保险业数据安全与《个人信息保护法》合规要点解析

<正>一、前言随着网络信息技术的高速发展,我国已进入信息时代和网络时代,数据和个人信息的合理使用与保护变得更加重要。随着《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）以及《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等相关法律法规的出台,我国目前已形成以上述三法为核心的数据安全和个人信息保护的联动体系。     

隐私计算赋能未来银行发展

我国《个人信息保护法》已于2021年11月1日起施行,银保监会消保局于今年开展银行业保险业个人信息保护专项整治,推动银行业保险业落实《个人信息保护法》,提升个人信息使用的规范性,保护消费者信息安全权。个人信息与隐私保护既是高度依赖银行治理能力、管理能力、执行能力,以及数据技术能力的实务性工作,也是渗透在银行文化与管理基因中的数字化思维与数据道德的重要内涵之一。     

征信业个人信息可携带权保护

<正>2021年8月20日,全国人大常委会通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),首次从法律上提出了个人信息的可携带权,赋予公民自主支配个人信息的权利。2021年10月18日,习近平总书记在中央政治局第三十四次集体学习时强调,数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。个人信息可携带权作为数字经济时代的新型权利,关系到个人信息主体权益保护和数字经济业态健康发展。     

纳税人信息保护和涉税信息管理的冲突与协调——以《个人信息保护法》为视角北大核心CSSCI

2021年《个人信息保护法》的颁布和实施对涉税信息管理提出了新的要求。不实纳税申报的在先性假设、涉税信息共享范围的扩张、信息化征管加剧风险是纳税人信息保护与税收征管冲突的现实逻辑。但是,公共利益优先和私人利益比例原则下的有限让渡,能够实现公私利益价值统一,构成协调纳税人信息保护和涉税信息管理的利益基础。《个人信息保护法》是一部兼具公法与私法属性的综合性法律,具有管制和自治的双重色彩。我国应当协调纳税人信息保护与涉税信息管理的冲突,按照《个人信息保护法》的要求,把握《税收征管法》修改契机,进一步完善涉税信息的保护范围、一般规定、共享机制和保护责任等制度规范。     

切实做好金融数据治理和信息保护工作

<正>数字经济时代,数据成为拉动经济增长、增进民生福祉的重要引擎。"十四五"规划中50余次提及"数据"一词,明确要迎接数字时代,激活数据要素潜能。2021年,我国两部专门针对数据安全和个人信息保护的专门性法律——《中华人民共和国数据安全法》(以下简称《数据安全法》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)——先后正式颁布,标志着数据保护工作迈入法治化阶段。     

《个人信息保护法》对征信业发展影响研究

我国《个人信息保护法》对征信业的合法合规提出了更高要求,同时对推动征信业既有业务模式变革发挥了积极作用,有利于我国征信业的转型升级和实现高质量发展。在深入研究《个人信息保护法》重要条款和厘清相关概念的基础上,结合我国征信业现状,探讨《个人信息保护法》的施行对我国征信业发展的影响,进而从组织机制、授权环节、操作流程和信息安全等方面提出风险防控建议。     

浅论个人信息保护法下信用卡业务合规挑战与对策建议

《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)作为我国首部个人信息领域的基础性法律,对个人信息主体权利响应、敏感个人信息处理、信息泄露管理、合作机构管理等进行了明确要求。近年来,个人客户信息保护领域的“严监管”“重处罚”趋势日趋明显,人民银行、银保监会针对客户信息违规查询、泄露等问题开出多张罚单。信用卡是个人客户日常使用最为高频的金融产品,相关业务链条长、合作的第三方机构繁多,能否有效落实个人信息保护法要求,成为各家银行信用卡部门高悬在头的“达摩克利斯之剑”。     

《民法典》背景下个人信息保护的司法考察与制度完善

大数据时代,为充分保障个人的信息安全,我国相继施行的《民法典》《个人信息保护法》对此作出了较为全面的规定。考察相关规则的司法适用,发现我国个人信息保护存在个人信息与隐私权界定不清、损害赔偿威慑作用不足、公益诉讼制度效用未充分发挥、“知情—同意”标准不一且流于形式等问题。为解决上述问题,可通过构建可识别的场景化模式界定个人信息,引入情境脉络完整性理论判定隐私,审慎引入惩罚性赔偿,明晰个人信息保护公益诉讼的适用条件,构建“国家—行业—平台”三层规则体系实现实质同意,全面保护个人信息。     

个人信息权司法保护路径研究——基于《民法典》第997条的适用展开

个人信息兼具人格属性和财产属性,民事立法应当为其“赋权”,最大限度地维护信息主体的人格尊严和自由,进而充分保障个人信息的正常有序流通。在信息社会里,个人信息侵权案件数量增多且呈现出传播范围大、危险系数高、不确定性因素强等特征,对个人信息权的保护不应局限于事后救济,还要注重事前预防。我国《民法典》第997条规定的人格权禁令应作为个人信息权的司法保护路径之一。人格权禁令横跨民事实体法与民事程序法两大法域,其适用与我国《个人信息保护法》中行政监管的事前预防机制、个人信息损害赔偿诉讼不存在冲突,信息主体有自由选择保护路径的权利。司法机关应当以平衡个人信息权的保护和利用为基本准则来规范人格权禁令在该领域中的适用。     

央行执法活动中的个人信息权益保护问题研究

近年来,随着信息技术的高速发展以及数字技术的广泛应用,个人信息的查询、收集、加工、传输等活动日益频繁。随之而来的,侵害信息主体权利、个人信息违法犯罪现象也愈来愈多,如何更好地保护个人信息已经成为国家、社会、公众高度重视、密切关注的重要课题。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）全面梳理了个人信息处理活动中各方的权利和义务,并对国家机关的个人信息处理行为设置了专门规定,这对央行的执法活动也提出了更新、更高的要求。本文主要从个人信息保护权出发,结合央行行政执法工作实际,对央行执法活动中如何更好地履行个人信息保护义务提出建议。     

商业银行个人信息保护法律风险与应对策略

《个人信息保护法》对个人信息权利及信息处理规则作出系统性规定。侵害个人信息权利将承担法律责任。银行应高度重视个人信息保护,建立全面的个人信息保护制度,完善隐私政策并明示处理规则,防止过度收集使用个人信息,科学实施个人信息分类分级保护,建立个人信息权利的申请受理处理机制,加强对外信息合作安全管理,严密跨境数据传输,切实提高个人信息安全管理水平。     

《民法典》视角下个人信用信息权益分析

《民法典》的颁布带来个人信用信息保护的新思考.对个人信用信息进行类型化划分,是个人信用信息保护的前提.根据《民法典》和《个人信息保护法(草案)》,个人信用信息可以分为琐细信用信息和敏感信用信息.个人信用信息所承载的权益是多元的,在法律中表现为权益综合体.个人信用信息保护需要建立一个包含隐私权、姓名权、个人信息权和个人信...     

《个人信息保护法》中“撤回同意”规则探析

《中华人民共和国个人信息保护法》的出台标志着我国进一步强化对个人信用信息的保护,其中“撤回同意”规则对征信业合规提出了更高要求。把握“撤回同意”规则的意义,分析该规则在实际执行中面临的具体问题和对征信业合规的影响,从强化顶层设计、征信合规、培训宣传、多方合作方面提出对策建议,从而使“撤回同意”规则能更好地保护个人信息主体的利益,提升征信业务合规水平。     

出售、非法提供公民个人信息罪若干问题研究

《刑法修正案(七)》的公布施行使出售、非法提供公民个人信息罪得以设立,揭开了我国公民个人信息刑法保护的新篇章.但本罪在理论和司法实践中还存在一些疑难问题亟待解决.在本罪的犯罪对象方面,应采用识别型和概括列举型定义相结合的方式对公民个人信息的范围作出界定并确保不同法律领域中个人信息的定义一致;在本罪的犯罪主体方面,应作扩张性解释,合法收集公民个人信息的单位均可成为本罪的犯罪主体;应尽快制定一部专门的《个人信息保护法》,完善本罪的前置性规范;在本罪的客观方面,应扩充本罪的行为方式,将“情节严重”具体化,以提高立法的前瞻性,避免在侦查、起诉和审判过程中出现争议.     

探索新形势下消费者权益保护工作高质量发展之路

<正>近年来,《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《关于进一步促进信用卡业务规范健康发展的通知（征求意见稿）》等一系列法律法规和监管政策相继出台,对金融机构的消费者权益保护工作提出了更高要求。新政之下,如何全面、扎实地开展消费者权益保护工作,成为各家银行共同面临的重要课题。     

隐私技术与个人信息保护

<正>通过隐私技术对数据进行匿名化处理,应依法采取充分的业务合规措施并进行必要评估,从而兼顾个人信息保护与促进金融数据资源盘活所谓隐私技术,是一种在不泄露原始数据的前提下对数据进行分析计算的信息技术,它能够保障数据在流通与融合的过程中实现"可用不可见",从而为数据流通与融合业务提供新的发展路径。我国颁布《个人信息保护法》,从专门法角度完善了个人信息保护框架,将金融账户信息明确列入敏感个人信息,提出了更为严格的处理要求,结合现有的个人金融信息细化监管规定,     

浅析金融领域的隐私计算应用

<正>一、隐私计算的产生背景数字经济时代,融合多维数据并充分挖掘和利用其内在价值,成为金融业发展的重要战略方向。随着数据合作共享的深入,数据滥用、隐私泄露等事件频频发生,为此我国相继出台《数据安全法》《个人信息保护法》《征信业务管理办法》等法律法规,严格要求在数据使用过程中做好隐私保护,这在一定程度上给金融数据的融合应用设置了刚性底线。     

保险消费者个人信息保护的困境纾解

《民法典》《个人信息保护法》等法律法规的修立搭建了保险消费者个人信息保护的框架。基于保险行业的特殊性,个人信息保护的一般性规定适用于保险领域时需要进行具体解读。保险消费者履行如实告知义务并非无限度,它与个人信息自决也并不矛盾。基因信息作为特殊的个人信息被用于核保时需要审慎对待,应严格控制保险人获取基因信息后的使用范围和方式,并充分尊重保险消费者的选择权。保险人处理个人信息除了要满足“知情-同意规则”外,还要受到正当原则、必要原则的制约。在保险消费者个人信息保护的法律救济路径选择上,需要结合立法目的和个案情境加以判断,给予当事人以选择权。基于保险领域的特殊性,侵犯保险消费者私密信息与敏感信息的侵权责任的归责原则应当统一,且与非私密信息、非敏感信息加以区别,以弥合目前法律规定的责任承担轻重失衡的局面。     

个人金融账户信息的法律界定

《个人信息保护法》将金融账户信息纳入敏感个人信息的范围,但未作出明确的界定。界定标准的不明确将导致权利主体权益易损、义务主体责任不明、司法裁判依据不清。考察域外立法例,同时结合我国有关立法现状和实践,宜采取“定义+列举+排除”的界定模式,以“信息主体”“信息性质”和“信息处理”为定义的考量因素,从立法、实践的综合角度进行列举,并排除通过间接识别才能确认的金融账户信息。基于此,我国出台“金融账户信息”的司法解释可侧重四个方面,以实现个人信息的保护和社会信息利用的动态平衡。     

银行数据虚拟化技术应用前景广阔

<正>2021年11月1日,《中华人民共和国个人信息保护法》正式施行,标志着我国的隐私立法时代正式开启。同时,随着数字经济的发展,数据要素重要性的确立与数据基础设施、数据法律法规、数据交易生态不够完善之间的矛盾日益凸显。面对越来越严格的合规与监管,特别是数据安全、信息保护、个人隐私保护等法规和技术标准的逐步健全,原来野蛮生长、明文传输个人隐私数据的大数据服务模式出现断崖式阵痛。