新闻中心

NEWS CENTER

李支:《个人信息安全法(草案)》背景下的金融数据合规问题

发布时间:2020-11-10 05:42:11|浏览次数:1361

11月3日,由北京金融科技产业联盟、移动支付网主办的2020第五届中国金融科技安全大会在深圳顺利召开。广东金融学院数字金融法律研究中心主任、华南商事仲裁研究院院长李支以《个人信息安全法(草案)》背景下的金融数据合规问题为题进行了分享。 


a4500c5e5a746683282f1fb7fff4bfca.jpg


首先,李支分享了对于《个人信息安全法(草案)》的两个共识: 


1、目前全国人大只是就《个人信息保护法(草案)》征求意见和建议,最终以正式公布的法案条文为准; 

2、个人信息保护是金融数据合规的关键性问题之一,但绝不限于此。 


基于这两个关键认识,《个人信息安全法(草案)》有四个特点:体现以人民为中心、强调保护与利用的平衡、强调全流程合法以及强调审慎处理个人信息。


李支表示,《个人信息安全法(草案)》的立法目的明确写了两个方面平衡,一个方面个人信息保护规范利用,另外一个方面是要促进个人信息开发、利用。


很明显,法案希望实现个人信息保护和个人信息开发利用的平衡。当然这个平衡点目前可能大家还在找。在个人信息处理方面,李支表示,目前不能太过于创新,不能用激进方式去使用信息,要尊重个人信息,尊重个人隐私。 


李支认为,《个人信息安全法(草案)》扩充了个人信息处理的合法性基础,主要体现在5个方面:


第一、必须要求个人同意;

第二、合同必需; 

第三法定职责或义务; 

第四、基于个人生命与财产安全紧急保护; 

第五、舆论监督。 


合规永远是金融机构最关心的话题,要处理个人信息,必须要符合5种情形之一,信息处理者才能处理个人信息。


《个人信息安全法(草案)》规定,为订立或者履行个人作为一方当事人的合同所必需,那么如何判定“合同所必需”?又如何判断“合同所必需”时是否仍需要“个人同意”?


李支表示,对如何判定“合同所必需”目前没有明确的答案,需要等待明确的标准。而对于“合同所必需”时是否仍需要“个人同意”这个问题,李支建议金融机构可以将类似条款做出抗辩的条款,一旦发生纠纷,将《个人信息保护法》里面确定合同所必需作为抗辩的理由。 


在共同处理信息的合规风险方面,李支认为有三个合规要点:个人同意;明确约定处理目的、处理方式、个人信息种类;不宜转委托。 


最后,李支对《个人信息安全法(草案)》可能带来的变化做出了自己的判断。他认为,《个人信息安全法(草案)》落地后在个人信息保护规则上不会有根本性改变,对“促进个人信息合理利用”应有所加强,而数据流通的个人“知情—同意”规则将被坚持并有可能强化。


  注:文章转载自网络,版权归原作者所有,如有侵权,请联系删除。