91精品国产99久久久久久红楼,欧美高清另类,欧美日韩中文在线观看,久久激情精品,91视频导航,亚洲欧美日韩一级,巨人精品福利官方导航

2021年8月20日，《中華人民共和國個人信息保護(hù)法》（以下簡稱“《個保法》”）由第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過予以公布，并自2021年11月1日起施行。在個人信息被隨意倒賣、泄露事件頻發(fā)，騷擾電話與精準(zhǔn)詐騙屢禁不止的互聯(lián)網(wǎng)與大數(shù)據(jù)時代，該法的出臺和實施必將對各行各業(yè)產(chǎn)生深遠(yuǎn)影響。

金融行業(yè)作為數(shù)據(jù)密集型行業(yè)，是個人信息匯聚和應(yīng)用的重要領(lǐng)域。在新的監(jiān)管背景下，如何進(jìn)一步強(qiáng)化個人信息保護(hù)，規(guī)范數(shù)據(jù)治理，是金融機(jī)構(gòu)必須面對和解決的重要課題。幸運(yùn)的是，此前金融領(lǐng)域在個人信息保護(hù)層面的監(jiān)管并非完全空白，業(yè)內(nèi)已有相應(yīng)的部門規(guī)章、行業(yè)標(biāo)準(zhǔn)等提供指導(dǎo)。

在此背景下，我們將通過本文對金融領(lǐng)域的個人信息保護(hù)規(guī)范進(jìn)行梳理，并重點關(guān)注此次《個保法》與既有規(guī)范的區(qū)別之處，以期對行業(yè)提供有益參考。

一、金融領(lǐng)域關(guān)于個人信息保護(hù)的規(guī)范體系

在《個保法》頒布以前，金融領(lǐng)域內(nèi)關(guān)于個人信息保護(hù)的規(guī)定散落于法律、行政法規(guī)和部門規(guī)章之中，且多為原則性的規(guī)定。行業(yè)標(biāo)準(zhǔn)層面，盡管有諸如《個人金融信息保護(hù)技術(shù)規(guī)范》《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》等細(xì)化的操作指引，但效力層級較低，并非強(qiáng)制適用標(biāo)準(zhǔn)，實際效果可能較為有限。

《個保法》作為我國首部針對個人信息保護(hù)的專門性立法，將個人信息保護(hù)的重要性提到法律層面，通過8章74個條文，對個人信息的定義、分類、處理規(guī)則、跨境提供規(guī)則、相關(guān)主體的權(quán)利義務(wù)與法律責(zé)任等事項進(jìn)行了系統(tǒng)規(guī)定，亦搭建起了金融領(lǐng)域個人信息保護(hù)的基本框架。

二、《個保法》與既有規(guī)范之間的區(qū)別

如前所述，由于《個保法》的效力層級較高，如現(xiàn)有行政法規(guī)、部門規(guī)章、行業(yè)標(biāo)準(zhǔn)的規(guī)定與《個保法》不一致，則應(yīng)優(yōu)先適用《個保法》的相關(guān)規(guī)定。由此，對金融機(jī)構(gòu)而言，充分了解《個保法》與既有規(guī)范之間的區(qū)別以及該等區(qū)別對日常業(yè)務(wù)的影響就顯得尤為重要。

我們將《個保法》與既有規(guī)范進(jìn)行比較分析后發(fā)現(xiàn)，《個保法》在如下方面對金融機(jī)構(gòu)提出了更高的要求：

1.        個人金融信息作為敏感個人信息的監(jiān)管要求

《個保法》規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

《個人金融信息保護(hù)技術(shù)規(guī)范》（以下簡稱“《技術(shù)規(guī)范》”則規(guī)定，個人金融信息是個人信息在金融領(lǐng)域圍繞賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息等方面的擴(kuò)展與細(xì)化，是金融業(yè)機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)的過程中積累的重要基礎(chǔ)數(shù)據(jù)，也是個人隱私的重要內(nèi)容。個人金融信息一旦泄露，不但會直接侵害個人金融信息主體的合法權(quán)益、影響金融業(yè)機(jī)構(gòu)的正常運(yùn)營，甚至可能會帶來系統(tǒng)性金融風(fēng)險。

據(jù)此，大部分個人金融信息均屬于敏感個人信息。根據(jù)《個保法》的規(guī)定，除非是為訂立、履行個人作為一方當(dāng)事人的合同所必需，或為履行法定職責(zé)或者法定義務(wù)所必需，否則處理敏感個人信息應(yīng)當(dāng)取得個人的單獨(dú)同意。

這就對金融機(jī)構(gòu)處理個人金融信息提出了更高的要求，原因在于“單獨(dú)同意”，必須是在個人充分知情的前提下自愿、明確作出的，不能通過一攬子告知同意等方式征得個人同意，也不能采用與其他授權(quán)捆綁、不點擊同意就不提供服務(wù)或默認(rèn)同意等方式強(qiáng)迫或者變相強(qiáng)迫個人同意，甚至也不同于《技術(shù)規(guī)范》規(guī)定的“明示同意”（即個人金融信息主體主動作出聲明、主動勾選、主動點擊“同意”“注冊”“發(fā)送”“撥打”、主動填寫或提供等）。

如要求金融機(jī)構(gòu)就每一項個人金融信息逐一取得用戶同意，無疑將極大地加重金融機(jī)構(gòu)的義務(wù)和負(fù)擔(dān)，影響正常業(yè)務(wù)的開展。因此，在具體操作中，金融機(jī)構(gòu)具體如何實現(xiàn)“單獨(dú)同意”，還有待后續(xù)實施細(xì)則予以明確。

2.        個人金融信息共享與轉(zhuǎn)讓的監(jiān)管要求

關(guān)于個人金融信息的共享與轉(zhuǎn)讓，此前《技術(shù)規(guī)范》僅規(guī)定了個人信息處理者內(nèi)部在共享和轉(zhuǎn)讓過程中的具體技術(shù)要求，例如，應(yīng)開展個人金融信息安全影響評估，并依據(jù)評估結(jié)果采取有效措施保護(hù)個人金融信息主體權(quán)益；應(yīng)開展個人金融信息接收方信息安全保障能力評估，并與其簽署數(shù)據(jù)保護(hù)責(zé)任承諾；應(yīng)部署信息防泄露監(jiān)控工具，監(jiān)控及報告?zhèn)€人金融信息的違規(guī)外發(fā)行為，等等。至于個人信息處理者對個人應(yīng)履行何種義務(wù)，《技術(shù)規(guī)范》則未有規(guī)定。

對此，《民法典》規(guī)定，未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復(fù)原的除外。據(jù)此理解，個人信息處理者與他人共享或向他人轉(zhuǎn)讓個人信息的，需經(jīng)個人同意。

此次《個保法》則在上述規(guī)范基礎(chǔ)上將“同意規(guī)則”進(jìn)一步細(xì)化為“告知-同意”規(guī)則。關(guān)于個人信息的轉(zhuǎn)讓，個人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息的，應(yīng)當(dāng)向個人告知接收方的名稱或者姓名和聯(lián)系方式；接收方應(yīng)當(dāng)繼續(xù)履行個人信息處理者的義務(wù)；接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)重新取得個人同意。關(guān)于個人信息的共享，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應(yīng)當(dāng)向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨(dú)同意；接收方應(yīng)當(dāng)在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)重新取得個人同意。

據(jù)此，在金融產(chǎn)品的推介、銷售等場景下，金融產(chǎn)品的管理人、代銷機(jī)構(gòu)如何共享個人信息，如何在現(xiàn)有流程、系統(tǒng)中落實“告知-同意”規(guī)則，亦需要機(jī)構(gòu)予以充分關(guān)注和考慮。

3.        利用個人信息進(jìn)行自動化決策的監(jiān)管要求

隨著人工智能技術(shù)和云計算的不斷升級發(fā)展，智能投顧在證券投資領(lǐng)域中的應(yīng)用也越來越廣泛，金融機(jī)構(gòu)利用個人信息進(jìn)行自動化決策，向個人進(jìn)行信息推送、商業(yè)營銷的需求也越加凸顯。但由此產(chǎn)生的垃圾信息泛濫、大數(shù)據(jù)殺熟等問題也不容忽視。

對此，2020年頒布實施的《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實施辦法》進(jìn)行了初步規(guī)定。根據(jù)該辦法，銀行、支付機(jī)構(gòu)收集消費(fèi)者金融信息用于營銷、用戶體驗改進(jìn)或者市場調(diào)查的，應(yīng)當(dāng)以適當(dāng)方式供金融消費(fèi)者自主選擇是否同意銀行、支付機(jī)構(gòu)將其金融信息用于上述目的；金融消費(fèi)者不同意的，銀行、支付機(jī)構(gòu)不得因此拒絕提供金融產(chǎn)品或者服務(wù)。銀行、支付機(jī)構(gòu)向金融消費(fèi)者發(fā)送金融營銷信息的，應(yīng)當(dāng)向其提供拒絕繼續(xù)接收金融營銷信息的方式。

此次《個保法》針對大數(shù)據(jù)殺熟行為則進(jìn)一步規(guī)定，個人信息處理者利用個人信息進(jìn)行自動化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷，應(yīng)當(dāng)同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。

4.        個人金融信息刪除的監(jiān)管要求

基于監(jiān)管、追責(zé)等的需要，目前金融領(lǐng)域內(nèi)的法規(guī)政策一般會對金融機(jī)構(gòu)保存相關(guān)重要文件、資料的期限作出明確規(guī)定，例如，《證券期貨投資者適當(dāng)性管理辦法》規(guī)定，經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照相關(guān)規(guī)定妥善保存其履行適當(dāng)性義務(wù)的相關(guān)信息資料，對匹配方案、告知警示資料、錄音錄像資料、自查報告等的保存期限不得少于20年；對金融機(jī)構(gòu)刪除個人金融信息的義務(wù)，規(guī)范層面則鮮有規(guī)定，此前僅有《技術(shù)規(guī)范》簡單規(guī)定，金融機(jī)構(gòu)應(yīng)采取技術(shù)手段，在金融產(chǎn)品和服務(wù)所涉及的系統(tǒng)中去除個人金融信息，使其保持不可被檢索和訪問。據(jù)此理解，似乎并不要求金融必須刪除個人金融信息，匿名化、去標(biāo)識化、加密、脫敏亦是可行的操作方式。

但此次《個保法》則進(jìn)一步明確規(guī)定，處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；或個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿的，個人信息處理者應(yīng)當(dāng)主動刪除個人信息。僅在法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實現(xiàn)的，方可停止除存儲和采取必要的安全保護(hù)措施之外的處理。

三、《個保法》下金融機(jī)構(gòu)的應(yīng)對

《個保法》將個人信息保護(hù)提升到了前所未有的高度，行政責(zé)任層面大大提高處罰力度，僅罰款上限就高達(dá)五千萬元或者上一年度營業(yè)額的百分之五；民事責(zé)任層面則規(guī)定舉證責(zé)任倒置，處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

在此背景下，對金融機(jī)構(gòu)而言，個人信息保護(hù)將與反洗錢、投資者適當(dāng)性管理、網(wǎng)絡(luò)安全等傳統(tǒng)合規(guī)事項一并納入日常合規(guī)管理，并至少需在如下方面優(yōu)化、完善合規(guī)工作：

1. 制定個人信息保護(hù)的內(nèi)部管理制度和操作規(guī)程，至少包括個人信息保護(hù)管理規(guī)定、日常管理及操作流程、外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu)管理、內(nèi)外部檢查及監(jiān)督機(jī)制、應(yīng)急處理流程和預(yù)案。

2. 對個人信息實行分類管理，針對不同類別和敏感程度的個人信息，實施相應(yīng)的安全策略和保障措施。

3. 采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施，建立個人信息脫敏管理規(guī)范和制度，明確不同敏感級別個人信息脫敏規(guī)則、脫敏方法和脫敏數(shù)據(jù)的使用限制。

4. 合理確定個人信息處理的操作權(quán)限，建立信息系統(tǒng)分級授權(quán)管理機(jī)制，在不影響履行反洗錢等法定義務(wù)的前提下，制定本機(jī)構(gòu)人員個人信息調(diào)取權(quán)限與使用范圍，并制定專門的授權(quán)審批流程。此外，定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)。

5. 制定并組織實施個人信息安全事件應(yīng)急預(yù)案，將個人信息泄露等相關(guān)事件處理納入機(jī)構(gòu)信息安全事件應(yīng)急處置工作機(jī)制，制定專門的流程和預(yù)案，并定期評估應(yīng)急處理流程和預(yù)案，及時保障、有效應(yīng)對個人信息安全事件，降低安全事件造成的損失及不利影響。