《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)于 2021年11月1日起施行。金融業(yè)作為數(shù)據(jù)密集型行業(yè),如何保護好海量敏感個人信息,應(yīng)當(dāng)成為金融機構(gòu)亟待解決的重要任務(wù)之一。
本文旨在通過對與個人信息保護的金融政策回顧梳理,厘清個人信息及敏感個人信息的內(nèi)涵及外延,列舉金融機構(gòu)若干應(yīng)用場景,結(jié)合國家標(biāo)準(zhǔn)及行業(yè)特點,提出金融機構(gòu)對個人信息保護的法律合規(guī)建議。
一、歷史沿革
金融監(jiān)管機構(gòu)對于信息保護的原則性規(guī)定可以追溯至2004年全國人大常委會頒布的《中華人民共和國商業(yè)銀行法(2003修正)》。2011年中國人民銀行發(fā)布《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》(銀發(fā)〔2011〕17號),對“金融消費者”進行界定。2020年中國人民銀行發(fā)布的《個人金融信息保護技術(shù)規(guī)范》,根據(jù)信息遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更后所產(chǎn)生的影響和危害,將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別。同年頒布的《中國人民銀行金融消費者權(quán)益保護實施辦法》(以下簡稱《金融消費者權(quán)益保護實施辦法》)更是專章對于個人金融信息保護進行規(guī)范。
金融監(jiān)管政策時間軸
目前,我國通過《中華人民共和國民法典》(以下簡稱《民法典》)、《中華人民共和國刑法》(以下簡稱《刑法》)、《個人信息保護法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《金融消費者權(quán)益保護實施辦法》《個人金融信息保護技術(shù)規(guī)范》等法律法規(guī)、行業(yè)規(guī)范性文件共同搭建起了關(guān)于個人金融信息保護的基本法律框架。
二、《個人信息保護法》中與金融機構(gòu)相關(guān)的“個人信息”內(nèi)涵及外延
《個人信息保護法》第四條第一款規(guī)定“個人信息”系“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息”。該定義采納了《個人信息安全規(guī)范》個人信息定義的最寬入口模式。無論是從“從信息到個人”的識別法亦或“從個人到信息”的關(guān)聯(lián)法得到的信息均被認(rèn)為是個人信息的范疇。該條款實質(zhì)也與歐盟《一般數(shù)據(jù)保護條例》GDPR設(shè)計思路一致。
在屬于“個人信息”的范圍內(nèi),如符合《個人信息保護法》第二十八條列舉的包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡以及不滿十四周歲未成年人的個人信息等“一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息”均屬“敏感個人信息”。由此可知,《個人信息保護法》將“個人信息”二元劃分為“一般個人信息”與“敏感個人信息”。與“一般個人信息”相比,“敏感個人信息”被設(shè)置了更高級別的保護義務(wù)。
根據(jù)現(xiàn)行有效的《個人金融信息保護技術(shù)規(guī)范》第4.2條“個人金融信息類別”按照敏感程度從高到低將個人信息分為C3、C2、C1三類。其中, C2類別、C3類別均符合《個人信息保護法》“敏感個人信息”的定義。C1類別為“可能會對個人金融信息主體的信息安全與財產(chǎn)安全造成一定影響”的個人信息,與《個人信息保護法》“敏感個人信息”的定義存在交叉。因此,金融機構(gòu)涉及到的絕大多數(shù)個人信息,都屬于《個人信息保護法》中的“敏感個人信息”,這對于金融機構(gòu)的個人信息保護義務(wù)提出更高合規(guī)要求。
需要注意的是,金融機構(gòu)基于海量個人信息加工形成的衍生數(shù)據(jù),例如客戶的支付能力、交易習(xí)慣、消費偏好等具有商業(yè)價值的信息均屬于《個人信息保護法》定義下的個人信息,該等衍生數(shù)據(jù)由于“一旦泄露或者非法使用,容易導(dǎo)致自然人的財產(chǎn)安全受到危害的個人信息”,亦屬于“敏感個人信息”。因此,金融機構(gòu)在使用相關(guān)衍生數(shù)據(jù)時,也要落實《個人信息保護法》相關(guān)合規(guī)要求。
此外,《個人信息保護法》第四條將匿名化處理后的數(shù)據(jù)排除在個人信息范圍外,即如果金融機構(gòu)對個人信息進行脫敏,通過去標(biāo)識化、匿名化,無法實現(xiàn)信息指向具體自然人,那么該等信息不屬于個人信息,而是屬于金融機構(gòu)自有的商業(yè)秘密。
三、《個人信息保護法》下金融機構(gòu)的若干應(yīng)用場景
《個人信息保護法》的出臺,以保障個人信息安全、維護個人合法權(quán)益為主要立法目標(biāo),對“個人信息處理者”的信息收集、傳輸、存儲、使用、刪除、銷毀等全生命周期的個人信息處理活動進行規(guī)范。《個人信息保護法》對于共同處理、委托處理、個人信息轉(zhuǎn)移、對外提供、自動化決策、公共采集六大場景中個人信息處理的規(guī)定,蘊含著金融機構(gòu)應(yīng)當(dāng)遵守的法律義務(wù),對于金融機構(gòu)的合規(guī)工作影響重大。對于金融機構(gòu)而言,以下個人金融信息應(yīng)用場景值得關(guān)注:
場景一:金融機構(gòu)線上、線下收集客戶個人信息
《個人信息保護法》第二十三條、第二十六條、第二十九條分別要求個人信息處理者在處理敏感個人信息、向第三方提供個人信息、公開個人信息、公共場所圖像收集和身份識別、跨境提供個人信息的場景下取得個人的單獨同意。在此之前,單獨同意的類似概念曾作為《個人信息安全規(guī)范》要求個人信息控制者收集生物識別信息前獲取用戶同意的形式要件[注1]。“單獨同意”亦不同于《個人金融信息保護技術(shù)規(guī)范》規(guī)定的“個人金融信息主體主動作出聲明(電子或紙質(zhì)形式)、主動勾選、主動點擊‘同意’、‘注冊’、‘發(fā)送、’‘撥打’、主動填寫或提供等”肯定性動作。《個人信息保護法》規(guī)定的“單獨同意”,須達到破除“一攬子授權(quán)”、“無感知授權(quán)”的效果。
因此,金融機構(gòu)對于單獨同意的適用,應(yīng)依照《個人信息保護法》的規(guī)定,賦予客戶便捷的行使撤回同意權(quán),在高風(fēng)險場景下加強告知義務(wù),以明顯提示的方式,充分告知客戶個人信息的處理目的、范圍、方式及必要性。
場景二:集團性質(zhì)的金融機構(gòu)之間數(shù)據(jù)流轉(zhuǎn)共享
《個人信息保護法》第二十三條規(guī)定了個人信息處理者向其他個人信息處理者提供其處理的個人信息的合規(guī)要求,在對外提供個人信息時應(yīng)當(dāng)增強透明度,“向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意”以此增加金融機構(gòu)的告知義務(wù)。接收方如變更原先的處理目的及處理方式,仍應(yīng)重新取得個人同意。該要求對集團性質(zhì)金融機構(gòu)成員之間的信息轉(zhuǎn)移共享產(chǎn)生較大影響,數(shù)據(jù)流動效率大大降低。
因此,集團性金融機構(gòu)之間提供其處理的個人信息,原則上仍應(yīng)履行嚴(yán)格的告知同意義務(wù),包括但不限于事先的充分告知和單獨同意,同時第三方處置權(quán)限受到嚴(yán)格的限制。
場景三:金融機構(gòu)委托第三方供應(yīng)商處理個人信息
《個人信息保護法》第二十一條規(guī)定了個人信息處理者委托處理個人信息的情形。金融機構(gòu)委托第三方供應(yīng)商提供數(shù)據(jù)技術(shù)支持的委托行為較為常見。在委托過程中,需要與受托方簽訂委托合同,明確“委托處理的目的、期限、處理方式、個人信息的種類、保護措施”等事項。
與《個人信息保護法》第二十三條不同,第二十一條對委托人是否需向個人披露受托方未做強制性要求。我們認(rèn)為,第二十一條雖未對委托人披露義務(wù)作出規(guī)定,但因委托第三方處理個人信息,仍屬《個人信息保護法》第十七條規(guī)定的“處理個人信息”的情形,因此,金融機構(gòu)仍應(yīng)按照第十七條的規(guī)定,“以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地”向個人逐項告知委托處理具體場景等。
場景四:金融機構(gòu)跨境提供客戶個人信息
《個人信息保護法》以第三章“個人信息跨境提供的規(guī)則”的形式,對于個人信息跨境提供規(guī)則進行單章規(guī)定。根據(jù)第三十八條規(guī)定,需進行跨境提供個人信息的,應(yīng)滿足下列條件:應(yīng)通過國家網(wǎng)信部門組織的安全評估;進行個人信息保護認(rèn)證;按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同等。同時,個人信息處理者應(yīng)向個人告知,并取得個人的單獨同意。非經(jīng)主管部門批準(zhǔn),不得向外國司法或執(zhí)法機構(gòu)提供。因此,金融機構(gòu)如需進行境外投資等情形,需向境外提供個人信息的,應(yīng)嚴(yán)格遵守相關(guān)規(guī)定,否則不得向境外提供。
跨境提供客戶數(shù)據(jù)基本流程,可以參考國家互聯(lián)網(wǎng)信息辦公室2021年10月29日發(fā)布的《數(shù)據(jù)出境安全評估辦法(征求意見稿)》,其中詳細(xì)規(guī)定了數(shù)據(jù)處理者向境外提供數(shù)據(jù)的審批路徑:(1)數(shù)據(jù)處理者開展數(shù)據(jù)出境風(fēng)險自評估;(2)申報數(shù)據(jù)出境安全評估;(3)國家網(wǎng)信部門自收到申報材料之日起七個工作日內(nèi),確定是否受理評估并以書面通知形式反饋受理結(jié)果。
四、《個人信息保護法》對金融機構(gòu)的合規(guī)要求
(一)《個人信息保護法》下金融機構(gòu)的法律責(zé)任
《個人信息保護法》生效后,金融機構(gòu)面臨前所未有的法律風(fēng)險,主要包括行政處罰、民事訴訟、刑事訴訟等方面。
行政處罰方面,《個人信息保護法》借鑒歐盟GDPR的立法設(shè)計思路,將單位罰金提高至“五千萬元以下或者上一年度營業(yè)額百分之五以下”,同時可導(dǎo)致“暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照”的嚴(yán)厲處罰。直接負(fù)責(zé)的主管人員及其他直接責(zé)任人員罰金提高至“十萬元以上一百萬元以下”,新增相關(guān)人員在一定期限內(nèi)不得擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負(fù)責(zé)人的處罰措施。
民事責(zé)任方面,根據(jù)《民法典》第一千一百八十二條、第一千一百八十三條的規(guī)定,金融機構(gòu)泄露個人信息除了承擔(dān)賠償責(zé)任、賠償精神損害責(zé)任之外,當(dāng)事人根據(jù)案件事實有權(quán)依據(jù)《民法典》第一百七十九條的規(guī)定,要求金融機構(gòu)承擔(dān)賠禮道歉、恢復(fù)原狀等民事責(zé)任。
需要注意的是,《個人信息保護法》明確個人信息民事侵權(quán)賠償適用過錯推定原則。根據(jù)《民法典》第一千一百六十五條的規(guī)定,金融機構(gòu)如不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。過錯推定原則的適用意味著金融機構(gòu)需承擔(dān)較重的自證義務(wù),在日常的處理活動中應(yīng)做好相關(guān)的記錄和存證,嚴(yán)格遵守合規(guī)制度。
在刑事責(zé)任方面,《刑法》第二百五十三條之一規(guī)定了侵犯公民個人信息罪,即“違反國家有關(guān)規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。違反國家有關(guān)規(guī)定,將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規(guī)定從重處罰。”對于金融機構(gòu)而言,員工在工作過程中非法獲取、出售或者提供客戶征信信息的,亦構(gòu)成侵犯公民個人信息罪。
(二)《個人信息保護法》對金融機構(gòu)的合規(guī)要求
《個人信息保護法》的實施,對金融機構(gòu)提出了新的合規(guī)要求,企業(yè)需要從數(shù)據(jù)收集、數(shù)據(jù)處理及內(nèi)部管理三個層面做好法律合規(guī)應(yīng)對準(zhǔn)備。我們提供如下合規(guī)路徑,供金融機構(gòu)參考。
首先,收集數(shù)據(jù)層面。第一,企業(yè)要恪守合法、正當(dāng)、必要、合目的及最小必要原則,定期檢查個人信息收集規(guī)則和個人隱私協(xié)議的一致性,保證收集用戶數(shù)據(jù)的內(nèi)容與維度合規(guī);第二,企業(yè)還要盡快完善用戶協(xié)議,更加明顯地提示用戶授權(quán)等,而且在未來還要提供明顯的刪除個人數(shù)據(jù)的選項以及便捷的撤回選項;第三,定期對從業(yè)人員進行安全教育和培訓(xùn),經(jīng)常性接觸個人信息的網(wǎng)點經(jīng)營活動應(yīng)減少紙質(zhì)單據(jù)的產(chǎn)生和傳遞,降低外包營銷人員掌握客戶信息的可能性。第四,對個人生物特征的數(shù)據(jù)采集和識別要特別審慎,防止個人信息泄露。
其次,處理數(shù)據(jù)層面。數(shù)據(jù)處理包含數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)傳輸、數(shù)據(jù)刪除、數(shù)據(jù)追蹤等。例如,在加密數(shù)據(jù)傳輸及存儲環(huán)節(jié),對數(shù)據(jù)進行精細(xì)分類分級管理,涉及個人敏感信息,采用加密存儲等方式,確保數(shù)據(jù)信息的安全;在數(shù)據(jù)使用環(huán)節(jié),細(xì)化訪問控制顆粒度,合理確定個人信息處理操作權(quán)限,將數(shù)據(jù)去標(biāo)識化、匿名化,通過替換或置換方式對數(shù)據(jù)進行脫敏,減少個人信息的暴露;在數(shù)據(jù)追蹤環(huán)節(jié),確保數(shù)據(jù)使用的行為安全合法,做好記錄存證工作,有利于企業(yè)數(shù)據(jù)出現(xiàn)問題后進行事故的追責(zé),為相關(guān)部門提供事實依據(jù)。
結(jié)語:《個人信息保護法》的頒布是對金融行業(yè)過去十余年個人信息安全工作的挑戰(zhàn)與檢驗,面對日趨嚴(yán)格的監(jiān)管態(tài)勢,金融機構(gòu)應(yīng)當(dāng)理性處理、積極應(yīng)對。此外,數(shù)據(jù)的價值在于流動和使用,如何平衡個人信息保護與商業(yè)利益之間的關(guān)系,金融機構(gòu)仍需進一步結(jié)合配套法規(guī)的合規(guī)性要求,不斷探索和實踐。
注釋及參考文獻:
[1]《<個人信息保護法>正式稿之重點條款導(dǎo)覽》,作者周楊、辛小天、史蕾。