个人信息保护法下金融机构合规提示

《中华人民共和国个人信息保护法》（以下简称为《个人信息保护法》）于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过，并将于2021年11月1日起施行。该法建立了对于自然人个人信息处理的保护制度，构建以“告知-同意”为核心的个人信息处理规则，保障个人在个人信息处理活动中的各项权利，强化个人信息处理者的义务，明确个人信息保护的监管职责，并设置严格的法律责任。

在《个人信息保护法》颁布之前，金融领域涉及个人信息保护的相关规定仅有中国人民银行制定实施的部门规章《金融消费者权益保护实施办法》（中国人民银行令〔2020〕第5号，以下简称“《金融消保办法》”）及行业规范：《个人金融信息保护技术规范》（JR/T 0171—2020，以下简称“《金融信息保护规范》”）。本次《个人信息保护法》的出台，对比上述部门规章和行业规范，首次在法律层面提出个人信息保护要求，对金融机构提出了更高层次的合规和监管要求。

一、《个人信息保护法》在金融领域主要规范的主体

由于《个人信息保护法》主要强调在信息处理中个人即信息主体的权利，该法主要强化“信息处理者”的义务，规范“信息处理者”的行为。具体到金融领域，本法主要规范的主体即为收集、处理大量个人信息的金融机构和类金融机构。《个人信息保护法》出台后，上述机构一旦出现违反个人信息保护义务的行为，将可能面临轻则由监管部门责令改正、重则吊销相关业务许可和牌照，同时面临对机构处以最高五千万元罚款、对直接责任人员处以最高一百万元罚款与限期从业禁止。可见，“个人信息保护”将成为金融机构新的合规重地。

从机构类型来看，凡是在业务过程中可能获取、处理大量个人信息的金融机构在本法下都将受到信息保护义务的规制。因此，包括银行业和证券业金融机构、互联网金融从业机构、地方性金融组织及私募基金管理人等经行业自律组织备案的“持牌机构”等金融领域各主体均可能在本法的要求下面临新的合规要求。（本文讨论的“金融机构”泛指金融领域各类型主体。）

从地域来看，《个人信息保护法》第3条第1款规定“在中华人民共和国境内处理自然人个人信息的活动，适用本法。”，第3条第2款规定“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。”可见，金融领域受该法规制的主体既包括国内的金融机构、类金融机构，也包括向我国境内自然人提供金融服务、金融产品的境外金融机构。

二、金融机构运作中的“个人信息”分类

《个人信息保护法》对于“个人信息”的定义较为宽泛，将“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”均作为个人信息保护的范围。

在该范围下，符合“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”被定义为“敏感个人信息”，与其他“个人信息”的一般规则相比，“敏感个人信息”被设立了更高级别的处理规则。

可以看出，《个人信息保护法》将“个人信息”进行了二分，分为“敏感个人信息”和其他“个人信息”，均进行保护，其中对“敏感信息”的保护义务更高。而对比金融业目前有效的行业规范《金融信息保护规范》中对于个人金融信息的分类，《金融信息保护规范》按敏感程度从高到低将个人信息分为了C3、C2、C1三个类别：

在对三个类别的描述中，C1类别为“可能会对个人金融信息主体的信息安全与财产安全造成一定影响。”的个人信息，从文义来看与《个人信息保护法》中“一旦泄露或者非法使用，容易导致自然人的财产安全受到危害的个人信息”的定义存在交叉，因而C1类别信息与《个人信息保护法》中的“敏感信息”和其他“个人信息”的定义存在交叉。而C2、C3类别均提到“会对个人的信息安全和财产安全造成危害”，符合“一旦泄露或者非法使用，容易导致自然人的财产安全受到危害的个人信息”的定义，C2、C3类别均属于《个人信息保护法》中提到的“敏感信息”。

再结合上表总结的C1、C2、C3三个类别涉及的具体信息范围，可以看到金融领域涉及到的大部分信息，都属于《个人信息保护法》中的“敏感信息”，应当受到特别保护。

三、《个人信息保护法》下对金融信息保护的要求

1. 原则性要求

《个人信息保护法》构建了以“告知-同意”为核心的个人信息处理规则，即只有满足《个人信息保护法》第十三条规定的下列情况之一，才可对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理。

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

除（二）至（七）款的业务必需和涉及公共利益等特殊情况外，上述规则将“告知+同意”作为处理个人信息的一般前提，强调了信息主体的知情权和决定权。与金融领域中信息保护提出的原则 ，即将《金融消保办法》中对个人信息的“明示同意”与“合法、正当、必要原则”进行了明确与法律上的确认。

2. 具体操作中的要求

如前所述，《个人信息保护法》将个人信息处理进行了一般规定和对于“敏感个人信息”的额外保护规定。

对于所有个人信息，相关保护义务主要包括（1）未经单独同意不得进行公开；（2）不得在公共场所进行除维护公共安全外的图像采集和个人身份识别；（3）在自动化决策方面也应秉持公开、透明等要求；（4）在向其他信息处理者提供个人信息时，个人信息处理者应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

对于“敏感个人信息”，除了满足上述对个人信息的规定，个人信息处理者还需要（1）在处理信息时采取严格保护措施；（2）取得个人的单独同意；（3）向个人告知处理敏感个人信息的必要性以及对个人权益的影响；（4）在处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则，并在处理时取得其监护人同意。

结合上述将《个人信息保护法》对“敏感信息”的描述与《金融信息保护规范》对金融领域涉及到个人信息的三级分类的对比可见，金融领域涉及到的大部分信息都属于《个人信息保护法》中的“敏感信息”，因此金融机构既要满足对个人信息的一般规定，也要特别注意对于“敏感个人信息”的特别要求。

四、个人信息衍生信息的保护

在当前金融大数据的背景下，金融机构利用其已掌握的个人信息往往会进行进一步的深度挖掘，计算出客户的支付能力、交易习惯、消费偏好等具有商业价值的信息已成为常态。此时需注意，衍生出的信息仍与原信息主体的信息紧密相关，故仍属于“电子或者其他方式记录的与已识别或者可识别的自然人有关的信息”，构成个人信息。且很有可能属于“一旦泄露或者非法使用，容易导致自然人的财产安全受到危害的个人信息”定义下的“敏感信息”，金融机构在使用这些衍生信息的时候，也需要落实信息保护的相关要求。

另外，金融机构在提供服务时，如果存在通过代码、程序等对个人信息计算后进行自动化决策的，根据《个人信息保护法》第24条的规定，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。同时，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。如果相应自动化决策方式可能作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

但匿名化处理后的信息不属于《个人信息保护法》保护的范围，金融机构可以对匿名化处理后的信息自行进行信息处理。根据《个人信息保护法》第4条的规定“个人信息不包括匿名化处理后的信息”，故这类已经脱离了具体化自然人的信息就脱离了该法规定的“个人信息”，不受该法相关保护义务的限制。

五、法律责任

《个人信息保护法》对于违法处理个人信息的行为设立了行政处罚和民事赔偿制度，对于金融机构来说，对比《金融消保办法》，《个人信息保护法》中对于违法处理信息的惩戒力度大幅增加。

在行政处罚方面，《个人信息保护法》对未造成严重后果的轻微或一般违法行为，可由执法部门责令改正、给予警告、没收违法所得，对拒不改正的最高可处一百万元罚款；对情节严重的违法行为，最高可处五千万元或上一年度营业额百分之五的罚款，并可以对相关责任人员作出最高一百万元罚款及相关从业禁止的处罚。同时，个人信息保护法还专门规定，对违法处理个人信息的应用程序，可以责令暂停或终止提供服务。

在民事责任方面，个人信息保护法明确，处理个人信息侵害个人信息权益造成损害的，个人信息处理者如不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

参考：人民法院报《个人信息保护法：构建以“告知-同意”为核心的处理规则》

近期热文

• 刚兑那些事儿（一）：差额补足文件的性质与效力问题

• 刚兑那些事儿（二）：私募基金管理人关联方提供差额补足的效力认定及责任承担

• 协力所受邀为建发集团分享“私募基金与险资合作路径”实务

• 《关于做好不动产抵押权登记工作的通知》解读＆影响

• 一文掌握上市公司对外担保相关问题

• 简析最高院《民法典会议纪要》关于总则编、合同编部分规定

• 马晨光律师受邀为山东省律协做房地产证券化主题演讲

• 证券公司参与债券业务的多重角色与利益冲突防范

• 不同执行程序对债权人获偿比例的影响 ——对新《执行工作若干问题的规定》清偿顺序问题的解读

• 央行《动产和权利担保统一登记办法（修订征求意见稿）》要点解读

• 民法典时代，金融领域格式条款裁判规则全汇总

• 协力受邀为杭州金投提供私募基金实务讲座

• 协力金融并购团队代理一案入选上海高院——2020年度上海法院金融商事审判十大案例

• 私募基金清算实务问题详解

• 当事人未提起解除合同的诉请，法院可以径行解除合同吗？

• “2021上海资产管理法治论坛——资管争端的法律实务”成功举办

• 理财公司销售合规中的适当性义务履行—兼析《理财公司理财产品销售管理暂行办法》

• 滴滴海外IPO构成虚假陈述吗？——滴滴在美面临集体诉讼面面观

• 取消虚假陈述民事诉讼前置程序对行业的影响与挑战

• 协力业绩 | 协力所成功入选申万宏源外聘律师信息库

• 穿透式司法审查下，“名为实为”交易模式中虚伪意思表示的效力将被否定

• 案例评析 | 上海金融法院：基金的清算结果是认定投资损失的重要依据而非唯一依据

金融并购团队介绍

协力金融并购团队致力于金融资产管理全流程法律服务，业务范围涉及私募股权、银行、信托、房地产投融资、公司治理及复杂商事争议解决等方面。团队律师具有大型资管项目服务经验，并在资产管理争议解决方面享有盛名。在私募基金领域，团队律师擅长为各类私募基金管理机构提供管理人设立及合规运作，并为私募基金“募、投、管、退”提供全流程风控及合规管理法律服务。凭借专业能力，协力所获评2018-2020年钱伯斯(Chambers and Partners）“公司/商事：东部沿海（上海）” 第一等推荐律所、《国际金融法律评论》（IFLR1000）私募股权领先律所（2020）。

金融法律评论与实务

联系方式:15959261925