——专访中国银行法学研究会理事肖飒
本报记者 李冰
今年以来,监管层对个人信息保护力度正在不断加大。
在刚刚完成向社会征求意见的《中华人民共和国个人信息保护法(草案)》(以下简称《草案》)备受业界关注。如今,“大数据杀熟”、个人信息泄露问题一直是备受争议和诟病的问题。在大数据潮流的冲击下,金融机构对个人信息安全及用户隐私保护等方面正面临新的挑战。保障个人信息安全已成为各金融机构安全保障义务的核心内容。
《草案》对于金融机构及金融业影响如何?金融机构在个人信息数据安全及事后审计问责方面面临怎样的严监管?对此《证券日报》记者专访了中国银行法学研究会理事肖飒。
《证券日报》:《草案》对金融机构在个人金融信息保护上提出了哪些新要求?
肖飒:《草案》对金融机构在个人金融信息保护上提出了更高的要求。其通过个人信息的处理原则、处理义务、敏感信息的处理规则和相关处罚标准等规定,为保护个人金融信息提供了法律保障。
具体来看:第一,规定了处理个人信息的七个基本原则,即合法性原则、目的明确原则、最小必要原则、公开透明原则、准确性原则、可问责性原则、数据安全原则;第二,明确了个人信息处理者的多项义务,具体包括6个方面;第三,对个人敏感信息的处理提出了更高要求。包括:(1)个人信息处理者只有在具有特定目的和充分必要的情形下才能处理敏感个人信息。(2)需向个人告知处理敏感个人信息的必要性以及对个人的影响,并取得个人的单独同意或依法取得书面同意;第四,规定了对违法处理个人信息的相关处罚标准。
总体来看,对金融机构而言更加严苛,金融机构在个人信息保护方面正面临严监管。
《证券日报》:能否展开谈谈《草案》对金融机构违法处理个人信息的相关处罚标准?
肖飒:此次对违法处理个人信息的法律责任做了全面规定,全方位规定了违法处理个人信息的处罚形式,具体的处罚形式包括:责令改正、没收违法所得、给予警告、罚款、责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照、记入信用档案等等。目前,对违法处理个人信息的有关问题,监管层一直处于严监管态势。
《证券日报》:在个人信息数据安全及金融机构技术措施应用等方面是否也提出较为严格的要求?
肖飒:确实是的。《草案》对个人信息数据安全及金融机构技术措施应用和事后审计问责等提出了更为具体的要求。一是制定内部管理制度和操作规程;二是对个人信息实行分级分类管理;三是采取相应的加密、去标识化等安全技术措施;四是合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;五是制定并组织实施个人信息安全事件应急预案;六是指定个人信息保护负责人;七是对个人信息处理活动的合法性进行审计;八是对个人信息处理活动在事前进行风险评估。
在事后审计问责方面也有了明确规定,其中违法处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。这些规定是给个人信息处理者履行义务施加了明确了规范,避免个人信息的保护责任落为空谈。
《证券日报》:从行业角度看,目前金融业在个人信息安全保护情况如何?以您多年从业经验,能否为金融机构在个人信息保护方面工作提些建设性的意见?
肖飒:《草案》的提出是我国法治的进步。从行业角度看,金融机构保护个人信息的力度还远远不够,任重而道远。金融业个人信息泄露事件频发,侧面反映了金融机构对保护用户个人信息安全上确实存在不足。
未来,金融机构在个人信息保护工作上,首先,在取得个人信息的时候,应该明确告知并且取得权利人的同意;其次,金融机构处理个人信息的过程中应当采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除;最后,金融机构发现个人信息泄露的,应当立即采取补救措施。建议,各大金融机构应该建立事前审查机制、安全防护机制、事后补救机制等来保护用户的个人信息安全。