首頁»科技»正文

新法 | 個人特殊資訊,如何合規處理?

2021-11-02由 肖颯律師獅姐 發表于 科技

今天是《個人資訊保護法》(下稱《個信法》)生效的第一天,意味著我國對個人資訊保安的保護進入了新的歷史時期,我國公民的個人資訊保安及隱私保護走上了新臺階。法律對銀行等徵信機構提出了更高的要求。

《個信法》要求銀行等徵信機構在處理一些特別的個人資訊的時候,徵信主體須取得個人的“單獨同意”。但銀行通常在進行業務活動時,為了提高效率降低成本,往往採用的都是格式條款。那麼,

銀行在處理需要取得單獨同意的個人資訊時應當如何應對?以及當資訊主體行使同意撤回權時,銀行等徵信機構該怎麼做?

新法 | 個人特殊資訊,如何合規處理?

一、哪些資訊銀行應取得單獨同意?

單獨同意,目的是為了保障個人對其敏感資訊的處理享有知情權、決定權,確保個人有權限制或者拒絕他人對其敏感資訊進行處理。

根據個人資訊保護法的規定,需要取得單獨同意的個人資訊主要有以下幾個方面:

(1)

涉及向第三方提供個人資訊的條款

。《個信法》第23條:個人資訊處理者向其他個人資訊處理者提供其處理的個人資訊的,應當向個人告知接收方的名稱或者姓名、聯絡方式、處理目的、處理方式和個人資訊的種類,並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人資訊的種類等範圍內處理個人資訊。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。

(2)

涉及公開個人資訊的條款。

《個信法》第25條:個人資訊處理者不得公開其處理的個人資訊,取得個人單獨同意的除外。

(3)

涉及在公共場所安裝影象採集、個人身份識別裝置,用於維護公共安全之外的其他目的條款。

《個信法》第26條:在公共場所安裝影象採集、個人身份識別裝置,應當為維護公共安全所必需,遵守國家有關規定,並設定顯著的提示標識。所收集的個人影象、身份識別資訊只能用於維護公共安全的目的,不得用於其他目的;取得個人單獨同意的除外。

(4)

涉及敏感個人資訊條款。

《個信法》第29條:處理敏感個人資訊應當取得個人的單獨同意;法律、行政法規規定處理敏感個人資訊應當取得書面同意的,從其規定。

根據《個人資訊保護法》第28條的規定,敏感個人資訊的定義為“一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊”,同時以列舉的方式說明了敏感個人資訊的種類:生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊等。

(5)

涉及個人資訊出境的條款。

《個信法》第39條:個人資訊處理者向中華人民共和國境外提供個人資訊的,應當向個人告知境外接收方的名稱或者姓名、聯絡方式、處理目的、處理方式、個人資訊的種類以及個人向境外接收方行使本法規定權利的方式和程式等事項,並取得個人的單獨同意。

(6)

涉及不滿十四周歲未成年人個人資訊的條款。

《個信法》對未滿十四周歲未成年人的特殊保護規定在第29條中,體現出對於未成年人資訊保護的重視。

新法 | 個人特殊資訊,如何合規處理?

二、銀行等機構取得單獨同意的方法

根據《個信法》第14條的規定,

只有同意是在個人充分知情的前提下自願、明確作出,這個同意才能被認定為個人的真實意思表示,從而認定個人資訊處理者基於該同意處理個人資訊的行為是合法有效的。

這就要求銀行重視並設定同意前告知這一環節,在告知客戶的時候要安排專業人員一對一提供服務,做到(1)使客戶充分知情(2)自願作出同意的意思表示和行為。以此取得個人單獨同意。

在銀行取得單獨同意的具體方法方面,可以根據即將出臺的、全國資訊保安標準化技術委員會制定的《資訊保安技術個人資訊告知同意指南(徵求意見稿)》執行。

對於儲戶自身方面,應當注意銀行是否履行了告知義務,在涉及個人敏感資訊(生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡)等方面應當即時向銀行工作人員諮詢,如果是涉及不滿十四周歲未成年人的資訊其監護人應當額外注意,及時向工作人員諮詢。

新法 | 個人特殊資訊,如何合規處理?

三、同意撤回權行使後,銀行等機構應當如何應對

《個信法》第15條規定:基於個人同意處理個人資訊的,個人有權撤回其同意。個人資訊處理者應當提供便捷的撤回同意的方式。

同意撤回權是《個信法》的亮點之一,有人也稱其為明星條款,該條賦予了資訊主體更多更大的自主權。

但如何保證該條款可以有效實施對於銀行等徵信機構來說是一個難題,因為個人在首次授權之後,一些個人資訊很容易會被複制走,客觀上已經造成了資訊流失,那這樣撤回有何意義呢?銀行在個人撤回後應該做哪些處理呢?

首先應當明確《個信法》中

“同意撤回”是指個人資訊主體基於“告知同意”原則,對自己已經作出的“同意資訊處理者對其個人資訊進行處理”的授權予以取消的意思表示。

對於姓名、身份證號、手機號、地址等靜態、簡短的資訊在個人給出後極易流失,基本上一經給出就無法再有效撤回。並且在實踐中即使撤回同意後,後續資料處理者也很難控制資料的流轉。

因此,《個信法》第15條第2款明確“撤回同意不影響撤回前基於個人同意已進行的個人資訊處理活動的效力,但需停止處理或及時刪除其個人資訊。”也就是說,

《個信法》上的撤回權不是將個人資訊的存在狀態回溯到被給出之前,而是要求資訊處理者以此為時間節點,終止收集處理個人資訊並將已經獲取的個人資訊刪除。

《個信法》賦予公民此項權利的意義在於保障公民對個人資訊擁有更多的決定權,充分體現了《個信法》對公民人權、人格尊嚴和隱私的保障和尊重。

《個信法》同時要求個人資訊處理者提供便捷的撤回同意方式。就“便捷”而言,銀行應當依照相關國家標準的精神,其

便捷程度宜與給予授權的便捷程度相對等

。因此,銀行一方面應當提供“便捷”的撤回方式,另一方面應當在享有撤回權的主體撤回同意後,即時終止處理個人資訊且有效刪除儲存的資訊。

新法 | 個人特殊資訊,如何合規處理?

四、寫在最後

今天是《個信法》生效的第一天,我國公民的資料權得到進一步保障的同時,銀行等徵信機構即將面臨更加嚴格和全面的監管。從長遠來看,《個信法》不僅保障了公民的隱私權、人格權等一系列憲法權利,也能有效防止資料資源被不法分子利用給個人和社會造成損害。

這是我國在資訊化時代的重大戰略佈局,銀行等徵信機構只有明確法律紅線,在規範之內開展業務才是順應時代所需,順應人民所求的正確行為。

TAG: 個人資訊信法同意個人撤回