91精品国产99久久久久久红楼,欧美高清另类,欧美日韩中文在线观看,久久激情精品,91视频导航,亚洲欧美日韩一级,巨人精品福利官方导航

       2021年8月20日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“《個(gè)保法》”）由第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過(guò)予以公布，并自2021年11月1日起施行。在個(gè)人信息被隨意倒賣、泄露事件頻發(fā)，騷擾電話與精準(zhǔn)詐騙屢禁不止的互聯(lián)網(wǎng)與大數(shù)據(jù)時(shí)代，該法的出臺(tái)和實(shí)施必將對(duì)各行各業(yè)產(chǎn)生深遠(yuǎn)影響。

       金融行業(yè)作為數(shù)據(jù)密集型行業(yè)，是個(gè)人信息匯聚和應(yīng)用的重要領(lǐng)域。在新的監(jiān)管背景下，如何進(jìn)一步強(qiáng)化個(gè)人信息保護(hù)，規(guī)范數(shù)據(jù)治理，是金融機(jī)構(gòu)必須面對(duì)和解決的重要課題。幸運(yùn)的是，此前金融領(lǐng)域在個(gè)人信息保護(hù)層面的監(jiān)管并非完全空白，業(yè)內(nèi)已有相應(yīng)的部門規(guī)章、行業(yè)標(biāo)準(zhǔn)等提供指導(dǎo)。

       在此背景下，我們將通過(guò)本文對(duì)金融領(lǐng)域的個(gè)人信息保護(hù)規(guī)范進(jìn)行梳理，并重點(diǎn)關(guān)注此次《個(gè)保法》與既有規(guī)范的區(qū)別之處，以期對(duì)行業(yè)提供有益參考。

       一、金融領(lǐng)域關(guān)于個(gè)人信息保護(hù)的規(guī)范體系

       在《個(gè)保法》頒布以前，金融領(lǐng)域內(nèi)關(guān)于個(gè)人信息保護(hù)的規(guī)定散落于法律、行政法規(guī)和部門規(guī)章之中，且多為原則性的規(guī)定。行業(yè)標(biāo)準(zhǔn)層面，盡管有諸如《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》等細(xì)化的操作指引，但效力層級(jí)較低，并非強(qiáng)制適用標(biāo)準(zhǔn)，實(shí)際效果可能較為有限。

        《個(gè)保法》作為我國(guó)首部針對(duì)個(gè)人信息保護(hù)的專門性立法，將個(gè)人信息保護(hù)的重要性提到法律層面，通過(guò)8章74個(gè)條文，對(duì)個(gè)人信息的定義、分類、處理規(guī)則、跨境提供規(guī)則、相關(guān)主體的權(quán)利義務(wù)與法律責(zé)任等事項(xiàng)進(jìn)行了系統(tǒng)規(guī)定，亦搭建起了金融領(lǐng)域個(gè)人信息保護(hù)的基本框架。

       二、《個(gè)保法》與既有規(guī)范之間的區(qū)別

       如前所述，由于《個(gè)保法》的效力層級(jí)較高，如現(xiàn)有行政法規(guī)、部門規(guī)章、行業(yè)標(biāo)準(zhǔn)的規(guī)定與《個(gè)保法》不一致，則應(yīng)優(yōu)先適用《個(gè)保法》的相關(guān)規(guī)定。由此，對(duì)金融機(jī)構(gòu)而言，充分了解《個(gè)保法》與既有規(guī)范之間的區(qū)別以及該等區(qū)別對(duì)日常業(yè)務(wù)的影響就顯得尤為重要。

       我們將《個(gè)保法》與既有規(guī)范進(jìn)行比較分析后發(fā)現(xiàn)，《個(gè)保法》在如下方面對(duì)金融機(jī)構(gòu)提出了更高的要求：

       1. 個(gè)人金融信息作為敏感個(gè)人信息的監(jiān)管要求

       《個(gè)保法》規(guī)定，敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

       《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（以下簡(jiǎn)稱“《技術(shù)規(guī)范》”則規(guī)定，個(gè)人金融信息是個(gè)人信息在金融領(lǐng)域圍繞賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息等方面的擴(kuò)展與細(xì)化，是金融業(yè)機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)的過(guò)程中積累的重要基礎(chǔ)數(shù)據(jù)，也是個(gè)人隱私的重要內(nèi)容。個(gè)人金融信息一旦泄露，不但會(huì)直接侵害個(gè)人金融信息主體的合法權(quán)益、影響金融業(yè)機(jī)構(gòu)的正常運(yùn)營(yíng)，甚至可能會(huì)帶來(lái)系統(tǒng)性金融風(fēng)險(xiǎn)。

       據(jù)此，大部分個(gè)人金融信息均屬于敏感個(gè)人信息。根據(jù)《個(gè)保法》的規(guī)定，除非是為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或?yàn)槁男蟹ǘ氊?zé)或者法定義務(wù)所必需，否則處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。

       這就對(duì)金融機(jī)構(gòu)處理個(gè)人金融信息提出了更高的要求，原因在于“單獨(dú)同意”，必須是在個(gè)人充分知情的前提下自愿、明確作出的，不能通過(guò)一攬子告知同意等方式征得個(gè)人同意，也不能采用與其他授權(quán)捆綁、不點(diǎn)擊同意就不提供服務(wù)或默認(rèn)同意等方式強(qiáng)迫或者變相強(qiáng)迫個(gè)人同意，甚至也不同于《技術(shù)規(guī)范》規(guī)定的“明示同意”（即個(gè)人金融信息主體主動(dòng)作出聲明、主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”“注冊(cè)”“發(fā)送”“撥打”、主動(dòng)填寫或提供等）。

       如要求金融機(jī)構(gòu)就每一項(xiàng)個(gè)人金融信息逐一取得用戶同意，無(wú)疑將極大地加重金融機(jī)構(gòu)的義務(wù)和負(fù)擔(dān)，影響正常業(yè)務(wù)的開展。因此，在具體操作中，金融機(jī)構(gòu)具體如何實(shí)現(xiàn)“單獨(dú)同意”，還有待后續(xù)實(shí)施細(xì)則予以明確。

       2. 個(gè)人金融信息共享與轉(zhuǎn)讓的監(jiān)管要求

       關(guān)于個(gè)人金融信息的共享與轉(zhuǎn)讓，此前《技術(shù)規(guī)范》僅規(guī)定了個(gè)人信息處理者內(nèi)部在共享和轉(zhuǎn)讓過(guò)程中的具體技術(shù)要求，例如，應(yīng)開展個(gè)人金融信息安全影響評(píng)估，并依據(jù)評(píng)估結(jié)果采取有效措施保護(hù)個(gè)人金融信息主體權(quán)益；應(yīng)開展個(gè)人金融信息接收方信息安全保障能力評(píng)估，并與其簽署數(shù)據(jù)保護(hù)責(zé)任承諾；應(yīng)部署信息防泄露監(jiān)控工具，監(jiān)控及報(bào)告?zhèn)€人金融信息的違規(guī)外發(fā)行為，等等。至于個(gè)人信息處理者對(duì)個(gè)人應(yīng)履行何種義務(wù)，《技術(shù)規(guī)范》則未有規(guī)定。

       對(duì)此，《民法典》規(guī)定，未經(jīng)自然人同意，不得向他人非法提供其個(gè)人信息，但是經(jīng)過(guò)加工無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。據(jù)此理解，個(gè)人信息處理者與他人共享或向他人轉(zhuǎn)讓個(gè)人信息的，需經(jīng)個(gè)人同意。

       此次《個(gè)保法》則在上述規(guī)范基礎(chǔ)上將“同意規(guī)則”進(jìn)一步細(xì)化為“告知-同意”規(guī)則。關(guān)于個(gè)人信息的轉(zhuǎn)讓，個(gè)人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式；接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)；接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)重新取得個(gè)人同意。關(guān)于個(gè)人信息的共享，個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意；接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)重新取得個(gè)人同意。

       據(jù)此，在金融產(chǎn)品的推介、銷售等場(chǎng)景下，金融產(chǎn)品的管理人、代銷機(jī)構(gòu)如何共享個(gè)人信息，如何在現(xiàn)有流程、系統(tǒng)中落實(shí)“告知-同意”規(guī)則，亦需要機(jī)構(gòu)予以充分關(guān)注和考慮。

       3. 利用個(gè)人信息進(jìn)行自動(dòng)化決策的監(jiān)管要求

       隨著人工智能技術(shù)和云計(jì)算的不斷升級(jí)發(fā)展，智能投顧在證券投資領(lǐng)域中的應(yīng)用也越來(lái)越廣泛，金融機(jī)構(gòu)利用個(gè)人信息進(jìn)行自動(dòng)化決策，向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷的需求也越加凸顯。但由此產(chǎn)生的垃圾信息泛濫、大數(shù)據(jù)殺熟等問(wèn)題也不容忽視。

       對(duì)此，2020年頒布實(shí)施的《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》進(jìn)行了初步規(guī)定。根據(jù)該辦法，銀行、支付機(jī)構(gòu)收集消費(fèi)者金融信息用于營(yíng)銷、用戶體驗(yàn)改進(jìn)或者市場(chǎng)調(diào)查的，應(yīng)當(dāng)以適當(dāng)方式供金融消費(fèi)者自主選擇是否同意銀行、支付機(jī)構(gòu)將其金融信息用于上述目的；金融消費(fèi)者不同意的，銀行、支付機(jī)構(gòu)不得因此拒絕提供金融產(chǎn)品或者服務(wù)。銀行、支付機(jī)構(gòu)向金融消費(fèi)者發(fā)送金融營(yíng)銷信息的，應(yīng)當(dāng)向其提供拒絕繼續(xù)接收金融營(yíng)銷信息的方式。

       此次《個(gè)保法》針對(duì)大數(shù)據(jù)殺熟行為則進(jìn)一步規(guī)定，個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。

       4. 個(gè)人金融信息刪除的監(jiān)管要求

       基于監(jiān)管、追責(zé)等的需要，目前金融領(lǐng)域內(nèi)的法規(guī)政策一般會(huì)對(duì)金融機(jī)構(gòu)保存相關(guān)重要文件、資料的期限作出明確規(guī)定，例如，《證券期貨投資者適當(dāng)性管理辦法》規(guī)定，經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照相關(guān)規(guī)定妥善保存其履行適當(dāng)性義務(wù)的相關(guān)信息資料，對(duì)匹配方案、告知警示資料、錄音錄像資料、自查報(bào)告等的保存期限不得少于20年；對(duì)金融機(jī)構(gòu)刪除個(gè)人金融信息的義務(wù)，規(guī)范層面則鮮有規(guī)定，此前僅有《技術(shù)規(guī)范》簡(jiǎn)單規(guī)定，金融機(jī)構(gòu)應(yīng)采取技術(shù)手段，在金融產(chǎn)品和服務(wù)所涉及的系統(tǒng)中去除個(gè)人金融信息，使其保持不可被檢索和訪問(wèn)。據(jù)此理解，似乎并不要求金融必須刪除個(gè)人金融信息，匿名化、去標(biāo)識(shí)化、加密、脫敏亦是可行的操作方式。

       但此次《個(gè)保法》則進(jìn)一步明確規(guī)定，處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；或個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿的，個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息。僅在法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，方可停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。

       三、《個(gè)保法》下金融機(jī)構(gòu)的應(yīng)對(duì)

       《個(gè)保法》將個(gè)人信息保護(hù)提升到了前所未有的高度，行政責(zé)任層面大大提高處罰力度，僅罰款上限就高達(dá)五千萬(wàn)元或者上一年度營(yíng)業(yè)額的百分之五；民事責(zé)任層面則規(guī)定舉證責(zé)任倒置，處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

       在此背景下，對(duì)金融機(jī)構(gòu)而言，個(gè)人信息保護(hù)將與反洗錢、投資者適當(dāng)性管理、網(wǎng)絡(luò)安全等傳統(tǒng)合規(guī)事項(xiàng)一并納入日常合規(guī)管理，并至少需在如下方面優(yōu)化、完善合規(guī)工作：

       1. 制定個(gè)人信息保護(hù)的內(nèi)部管理制度和操作規(guī)程，至少包括個(gè)人信息保護(hù)管理規(guī)定、日常管理及操作流程、外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu)管理、內(nèi)外部檢查及監(jiān)督機(jī)制、應(yīng)急處理流程和預(yù)案。

       2. 對(duì)個(gè)人信息實(shí)行分類管理，針對(duì)不同類別和敏感程度的個(gè)人信息，實(shí)施相應(yīng)的安全策略和保障措施。

       3. 采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施，建立個(gè)人信息脫敏管理規(guī)范和制度，明確不同敏感級(jí)別個(gè)人信息脫敏規(guī)則、脫敏方法和脫敏數(shù)據(jù)的使用限制。

       4. 合理確定個(gè)人信息處理的操作權(quán)限，建立信息系統(tǒng)分級(jí)授權(quán)管理機(jī)制，在不影響履行反洗錢等法定義務(wù)的前提下，制定本機(jī)構(gòu)人員個(gè)人信息調(diào)取權(quán)限與使用范圍，并制定專門的授權(quán)審批流程。此外，定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)。

       5. 制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案，將個(gè)人信息泄露等相關(guān)事件處理納入機(jī)構(gòu)信息安全事件應(yīng)急處置工作機(jī)制，制定專門的流程和預(yù)案，并定期評(píng)估應(yīng)急處理流程和預(yù)案，及時(shí)保障、有效應(yīng)對(duì)個(gè)人信息安全事件，降低安全事件造成的損失及不利影響。