文：李冰

來源：證券日報

      ——專訪中國(guó)銀行法學(xué)研究會(huì)理事(shì)肖飒

    今年以來，監管層對(duì)個人信息保護力度正在不斷加大。

    在剛剛完成(chéng)向(xiàng)社會(huì)征求意見的《中華人民共和國(guó)個人信息保護法（草案）》（以下簡稱《草案》）備受業界關注。如今，“大數據殺熟”、個人信息洩露問題一直是備受争議和诟病的問題。在大數據潮流的沖擊下，金融機構對(duì)個人信息安全及用戶隐私保護等方面(miàn)正面(miàn)臨新的挑戰。保障個人信息安全已成(chéng)爲各金融機構安全保障義務的核心内容。

    《草案》對(duì)于金融機構及金融業影響如何？金融機構在個人信息數據安全及事(shì)後(hòu)審計問責方面(miàn)面(miàn)臨怎樣(yàng)的嚴監管？對(duì)此《證券日報》記者專訪了中國(guó)銀行法學(xué)研究會(huì)理事(shì)肖飒。

    《證券日報》：《草案》對(duì)金融機構在個人金融信息保護上提出了哪些新要求？

    肖飒：《草案》對(duì)金融機構在個人金融信息保護上提出了更高的要求。其通過(guò)個人信息的處理原則、處理義務、敏感信息的處理規則和相關處罰标準等規定，爲保護個人金融信息提供了法律保障。

    具體來看：第一，規定了處理個人信息的七個基本原則，即合法性原則、目的明确原則、最小必要原則、公開(kāi)透明原則、準确性原則、可問責性原則、數據安全原則；第二，明确了個人信息處理者的多項義務，具體包括6個方面(miàn)；第三，對(duì)個人敏感信息的處理提出了更高要求。包括：（1）個人信息處理者隻有在具有特定目的和充分必要的情形下才能(néng)處理敏感個人信息。（2）需向(xiàng)個人告知處理敏感個人信息的必要性以及對(duì)個人的影響，并取得個人的單獨同意或依法取得書面(miàn)同意；第四，規定了對(duì)違法處理個人信息的相關處罰标準。

    總體來看，對(duì)金融機構而言更加嚴苛，金融機構在個人信息保護方面(miàn)正面(miàn)臨嚴監管。

    《證券日報》：能(néng)否展開(kāi)談談《草案》對(duì)金融機構違法處理個人信息的相關處罰标準？

    肖飒：此次對(duì)違法處理個人信息的法律責任做了全面(miàn)規定，全方位規定了違法處理個人信息的處罰形式，具體的處罰形式包括：責令改正、沒(méi)收違法所得、給予警告、罰款、責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照、記入信用檔案等等。目前，對(duì)違法處理個人信息的有關問題，監管層一直處于嚴監管态勢。

    《證券日報》：在個人信息數據安全及金融機構技術措施應用等方面(miàn)是否也提出較爲嚴格的要求？

    肖飒：确實是的。《草案》對(duì)個人信息數據安全及金融機構技術措施應用和事(shì)後(hòu)審計問責等提出了更爲具體的要求。一是制定内部管理制度和操作規程；二是對(duì)個人信息實行分級分類管理；三是采取相應的加密、去标識化等安全技術措施；四是合理确定個人信息處理的操作權限，并定期對(duì)從業人員進(jìn)行安全教育和培訓；五是制定并組織實施個人信息安全事(shì)件應急預案；六是指定個人信息保護負責人；七是對(duì)個人信息處理活動的合法性進(jìn)行審計；八是對(duì)個人信息處理活動在事(shì)前進(jìn)行風險評估。

    在事(shì)後(hòu)審計問責方面(miàn)也有了明确規定，其中違法處理個人信息，或者處理個人信息未按照規定采取必要的安全保護措施的，由履行個人信息保護職責的部門責令改正，沒(méi)收違法所得，給予警告；拒不改正的，并處一百萬元以下罰款；對(duì)直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。這(zhè)些規定是給個人信息處理者履行義務施加了明确了規範，避免個人信息的保護責任落爲空談。

    《證券日報》：從行業角度看，目前金融業在個人信息安全保護情況如何？以您多年從業經(jīng)驗，能(néng)否爲金融機構在個人信息保護方面(miàn)工作提些建設性的意見？

    肖飒：《草案》的提出是我國(guó)法治的進(jìn)步。從行業角度看，金融機構保護個人信息的力度還(hái)遠遠不夠，任重而道(dào)遠。金融業個人信息洩露事(shì)件頻發(fā)，側面(miàn)反映了金融機構對(duì)保護用戶個人信息安全上确實存在不足。

    未來，金融機構在個人信息保護工作上，首先，在取得個人信息的時候，應該明确告知并且取得權利人的同意；其次，金融機構處理個人信息的過(guò)程中應當采取必要措施确保個人信息處理活動符合法律、行政法規的規定，并防止未經(jīng)授權的訪問以及個人信息洩露或者被(bèi)竊取、篡改、删除；最後(hòu)，金融機構發(fā)現個人信息洩露的，應當立即采取補救措施。建議，各大金融機構應該建立事(shì)前審查機制、安全防護機制、事(shì)後(hòu)補救機制等來保護用戶的個人信息安全。