2022年1月21日下午,中国司法大数据研究院等机构联合发布了《中国金融机构从业人员犯罪问题研究白皮书(2021)》(以下简称“《白皮书》”),统计显示,随着我国不断加强个人信息保护的立法,金融机构从业人员侵犯公民个人信息案件也在增多。
中国社科院法学所网络与信息法室副主任周辉在《白皮书》发布现场表示,《个人信息保护法》最有冲击力的就是行政责任部分,比欧盟的GDPR(《通用数据保护条例》)的责任条款还要严。处罚金额最高是5000万元人民币;就营业额来说,可以达到上一年度营业额的5%。周辉认为,对于大体量的机构,特别是像一些大的互联网平台企业、金融机构来说,可能会在2022年看到这样的罚单。
2022年1月10日,中国人民银行上海总部公布了两项行政处罚信息,均与银行机构违规采集信息相关。其中,东亚银行(中国)有限公司因违反信用信息采集、提供、查询及相关管理规定,被处以1674万元罚款,责令限期改正。北京银行股份有限公司上海分行因违反信用信息采集、提供、查询及相关管理规定,被处以255万元罚款,责令限期改正。同时,时任北京银行张江支行行长秦舟波被罚10万元。
在此以前,单个机构因信息管理方面的原因被处以千万以上罚单此前较为少见。
《白皮书》统计结果显示,全国2021年度刑事裁判中金融机构从业人员高发罪名前八名的占比高达84.20%,占比最高的前两种犯罪类型为非法吸收公众存款罪和诈骗罪,需要注意的是这两类犯罪均非职务、获利型犯罪。2021年全国法院审结金融机构从业人员犯罪案件(424件)中银行类涉诉案件占比五成,其中多发于农村商业银行、农村信用合作社(占比50.50%);保险类涉诉案件占比15.66%,基金类涉诉案件占比14.90%。
与往年相比,《白皮书》关注到,金融机构从业人员犯罪的判决中共同犯罪的占比高,但除了传统的非法吸收公众存款罪、集资诈骗罪等,还涉及到其他犯罪。其中即包括,随着我国不断加强个人信息保护的立法,金融机构从业人员侵犯公民个人信息案件也在增多。司法大数据统计显示,在金融机构从业人员涉侵犯公民个人信息罪案件中,与外部人员共同犯罪的案件占比高达75.00%。由于金融机构从业人员能够接触到客户的诸多个人信息,不乏少数工作人员与外部人员勾结,以此牟利。
2021年1月,《民法典》确定了隐私的定义,明确个人信息的定义及处理个人信息应遵循的原则和条件。
自2021年11月1日起正式实施的《个人信息保护法》再次从法律层面定调金融账户的敏感性,要求金融机构在处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息时,都必须取得个人的单独同意。
周辉认为,在个人信息的合规里面,最重要的一个环节是“同意”,“同意”在《个人信息保护法》里面是非常严格的,它是个人在充分知情的前提下自愿、明确作出的“同意”,而且《个人信息保护法》的制度设计规定了“单独同意”,在很多场景下,比如对于敏感信息的处理、对于信息出境的处理,都需要用户来做出单独同意。
“其实在目前合规实践的难点就是怎么去理解‘单独同意’。”周辉表示,其个人的观点是,所谓的单独同意,并不是意味着用户需要每类信息都跳出一个弹窗,而是可以在统一的弹窗下,在每一类信息处理的时候要给一个单独勾选的可能或者是空间。
周辉提示,金融机构需注意个人信息保护的公益诉讼案件风险。《个人信息保护法》增加了公益诉讼机制。“公益诉讼这个主体是非常多的,一个是人民检察院,这个人民检察院没有加任何级别的限定,意味着全国几千所检察院都可以提起这样一个公益诉讼,”周辉指出,第二是省级以上的消费者组织,可以关联到《消费者权益保护法》方面。还有一个不确定的因素,国家网信部门指定的组织也可能具备提起公益诉讼的机制。
《白皮书》建议,要用好科技的“双刃剑”,由于掌握详细客户信息,金融机构在运用科技工具时尤其要注意规范化,避免侵犯客户个人隐私、泄露个人信息。建议持续加强对科技水平的应用以及金融风险的防范,从而有助于阻断隐私侵犯和信息泄漏的风险。此外,立法工作也要及时跟进以满足此领域法律需求,纳入中国人民银行2021年规章制定工作计划的《个人金融信息(数据)保护试行办法》等金融领域数据保护监管的细分化规范也应尽快出台,实现对金融机构从业人员接触和使用金融数据全方位的规范化。(来源:经济观察网)