广悦律师事务所重磅推出的关于金融、财经领域法律服务的栏目,由银行与金融团队研究总结刊发。专栏内容包括重大疑难金融借款纠纷、信托纠纷、保理纠纷、汇票纠纷、不良资产处置、投融资并购交易,以及金融企业风险控制及处理等各个方面。
目录
引言
一、《个人信息保护法》与已有法规及行业标准的相承之处
(一)合法、正当、必要、合目的及最小必要原则
(二)告知同意规则
二、个人信息的范围、分类
(一)个人金融信息
(二)敏感个人金融信息
三、《个人信息保护法》中的全新规定及亮点解读
(一)举证责任
(二)同意的撤回
(三)自动化决策与“大数据杀熟”
(四)可携带权
(五)敏感个人信息
(六)单独同意
《中华人民共和国个人信息保护法》于2021年8月20日由第十三届全国人大常委会第三十次会议通过,将于2021年11月1日起施行。《个人信息保护法》在现行有关法律法规的基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确各主体在个人信息处理活动中的权利义务边界,健全个人信息保护机制。
金融机构因业务关系掌握了大量的个人信息。“个人信息保护”“网络安全”“数据安全”等,在传统的金融监管规范之外,为金融机构带来日益增长的合规性挑战和监管压力。一方面,《个人信息保护法》将分散于各法律法规及金融行业相关标准中关于个人信息保护的规定进行了系统性的整合,通过法律的形式将个人信息保护的重要原则及规则固定下来;另一方面,在前述基础上对个人信息的保护进行了更为严格且深入的规定,创设了系列新规,以回应随着时代不断变化发展的社会需要。
本文将系统性地总结《个人信息保护法》中关于个人信息保护的核心规则及亮点,并结合具体业务场景,对金融机构在处理个人信息过程中所面临的风险及对应的合规要点进行分析总结。
一
《个人信息保护法》与已有法规及行业标准的相承之处
在《个人信息保护法》出台之前,现行法律法规及行业标准已经对个人信息保护作出了规定,如《民法典》、《消费者权益保护法》、《网络安全法》,以及与金融业直接相关的《中国人民银行金融消费者权益保护实施办法》、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》及《个人金融信息保护技术规范》(JR/T0171-2020)等。在这些法律法规及行业标准中,存在着一系列共通的核心规则,也有针对金融机构处理个人信息作出的专门规定,这些个人信息保护核心规则对《个人信息保护法》起到承前启后作用,具体如下:
(一)合法、正当、必要、合目的及最小必要原则
《民法典》、《消费者权益保护法》、《网络安全法》等现行法律,均规定处理个人信息应当遵循合法、正当和必要原则,可见上述原则为个人信息保护的基本原则。除此之外,在《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》及《中国人民银行金融消费者权益保护实施办法》中,还进一步规定了合目的性原则,规定银行业金融机构不得收集与业务无关的信息。
《个人信息保护法》承袭了上述法律法规中的合法、正当、必要原则,并在三原则的基础上,增加了诚信原则,禁止采取“误导、欺诈、胁迫”等方式处理个人信息。
同时,该法第六条中将合目的性原则通过法律的形式固定下来,沿用了《个人信息安全规范》关于最小必要原则(即只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量)的规定,并首次在法律层面提出了直接相关、最小影响、最小范围的要求:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
(二)告知同意规则
告知同意规则也同样贯穿于与个人信息保护的相关法律规定中。该规则也称“知情同意规则”,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定。该规则在具体的法律规定中主要体现为“明示收集、使用信息的目的、方式和范围,并经被收集者同意”。
在《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》及《中国人民银行金融消费者权益保护实施办法》中,对金融机构的告知义务作出了更为详尽的规定:金融机构通过格式条款取得客户书面授权或同意的,应当在协议中明确该授权或同意所适用的向他人提供个人金融信息的范围和具体情形,同时还应当在协议的醒目位置/以显著方式并通俗易懂的语言明确提示该授权或同意的可能后果。在同意规则方面,《中国人民银行金融消费者权益保护实施办法》及《个人金融信息保护技术规范》均要求金融机构在处理个人信息时取得信息主体的“明示同意”。由此可见在金融行业的相关规定及标准中,对金融机构告知方式的要求比一般法律规定更为严格。
值得注意的是,《个人信息保护法》中关于告知同意规则的规定也比现行法律规定得更为细致,例如第十七条对告知方式及内容作出了具体规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使《个人信息保护法》规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人”;第十四条规定了“明示同意”:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”。可见,对于金融机构而言,虽然现有行业规定及标准已经对金融领域的告知同意规则作出了相对严格的界定,但《个人信息保护法》吸收了该相对严格的规则并将其提升到了法律的高度,金融机构应予以重视。
二
个人信息的范围、分类
金融机构所处理的个人信息包括内部员工的个人信息及客户的个人信息,由于监管机构对客户个人信息的保护和监管更为关注,因此本解读所讨论的个人信息,将集中于客户的个人信息。
(一)个人金融信息
《个人信息保护法》(以下简称:“本法”)第四条中,个人信息的定义为“与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。对于“个人金融信息”,该法的要求与央行近年来的态度较为一致,2011年发布的《关于银行业金融机构做好个人金融信息保护工作的通知》、2020年2月13日发布的《个人金融信息保护技术规范》(JR/T 0171-2020)以及2020年9月15日修订发布的《中国人民银行金融消费者权益保护实施办法》中均对个人金融信息范围做出界定:个人金融信息主要包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及衍生信息[1],《个人金融信息保护技术规范》将鉴别信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息也纳入了个人金融信息范畴[2]。
(二)敏感个人金融信息
《个人信息保护法》第二十八条关于敏感个人信息的定义中,金融账户信息及未满十四周岁未成年人的个人信息被列入敏感个人信息的范围内。虽然该条并未将除金融账户外与金融机构业务密切相关的个人信息种类明确列入敏感个人信息范畴,但由于金融机构的业务并非都只与开设金融账户有关,所以不排除该条文的列举方式为非穷尽式列举。比如,开具保函等业务中产生、收集的非金融账户的信息,是否属于敏感个人信息?如前文所述,个人金融信息不仅包括账户信息,还包括了个人身份信息、财产信息、账户信息、信用信息、金融交易信息等,这些信息一旦被泄露或被非法使用,容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害,所以也应一并纳入敏感个人金融信息的范围内。即,应结合本法第四条和上述文件的规定,将其理解为在金融业务中产生的、能识别或可识别自然人的各种信息,即包括其客户业务号、财产信息、借贷信息、信用信息、支付敏感信息等。
而对于敏感信息的处理,根据《个人信息保护法》第一章第二节的规定,只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。在处理此类信息时,应根据《个人信息保护法》要求向个人告知处理该信息的必要性以及对个人权益的影响,并另行取得个人的单独同意,以避免违法违规或日后潜在的监管风险。
《个人信息保护法》不仅在第五十五条中落实了个人信息保护影响评估和记录处理结果的要求,还从时间、内容对其进行细化和明确,加强了该要求的实操性。具体而言,根据第五十五条、第五十六条,该评估的内容应包括信息处理的目的和方式,对个人权益的影响及安全风险,以及保护措施合法、有效、与风险程度相适应,而该评估报告和信息的处理情况记录需保存三年以上。
三
《个人信息保护法》中的全新规定及亮点解读
《个人信息保护法》中存在多处创新性条款与亮点,我们梳理全文后认为,以下内容与金融机构关联性较为明显,可能影响金融机构的业务开展甚至纠纷解决结果,因此予以解读。
(一)举证责任
解读:在本法出台前,由于此类案件中缺少明确举证责任的相关法律依据,对于个人信息泄露的侵权纠纷,部分案例片面地采取了“谁主张、谁举证”的基本举证原则,难以作出有利于个人信息保护的裁判;而有少数案例的裁判法院,从公平、诚实信用等基本原则出发,结合《消费者权益保护法》第五十条、第二十九条第2款及案件的具体情况,综合考虑当事人的举证能力,方作出维护消费者权益的判决 [3]。
面对如此举证困境,《个人信息保护法》第六十九条规定将举证责任确定为过错推定原则,加重了信息处理者的举证义务。这意味着,客户可以依据该条款要求金融机构尽举证义务,否则承担举证不能的不利后果。这平衡了金融机构和客户的举证能力,进一步约束金融机构作为大量数据的控制者、处理者,应当对个人信息负起审慎处理的责任,督促、引导此类机构加强对数据的监管和保护。因此金融机构需要在日常操作中保留好履行个人信息处理者义务的记录,尽可能对个人信息处理的全流程实现证据留痕,并形成完整的证据链,以证明自身无过错。
(二)同意的撤回
解读:根据《个人信息保护法》第十四条、第十五条的规定,除特殊情形外,在处理个人信息前,金融机构需要先向信息的主体充分告知该处理行为,后获得个人的同意;同时,还赋予了个人撤回该同意的权利,并对该撤回权的行使及效力作出进一步的规定。该撤回权为《个人信息保护法》的立法亮点之一。
根据该规定,金融机构在处理客户的个人信息时,除了需要获得个人的同意,还需向其提供便捷的撤回同意的方式。便捷的要求可体现在电话营销过程中提供表达撤回同意的方式或按键服务,在服务短信中提供行使撤回权的方式或提示相关的操作,或在APP程序上提供撤回的端口或选项等。
在本法出台之前,虽然部分金融机构已在APP上提供了撤回同意的选项,但在撤回同意的同时,用户也失去了使用该产品的权限,需要在下一次使用时重新点击同意选项。对此,本法第十六条对虚设撤回权的可能性进行了约束,规定机构不得以个人撤回同意为由,拒绝提供相关产品或服务,除非该信息属于该产品或服务所必需。这与本法的最小必要原则相呼应,但同时,由于缺少判断该信息是否为“必需”的细则规定,只能根据必要原则、合目的性原则等基本原则进一步作判断。而对于撤回的效力,本法第十五条第二款明确,该撤回权的行使不影响此前已进行的信息处理活动的效力。
一方面,本法明确了保护个人信息、尊重个人对自身信息拥有最终决定权的价值取向,另一方面,本条并未真正解决机构利用个人信息发展业务的需求与个人拒绝提供信息之间的博弈。用户行使撤回权是对同意内容的整体进行撤回抑或是对部分内容的撤回?发生纠纷时,如何判断收集、处理的信息是否为必需?以及金融机构如何平衡业务推广的效率[4]、客户满意度及法律合规的要求?这些问题仍有待司法实践的指导意见。
(三)自动化决策与“大数据杀熟”
解读:在现今的大数据时代,对数据进行全面处理及分析是获得业内竞争优势的关键。以金融业务为例,通过掌握金融消费者的财产状况、信用情况、消费习惯、兴趣爱好、从业领域、对价格的敏感程度等信息,向其推荐个性化的金融产品或服务,是快速掌握客户需求的捷径,可有效打破信息不对称,减少了解市场需求的沟通成本,提高产品推销的满意度和成功率。
正因为这样的优势,许多数据掌握者肆意收集消费者的各类信息的同时,为了快速实现高效益,通过计算机程序自动分析、处理、评估海量个人数据,由此进行自动化决策,在消费者不知情的情况下,选择性展示部分产品、服务,隐藏部分交易条件,极大地左右了消费者的交易决定,破坏交易环境的公平,即“大数据杀熟”。
对此,本法第二十四条第二款要求,通过自动化决策作出的信息推送、商业营销,应当同时提供不针对个人特征的选项,或提供便捷的拒绝方式,即客户有决定自己是否被“个性化推荐”的权利,有权拒绝隐形的引导式营销,能自主选择对交易产品和交易条件进行全面了解或部分了解。
而交易过程中的大数据杀熟现象更受关注。大数据杀熟通过自动化决策,在交易过程中对个体作不合理地区分对待,违反了诚实信用原则,在不清楚的情形下,使交易对手对交易基础产生误解,作出非完全自愿、真实的判断,不但损害消费者的切身权益,还有碍于公平交易环境的维护。因此,本法第二十四条第一款禁止对个人在交易价格等交易条件上实行不合理的差别待遇。在金融业务中类似影响交易决定的条件还包括交易时间、理财产品的分红方式、贷款利率、清偿计划等,但由于不同业务下各产品的目标客户不同,获益预期也不同,如何把握这些条件的不同适用是否合理,需要结合不同情形下相关政策和规定。
不仅如此,本条第三款规定,若金融机构要通过自动化决策作出对个人权益有重大影响的决定,个人有权要求机构予以说明,亦有权拒绝仅以该方式做出决定。
综上,自动化决策的过程中,除了应当遵守个人信息处理的告知、获得个人同意和提供撤回同意的方式等基本要求,还需保证决策透明度和结果公平公正,事先进行个人信息保护影响的评估,并对该评估和处理情况的记录进行不少于三年的保存;在交易条件上,不得对个人实行不合理的差别待遇;信息推送、商业营销的同时,提供无针对性的选项或便捷的拒绝方式;自动化决策下作出的重大决定,个人有权要求金融机构进行说明,亦有权拒绝仅通过自动化决策作出的决定。
(四)可携带权
解读:设立该条款的主要立足点有二,一是保障个人对其个人信息的把控权,自主决定把该信息交给任何第三方;二是促进互联网与数据产业的反垄断工作,打破把掌握消费者个人信息作为企业立足发展的绝对优势的局面。
根据该条,个人作为信息数据的主体,有权从信息处理者处直接获取其个人信息,或要求处理者将其信息直接转移至第三方。面对个人提出的转移数据的请求,金融机构作为信息处理者需注意保留该请求的痕迹,明确转移的内容、时间、转移方式及接收对象,用以区分该转移是个人信息可携带权的行使,而非金融机构的不当泄露,避免纠纷发生时的不利风险;同时,依据该请求,金融机构应当依照网信部门的规定,提供转移信息的途径。虽然目前未见与之相关的规定细则,但相信在本法的价值导向下,后续将出台相应规范文件,各机构需对此持续保持关注。
对于可携带权的除外情形,本法第十八条第一款及第三十五条规定了“法律、行政法规规定应当保密或不需要告知的情形”及“国家机关为履行法定职责处理个人信息”情形。值得注意的是,此处把后者与前者予以区分,理论上赋予了国家机关一定程度的“自由裁量权”,此种情形下,无需法律法规的明确规定,金融机构作为信息处理者可以拒绝个人查阅、复制其个人信息的请求。
(五)敏感个人信息
解读:“敏感个人信息”是《个人信息保护法》提出的新概念,过往的法律法规以及民法典中,均未在法律层面上对其进行统合性的定义。而本法第一章第二节中,单独成章节对“敏感个人信息的处理规则”进行相关规定,并在第二十八条至第三十条做出了明确的合规性要求,金融机构在处理敏感个人信息时应当注意符合以上的合规性要求,否则根据上文所述的举证责任规则,金融机构可能面临举证不能的不利后果。
(六)单独同意
解读:本法通过之前的《个人信息安全规范》仅对“授权同意”进行定义,即授权同意包括明示同意和通过消极的不作为而作出的授权,而《个人信息保护法》首次提出了“单独同意”的概念,并规定了多个需要取得单独同意的情形。我们总结如下:
具体情形 |
法律依据 |
向第三方提供其处理的个人信息 |
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。 |
公开其处理的个人信息 |
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。 |
用于维护公共安全目的以外的目的 |
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。 |
处理敏感个人信息 |
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 |
向境外提供个人信息 |
第三十九 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。 |
以上法条需要金融机构注意取得客户单独同意,应注意避免遗漏。
[3](2015)成民终字第1634号,林念平与四川航空股份有限公司侵权责任纠纷二审判决书。
[4]中国银行保险监督管理委员会《银行业金融机构数据治理指引》,2018年5月21日施行,
第四十六条 银行业金融机构应当通过数据分析挖掘,准确理解客户需求,提供精准产品服务,提升客户服务质量和服务水平。
第四十七条 银行业金融机构应当通过量化分析业务流程,减少管理冗余,提高经营效率并降低经营成本
第四十八条 银行业金融机构应当充分运用大数据技术,实现业务创新、产品创新和服务创新。