本报记者 李 冰
刚刚还在讨论一个物品,随后就收到类似产品的广告推送;随便浏览个房产信息,没多久就会接到销售的电话……很多手机用户可能都有过类似体验,怀疑自己的生活是否被“窃听”了,到底是谁动了我的个人信息?为什么手机会这么“懂”我?
自11月1日起,《个人信息保护法》正式实施,有望为个人信息保护加上法律的“安全锁”。
按照《个人信息保护法》的规定,金融机构作为“个人信息处理者”应该承担哪些义务?对金融服务业会产生哪些影响?为此,《证券日报》记者专访了北京大成律师事务所合伙人、中国银行法学研究会理事肖飒,从法律角度予以解读。
《证券日报》:《个人信息保护法》的实施,将对金融机构以及金融业产生何种影响?
肖飒:《个人信息保护法》实施后,金融机构在获得和使用公民个人信息时,将面临更严格的监管要求,大致体现在信息的获取、处理、撤回三个方面。尤其是在个人信息撤回方面,金融机构需要为客户提供便捷的撤回选项和撤回方式,并在客户撤回同意后,应当采取有效的措施及时停止处理已经获取的个人信息并将其删除。
《个人信息保护法》的实施,将对金融机构的相关展业带来一定挑战。一是对相关违法行为的处罚力度加大;二是针对不同信息处理者之间的边界问题,需要各方在合作协议和操作流程中厘清自身责任和义务边界,共同落实好相关规定。
《证券日报》:金融业中的“差异化销售”与侵害个人权益的“大数据杀熟”之间的界限在哪里?
肖飒:《个人信息保护法》第24条的自动化决策条款,回应了关于商家大数据杀熟、精准营销等大众广为关注的痛点问题,备受消费者关注。该条款规定,金融机构可以通过自动化决策方式向个人进行信息推送、商业营销,但应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
从金融业务实际操作层面来看,金融机构通过在提供商品和服务过程中获取的消费者个人信息,结合行为数据等做出用户画像,进而推行差异化服务,现已成为常态。区别“大数据杀熟”与“差异化销售”的标准主要有两个:一是商家是否隐瞒了相同产品不同定价、不同产品相同定价的情况;二是消费者在做出购买决策时,是否明知产品存在不同价格的情况。因此,界定是否属于“大数据杀熟”,关键要看消费者获得的信息是否全面透明、消费者是否属于“知情”条件下的“同意”。
《证券日报》:“匿名化处理后的信息”为什么不属于“个人信息”?“衍生个人信息”与金融机构自有的商业信息、商业秘密、知识产权之间存在怎样的关系?
肖飒:《个人信息保护法》第4条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”所谓个人信息,是指通过该信息能够识别到特定的自然人。信息经过匿名化处理后,已不能识别到特定自然人,因此不属于《个人信息保护法》规定的“个人信息”范畴。
例如,一家证券公司通过某个自然人客户群体的投资交易信息,分析提炼得出该群体具有何种投资偏好的结论,这些结论并不指向某个具体的投资者,也不会以此信息识别出是哪个投资者的具体交易信息,那么这个结论作为衍生个人信息,已经不再是《个人信息保护法》规定的“个人信息”,而是转化为金融机构自有的商业信息和商业秘密,金融机构拥有其知识产权。
事实上,衍生数据与网络用户信息、原始网络数据无直接对应关系,虽然同样源于网络用户信息,但经过网络运营者大量的智力劳动成果投入,经过深度开发与系统整合,最终呈现给消费者的数据内容已独立于网络用户信息、原始网络数据之外,可以为运营者所实际控制和使用,并带来经济利益。网络运营者对其开发的数据产品享有独立的财产性权益。
《证券日报》:按照《个人信息保护法》规定,金融机构作为“个人信息处理者”要承担哪些义务?有哪些环节需要注意?
肖飒:首先,金融机构在取得个人信息的环节,除第13条规定的例外情形外,应当以“取得个人同意”为前提,否则任何收集个人信息的行为都属违法。其次,《个人信息保护法》要求银行等金融机构在处理一些特别的个人信息的时候,征信主体须取得个人的“单独同意”。这些信息主要包括:涉及向第三方提供个人信息的条款;涉及公开个人信息的条款;涉及在公共场所安装图像采集、个人身份识别设备,用于维护公共安全之外的其他目的条款;涉及敏感个人信息条款;涉及个人信息出境的条款;涉及不满十四周岁未成年人个人信息的条款。但很多银行在进行业务办理时,为了提高效率、降低成本,往往都采用格式条款。
需要强调的是,银行等金融机构应注意取得“单独同意”的方式方法,金融机构需要设置“同意前告知”这一环节,在告知客户时,要安排专业人员“一对一”提供服务,使客户充分知情及自愿做出同意的意思表示和行为。
|