当前位置: 首页 > 媒体贸大 > 正文

媒体贸大

《金融日报》:(许可)“个人金融信息保护”专家谈 | 金融消费者个人信息权益的保护和进步

发布时间: 2021年09月28日 浏览次数: 编辑: 陈若冰 雨晴


(来源:《金融时报》2021-09-27)


许可,法学博士,对外经济贸易大学数字经济与法律创新研究中心执行主任,中国人民大学金融科技与互联网安全研究中心副主任,中央网信办专家组成员,中国证券法学会理事。在国内外著名期刊发表论文60余篇,合作出版《数据宪章》《大数据战争》等多部著作。

820日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),并将于今年111日起施行。这是我国第一部专门规范个人信息保护的法律,对我国公民的个人信息权益保护以及各组织的数据隐私合规实践都将产生直接和深远的影响。那么,《个人信息保护法》对于金融消费者个人信息权益有哪些保障?又为个人金融信息处理设定了什么规则?个人金融信息如何才能更好地利用?日前,本报记者就《个人信息保护法》的一些相关问题,采访了对外经济贸易大学数字经济与法律创新研究中心执行主任、中央网信办专家组成员许可博士。他认为,《个人信息保护法》适时回应了强化个人信息保护法制保障的客观要求,以严密的制度、严格的标准、严厉的责任,规范个人信息处理活动,维护网络空间良好生态。同时,其在保障个人信息权益的基础上,促进个人信息合理利用,推动数字经济持续健康发展。

法规出台意义重大

《金融时报》记者:经过多年酝酿的《个人信息保护法》终于在2021820日正式出台,这部法律的出台有什么重大意义?

许可:随着数字化生存的来临,被广泛收集、存储、利用的个人信息不但构成了我们每个人虚拟人格的构成要素,而且延伸到现实生活之中,成为我们名誉、财产乃至生命的无形接口,正因如此,个人信息保护日益成为公众最关心、最直接、最现实的问题之一。一方面,《个人信息保护法》适时回应了强化个人信息保护法制保障的客观要求,以严密的制度、严格的标准、严厉的责任,规范个人信息处理活动,维护网络空间良好生态;另一方面,在数字经济蓬勃兴起的背景下,通过记录个人信息而生成的数据是新的生产要素。党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求,在保障个人信息权益的基础上,促进个人信息合理利用,推动数字经济持续健康发展,同样是《个人信息保护法》的重要目标。

《金融时报》记者:个人信息是《个人信息保护法》的保护对象,那么,到底什么是个人信息,它都有哪些类型?

许可:《个人信息保护法》在《民法典》《网络安全法》等法律的基础上,将个人信息重新界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”,从而标志着立法从“个人信息识别说”向“个人信息关联说”的转变。同时,《个人信息保护法》摒弃了之前法律对“自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息”的列举,而是采取了定性的表述。简单来说,只要信息与特定人相关的,无论是电子信息还是纸面信息,无论是客观信息(如个人身高)还是主观信息(如对个人的意见或评价),无论是真实信息还是错误信息,都属于个人信息。

在各种个人信息中,有一类信息属于法律特别保护的信息,那就是敏感个人信息,即一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。《个人信息保护法》采取了列举方式,对个人敏感信息的现有类型一一列举,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息。对个人敏感信息,法律采取更严格的保护,其处理一般应取得个人单独同意,具有特定的目的和充分的必要性,并采取严格保护措施。此外,随着社会经济的发展,国家网信部门可以进一步细化个人敏感信息的种类和处理规则。

《个人信息保护法》将《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中“个人金融信息”范围,拓展到“金融机构通过开展业务或者其他合法渠道处理的消费者各种个人信息”。同时,《个人信息保护法》也表明,并非所有的个人金融信息都是敏感信息,其限于“金融账户自身信息”,至于开户资料等与金融账户关联的信息并不在涵盖范围之内。

《金融时报》记者:《个人信息保护法》对于金融消费者个人信息权益有哪些保障?

许可:之前,对金融消费者个人信息权益侧重于消极保护,也即确保信息安全,防止信息泄露和滥用,特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息等。与之相比,《个人信息保护法》突出了金融消费者的主动性权利和救济性权利。

首先,个人享有个人信息处理活动中的各项权利,包括对个人信息的查阅权、复制权、更正权、删除权。

其次,从金融产品的推荐到信贷额度的确定,实践中运用计算机程序自动分析的自动化决策在当今越发普遍,《个人信息保护法》就此赋予个人针对自动化信息推送、商业营销的知情权、选择权,并在个人受到重大影响的情形下,享有算法解释权和拒绝权。

再次,考虑到满足日益增长的跨平台转移个人信息的需求,《个人信息保护法》对个人信息可携带权作出了原则规定,要求在符合国家网信部门规定条件的情形下,个人信息处理者应为个人提供转移其个人信息的途径。必须说明的是,区别于欧盟《一般数据保护条例》,我国的可携带权旨在保护蕴含于个人信息中的人格权益,比如医疗场景下的健康医疗信息,而非个人数据中的经济利益,自然并不存在竞争秩序的考量。另外,个人信息不仅和特定个人有关,而且可能关乎第三方的权利和企业的商业秘密与数据权益。所以,《个人信息保护法》的可携权是慎重的、有条件的。

最后,《个人信息保护法》还对死者个人信息的保护作出了专门规定,明确在尊重死者生前安排的前提下,其近亲属为自身合法、正当利益,可以对死者个人信息行使查阅、复制、更正、删除等权利。与中国银保监会、司法部联合发布的《关于简化查询已故存款人存款相关事项的通知》中“已故存款人的配偶、父母、子女可办理存款查询业务”相比,其在主体和场景上有了大幅度的延展,未来如何判断“近亲属合法、正当利益”将成为具体实践过程中的重点所在。

操作实施需要谨慎

《金融时报》记者:《个人信息保护法》为个人金融信息处理设定了何种规则,是否必须以“用户授权同意”为前提?

许可:《个人信息保护法》第十三条是个人信息处理规范的纲领性条款,也是该法的“法眼”。其在“个人同意处理”的传统模式基础上,增加了六种个人信息处理的正当化事由,包括 “为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;法律、行政法规规定的其他情形”。基于此,《个人信息保护法》在根本上改变了《网络安全法》“个人同意作为唯一基础”以及《民法典》“个人同意+特定免责”的模式,转向融知情同意在内的“多元合理事由模式”,以实现承载于个人信息之上的多元价值。

从个人金融信息上来说,《中国人民银行金融消费者权益保护实施办法》第二十九条规定“应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外”,其“法律、行政法规例外”的条款可以链接《个人信息保护法》,从而为金融机构扩展出更多的合理使用场景,在履行反洗钱、反欺诈、投资者适当性审查等法定义务,紧急情况下保护第三人财产安全以及提供金融产品或者服务所必需等情形中,个人信息可不经个人同意即可处理。这里需要特别研究的是“征信业务中的信用信息”问题,如何与《个人信息保护法》相协调,值得慎重对待。

《金融时报》记者:《中华人民共和国个人信息保护法》第一条将“个人信息合理利用”作为与“个人信息保护”并列的目标,个人金融信息如何才能更好地利用?

许可:个人金融信息价值的发挥,有赖于在信息安全基础上的分享。我国个人金融信息依法有序流动,是金融机构数字化转型和金融风险化解的关键。当前,为风控授信、贷后催收、商业营销、服务客户等目的,个人金融信息在金融机构内部、金融机构与金融机构之间、金融机构与科技公司之间、金融机构与政府之间的流通屡见不鲜。根据《个人信息保护法》,个人信息流通纳入四类规范之中,即与他人共同处理、委托他人处理、向其他处理者提供以及跨境提供。

在与他人共同处理的场景下,由于相关信息的处理目的和方式由双方共同决定,各方对外承担连带责任,对内承担约定责任。在委托他人处理的场景下,受托方应约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务,并对受托方的个人信息处理活动进行监督;鉴于受托方并非处理者,其不得超出约定的处理目的、处理方式等处理个人信息,并应当在合同履行完毕后,将个人信息返还或删除;同时,未经个人信息处理者同意,受托方不得转委托他人处理个人。在向其他处理者提供的场景下,个人信息处理者应向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,就基于同意取得的个人信息,还应取得个人的单独同意;接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理,否则应重新向个人告知并取得其同意。在跨境提供的场景下,《个人信息保护法》将取得个人的单独同意作为数据跨境传输前提条件,并规定了安全评估、个人信息保护认证、与境外接收方订立合同等合规途径。

与之前的法律相比,《个人信息保护法》对个人金融信息流通的规制相对宽松。就委托他人处理而言,《商业银行信息科技风险管理指引》《银行业金融机构外包风险管理指引》均通过“科技外包”制度加以规范,委托方只有在规定允许的范围内,按照“必需知道”和“最小授权”原则将个人金融信息交付给受托方,同时负有高标准的选任义务。就跨境信息提供而言,2016年中国人民银行《金融消费者权益保护实施办法》曾将个人金融信息出境限于为“跨境业务目的”,且接收方必须是总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构。在“一带一路”的背景下,上述限制可能过于苛刻。鉴于金融机构一般属于“关键信息基础设施运营者”,未来可以以《个人信息保护法》为基础,要求金融机构在满足国家网信部门组织的安全评估和个人单独同意的条件下,跨境提供个人金融信息,以期更灵活地适应我国金融业的国际化发展。

《金融时报》记者:信息技术是数字经济和数字金融的发展引擎。那么,信息技术如何助力金融个人信息的保护和利用?

许可:近年来,以大数据、区块链、云计算、物联网、人工智能为代表的技术创新既是金融信息价值发掘的核心动能,也给个人金融信息保护带来新的挑战。在“问题与解决——挑战与回应”的逻辑下,因技术进步带来的个人信息风险,应该首先通过技术进步来化解,这就是“解铃还须系铃人”的含义。为此,《个人信息保护法》秉持在创新中解决问题、化解矛盾的思路,“推动形成政府、企业、相关社会组织、公众共同参与的个人信息治理生态”。具体来说,《个人信息保护法》延续《网络安全法》第四十二条“大数据条款”,将匿名化个人信息排除在保护之外。在实践中,为便利个人信息的利用,只要特定处理者穷尽合理可能的措施都无法识别特定个人的,就可以认为实现了技术上的匿名化。当前,隐私计算技术开展得如火如荼,但其法律效果依然不明确,在《个人信息保护法》落地过程中,金融业可率先确立隐私计算的标准,在风险可控的前提下,对于使用合格隐私计算获得的去标识化个人信息,豁免一定的义务和责任,以鼓励通过技术创新来平衡金融个人信息的保护与利用

                             

附原文链接:

https://h5.newaircloud.com/detailArticle/17255726_28236_jrsb.html?app=1&source=1


更多资讯请关注学校官方微信、微博

投稿邮箱:news@uibe.edu.cn读者意见反馈:xcb@uibe.edu.cn对外经济贸易大学党委宣传部版权所有 Copyright © 2005-2021 UIBE All rights reserved.
校内备案号:外经贸网备31418006