2022年7月4日，内蒙古若辉律师事务所（以下简称若辉所）高级合伙人陈燕君律师受邀为中国银行股份有限公司呼和浩特市新城支行开展《个人信息保护法》（以下简称《个保法》）系列讲座。

▲若辉所高级合伙人陈燕君律师

       陈燕君律师结合金融机构的业务模式以及相关案例，从金融机构的视角来为大家解读《个保法》的相关内容。在解读过程中，主要涉及了《个保法》的出台的现实背景、我国针对个人信息保护层面的法律体系现状以及发展历程、《个保法》的核心规则以及这部法律的核心亮点几个方面内容，将《个保法》进行了系统的介绍。最后，陈燕君律师结合金融机构的实务，对金融机构在适用《个保法》过程中应注意的问题进行概括总结。

下面将本次讲座活动的主要内容，与大家分享：

一、《个人信息保护法》的出台背景及发展现状

      大数据时代、网络信息化的发展，是个保法出台的一个必然。大数据时代的到来，我们搜集信息变得非常便利，随着4G的全面铺开，在技术层面上有可能对海量数据进行收集、分析，并最终运用相关数据分析的结果实现“预测”。在此背景下，不可避免地，我们每一个人的行为信息、身份信息都可能会被收集、整理成数据并被分析。这就给不法分子有了钻空子的机会。我们的信息经常可能被各种传播、买卖，这也是为什么我们经常接不明来路的电话的原因。为了避免不合法不规范的使用个人信息的行为受到约束，个保法应运而生。《个人信息保护法》制定工作于2018年被列入十三届全国人大常委会立法规划的第一类立法项目。在经历人大常委会三次审议后，《个人信息保护法》于2021年8月通过，于同年11月1日正式实施。

二、个人信息保护的法律体系

       陈燕君律师从法律、法规规章、司法解释、行业标准四个方面列举了有关个人信息保护的相关法律规范。在个人信息保护法出台前，我国个人信息保护大致经历了刑法先行、行政领域多管齐下、民法补齐这三个阶段，经过前面的铺垫，出台个人信息保护法水到渠成。

三、《个人信息保护法》的核心规则

（一）告知-同意规则

只有数据主体在充分知情的前提下自愿、明确作出的同意才能构成数据处理行为的合法基础。

第一、告知内容有哪些？

1.个人信息处理者的名称或者姓名和联系方式；

2.个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

3.个人行使本法规定权利的方式和程序；

4.法律、行政法规规定应当告知的其他事项。

5.前款规定事项发生变更的，应当将变更部分告知个人。

6.个人信息处理者通过制定个人信息处理规则的方式告知上述规定事项的，处理规则应当公开，并且便于查阅和保存。

7.个人信息处理者处理敏感个人信息的，除上述事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

第二、同意的豁免情形？

1.为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；2.为履行法定职责或者法定义务所必需；3.为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；4.为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；5.依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；6.法律、行政法规规定的其他情形。

第三、同意有哪些形式？

个人同意

单独同意

重新同意

撤回同意

（二）信息分类规则

第一、一般个人信息VS敏感个人信息

《个保法》第二十八条：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，个人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

第二、个人金融信息vs敏感个人信息

个人金融信息的定义：个人金融信息是指银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息。个人金融信息的概念和分类来源于《个人金融信息保护技术规范》。

依据《信息安全技术 个人信息安全规范》（GB/T 35273—2020 ）附录B个人敏感信息判定列表中，列明个人财产信息属于个人敏感信息，适用个人信息相关法律规范。

四、《个人信息保护法》的亮点

确立原则：全面规定一般个人信息处理者和国家机关处理个人信息的原则与规则统一规范个人信息处理活动

关注重点：突出对敏感个人信息保护，特别是加强对不满14周岁未成年人个人信息的保护，重点规范自动化决策合人脸识别应用的个人信息保护

分层保护：对不同类型的个人信息采取分级保护措施，对不同类别的个人信息处理者（企业）设置与其能力相适用的义务与责任

明确职责：明确了国家网信管理部门在个人信息保护方面的统筹、协调职责

放眼全球：强化个人信息本地存储和出境的管理制度，保护公民个人信息安全和国家安全

多方监管：应用多种法律责任综合保护个人信息制裁违法处理个人信息的行为

公益兜底：创设个人信息保护公益诉讼制度，赋予检察院、国家规定的消费者权益保护组织、网信部门确定的组织等提起个入信息保护公益诉讼的职能

五、金融视角下《个人信息保护法》的应用

建议一：金融机构应充分了解与熟悉个人信息的范围，知晓如何分辨个人信息的分类，避免在业务操作过程中过度搜集个人信息。

建议二：金融机构除履行法定职责外，在搜集使用处理个人信息时均应获得客户的同意，且在不同业务实施过程中应获得客户的重新同意或允许客户撤回同意。

建议三：商业银行应主动落实《个人信息保护法》赋予客户的个人信息查阅、复制权、删除权等。

建议四：商业银行应根据《个人信息保护法》相关规定，对客户的敏感个人信息进行重点保护法。

建议五：建议商业银行在开发区域特色网络支付产品时，应严格遵守《个人信息保护法》、《网络安全法》、《个人信息安全规范》等相关规定，在为客户开通人脸支付、指纹支付等功能时，不得擅自保存客户个人生物识别信息，尤其是在客户完成账户销户且保存期满之后，系统应同时彻底删除客户个人的生物识别信息。

建议六：加强已收集客户个人信息的内部管理，避免信息外泄导致的声誉风险和银行员工可能涉及的刑事责任风险。

建议七：《个人信息保护法》对商业银行适用更加严苛的举证责任方式，倒逼商业银行保存好处理客户个人信息的各种证据。

建议八：金融机构在贷款逾期委托催收过程中应严格遵守《个保法》的规定，同时遵循中国银行业协会下发的《信用卡催收操作指引（试行）》的相关规定。