金融機(jī)構(gòu)采集使用個(gè)人信息數(shù)據(jù)正面臨嚴(yán)監(jiān)管 避免個(gè)人信息的保護(hù)責(zé)任落為空談

今年以來(lái)，監(jiān)管層對(duì)個(gè)人信息保護(hù)力度正在不斷加大。

在剛剛完成向社會(huì)征求意見(jiàn)的《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)》(以下簡(jiǎn)稱《草案》)備受業(yè)界關(guān)注。如今，“大數(shù)據(jù)殺熟”、個(gè)人信息泄露問(wèn)題一直是備受爭(zhēng)議和詬病的問(wèn)題。在大數(shù)據(jù)潮流的沖擊下，金融機(jī)構(gòu)對(duì)個(gè)人信息安全及用戶隱私保護(hù)等方面正面臨新的挑戰(zhàn)。保障個(gè)人信息安全已成為各金融機(jī)構(gòu)安全保障義務(wù)的核心內(nèi)容。

《草案》對(duì)于金融機(jī)構(gòu)及金融業(yè)影響如何?金融機(jī)構(gòu)在個(gè)人信息數(shù)據(jù)安全及事后審計(jì)問(wèn)責(zé)方面面臨怎樣的嚴(yán)監(jiān)管?對(duì)此《證券日?qǐng)?bào)》記者專訪了中國(guó)銀行法學(xué)研究會(huì)理事肖颯。

《證券日?qǐng)?bào)》：《草案》對(duì)金融機(jī)構(gòu)在個(gè)人金融信息保護(hù)上提出了哪些新要求?

肖颯：《草案》對(duì)金融機(jī)構(gòu)在個(gè)人金融信息保護(hù)上提出了更高的要求。其通過(guò)個(gè)人信息的處理原則、處理義務(wù)、敏感信息的處理規(guī)則和相關(guān)處罰標(biāo)準(zhǔn)等規(guī)定，為保護(hù)個(gè)人金融信息提供了法律保障。

具體來(lái)看：第一，規(guī)定了處理個(gè)人信息的七個(gè)基本原則，即合法性原則、目的明確原則、最小必要原則、公開透明原則、準(zhǔn)確性原則、可問(wèn)責(zé)性原則、數(shù)據(jù)安全原則;第二，明確了個(gè)人信息處理者的多項(xiàng)義務(wù)，具體包括6個(gè)方面;第三，對(duì)個(gè)人敏感信息的處理提出了更高要求。包括：(1)個(gè)人信息處理者只有在具有特定目的和充分必要的情形下才能處理敏感個(gè)人信息。(2)需向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人的影響，并取得個(gè)人的單獨(dú)同意或依法取得書面同意;第四，規(guī)定了對(duì)違法處理個(gè)人信息的相關(guān)處罰標(biāo)準(zhǔn)。

總體來(lái)看，對(duì)金融機(jī)構(gòu)而言更加嚴(yán)苛，金融機(jī)構(gòu)在個(gè)人信息保護(hù)方面正面臨嚴(yán)監(jiān)管。

《證券日?qǐng)?bào)》：能否展開談?wù)劇恫莅浮穼?duì)金融機(jī)構(gòu)違法處理個(gè)人信息的相關(guān)處罰標(biāo)準(zhǔn)?

肖颯：此次對(duì)違法處理個(gè)人信息的法律責(zé)任做了全面規(guī)定，全方位規(guī)定了違法處理個(gè)人信息的處罰形式，具體的處罰形式包括：責(zé)令改正、沒(méi)收違法所得、給予警告、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照、記入信用檔案等等。目前，對(duì)違法處理個(gè)人信息的有關(guān)問(wèn)題，監(jiān)管層一直處于嚴(yán)監(jiān)管態(tài)勢(shì)。

《證券日?qǐng)?bào)》：在個(gè)人信息數(shù)據(jù)安全及金融機(jī)構(gòu)技術(shù)措施應(yīng)用等方面是否也提出較為嚴(yán)格的要求?

肖颯：確實(shí)是的。《草案》對(duì)個(gè)人信息數(shù)據(jù)安全及金融機(jī)構(gòu)技術(shù)措施應(yīng)用和事后審計(jì)問(wèn)責(zé)等提出了更為具體的要求。一是制定內(nèi)部管理制度和操作規(guī)程;二是對(duì)個(gè)人信息實(shí)行分級(jí)分類管理;三是采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施;四是合理確定個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn);五是制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案;六是指定個(gè)人信息保護(hù)負(fù)責(zé)人;七是對(duì)個(gè)人信息處理活動(dòng)的合法性進(jìn)行審計(jì);八是對(duì)個(gè)人信息處理活動(dòng)在事前進(jìn)行風(fēng)險(xiǎn)評(píng)估。

在事后審計(jì)問(wèn)責(zé)方面也有了明確規(guī)定，其中違法處理個(gè)人信息，或者處理個(gè)人信息未按照規(guī)定采取必要的安全保護(hù)措施的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒(méi)收違法所得，給予警告;拒不改正的，并處一百萬(wàn)元以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。這些規(guī)定是給個(gè)人信息處理者履行義務(wù)施加了明確了規(guī)范，避免個(gè)人信息的保護(hù)責(zé)任落為空談。

《證券日?qǐng)?bào)》：從行業(yè)角度看，目前金融業(yè)在個(gè)人信息安全保護(hù)情況如何?以您多年從業(yè)經(jīng)驗(yàn)，能否為金融機(jī)構(gòu)在個(gè)人信息保護(hù)方面工作提些建設(shè)性的意見(jiàn)?

肖颯：《草案》的提出是我國(guó)法治的進(jìn)步。從行業(yè)角度看，金融機(jī)構(gòu)保護(hù)個(gè)人信息的力度還遠(yuǎn)遠(yuǎn)不夠，任重而道遠(yuǎn)。金融業(yè)個(gè)人信息泄露事件頻發(fā)，側(cè)面反映了金融機(jī)構(gòu)對(duì)保護(hù)用戶個(gè)人信息安全上確實(shí)存在不足。

未來(lái)，金融機(jī)構(gòu)在個(gè)人信息保護(hù)工作上，首先，在取得個(gè)人信息的時(shí)候，應(yīng)該明確告知并且取得權(quán)利人的同意;其次，金融機(jī)構(gòu)處理個(gè)人信息的過(guò)程中應(yīng)當(dāng)采取必要措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露或者被竊取、篡改、刪除;最后，金融機(jī)構(gòu)發(fā)現(xiàn)個(gè)人信息泄露的，應(yīng)當(dāng)立即采取補(bǔ)救措施。建議，各大金融機(jī)構(gòu)應(yīng)該建立事前審查機(jī)制、安全防護(hù)機(jī)制、事后補(bǔ)救機(jī)制等來(lái)保護(hù)用戶的個(gè)人信息安全。