中文字幕影视,欧美一级二级在线观看,av在线激情,亚洲国产福利视频,国产精品久久久久久亚洲影视,亚洲午夜视频在线,日本在线不卡二区

       2021年8月20日，《中華人民共和國個人信息保護法》（以下簡稱“《個保法》”）由第十三屆全國人民代表大會常務委員會第三十次會議通過予以公布，并自2021年11月1日起施行。在個人信息被隨意倒賣、泄露事件頻發(fā)，騷擾電話與精準詐騙屢禁不止的互聯(lián)網(wǎng)與大數(shù)據(jù)時代，該法的出臺和實施必將對各行各業(yè)產(chǎn)生深遠影響。

       金融行業(yè)作為數(shù)據(jù)密集型行業(yè)，是個人信息匯聚和應用的重要領域。在新的監(jiān)管背景下，如何進一步強化個人信息保護，規(guī)范數(shù)據(jù)治理，是金融機構必須面對和解決的重要課題。幸運的是，此前金融領域在個人信息保護層面的監(jiān)管并非完全空白，業(yè)內(nèi)已有相應的部門規(guī)章、行業(yè)標準等提供指導。

       在此背景下，我們將通過本文對金融領域的個人信息保護規(guī)范進行梳理，并重點關注此次《個保法》與既有規(guī)范的區(qū)別之處，以期對行業(yè)提供有益參考。

       一、金融領域關于個人信息保護的規(guī)范體系

       在《個保法》頒布以前，金融領域內(nèi)關于個人信息保護的規(guī)定散落于法律、行政法規(guī)和部門規(guī)章之中，且多為原則性的規(guī)定。行業(yè)標準層面，盡管有諸如《個人金融信息保護技術規(guī)范》《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》等細化的操作指引，但效力層級較低，并非強制適用標準，實際效果可能較為有限。

        《個保法》作為我國首部針對個人信息保護的專門性立法，將個人信息保護的重要性提到法律層面，通過8章74個條文，對個人信息的定義、分類、處理規(guī)則、跨境提供規(guī)則、相關主體的權利義務與法律責任等事項進行了系統(tǒng)規(guī)定，亦搭建起了金融領域個人信息保護的基本框架。

       二、《個保法》與既有規(guī)范之間的區(qū)別

       如前所述，由于《個保法》的效力層級較高，如現(xiàn)有行政法規(guī)、部門規(guī)章、行業(yè)標準的規(guī)定與《個保法》不一致，則應優(yōu)先適用《個保法》的相關規(guī)定。由此，對金融機構而言，充分了解《個保法》與既有規(guī)范之間的區(qū)別以及該等區(qū)別對日常業(yè)務的影響就顯得尤為重要。

       我們將《個保法》與既有規(guī)范進行比較分析后發(fā)現(xiàn)，《個保法》在如下方面對金融機構提出了更高的要求：

       1. 個人金融信息作為敏感個人信息的監(jiān)管要求

       《個保法》規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

       《個人金融信息保護技術規(guī)范》（以下簡稱“《技術規(guī)范》”則規(guī)定，個人金融信息是個人信息在金融領域圍繞賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息等方面的擴展與細化，是金融業(yè)機構在提供金融產(chǎn)品和服務的過程中積累的重要基礎數(shù)據(jù)，也是個人隱私的重要內(nèi)容。個人金融信息一旦泄露，不但會直接侵害個人金融信息主體的合法權益、影響金融業(yè)機構的正常運營，甚至可能會帶來系統(tǒng)性金融風險。

       據(jù)此，大部分個人金融信息均屬于敏感個人信息。根據(jù)《個保法》的規(guī)定，除非是為訂立、履行個人作為一方當事人的合同所必需，或為履行法定職責或者法定義務所必需，否則處理敏感個人信息應當取得個人的單獨同意。

       這就對金融機構處理個人金融信息提出了更高的要求，原因在于“單獨同意”，必須是在個人充分知情的前提下自愿、明確作出的，不能通過一攬子告知同意等方式征得個人同意，也不能采用與其他授權捆綁、不點擊同意就不提供服務或默認同意等方式強迫或者變相強迫個人同意，甚至也不同于《技術規(guī)范》規(guī)定的“明示同意”（即個人金融信息主體主動作出聲明、主動勾選、主動點擊“同意”“注冊”“發(fā)送”“撥打”、主動填寫或提供等）。

       如要求金融機構就每一項個人金融信息逐一取得用戶同意，無疑將極大地加重金融機構的義務和負擔，影響正常業(yè)務的開展。因此，在具體操作中，金融機構具體如何實現(xiàn)“單獨同意”，還有待后續(xù)實施細則予以明確。

       2. 個人金融信息共享與轉(zhuǎn)讓的監(jiān)管要求

       關于個人金融信息的共享與轉(zhuǎn)讓，此前《技術規(guī)范》僅規(guī)定了個人信息處理者內(nèi)部在共享和轉(zhuǎn)讓過程中的具體技術要求，例如，應開展個人金融信息安全影響評估，并依據(jù)評估結果采取有效措施保護個人金融信息主體權益；應開展個人金融信息接收方信息安全保障能力評估，并與其簽署數(shù)據(jù)保護責任承諾；應部署信息防泄露監(jiān)控工具，監(jiān)控及報告?zhèn)€人金融信息的違規(guī)外發(fā)行為，等等。至于個人信息處理者對個人應履行何種義務，《技術規(guī)范》則未有規(guī)定。

       對此，《民法典》規(guī)定，未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復原的除外。據(jù)此理解，個人信息處理者與他人共享或向他人轉(zhuǎn)讓個人信息的，需經(jīng)個人同意。

       此次《個保法》則在上述規(guī)范基礎上將“同意規(guī)則”進一步細化為“告知-同意”規(guī)則。關于個人信息的轉(zhuǎn)讓，個人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息的，應當向個人告知接收方的名稱或者姓名和聯(lián)系方式；接收方應當繼續(xù)履行個人信息處理者的義務；接收方變更原先的處理目的、處理方式的，應當重新取得個人同意。關于個人信息的共享，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意；接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息。接收方變更原先的處理目的、處理方式的，應當重新取得個人同意。

       據(jù)此，在金融產(chǎn)品的推介、銷售等場景下，金融產(chǎn)品的管理人、代銷機構如何共享個人信息，如何在現(xiàn)有流程、系統(tǒng)中落實“告知-同意”規(guī)則，亦需要機構予以充分關注和考慮。

       3. 利用個人信息進行自動化決策的監(jiān)管要求

       隨著人工智能技術和云計算的不斷升級發(fā)展，智能投顧在證券投資領域中的應用也越來越廣泛，金融機構利用個人信息進行自動化決策，向個人進行信息推送、商業(yè)營銷的需求也越加凸顯。但由此產(chǎn)生的垃圾信息泛濫、大數(shù)據(jù)殺熟等問題也不容忽視。

       對此，2020年頒布實施的《中國人民銀行金融消費者權益保護實施辦法》進行了初步規(guī)定。根據(jù)該辦法，銀行、支付機構收集消費者金融信息用于營銷、用戶體驗改進或者市場調(diào)查的，應當以適當方式供金融消費者自主選擇是否同意銀行、支付機構將其金融信息用于上述目的；金融消費者不同意的，銀行、支付機構不得因此拒絕提供金融產(chǎn)品或者服務。銀行、支付機構向金融消費者發(fā)送金融營銷信息的，應當向其提供拒絕繼續(xù)接收金融營銷信息的方式。

       此次《個保法》針對大數(shù)據(jù)殺熟行為則進一步規(guī)定，個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

       4. 個人金融信息刪除的監(jiān)管要求

       基于監(jiān)管、追責等的需要，目前金融領域內(nèi)的法規(guī)政策一般會對金融機構保存相關重要文件、資料的期限作出明確規(guī)定，例如，《證券期貨投資者適當性管理辦法》規(guī)定，經(jīng)營機構應當按照相關規(guī)定妥善保存其履行適當性義務的相關信息資料，對匹配方案、告知警示資料、錄音錄像資料、自查報告等的保存期限不得少于20年；對金融機構刪除個人金融信息的義務，規(guī)范層面則鮮有規(guī)定，此前僅有《技術規(guī)范》簡單規(guī)定，金融機構應采取技術手段，在金融產(chǎn)品和服務所涉及的系統(tǒng)中去除個人金融信息，使其保持不可被檢索和訪問。據(jù)此理解，似乎并不要求金融必須刪除個人金融信息，匿名化、去標識化、加密、脫敏亦是可行的操作方式。

       但此次《個保法》則進一步明確規(guī)定，處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；或個人信息處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿的，個人信息處理者應當主動刪除個人信息。僅在法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術上難以實現(xiàn)的，方可停止除存儲和采取必要的安全保護措施之外的處理。

       三、《個保法》下金融機構的應對

       《個保法》將個人信息保護提升到了前所未有的高度，行政責任層面大大提高處罰力度，僅罰款上限就高達五千萬元或者上一年度營業(yè)額的百分之五；民事責任層面則規(guī)定舉證責任倒置，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍?/span>

       在此背景下，對金融機構而言，個人信息保護將與反洗錢、投資者適當性管理、網(wǎng)絡安全等傳統(tǒng)合規(guī)事項一并納入日常合規(guī)管理，并至少需在如下方面優(yōu)化、完善合規(guī)工作：

       1. 制定個人信息保護的內(nèi)部管理制度和操作規(guī)程，至少包括個人信息保護管理規(guī)定、日常管理及操作流程、外包服務機構與外部合作機構管理、內(nèi)外部檢查及監(jiān)督機制、應急處理流程和預案。

       2. 對個人信息實行分類管理，針對不同類別和敏感程度的個人信息，實施相應的安全策略和保障措施。

       3. 采取相應的加密、去標識化等安全技術措施，建立個人信息脫敏管理規(guī)范和制度，明確不同敏感級別個人信息脫敏規(guī)則、脫敏方法和脫敏數(shù)據(jù)的使用限制。

       4. 合理確定個人信息處理的操作權限，建立信息系統(tǒng)分級授權管理機制，在不影響履行反洗錢等法定義務的前提下，制定本機構人員個人信息調(diào)取權限與使用范圍，并制定專門的授權審批流程。此外，定期對從業(yè)人員進行安全教育和培訓。

       5. 制定并組織實施個人信息安全事件應急預案，將個人信息泄露等相關事件處理納入機構信息安全事件應急處置工作機制，制定專門的流程和預案，并定期評估應急處理流程和預案，及時保障、有效應對個人信息安全事件，降低安全事件造成的損失及不利影響。