政策措施持續(xù)頒布 金融機構(gòu)采集使用個人信息數(shù)據(jù)正面臨嚴(yán)監(jiān)管

今年以來，監(jiān)管層對個人信息保護(hù)力度正在不斷加大。

在剛剛完成向社會征求意見的《中華人民共和國個人信息保護(hù)法(草案)》(以下簡稱《草案》)備受業(yè)界關(guān)注。如今，“大數(shù)據(jù)殺熟”、個人信息泄露問題一直是備受爭議和詬病的問題。在大數(shù)據(jù)潮流的沖擊下，金融機構(gòu)對個人信息安全及用戶隱私保護(hù)等方面正面臨新的挑戰(zhàn)。保障個人信息安全已成為各金融機構(gòu)安全保障義務(wù)的核心內(nèi)容。

《草案》對于金融機構(gòu)及金融業(yè)影響如何?金融機構(gòu)在個人信息數(shù)據(jù)安全及事后審計問責(zé)方面面臨怎樣的嚴(yán)監(jiān)管?對此《證券日報》記者專訪了中國銀行法學(xué)研究會理事肖颯。

《證券日報》：《草案》對金融機構(gòu)在個人金融信息保護(hù)上提出了哪些新要求?

肖颯：《草案》對金融機構(gòu)在個人金融信息保護(hù)上提出了更高的要求。其通過個人信息的處理原則、處理義務(wù)、敏感信息的處理規(guī)則和相關(guān)處罰標(biāo)準(zhǔn)等規(guī)定，為保護(hù)個人金融信息提供了法律保障。

具體來看：第一，規(guī)定了處理個人信息的七個基本原則，即合法性原則、目的明確原則、最小必要原則、公開透明原則、準(zhǔn)確性原則、可問責(zé)性原則、數(shù)據(jù)安全原則;第二，明確了個人信息處理者的多項義務(wù)，具體包括6個方面;第三，對個人敏感信息的處理提出了更高要求。包括：(1)個人信息處理者只有在具有特定目的和充分必要的情形下才能處理敏感個人信息。(2)需向個人告知處理敏感個人信息的必要性以及對個人的影響，并取得個人的單獨同意或依法取得書面同意;第四，規(guī)定了對違法處理個人信息的相關(guān)處罰標(biāo)準(zhǔn)。

總體來看，對金融機構(gòu)而言更加嚴(yán)苛，金融機構(gòu)在個人信息保護(hù)方面正面臨嚴(yán)監(jiān)管。

《證券日報》：能否展開談?wù)劇恫莅浮穼鹑跈C構(gòu)違法處理個人信息的相關(guān)處罰標(biāo)準(zhǔn)?

肖颯：此次對違法處理個人信息的法律責(zé)任做了全面規(guī)定，全方位規(guī)定了違法處理個人信息的處罰形式，具體的處罰形式包括：責(zé)令改正、沒收違法所得、給予警告、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照、記入信用檔案等等。目前，對違法處理個人信息的有關(guān)問題，監(jiān)管層一直處于嚴(yán)監(jiān)管態(tài)勢。

《證券日報》：在個人信息數(shù)據(jù)安全及金融機構(gòu)技術(shù)措施應(yīng)用等方面是否也提出較為嚴(yán)格的要求?

肖颯：確實是的。《草案》對個人信息數(shù)據(jù)安全及金融機構(gòu)技術(shù)措施應(yīng)用和事后審計問責(zé)等提出了更為具體的要求。一是制定內(nèi)部管理制度和操作規(guī)程;二是對個人信息實行分級分類管理;三是采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施;四是合理確定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn);五是制定并組織實施個人信息安全事件應(yīng)急預(yù)案;六是指定個人信息保護(hù)負(fù)責(zé)人;七是對個人信息處理活動的合法性進(jìn)行審計;八是對個人信息處理活動在事前進(jìn)行風(fēng)險評估。

在事后審計問責(zé)方面也有了明確規(guī)定，其中違法處理個人信息，或者處理個人信息未按照規(guī)定采取必要的安全保護(hù)措施的，由履行個人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，給予警告;拒不改正的，并處一百萬元以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。這些規(guī)定是給個人信息處理者履行義務(wù)施加了明確了規(guī)范，避免個人信息的保護(hù)責(zé)任落為空談。

《證券日報》：從行業(yè)角度看，目前金融業(yè)在個人信息安全保護(hù)情況如何?以您多年從業(yè)經(jīng)驗，能否為金融機構(gòu)在個人信息保護(hù)方面工作提些建設(shè)性的意見?

肖颯：《草案》的提出是我國法治的進(jìn)步。從行業(yè)角度看，金融機構(gòu)保護(hù)個人信息的力度還遠(yuǎn)遠(yuǎn)不夠，任重而道遠(yuǎn)。金融業(yè)個人信息泄露事件頻發(fā)，側(cè)面反映了金融機構(gòu)對保護(hù)用戶個人信息安全上確實存在不足。

未來，金融機構(gòu)在個人信息保護(hù)工作上，首先，在取得個人信息的時候，應(yīng)該明確告知并且取得權(quán)利人的同意;其次，金融機構(gòu)處理個人信息的過程中應(yīng)當(dāng)采取必要措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露或者被竊取、篡改、刪除;最后，金融機構(gòu)發(fā)現(xiàn)個人信息泄露的，應(yīng)當(dāng)立即采取補救措施。建議，各大金融機構(gòu)應(yīng)該建立事前審查機制、安全防護(hù)機制、事后補救機制等來保護(hù)用戶的個人信息安全。(李冰)