清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

今天是《个人信息保护法》(下称《个信法》)生效的第一天,意味着我国对个人信息安全的保护进入了新的历史时期,我国公民的个人信息安全及隐私保护走上了新台阶。法律对银行等征信机构提出了更高的要求。

《个信法》要求银行等征信机构在处理一些特别的个人信息的时候,征信主体须取得个人的“单独同意”。但银行通常在进行业务活动时,为了提高效率降低成本,往往采用的都是格式条款。那么,银行在处理需要取得单独同意的个人信息时应当如何应对?以及当信息主体行使同意撤回权时,银行等征信机构该怎么做?

一、哪些信息银行应取得单独同意?

单独同意,目的是为了保障个人对其敏感信息的处理享有知情权、决定权,确保个人有权限制或者拒绝他人对其敏感信息进行处理。根据个人信息保护法的规定,需要取得单独同意的个人信息主要有以下几个方面:

(1)涉及向第三方提供个人信息的条款。《个信法》第23条:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

(2)涉及公开个人信息的条款。《个信法》第25条:个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。

(3)涉及在公共场所安装图像采集、个人身份识别设备,用于维护公共安全之外的其他目的条款。《个信法》第26条:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

(4)涉及敏感个人信息条款。《个信法》第29条:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

根据《个人信息保护法》第28条的规定,敏感个人信息的定义为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,同时以列举的方式说明了敏感个人信息的种类:生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息等。

(5)涉及个人信息出境的条款。《个信法》第39条:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

(6)涉及不满十四周岁未成年人个人信息的条款。《个信法》对未满十四周岁未成年人的特殊保护规定在第29条中,体现出对于未成年人信息保护的重视。

二、银行等机构取得单独同意的方法

根据《个信法》第14条的规定,只有同意是在个人充分知情的前提下自愿、明确作出,这个同意才能被认定为个人的真实意思表示,从而认定个人信息处理者基于该同意处理个人信息的行为是合法有效的。这就要求银行重视并设置同意前告知这一环节,在告知客户的时候要安排专业人员一对一提供服务,做到(1)使客户充分知情(2)自愿作出同意的意思表示和行为。以此取得个人单独同意。

在银行取得单独同意的具体方法方面,可以根据即将出台的、全国信息安全标准化技术委员会制定的《信息安全技术个人信息告知同意指南(征求意见稿)》执行。

对于储户自身方面,应当注意银行是否履行了告知义务,在涉及个人敏感信息(生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹)等方面应当即时向银行工作人员咨询,如果是涉及不满十四周岁未成年人的信息其监护人应当额外注意,及时向工作人员咨询。

三、同意撤回权行使后,银行等机构应当如何应对

《个信法》第15条规定:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。同意撤回权是《个信法》的亮点之一,有人也称其为明星条款,该条赋予了信息主体更多更大的自主权。但如何保证该条款可以有效实施对于银行等征信机构来说是一个难题,因为个人在首次授权之后,一些个人信息很容易会被复制走,客观上已经造成了信息流失,那这样撤回有何意义呢?银行在个人撤回后应该做哪些处理呢?

首先应当明确《个信法》中“同意撤回”是指个人信息主体基于“告知同意”原则,对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权予以取消的意思表示。对于姓名、身份证号、手机号、地址等静态、简短的信息在个人给出后极易流失,基本上一经给出就无法再有效撤回。并且在实践中即使撤回同意后,后续数据处理者也很难控制数据的流转。

因此,《个信法》第15条第2款明确“撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力,但需停止处理或及时删除其个人信息。”也就是说,《个信法》上的撤回权不是将个人信息的存在状态回溯到被给出之前,而是要求信息处理者以此为时间节点,终止收集处理个人信息并将已经获取的个人信息删除。《个信法》赋予公民此项权利的意义在于保障公民对个人信息拥有更多的决定权,充分体现了《个信法》对公民人权、人格尊严和隐私的保障和尊重。

《个信法》同时要求个人信息处理者提供便捷的撤回同意方式。就“便捷”而言,银行应当依照相关国家标准的精神,其便捷程度宜与给予授权的便捷程度相对等。因此,银行一方面应当提供“便捷”的撤回方式,另一方面应当在享有撤回权的主体撤回同意后,即时终止处理个人信息且有效删除存储的信息。

四、写在最后

今天是《个信法》生效的第一天,我国公民的数据权得到进一步保障的同时,银行等征信机构即将面临更加严格和全面的监管。从长远来看,《个信法》不仅保障了公民的隐私权、人格权等一系列宪法权利,也能有效防止数据资源被不法分子利用给个人和社会造成损害。这是我国在信息化时代的重大战略布局,银行等征信机构只有明确法律红线,在规范之内开展业务才是顺应时代所需,顺应人民所求的正确行为。

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文版权归原作者所有,如有侵权,请联系删除。首图来自图虫创意。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。