• 首页
  • 全球快讯
  • 未央推荐
    科技·经济·生活
  • 专题
  • 视频
  • 研究
  • 活动
  • 未央出版
  • 五十人论坛
  • 关于我们

    • 清华大学金融科技研究院孵化
    金融科技与金融创新全媒体

  • 登录
  • 注册

    • 扫描分享

    本文共字,预计阅读时间

    文/陈立彤

    自两月前《个人信息保护法》草案(下称“草案”)征求意见以来,数据合规的问题在法学实务届已成为关注焦点,飒姐团队近期所撰写的关联文章不在少数。至于今日,飒姐团队希望就几个重要领域的个人信息保护作出分析,旨在为特定领域的数据合规提供依据与思路,供各位老友参考。

    一、未成年个人信息保护

    由于接受新生事物的速度快,未成年人使用各类电子产品与应用的需求及频率都在迅速增长,与之相应的,因未成年人使用电子产品而滋生的民事纠纷亦不在少数,这也就要求运营者识别主体身份,并对未成年人信息施行更进一步的保护。

    对于未成年人个人信息的特殊保护,目前法律依据主要有二:

    其一,草案第十五条规定:“个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的,应当取得其监护人的同意。”

    其二,由国家互联网信息办公室颁布,2019年10月1日生效的《儿童个人信息网络保护规定》对未成年人个人信息的保护设定了诸多要求。

    经飒姐团队整理,可能涉及未成年人信息保护的网络运营者须特别注意如下内容:

    1.网络运营者需要通过申报制度或者信息技术等途径,识别网络使用者的主体年龄,确保不会遗漏“应当知道”的未成年人。

    2.网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。

    3.知悉未成年人系限制民事行为能力人或无民事行为能力人的事实,未成年人的同意存在意思表示之瑕疵,在需要书面或口头同意的环节,运营者应获取未成年人监护人的同意。

    二、金融个人信息保护

    在金融市场不断推进普惠化的今天,金融个人信息已成为敏感个人信息的重要组成部分。在草案第二章“个人信息处理规则”第二节“敏感个人信息的处理规则”之中,草案将金融账户等金融个人信息规定为敏感信息,并对其作出进一步法律保护的规定。

    结合草案中的关联条款、2020年11月1日出台的《中国人民银行金融消费者权益保护实施办法》第三章“消费者金融信息保护”的有关内容以及2020年2月13日施行的《个人金融信息保护技术规范》,飒姐团队整理金融个人信息保护的重要合规内容如下:

    1.个人金融信息的保护须具体到信息处理的每一环节

    区别于草案将“处理”这个涵盖多种行为类型的概念作为立法调整对象的模式,《中国人民银行金融消费者权益保护实施办法》与《个人金融信息保护技术规范》对个人金融信息规定都具体到了收集、传输、存储、使用、删除、销毁等每一环节,并依照各环节的特性作出相应的规定。

    2.个人金融信息处理者的告知义务更为严苛

    草案第十八条第二款要求个人信息处理者向个人告知:个人信息的处理目的、处理方式,处理的个人信息种类、保存期限。而在个人金融信息领域的规定中,除告知收集目的、方式等基本信息外,如通过格式合同进行,还要求个人信息处理者在格式合同中明确信息收集的内容、使用范围以及同意收集后的可能后果。

    3.个人金融信息处理者不得以消费者未提供金融信息为由拒绝提供服务

    根据规定,金融消费者不同意提供个人金融信息的,银行、支付机构不得因此拒绝提供金融产品或者服务,除非该等信息为提供产品与服务之所必需。相较于大多程序不获取个人信息授权就不允许使用的做法,个人金融信息保护的规定在一定程度上保障了金融机构的普惠责任,给予了金融消费者选择的空间。

    三、境外个人信息保护

    草案第三章“个人信息跨境提供的规则”规定了个人信息处理者向中华人民共和国境外提供个人信息时所应遵守的规则,飒姐律师团队在梳理该规则的同时,结合国家互联网信息办公室2019年6月13日发布的《个人信息出境安全评估办法(征求意见稿)》为各位读者分析境外个人信息保护的特别规定:

    1.网络运营者在个人信息出境时,需报请所在地省级网信部门进行安全评估。评估的主要内容为:

    (1)是否符合国家有关法律法规和政策规定;

    (2)合同条款是否能够充分保障个人信息主体合法权益;

    (3)合同能否得到有效执行;

    (4)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;

    (5)网络运营者获得个人信息是否合法、正当;

    (6)其他应当评估的内容。

    2.在个人信息出境前,网络运营者应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。

    3.网络运营者需要与境外的个人信息接收者签订的合同或者其他有法律效力的文件,对合同内容的具体规定包括个人信息出境的目的、类型、保存时限、接收者责任义务、个人信息主体权利等内容。该等内容中,有许多为网络运营者和接收者新增义务的条款,包括“网络运营者代接收者先行赔付”、“应个人信息主体请求提供合同副本”等要求。

    写在最后

    不难发现,本文提及的诸多个人信息保护的关联法规都是近两年发布或施行的规范性文件。虽然包括草案在内的一些法规暂未正式施行生效,但从立法趋势与目的来看,飒姐团队认为,对网络运营者,暨个人信息处理者进行数据合规的重要性与必要性已昭然若揭——特别是在个人信息涉及诸多特殊领域之时,分门别类地合规处理将成为关键。

    [Source]

    本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

    本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

    本文版权归原作者所有,如有侵权,请联系删除。首图来自图虫创意。

    评论

    总文章数
    有建议?欢迎留言~
    猜你喜欢

    扫描二维码或搜索微信号“iweiyangx”
    关注未央网官方微信公众号,获取互联网金融领域前沿资讯。