广州银行合规部张彤等：个人信息保护法解读及实务对策初探_北京转创国际管理咨询有限公司广东分公司

来源：岭南金融研究院作者：张彤钟贞 2022-3-14 10:36

摘要：《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”或“个保法”）已于2021年11月1日施行。对银行而言，个保法不仅提出了一系列个人信息保护领域的法定要求，进一步提升了合规展业标准，还将强化金融消费者的个人信息保护意识，激发维护消费者权益的内生动力。两相合力之下，银行只有顺势而为，准确把握个保法重要内容，及时评估影响并采取措施，切实提高消保工作水平，才能变挑战为机遇，推动业务稳健开展。

一、《个人信息保护法》的重要内容

（一）权威定义“个人信息”

个保法规定，个人信息指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。与民法典及网络安全法等法律详列个人信息种类不同，个保法不再对个人信息进行列举，而是强调非匿名化的、与已识别或可识别的自然人有关的各种信息，无论以何种方式记录，均为个人信息范畴。

（二）确立个人信息保护原则

个保法借鉴国际经验并立足我国实际，确立了个人信息处理应遵循的原则：合法、正当、必要和诚信原则；明确性和相关性原则(有明确、合理的目的并与处理目的直接相关）；最小程度原则（采取对个人权益影响最小的方式，限于实现处理目的的最小范围)；公开透明原则；完整性和准确性原则；安全保障原则。这些原则贯穿于个人信息处理的全过程，是收集、使用个人信息的基本遵循，也是构建个人信息保护具体规则的制度基础。

（三）构建个人信息处理规则

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个保法构建了以“告知-同意”为核心的个人信息处理规则。要求处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时，针对现实生活中社会反映强烈的一揽子授权、强制同意等问题，个保法特别要求个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境提供个人信息等环节应取得个人的单独同意，并赋予个人撤回同意的权利。

（四）规范自动化决策

针对当前越来越多企业利用大数据分析评估消费者的个人特征用于商业营销、选择性提供产品或服务的问题，个保法明确规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇，并应当同时提供不针对个人特征的选项或者便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝仅通过自动化决策的方式作出决定。

（五）严格保护敏感个人信息

个保法首次在法律层面上对“敏感个人信息”进行定义，即“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，以及不满十四周岁未成年人的个人信息。个保法明确只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下，方可处理敏感个人信息，并应当事前进行影响评估，向个人告知处理的必要性以及对个人权益的影响。同时，个保法还规定了特殊规则，强调处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则，并在处理时取得其监护人同意。

（六）赋予个人充分权利

个保法将自然人在个人信息处理活动中的各项权利，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权，明确个人有权限制、拒绝、删除个人信息的处理，体现尊重个人对自身信息拥有最终决定权的价值取向。

相较以往规定，个保法增加了个人信息可携带权(个人有权请求将个人信息转移至其指定的个人信息处理者，信息处理者应当提供转移的途径)、死者个人信息保护（近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使查阅、复制、更正、删除等权利；死者生前另有安排的除外）、起诉权（个人信息处理者拒绝个人行使权利的请求的，个人可以提起诉讼）。

（七）强化个人信息处理者义务，要求指定个人信息保护责任人

个人信息处理者是在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。个保法强调个人信息处理者应当对其个人信息处理活动负责，采取必要措施保障所处理的个人信息的安全。在此基础上，个保法设专章明确个人信息处理者的合规管理和保障个人信息安全等多项义务，并明确达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护责任人。

另，中国人民银行发布的《个人金融信息保护技术规范》（JR/T 0171—2020），按敏感程度将个人信息从高到低分为C3、C2、C1三个类别：除C1类别信息与其他“个人信息”存在交叉外，C2、C3类别均属于个人信息保护法中提到的“敏感信息”。如按2020年10月1日生效的《信息安全技术个人信息安全规范》（“35273-2020规范”）确定的标准（“超200人的个人信息处理相关组织”或“处理超100万条个人信息的组织”或“处理超10万个人敏感信息的组织”），银行应指定个人信息保护责任人。

（八）提升法律责任标准

在法律责任方面，个保法显著提高了处罚标准，主要体现在对违反个人信息保护的企业规定了较高的处罚金额上限:5000万元或上一年度营业额百分之五；轻则责令改正、重则吊销相关业务许可和牌照；对直接责任人员处以十万元以上一百万元以下罚款，限期从业禁止、记入征信处罚等。除此之外，个保法还将过错推定原则明确为个人信息侵权行为的归责原则，并强调共同个人信息处理者需对侵害个人信息权益造成的损害承担连带责任。

二、《个人信息保护法》对金融机构的合规监管影响

在个保法颁布之前，银行涉及个人信息保护时更多适用中国人民银行制定的部门规章或行业规范，如《关于银行业金融机构做好个人金融信息保护工作的通知》《金融消费者权益保护实施办法》《金融信息保护规范》等。个保法的出台，将散见于《民法典》《消费者权益保护法》《网络安全法》等法律法规中的个人信息保护相关规定进行全面系统的整合，在法律层面以特别法的形式提出个人信息保护要求，并加大了惩处力度。

金融机构所掌握的个人信息，依据其获取途径和发挥作用的不同，在个保法之下可归于不同的类型，由金融机构进行不同程度的保护，也赋予金融机构全新的个人信息处理义务。如员工个人信息属于个保法下“个人信息”类型，客户相关信息、业务合作方相关个人信息大部分属于“敏感个人信息”。相较一般性“个人信息”，金融机构对于“敏感个人信息”的利用、保护所须履行的法律义务显著提高，将面临更高层次的消保监管要求。可以想见，在传统的金融监管规范之外，“个人信息保护”将和“网络安全”“数据安全”一道，成为金融机构新的合规重地。

通过对监管部门罚单的分析，也可以清晰地看出该趋势:2020年10月21日，《个人信息保护法(草案)》发布的同一天，六家银行因侵害消费者金融信息安全被罚超过4000万元。2021年8月20日，个保法通过当天，三家银行因违反信用信息采集、提供、查询相关规定，被罚款合计553万元。2021年10月22日，宁波银保监局对时任某支行行长沈某（侵犯公民个人信息案件的作案当事人）予以禁止从事银行业工作五年的行政处罚。2022年1月6日，个保法施行刚过两个月，某亚银行因违反信用信息采集、提供、查询及相关管理规定，被人民银行上海分行处以罚款1674万元……消费者金融信息安全执法的强化势头由此可见一斑。

另需注意的是，除人行、银保监会外，工信部门也是金融机构个人信息保护的监管部门之一。个保法从法律层面规制APP滥用个人信息现象，明确规定个人信息处理者需对应用程序的个人信息保护情况进行测评，并公布测评结果。对于违法的应用程序，将责令暂停或终止提供服务。2021年以来，工信部已下架各类408款拒不整改APP，强调企业要充分保障用户知情权和选择权，督促企业建立个人信息保护“双清单”制度：“已收集个人信息清单”和“与第三方共享个人信息清单”。2021年，广东省通信管理局通报了三家银行开发的APP存在违规收集个人信息、超范围收集个人信息、强制、频繁、过度索取权限等问题。随着个保法的落地实施，强化个人信息保护将成为金融类APP亟待解决的课题。

三、实务建议

（一）筑牢业务所涉消费者权益保护防线

1.重新审视银行各项业务中收集的消费者个人信息范围，谨遵“最小程度”原则，避免过度收集个人信息（即个人信息类型与实现产品或服务的业务功能之间没有关联）。对确需收集的个人信息，应以显著方式、清晰易懂的语言真实、准确、完整地向个人信息主体告知信息收集、处理的细节及其他法定事项，并注意：

（1）告知的方式可以是隐私政策或个人信息处理知情同意书，并为消费者提供自主选择“同意”、或显著提醒消费者阅读后同意的选项。

（2）完善线上（包括网站、App、小程序等）、线下各种个人信息处理场景的“同意”流程，对于通过勾选框形式征得同意的，不得默认勾选同意，并根据个保法规定的特殊情形（如处理敏感个人信息、向第三方传输信息、公开个人信息、向境外提供个人信息等）增加“单独同意”机制。

（3）允许消费者撤回个人信息处理的同意并提供便捷的方式，可体现为服务短信中提供行使撤回权的方式或提示相关操作，APP程序上提供撤回的端口或选项等。

以往实践中存在要求消费者“不可撤销地授权/同意”的做法，个保法实施后将面临违法风险，应予以避免。另，不得以消费者不同意处理其个人信息或者撤回同意为由拒绝提供产品或者服务，除非相关个人信息属于提供产品或者服务所必需。

2.设置特殊收集情形的特别保护机制。对敏感个人信息，或采用人像识别或身份识别设备收集、使用、存储个人信息等情况进行特别的评估、记录，满足个保法要求的要件。

3.谨慎使用自动化决策工具用于信用评估等活动。在使用前，应进行个人信息保护影响评估，并应消费者要求进行说明、提供替代性方案等。通过自动化决策方式向消费者进行信息推送、商业营销的，应当同时提供不针对其个人特征的选项，或者提供便捷的拒绝方式。

4.审视银行与第三方合作项目中的个人信息处理场景。如银行将个人信息委托第三方处理，应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施等，厘清双方在个人信息处理活动中的权利义务。如银行与第三方共同决定个人信息的处理目的和方式，应做到权利义务的有效划分及责任分配。

5.对新产品、新业务，应主动将个人信息保护影响评估纳入产品及服务设计阶段。对相关个人信息收集的必要性、对个人权益的影响、安全风险以及安全保护措施的合法有效性进行评估。

（二）加强个人信息保护内控管理

1.审视现行规章制度，识别个人信息保护薄弱点，建立有效的个人信息管理制度和操作规程。

2.审视并梳理、完善现有的个人信息处理知情同意书、协议、隐私政策等，真实、准确、完整的向个人信息主体告知信息收集的细节及其他法定事项。

3.梳理行内已存储的个人信息类型，对个人信息实行分类管理。

4.加强与个人信息相关的行内系统建设，采取加密、去标识化等技术措施保障数据存储的安全。

5.合理确定个人信息处理的操作权限，建立最小授权的访问控制策略，使被授权访问个人信息的人员只能访问职责所需的最少的个人信息。

6.定期对行内的个人信息处理人员进行有针对性的安全教育和培训，确保相关人员熟练掌握隐私政策和相关规程，将管理要求与法律要求同步。

7.重点核查涉及个人信息传输、共享的业务的操作合规性。

8.定期开展针对个人信息处理工作的合规审计。建立个人信息安全事件应急预案。

作者简介

张彤：广州银行合规部（法律事务部）总经理，关注内控合规、消费者权益保护、法律事务、反洗钱。

钟贞：广州银行合规部（法律事务部）副经理，中山大学法律硕士，国有企业三级法律顾问，关注消费者权益保护、法律事务。