;对以车辆作为租赁物的项目中,融资租赁公司会通过GPS来获得客户车辆的运营轨迹信息等,这些都属于个人敏感信息的处理。
(三)在融资租赁相关合同中增加相关告知和同意的条款,通过条款向客户告知融资租赁公司收集个人信息的必要性,明确会收集的范围、个人信息的处理目的、处理方式,保存期限等。
(四)个人信息的存储最好在本地进行,并指定专门的负责人进行个人信息
安全的管理,定期形成个人信息安全管理报告,制定相关个信息处理的使用权限,并对个人信息数据进行加密。个人信息需要存储于其他平台内的,应当选择具有较好资质的平台,并取得该平台对个人信息保护的承诺及相关的风控措施和预案。
(五)在业务申报系统设置上,设置客户同意个人信息被处理的选项,制订相应的隐私政策。对于敏感信息设置单独同意的模块。必要时,单独增加相关“告知+同意”处理个人信息的授权书或文件。
(六)制定内部管理手册,禁止内部员工将个人信息向境外人员或机构提供,禁止内部员工对外公开个人信息,并制定严格的考核机制。
《个人信息保护法》将于2021年11月1日起实施生效,在实施生效之前,融资租赁公司可以对本公司涉及到的个人信息进行事前梳理,提前做好相关的准备和研究。个人信息保护的趋严,也是本次《个人信息保护法》的核心之意,融资租赁公司也需要顺应大势,不断思考怎样在个人信息保护与充分挖掘个人信息价值、促进业务健康发展之间寻求平衡。当然,《个人信息保护法》中的有些规定还需要相关管理部门或司法机关进行细化,相关规则还需要在中国这个土壤中的不断地接受实践检验,以便尽快寻找到更切合中国国情的、可落地的实施方案和实践经验。融资租赁公司也需要密切关注后续相关的监管动态、实施细则、相关案例等,以便在个人信息的保护上做到更加合规、合法,为公司融资租赁业务的稳健发展奠定更坚实的合规基础。
注:文章为作者独立观点,不代表资产界立场。
题图来自 Pexels,基于 CC0 协议
本文由“浙江大学融资租赁研究中心”投稿资产界,并经资产界编辑发布。版权归原作者所有,未经授权,请勿转载,谢谢!