【个人信息保护法立法意义】
2021年11月1日,《中华人民共和国个人信息保护法》正式施行,为个人信息权益保护提供了重要法律制度保障。不法分子的行为侵害了不特定多数人的隐私权,不仅危害公民的信息安全,而且极易成为电信诈骗、网络诈骗以及滋扰型“软暴力”等新兴犯罪的根源,引发多种犯罪,严重威胁公民人身安全、财产安全和社会管理秩序。
【个人信息保护法亮点】
亮点一
确立个人信息保护原则
个人信息保护法借鉴国际经验并立足我国实际,确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
亮点二
规范处理活动保障权益
个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益,构建了以“告知-同意”为核心的个人信息处理规则。
个人信息保护法要求,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时,个人信息保护法特别要求,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
亮点三
禁止“大数据杀熟”规范自动化决策
当前,越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销,对消费者在交易价格等方面实行歧视性的差别待遇, 误导 、欺诈消费者,最典型的就是“大数据杀熟”。个人信息保护法明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
亮点四
严格保护敏感个人信息
个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。个人信息保护法要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。
亮点五
规范国家机关处理活动
个人信息保护法对国家机关处理个人信息的活动作出专门规定,特别强调国家机关处理个人信息的活动适用本法,并且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。
亮点六
赋予个人充分权利
个人信息保护法将个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权,明确个人有权限制个人信息的处理。
亮点七
强化个人信息处理者义务
个人信息保护法强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
亮点八
赋予大型网络平台特别义务
个人信息保护法对大型互联网平台设定了特别的个人信息保护义务,包括:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
亮点九
规范个人信息跨境流动
个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。
亮点十
健全个人信息保护工作机制
根据个人信息保护工作实际,个人信息保护法明确,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。此外,为了加强个人信息保护监管执法的协同配合,个人信息保护法还进一步明确了国家网信部门在个人信息保护监管方面的统筹协调作用,并对其统筹协调职责作出具体规定。
【金融行业典型案例分析】
案情回顾:险企员工倒卖客户信息获刑
2020年,某保险公司客服王某和某公司业务主任姜某共谋约定,由姜某提供客户的电销保单号给王某,王某负责查询保单号后补齐相应客户的姓名、联系方式、地址、购买险种、保费及购买时间、到期时间等信息,并发送给姜某开展保险销售业务使用。在此过程中,王某还联系了两位同事孔某、蒋某参与,三人通过这样的手段分别获利15万元、7万元和2.7万元。
最终,孔某、蒋某在2021年被抓获,王某也主动归案,三人在审理期间分别退缴了各自的违法所得。经上海静安区人民法院审定,王某、孔某、蒋某因犯侵犯公民个人信息罪,分别被判处有期徒刑3年,缓刑3年;有期徒刑2年,缓刑2年;有期徒刑1年,缓刑1年。并分别被罚款16万元、10万元、3万元。
金融机构承担着用户个人信息保护的责任,信息泄露不仅侵害了个人的合法权益,而且对于金融机构也会面临客户流失、违规处罚、品牌损伤等风险。上述案例中,通过客服泄露的客户信息在数万条,并且多人作案,显示出保险公司在数据安全管理、数据授权制度、合规管理等方面存在漏洞。
案情回顾:建行一客户经理出售三万多条客户资料给贷款公司,被判有期徒刑八个月
2017年,黄某通过朋友认识了在建行湛江分行工作的王某。为获取客源,黄某利诱王某为其提供建行的客户资料,并承诺支付获利的15%作为回扣。王某多次登陆内部系统,将客户资料进行截图,通过电子邮箱发送至黄某,黄某利用上述信息让员工以拨打手机的方式推销贷款产品。2019年,王某主动到公安机关投案王某主动投案,并退出违法所得款3.6万元。法院审理认为,王某的行为已构成侵害公民个人信息罪,判处有期徒刑八个月,缓刑一年,并处罚金1万元。
对此,湛江银保监分局于2021年1月8日开出两张罚单,剑指建设银行湛江市分行存客户信息安全管理不到位的违规行为,对该行作出罚款20万元的行政处罚。此外,涉事人王某因泄露客户信息,被禁止从事银行业工作1年。
由于金融行业的独特性,银行内部员工对用户的财产状况、理财需求等基本信息掌握较全面与容易,而这些正是某些企业需要进行不正当竞争所需要的资源。
【金融行业应对建议】
一、加强个人信息保护法和个人金融信息法规的学习,全面落实合规要求。
应加强对个人信息保护法和个人金融信息法规的学习,通过培训进一步理解法律的基本原则和个人金融信息保护的要点,全面落实合规要求。同时,进一步提升员工个人金融信息保护的安全意识,为个人金融信息保护打下坚实基础。
二、制定个人金融信息保护组织架构,落实个人金融信息保护职责。
应建立健全个人金融信息保护组织架构,明确金融机构各层级内设部门与相关岗位个人金融信息保护职责与总体要求,明确主要负责人的领导责任,明确个人金融信息管理牵头部门,并提供必要的资源,落实个人金融信息保护职责。
三、健全个人金融信息保护管理制度,夯实个人金融信息保护基础。
应根据个人信息保护法要求,结合金融机构管控现状,健全个人金融信息保护管理制度,夯实个人金融信息保护基础。通过制定个人金融信息保护管理制度,明确个人金融信息保护的岗位设置与工作职责,制定专门的个人金融信息处理规则。形成“方针策略-办法规定-规程细则”从上而下结构化的个人金融信息制度体系管控模式,有效指导和全面落实个人金融信息保护的各项管控要求。
四、实施个人金融信息数据分类分级,落实差异化安全保护机制。
个人金融信息主要包括:账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息等七大类。个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,其中C3信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害;C2信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响;C1信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响。
五、个人金融信息全生命周期保护,筑起全方位安全保护屏障。
金融机构应建立个人金融信息全生命周期保护机制,对信息的收集、传输、存储、使用、删除及销毁等各环节实施全面保护。制定保护策略、访问控制等管理措施,部署管理系统、信息加密等技术措施,结合管理和技术要求,筑起全方位的安全保护屏障。
六、开展个人金融信息保护审计,持续完善个人金融信息保护体系。
金融机构应在完善个人金融信息保护制度的基础上,定期开展个人金融信息保护合规审计。审计内容包括但不限于:个人金融信息的安全策略、访问控制、安全监测与风险评估、安全事件处置、安全管理要求、安全技术要求等方面,金融机构可参照此审计框架实施合规审计。
农银人寿十堰中支宣
2023年4月