个人信息保护专项法律,连同《民法典》、《网络安全法》、《数据安全法》、《电子商务法》、《消费者权益保护法》、等构成公民个人信息保护网。《个人信息保护法》的正式实施,意味着非法收集个人信息的行为将受到严厉监管,而金融行业是监管的重中之重。金融机构应采取哪些措施保护个人金融信息?《个人信息保护法》规定的“知情同意”对金融业有什么影响?《个人信息保护法》实施后,金融机构应如何开展合规审计工作?从金融业面临的挑战、《个人信息保护法》的重点内容、金融机构的应对机制三个方面进行解读。一、金融业面临的挑战《个人信息保护法》的实施,明确了金融数字化发展应遵循的基本原则和行为规范。个人金融信息是金融机构在日常业务工作中积累的重要基础数据,也是金融机构客户个人隐私的重要内容。个人金融信息在金融业务采集、传输、存储、使用、删除和销毁的数据生命周期中面临诸多挑战。个人敏感数据泄露事件时有发生,个人敏感数据保护是《个人信息保护法》之一的重点保护区域。《个人信息保护法》的实施在金融行业主要面临以下挑战:(1)收集个人信息时,需要明示同意。《个人信息保护法》规定,在处理个人敏感信息等五种情况时,个人信息处理者应当获取个人的个人信息。同意。“个人同意”不是简单的同意,而是更高标准的“同意”,必须是个人充分知情的行为,必须赋予个人撤回同意的权利。单独同意的标准尚未明确规定。金融机构应如何满足“单独同意”要求?实践中,原有的隐私政策一般会履行通知义务,需要用户点击同意一揽子授权。不能保障用户的知情权和决定权,对于金融机构来说无疑是一个新的挑战。(2)自动化决策保障规则透明。大数据用于分析消费者的个人特征,用于商业营销。选择性地提供产品或服务已成为当前商业活动中的普遍现象。自动化决策在生活中的应用范围已经非常广泛。营销平台、各类APP等利用自动化决策引擎提供精准销售。然而,“大数据杀熟”等事件接踵而至。因此,《个人信息保护法》明确规定,利用个人信息进行自动化决策指导,必须保证决策透明,不允许“区别对待”。那么如何制定规则保证决策的透明度,如何做到“一目了然”就成为金融机构面临的又一挑战。(三)个人金融信息管理规范化程度提高随着金融科技的应用,数据已成为推动金融业创新发展的重要生产要素。个人金融信息是个人信息在金融领域围绕账户信息和金融交易信息的扩展和细化。中国人民银行2020年发布的《个人金融信息保护技术规范》,明确了个人金融信息在收集、传输、存储、使用、删除、销毁等全生命周期的安全保护要求。我国的个人信息保护法比欧盟《通用数据保护条例》(GDPR)的处罚更严格。因此,金融行业需要尽快梳理个人金融信息在各个系统和业务中是如何存储和使用的。然而,梳理金融机构体系繁多、业务繁杂、人员权限不同,对任何一家金融机构来说都是一个巨大的挑战。2.《个人信息保护法》的重点要求针对金融业面临的挑战和关注,以下是个人信息保护法的总体框架、适用范围、核心要点、个人同意加强个人自主权。重点内容分析解读。(一)总体框架的主要内容:(二)适用范围从个人信息保护法的适用范围来看,以属地原则为主,人格原则为辅。个人信息活动受个人信息保护法的约束。同时规定,中华人民共和国境内的自然人在中华人民共和国境外处理个人信息的活动,符合下列情形之一的,也适用个人信息保护法:满足以下三种情况:(1)以向中国境内自然人提供产品或者服务为目的;(2)对境内自然人行为进行分析评价;(三)法律、行政法规规定的其他情形。(三)个人信息保护法的核心要点个人信息保护法在总则中规定了处理个人信息的基本条件。除某些特定情形外,《个人信息保护法》第二章明确规定,“取得个人同意”是个人信息处理者处理个人信息的基本条件。《个人信息保护法》充分借鉴和借鉴了有关国际组织、国家和地区的实践,建立了以“信息-同意”为核心的个人信息处理规则。相较于《网络安全法》,《个人信息保护法》对披露义务的规定更加详细、明确。《个人信息保护法》明确了个人信息在六大场景下的处理规定,包括:联合处理、委托处理、个人信息转让、个人信息共享、自动决策、公共场所收集。对金融机构而言,应重点关注不同场景下如何落实“知情-同意”规则。就通知原则而言,应醒目且易于查找和阅读。通知的语言应通俗易懂、清晰准确,并根据情况优化通知的显示形式;突出显示并重新获得个人同意;对于特殊人群,应当提供文字以外的图片、语音或视频,以适合其理解的方式对通知内容进行说明。在同意原则方面,应确保获得授权同意的授权范围与告知的内容一致,需要区分产品和具体服务,采取对用户影响最小的方式个人权益;需要主动展示授权同意的选项,以方便个人更好地理解和支持做出选择,给出不同意时,仅影响当前类型服务的正常使用。(4)单独同意加强个人自主性《个人信息保护法》除了明确了个人信息处理的一般性规定外,还在《个人信息保护法》第2章和第3章对个人敏感信息和一些特殊场景作出了“单独同意”的规定法律。同意”保护规则。概括起来,涉及五种情况:向第三方提供个人信息。公开处理个人信息。在公共场所安装图像采集和个人识别设备用于维护公共安全以外的目的。敏感个人信息的处理。个人信息境外提供“个人同意”强化个人自主性“个人同意”要求个人信息处理者将需要“个人同意”的场景与其他场景区分开来,做到“个别场景-单独告知-取得同意””,避免一揽子授权方式,以及过度索取、随意收集等违法违规行为。还需单独告知个人信息主体处理个人信息的目的、方式和范围,以及储存时间、安全措施等规则通过增强的通知或即时提醒。对于金融机构来说,在办理业务时,要注意在收集个人身份证号码、手机号码、人脸识别信息时设置单独同意。个人信息保护法对个人敏感信息的收集限制更严格,通知也更多。除一般规定外,还应告知个人处理敏感个人信息的必要性和对个人权益的影响。处理未满十四周岁未成年人个人信息的,应当征得未成年人父母或者其他监护人的同意;制定个人信息处理的专门规则。作为金融机构,业务场景的识别和隐私政策的修订还需进一步完善。(五)自动化决策的法律合规要求《个人信息保护法》对“大数据熟悉”进行了严格规范。确保决策透明和结果公平公正,不在交易价格等交易条件上对个人实施不合理的差别待遇。“自动化决策”方式已经广泛应用于金融机构向客户推送信息、开展营销等场景,其中包括人们耳熟能详的“人工智能”、“客户画像”等概念。但从遵守《个人信息保护法》的角度出发,金融机构在收集个人信息时,应明确该信息用于大数据营销、大数据画像,并以“信息”为前提进行信息收集。-同意”。从合规的角度来看,金融机构也应该同时为客户提供拒绝的方式,让用户可以关闭个性化推荐选项。同时,通过技术手段避免过度收集信息,防止用户数据泄露至其他平台,避免超出约定范围使用。例如,建设统一的客户关系管理系统,对用户的财务信息进行统一管理,对财务账户、手机号码、身份证号码等进行加密存储和使用。下游系统对接客户关系管理系统,识别用户ID等字段,将营销信息推送给客户,防止下游系统再次抓取用户敏感信息并存储,防止个人信息泄露。此外,为确保自动化决策的合规性,应定期制定和修订自动化决策规则,确保决策透明,合理化基于自动化决策的差别待遇,并做好记录。价格等不合理的差别待遇,确保公平公正。(六)开展合规性审计和影响评估策略《个人信息保护法》第五章“个人信息处理者的义务”明确规定,应当定期开展合规性审计,确保个人信息处理符合法律、行政法规的规定,以及需要评估个人信息保护影响的具体情况和内容。结合行业特点,金融机构可根据中国人民银行对个人金融信息收集、传输、存储、使用、删除、删除、删除等全生命周期的安全要求,实施个人信息保护审计《个人金融信息保护技术规范》销毁,从安全技术和安全管理两个维度实施对个人金融信息保护的审计。金融机构开展个人信息影响评估时,应先对拟评估的业务、产品或具体合作进行调研,形成数据清单和数据映射图,梳理拟评估的个人信息处理活动。在评估过程中,一方面分析个人信息处理活动对个人权益可能产生的影响及程度;另一方面,分析现有的安全防护措施是否有效,以及可能导致安全事件发生的可能性大小。基于两方面的结果,得出个人信息处理活动的风险等级,并提出相应的改进建议,形成评估报告。(七)法律责任个人信息保护法对个人信息处理者的法律责任概括为“责任分级、严惩”。根据违约行为的法律性质,分为行政责任、民事责任和刑事责任。在行政处罚方面,加大处罚力度,从严惩处。个人信息保护法规定,情节严重的,责令改正,没收违法所得,并处5000万元以下或者上一年营业额5%以下的罚款,相关业务可以暂停或关闭。整顿、吊销相关经营许可证或者营业执照。与欧盟的通用数据保护条例(GDPR)相比,4%的营业额更为严格。在民事责任方面,《个人信息保护法》明确规定,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。说明《个人信息保护法》对侵害个人信息权益的处理活动适用过错推定原则。建议金融企业在与第三方合作前进行个人信息合规审查,并在合作过程中保存相应的处理记录,以供备查。如合作协议、数据处理日志、用户授权文件等。金融企业应建立个人信息收集清单和第三方信息共享清单“双清单”,实现服务能力“四个提升”。在刑事责任方面,构成违反治安管理行为的,依法予以处罚;构成犯罪的,依法追究刑事责任。构成犯罪的,依法追究刑事责任。三、金融行业应对建议和机制金融行业在落实个人信息保护法时,应结合金融行业特点和自身情况,采取有效机制和措施落实相关要求,建立持续改进机制。(一)加强个人信息保护法律和个人金融信息法律法规的学习,全面落实合规要求。加强个人信息保护法律和个人金融信息法律法规的学习,通过培训进一步了解法律的基本原理和个人金融信息保护的原则,以全面落实合规要求为重点。同时,进一步增强员工个人金融信息保护的安全意识,夯实个人金融信息保护的基础。(二)制定个人金融信息保护组织机构,落实个人金融信息保护责任。要建立健全个人金融信息保护组织架构,明确各级金融机构内设部门和相关岗位的个人金融信息保护职责和总体要求,明确主要责任人的领导职责,明确个人金融信息管理牵头部门,为落实个人金融信息保护责任提供必要资源。(三)完善个人金融信息保护管理制度,夯实个人金融信息保护基础。按照个人信息保护法要求,结合金融机构管控现状,完善个人金融信息保护管理制度,夯实个人金融信息保护基础。通过制定个人金融信息保护管理制度,明确个人金融信息保护岗位设置和岗位职责,制定个人金融信息处理专项制度。形成自上而下结构化的“方针政策-措施法规-细则”的个人金融信息系统管控模式,有效引导和全面落实个人金融信息保护各项管控要求。(四)实行个人金融信息数据分类分级,实行差异化安全保护机制。《个人金融信息保护技术规范》中的个人财务信息主要包括:账户信息、身份信息、金融交易信息、个人身份信息、财产信息、贷款信息和其他反映特定个人和特定情况的信息共七类。个人财务信息敏感度从高到低分为三类:C3、C2、C1。C3信息一旦被擅自查看或更改,将影响个人金融信息主体的信息安全和财产安全。C2信息一旦被擅自查看或更改,可能对个人金融信息主体的信息安全和财产安全造成一定影响;C1的信息一旦被擅自查看或更改未经授权的更改可能对个人金融信息主体的信息安全和财产安全造成一定影响。金融机构在对个人金融信息进行分类分级时,可参照以下框架实施有效的分类分级。(五)个人金融信息全生命周期保护,构筑全方位安全防护屏障金融机构应建立个人金融信息全生命周期保护机制,全面落实信息收集、传输、存储、使用、删除、和破坏。保护。制定防护策略、准入控制等管理措施,部署管理制度、信息加密等技术措施,将管理与技术要求相结合,构筑全方位的安全防护屏障。(六)开展个人金融信息保护审计工作,不断完善个人金融信息保护制度。金融机构应在完善个人金融信息保护体系的基础上,定期开展个人金融信息保护合规性审计。审计内容包括但不限于:个人金融信息安全政策、访问控制、安全监控与风险评估、安全事件处理、安全管理要求、安全技术要求等,金融机构可参照本审计框架进行合规审核。四、总结与展望在各行各业数字化转型的关键时期,我国引入《个人信息保护法》是大势所趋。结合?、《数据安全法》等相关法律的发展历程可以看出,我国的法治建设已逐渐从宏观布局转向微观实践操作,始终强调“人”的理念为导向”,有效保障个人信息安全,维护公民合法权益。此外,对违反个人信息安全行为者的处罚力度也在加大。因此,金融机构应在业务经营和日常管理中加强数据安全合规建设,注重个人金融信息采集和处理的记录保存,满足举证责任要求。由于金融机构对个人金融信息的收集、使用和处理是其业务发展的基础,未来个人金融信息保护机制与信息系统全生命周期的全面融合将是金融机构关注的重点。为此,金融机构应通过不断提升个人金融信息的管理和技术控制能力,在为客户提供“安全、高效、专业”的金融业务服务的同时,也有必要为客户筑起一道“坚固的墙”保护个人财务信息。
