中国农村金融网欢迎您! 设为首页   | 加入收藏   | 投稿邮箱
首页> 风控>

《个人信息保护法》的出台 提升金融消费者权利保护

来源:中国农村金融杂志社 作者:郑磊 发布时间:2022-03-25

为对侵害个人信息权益的有害行为进行严厉威慑和打击,加强个人信息保护专项立法成了社会各界普遍共识。《个人信息保护法》自2020年10月13日首个草案提出以来,历经三次审议、多次修订,2021年8月20日正式通过,并于2021年11月1日起正式实施。

个人信息保护法的亮点及意义

近些年,我国作为数字经济大国也在尝试搭建个人信息保护法律体系,并相继出台了《网络安全法》等一系列法律。然而,由于针对个人信息保护的专门法律长期缺位,个人信息保护规则尚未完善,个人信息安全事件频频发生且屡禁不止。故我国对于个人信息保护方面专门立法,细化个人信息保护规则。

《个人信息保护法》亮点颇多,该法明确规定不得过度收集个人信息、禁止大数据杀熟、规定人脸识别信息等敏感个人信息处理规则,对滥采滥用、非法买卖个人信息、擅自披露个人数据、为个人信息主体维权提供便利等亟需解决的社会乱象进行了系统性规定。

《个人信息保护法》的出台意义重大,标志着翻开了我国个人信息立法保护的历史新篇章,也是全球个人信息法治发展的重大里程碑。《个人信息保护法》为个人信息的处理提供了明确的法律依据,为金融消费者维护正当隐私权益提供了充分保障,更为金融机构如何运营掌控个人信息数据,提供了操作指引以及法律红线。

《个人信息保护法》对金融消费者个人信息保护措施

“授权同意”“重新取得同意”两种情形的适用规则。《个人信息保护法》第十四条第一款规定“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”即处理个人信息应当取得个人的“授权同意”,同时根据相关法律、行政法规规定,除取得个人“授权同意”外,还应当满足“个人单独同意”或“书面同意”。

《个人信息保护法》第十四条第二款规定“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”,故“重新取得同意”是在“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的”的情形下才会发生,因这些情形属于法律认定的较大变更,若按照原有的授权原则可能会侵害他人合法权益,因此法律规定了需要“重新取得同意”。

赋予个人撤回同意的权利。《个人信息保护法》第十五条与第十六条对此项权利进行了规定。撤回同意是指个人信息主体基于“授权同意”原则,对自己已经作出的同意信息处理者对其个人信息进行处理的授权予以取消的意思表示。金融领域普遍存在的不支持注销账户、撤回同意投诉无门等问题,法律要求个人信息处理者(金融机构)提供便捷的撤回同意方式。明确撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力,但需停止处理或及时删除其个人信息。同时,若金融消费者不同意处理其个人信息或者撤回同意的,金融机构不得以此拒绝提供产品或者服务。

严格保护金融消费者敏感个人信息。《个人信息保护法》第二十八条至三十二条规定了敏感个人信息处理规则。该法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息,并要求只有在具有特定目的和充分的必要性,以及采取严格保护措施的情形下,方可处理敏感个人信息,同时应当进行事前影响评估,并向个人告知处理的必要性以及对个人权益的影响。这主要是考虑到此类信息一旦泄露或者被非法使用,极易导致个体的人格尊严受到侵害或者人身、财产安全受到危害,因此,对处理金融消费者敏感个人信息的活动应当作出更加严格的限制

处理人脸信息应取得单独同意。《个人信息保护法》第二十六条规定了人脸识别信息收集的规则。作为敏感个人信息中社交属性最强、最容易采集的个人信息,人脸信息的收集利用备受争议,如“戴头盔前往售楼处看房”、315晚会“人脸识别系统”等。本法规定,在公共场所采集人脸信息应设置显著提示标识,且仅限于维护公共安全目的,这正是针对此前各大商家滥用摄像头暗自采集人脸信息并用于实施营销推广等乱象进行明确法律规制的体现。

明确规定了个人信息处理者的义务。《个人信息保护法》第五章规定了个人信息处理者的义务。个人信息处理者(金融机构)应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。在处理敏感个人信息、利用个人信息进行自动化决策等特定情形下,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。

个人对个人信息处理具有知情决定权及投诉举报权。《个人信息保护法》第四十四条规定个人对其个人信息处理时享有的知情权和决定权。本法规定金融消费者在个人信息处理活动中应当遵循“告知和同意原则”,故本条明确的知情权和决定权与本法所遵循的“告知和同意原则”相一致。《个人信息保护法》第六十一条规定个人信息保护相关的投诉、举报机制。任何组织和个人都可以进行举报,意味着用户、非用户、竞争对手、第三方测评机构、自媒体等都可以作为举报主体,只要是履行个人信息保护职责的部门都可以受理举报。

金融机构在个人信息保护中存在的问题

个人信息保护立法稍显凌乱。此前,我国涉及个人金融信息保护已有立法,从数量上来看已经颇具规模,不少规定散见于不同法律法规中,但是绝大部分属于原则性立法或者是单行规定,并未就个人金融信息保护专门设定相应的法律。而关于个人金融信息保护的规范绝大部分属于部门规章以及规范性文件的范畴,相关法律位阶相对较低,对个人金融信息保护的力度相对较弱,须待进一步强化。

监管机构处于相对困境状态。在我国“一行两会”均设立了金融消费者权益保护部门,但没有明确规定专门对信息进行监督和管理的机构,是按照不同领域、不同部门分别进行的分散监管。分散的监管结构可能会在监管者之间产生潜在的利益冲突,诱发这一问题的原因在于金融消费者权益保护部门存在双重身份:金融监管者和金融信息的拥有者,当出现利益冲突,要求其达到两个身份之间的平衡难度很大。

金融服务线上化易带来泄露新风险。随着银行业的全面数字化,特别是后疫情时代,“零接触”的全面线上金融成为各大行标配,因此数据泄露风险也在激增。移动互联网的线上金融飞速发展,使得金融业务不断创新,但是技术促进业务创新的同时,也须直面新技术的两面性,例如云平台数据汇集使单体风险演化为系统风险,大数据时代的个人隐私数据易被滥用等需要重点关注。而如今因个人金融信息数据无法得到有效地保障,使得金融机构容易成为主要攻击目标,攻击者从炫耀技术到诈骗勒索目的不一,攻击防范的复杂严峻可见一斑。

金融机构及工作人员泄漏消费者个人信息风险。某些金融机构工作人员出于利益或者在某种诱惑驱使之下,利用职务之便侵害消费者信息。金融机构掌握和处理的银行消费者个人金融信息很大一部分属于消费者的个人敏感信息,而这一类信息一旦泄露,不仅仅会严重侵害到金融消费者的合法利益,一定程度上还会对银行内部机构的正常运营造成影响。

金融机构在个人信息保护方面的相关案例

案例一:脱口秀演员个人账户信息外泄,银行致歉并撤职涉事支行行长

2020年5月6日,脱口秀演员王越池在微博上发文称,中信银行上海虹口支行在未经其授权、未经任何司法机关合法调查程序的情况下,将其个人银行账户交易明细提供给与其发生经济纠纷的笑果文化公司,侵犯了个人隐私。王越池表示,没有其身份证,也没有其银行卡和司法机关的调查令,笑果文化竟然能从中信银行拿到其近两年的账户流水并打印出来。“之后我们打电话给中信银行,中信银行说这是配合大客户的要求。”

对此,中信银行晨公开发布致歉信称,经核实,有员工未严格按规定办理,向第三方提供了客户的收款记录。已按制度规定对相关员工予以处分,并对涉事支行行长予以撤职,最终银行还收到了450万元的罚款。

本案例主要违规有四点:客户信息保护机制不健全;客户信息收集环节管理不规范;对客户敏感信息管理不善;系统权限管理存在漏洞。

案例二:保险黑色产业链代理侵犯公民个人信息案

2020年6月,被告人周某致电中国平安财产保险股份有限公司开平支公司客户杨某,自称是保险公司售后服务人员,且能准确说出杨某购买的保单信息,并以送礼上门为由获得杨某的信任。随后,周某到达杨某的住所,指出其此前购买的保险产品不适合杨某,推荐购买其他保险产品。出于对周某的信任,杨某同意购买新的保险产品,但因部分资料缺失,约定次日再商谈。周某离开后,杨某出于警惕,随即联系原保单服务人员,将上述情况向中国平安财产保险股份有限公司开平支公司反馈。次日,周某再次到达杨某的住所时,被在场的中国平安财产保险股份有限公司开平支公司工作人员发现其并非险企工作人员,随即报警。公安机关深入侦查,在周某的临时住所发现,其使用的手提电脑中有涉及数百名保险客户的相关信息。今年7月,周某因涉嫌犯侵犯公民个人信息罪被逮捕。

经人民法院审理查明,被告人周某先后在中国平安人寿保险股份有限公司上海电话销售中心、中国平安人寿保险股份有限公司上海分公司任职及离职期间,在履行职责过程中或以其他方式非法获取公民个人信息达500余条。鉴于周某归案后能够如实供述罪行,自愿认罪认罚且签字具结,法院最终以侵犯公民个人信息罪判处周某有期徒刑6个月,并处罚金5000元,没收扣押作案工具,上缴国库。值得注意的是,此案为银保监会部署开展保险领域恶意投诉治理工作以来,全国破获的首起黑产人员涉侵犯公民个人信息犯罪司法判决。

《个人信息保护法》是过往世界经验和我国人民智慧的结晶,基本实现个人信息认定标准、个人信息管理、处罚标准的统一,以权威的法律来定分止争。同时,《个人信息保护法》从出台到实施,金融消费者个人信息保护依然任重而道远。“徒法不足以自行”,个人信息保护需要通过我们自觉守法、公正执法、公平司法等途径全面执行《个人信息保护法》及相关法律法规,以有效提升金融消费者权利的保护。


网站编辑 - 李书娜