《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)于 2021年11月1日起施行。金融业作为数据密集型行业,如何保护好海量敏感个人信息,应当成为金融机构亟待解决的重要任务之一。
本文旨在通过对与个人信息保护的金融政策回顾梳理,厘清个人信息及敏感个人信息的内涵及外延,列举金融机构若干应用场景,结合国家标准及行业特点,提出金融机构对个人信息保护的法律合规建议。
一、历史沿革
金融监管机构对于信息保护的原则性规定可以追溯至2004年全国人大常委会颁布的《中华人民共和国商业银行法(2003修正)》。2011年中国人民银行发布《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号),对“金融消费者”进行界定。2020年中国人民银行发布的《个人金融信息保护技术规范》,根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。同年颁布的《中国人民银行金融消费者权益保护实施办法》(以下简称《金融消费者权益保护实施办法》)更是专章对于个人金融信息保护进行规范。
金融监管政策时间轴
目前,我国通过《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国刑法》(以下简称《刑法》)、《个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《金融消费者权益保护实施办法》《个人金融信息保护技术规范》等法律法规、行业规范性文件共同搭建起了关于个人金融信息保护的基本法律框架。
二、《个人信息保护法》中与金融机构相关的“个人信息”内涵及外延
《个人信息保护法》第四条第一款规定“个人信息”系“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。该定义采纳了《个人信息安全规范》个人信息定义的最宽入口模式。无论是从“从信息到个人”的识别法亦或“从个人到信息”的关联法得到的信息均被认为是个人信息的范畴。该条款实质也与欧盟《一般数据保护条例》GDPR设计思路一致。
在属于“个人信息”的范围内,如符合《个人信息保护法》第二十八条列举的包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息等“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”均属“敏感个人信息”。由此可知,《个人信息保护法》将“个人信息”二元划分为“一般个人信息”与“敏感个人信息”。与“一般个人信息”相比,“敏感个人信息”被设置了更高级别的保护义务。
根据现行有效的《个人金融信息保护技术规范》第4.2条“个人金融信息类别”按照敏感程度从高到低将个人信息分为C3、C2、C1三类。其中, C2类别、C3类别均符合《个人信息保护法》“敏感个人信息”的定义。C1类别为“可能会对个人金融信息主体的信息安全与财产安全造成一定影响”的个人信息,与《个人信息保护法》“敏感个人信息”的定义存在交叉。因此,金融机构涉及到的绝大多数个人信息,都属于《个人信息保护法》中的“敏感个人信息”,这对于金融机构的个人信息保护义务提出更高合规要求。
需要注意的是,金融机构基于海量个人信息加工形成的衍生数据,例如客户的支付能力、交易习惯、消费偏好等具有商业价值的信息均属于《个人信息保护法》定义下的个人信息,该等衍生数据由于“一旦泄露或者非法使用,容易导致自然人的财产安全受到危害的个人信息”,亦属于“敏感个人信息”。因此,金融机构在使用相关衍生数据时,也要落实《个人信息保护法》相关合规要求。
此外,《个人信息保护法》第四条将匿名化处理后的数据排除在个人信息范围外,即如果金融机构对个人信息进行脱敏,通过去标识化、匿名化,无法实现信息指向具体自然人,那么该等信息不属于个人信息,而是属于金融机构自有的商业秘密。
三、《个人信息保护法》下金融机构的若干应用场景
《个人信息保护法》的出台,以保障个人信息安全、维护个人合法权益为主要立法目标,对“个人信息处理者”的信息收集、传输、存储、使用、删除、销毁等全生命周期的个人信息处理活动进行规范。《个人信息保护法》对于共同处理、委托处理、个人信息转移、对外提供、自动化决策、公共采集六大场景中个人信息处理的规定,蕴含着金融机构应当遵守的法律义务,对于金融机构的合规工作影响重大。对于金融机构而言,以下个人金融信息应用场景值得关注:
场景一:金融机构线上、线下收集客户个人信息
《个人信息保护法》第二十三条、第二十六条、第二十九条分别要求个人信息处理者在处理敏感个人信息、向第三方提供个人信息、公开个人信息、公共场所图像收集和身份识别、跨境提供个人信息的场景下取得个人的单独同意。在此之前,单独同意的类似概念曾作为《个人信息安全规范》要求个人信息控制者收集生物识别信息前获取用户同意的形式要件[注1]。“单独同意”亦不同于《个人金融信息保护技术规范》规定的“个人金融信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击‘同意’、‘注册’、‘发送、’‘拨打’、主动填写或提供等”肯定性动作。《个人信息保护法》规定的“单独同意”,须达到破除“一揽子授权”、“无感知授权”的效果。
因此,金融机构对于单独同意的适用,应依照《个人信息保护法》的规定,赋予客户便捷的行使撤回同意权,在高风险场景下加强告知义务,以明显提示的方式,充分告知客户个人信息的处理目的、范围、方式及必要性。
场景二:集团性质的金融机构之间数据流转共享
《个人信息保护法》第二十三条规定了个人信息处理者向其他个人信息处理者提供其处理的个人信息的合规要求,在对外提供个人信息时应当增强透明度,“向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意”以此增加金融机构的告知义务。接收方如变更原先的处理目的及处理方式,仍应重新取得个人同意。该要求对集团性质金融机构成员之间的信息转移共享产生较大影响,数据流动效率大大降低。
因此,集团性金融机构之间提供其处理的个人信息,原则上仍应履行严格的告知同意义务,包括但不限于事先的充分告知和单独同意,同时第三方处置权限受到严格的限制。
场景三:金融机构委托第三方供应商处理个人信息
《个人信息保护法》第二十一条规定了个人信息处理者委托处理个人信息的情形。金融机构委托第三方供应商提供数据技术支持的委托行为较为常见。在委托过程中,需要与受托方签订委托合同,明确“委托处理的目的、期限、处理方式、个人信息的种类、保护措施”等事项。
与《个人信息保护法》第二十三条不同,第二十一条对委托人是否需向个人披露受托方未做强制性要求。我们认为,第二十一条虽未对委托人披露义务作出规定,但因委托第三方处理个人信息,仍属《个人信息保护法》第十七条规定的“处理个人信息”的情形,因此,金融机构仍应按照第十七条的规定,“以显著方式、清晰易懂的语言真实、准确、完整地”向个人逐项告知委托处理具体场景等。
场景四:金融机构跨境提供客户个人信息
《个人信息保护法》以第三章“个人信息跨境提供的规则”的形式,对于个人信息跨境提供规则进行单章规定。根据第三十八条规定,需进行跨境提供个人信息的,应满足下列条件:应通过国家网信部门组织的安全评估;进行个人信息保护认证;按照国家网信部门制定的标准合同与境外接收方订立合同等。同时,个人信息处理者应向个人告知,并取得个人的单独同意。非经主管部门批准,不得向外国司法或执法机构提供。因此,金融机构如需进行境外投资等情形,需向境外提供个人信息的,应严格遵守相关规定,否则不得向境外提供。
跨境提供客户数据基本流程,可以参考国家互联网信息办公室2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》,其中详细规定了数据处理者向境外提供数据的审批路径:(1)数据处理者开展数据出境风险自评估;(2)申报数据出境安全评估;(3)国家网信部门自收到申报材料之日起七个工作日内,确定是否受理评估并以书面通知形式反馈受理结果。
四、《个人信息保护法》对金融机构的合规要求
(一)《个人信息保护法》下金融机构的法律责任
《个人信息保护法》生效后,金融机构面临前所未有的法律风险,主要包括行政处罚、民事诉讼、刑事诉讼等方面。
行政处罚方面,《个人信息保护法》借鉴欧盟GDPR的立法设计思路,将单位罚金提高至“五千万元以下或者上一年度营业额百分之五以下”,同时可导致“暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照”的严厉处罚。直接负责的主管人员及其他直接责任人员罚金提高至“十万元以上一百万元以下”,新增相关人员在一定期限内不得担任相关企业的董事、监事、高级管理人员和个人信息保护负责人的处罚措施。
民事责任方面,根据《民法典》第一千一百八十二条、第一千一百八十三条的规定,金融机构泄露个人信息除了承担赔偿责任、赔偿精神损害责任之外,当事人根据案件事实有权依据《民法典》第一百七十九条的规定,要求金融机构承担赔礼道歉、恢复原状等民事责任。
需要注意的是,《个人信息保护法》明确个人信息民事侵权赔偿适用过错推定原则。根据《民法典》第一千一百六十五条的规定,金融机构如不能证明自己没有过错的,应当承担侵权责任。过错推定原则的适用意味着金融机构需承担较重的自证义务,在日常的处理活动中应做好相关的记录和存证,严格遵守合规制度。
在刑事责任方面,《刑法》第二百五十三条之一规定了侵犯公民个人信息罪,即“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。”对于金融机构而言,员工在工作过程中非法获取、出售或者提供客户征信信息的,亦构成侵犯公民个人信息罪。
(二)《个人信息保护法》对金融机构的合规要求
《个人信息保护法》的实施,对金融机构提出了新的合规要求,企业需要从数据收集、数据处理及内部管理三个层面做好法律合规应对准备。我们提供如下合规路径,供金融机构参考。
首先,收集数据层面。第一,企业要恪守合法、正当、必要、合目的及最小必要原则,定期检查个人信息收集规则和个人隐私协议的一致性,保证收集用户数据的内容与维度合规;第二,企业还要尽快完善用户协议,更加明显地提示用户授权等,而且在未来还要提供明显的删除个人数据的选项以及便捷的撤回选项;第三,定期对从业人员进行安全教育和培训,经常性接触个人信息的网点经营活动应减少纸质单据的产生和传递,降低外包营销人员掌握客户信息的可能性。第四,对个人生物特征的数据采集和识别要特别审慎,防止个人信息泄露。
其次,处理数据层面。数据处理包含数据存储、数据使用、数据传输、数据删除、数据追踪等。例如,在加密数据传输及存储环节,对数据进行精细分类分级管理,涉及个人敏感信息,采用加密存储等方式,确保数据信息的安全;在数据使用环节,细化访问控制颗粒度,合理确定个人信息处理操作权限,将数据去标识化、匿名化,通过替换或置换方式对数据进行脱敏,减少个人信息的暴露;在数据追踪环节,确保数据使用的行为安全合法,做好记录存证工作,有利于企业数据出现问题后进行事故的追责,为相关部门提供事实依据。
结语:《个人信息保护法》的颁布是对金融行业过去十余年个人信息安全工作的挑战与检验,面对日趋严格的监管态势,金融机构应当理性处理、积极应对。此外,数据的价值在于流动和使用,如何平衡个人信息保护与商业利益之间的关系,金融机构仍需进一步结合配套法规的合规性要求,不断探索和实践。
注释及参考文献:
[1]《<个人信息保护法>正式稿之重点条款导览》,作者周杨、辛小天、史蕾。