事关千万保险代理人的监管新规终于落地。日前,银保监会印发《保险代理人监管规定》(以下简称《规定》),再加上此前业已发布的《保险经纪人监管规定》和《保险公估人监管规定》,标志着由上述三部规章共同构建的保险中介制度框架基本建立,形成保险法为统领,三部规章为主干,多个规范性文件为支撑的科学监管制度体系。 强化中介机构监管 保险代理人是指根据保险公司的委托,向保险公司收取佣金,在保险公司授权的范围内代为办理保险业务的机构或者个人,包括保险专业代理机构、保险兼业代理机构及个人保险代理人。在我国保险市场中,保险代理人队伍是不容忽视的重要存在。数据显示,截至目前,全国共有保险专业代理法人机构1776家,保险兼业代理机构3.2万家、网点22万个,个人保险代理人900万人,保险中介机构从业人员300万人。 此前,在部门规章和规范性文件层面,针对保险代理人的相关要求散见于不同的文件之中,在一定程度上造成保险代理人法律关系不清、监管体系不明、管理标准不统一等问题。自2015启动起草工作,并于2018年和今年两度面向社会公开征求意见后,《规定》的最终出台不仅解决了上述问题,也对监管部门巩固近年来乱象治理成果、落实保险中介市场改革中完善准入退出管理等工作任务有着积极意义。 从内容来看,《规定》对保险专业代理机构的要求主要体现在四个方面。一是加强市场准入管理。强化对保险专业代理机构股东的审查,并对股东的出资能力作出要求。同时,在资本金托管、治理结构、内控制度以及商业模式等方面作出规定。二是加强分支机构管控。为切实防止内控管理薄弱、风险隐患大的保险专业代理公司滥设分支机构,《规定》列明了设立分支机构应当符合的具体条件,同时进一步强化保险专业代理法人机构的管控责任。三是理顺后置审批流程。要求保险专业代理公司在取得许可证后,及时在监管信息系统中登记相关信息;对于未取得许可证或者其许可证被注销的,应当及时办理相关事项变更登记,确保其名称中无“保险代理”字样。四是提升最低注册资本。为了增强专业代理机构增强抵御风险能力,提升依法合规意识,促进其长期稳健经营,《规定》把区域性保险专业代理机构最低注册资本调整为2000万元,并强调新设立的区域性代理公司应严格按照新标准执行。此外,《规定》还对保险专业代理机构缴纳职业责任保险、保证金等相关要求进行了调整,对违规销售非保险金融产品、经营互联网保险业务的行为设定了相应罚则,加强日常合规管理。 对于保险兼业代理机构,《规定》一方面规定了保险兼业代理机构业务准入的基本条件,明确了法人持有许可证、授权分支机构经营的模式,并对报告事项与信息披露、保险代理业务责任人等提出要求;另一方面,也完善了退出机制,规定了保险兼业代理机构依法注销许可证的情形以及业务退出流程。此外,监管部门还对保险兼业代理机构违法违规行为依法设定了规章权限范围内的罚则。 银保监会有关部门负责人表示,《规定》为保险兼业代理机构的政策制定预留了一定的空间。前期,《商业银行代理保险业务管理办法》已印发实施。下一步将在《规定》框架下,按照“分类施策、稳步推进”的思路研究制定非银行类兼业代理机构监管政策。 首提“独立个人保险代理人”概念 《规定》中最引人关注的内容莫过于首次提出了“独立个人保险代理人”概念,在一定程度上表明了市场发展趋势和监管引领方向。 银保监会副主席黄洪此前表示,人身险行业要加快发展独立个人保险代理人制度,改变现行主流的金字塔式营销团队模式,打破长期以来形成的高额组织利益,降低营销成本和公司负担,更好地让利于消费者。据《金融时报》记者了解,日前,银保监会已经配套起草《关于保险公司发展独立个人代理人有关事项的通知(征求意见稿)》向社会公开征求意见,鼓励探索独立个人保险代理人相关制度,进一步提高市场经营效率。独立个人保险代理人相关制度将在实践的基础上发展并完善。 业内人士表示,独立个人保险代理人在我国的发展历程尚短,但随着独立个人保险代理人制度的推行,有利于培养一批高端、精英的独立个人保险代理人,推动保险业高质量发展。独立个人保险代理人的门槛设置及甄选机制,对代理人提出了较高的素质要求,从这一角度来看,独立个人保险代理人制度将吸引越来越多的高素质“职业人士”加入其中,未来我国保险代理人队伍将步入专业化、职业化的模式,成为改变行业业态、重塑行业声誉度的有力推手。 《规定》同时还明确了保险代理机构从业人员的概念,将保险代理机构中从事销售保险产品或者进行损失勘查、理赔等业务的人员纳入该规定,对其行为作出约束,并对违反规定的行为制定相应的罚则。 同时,银保监会在《规定》中取消许可证有效期设置。银保监会有关部门负责人表示,许可证有效期的取消,将激发企业活力,支持优质公司加快发展,同时,保险监管部门将进一步完善监管手段,加大对扰乱市场的劣质公司的检查和处罚力度,实现扶优限劣。 银保监会中介部副主任罗蓉在日前举行的中国寿险业峰会2020暨人身险专委会年会上表示,要从以下三个方面全面构建保险中介监管体系:一是加强顶层设计,构建完备监管制度体系;二是紧盯重点领域风险,持续整治市场乱象,打好防范化解金融风险攻坚战;三是坚持改革创新,通过推进从业人员能力资质分级分类、研究开展综合金融销售和管理型总代理业务模式以及建立独立个人保险代理人等推动行业发展。 《规定》将于2021年1月1日起施行,现行相关规章文件将会同时废止。银保监会表示,下一步,将尽快出台系列配套性文件,进一步细化对保险代理人的监管要求,防控风险、治理乱象,扎紧制度笼子,维护平稳健康的保险中介市场秩序。
新华社石家庄12月8日电(记者王昆)记者从河北省住房和城乡建设厅了解到,为深入落实“放管服”改革要求,自2020年12月15日起,河北省将全面开展住房公积金异地个人住房贷款业务。 河北省规定,职工在就业地缴存住房公积金、在户籍所在地购买自住住房的,可持就业地住房公积金管理中心出具的缴存证明,向户籍所在地住房公积金管理中心申请办理住房公积金个人住房贷款。申请异地贷款的职工,与申请本地贷款的职工享有同等权益,不得设置附加条件。 同时,河北省将加强住房公积金信息化建设,加快推进综合服务平台建设和功能完善,强化数据共享支撑,尽快实现个人住房公积金缴存贷款等信息查询、出具贷款职工住房公积金缴存使用证明、住房公积金个人缴存信息变更等住房公积金服务事项“跨省通办”,满足缴存职工异地办事需求。 河北省住房和城乡建设厅有关负责人表示,他们将加强对住房公积金异地个人住房贷款业务工作的监督和指导,并将其纳入年底考核通报排名内容。对政策落实不到位、职工反映问题集中的公积金中心,将予以督办、约谈,开展专项督查。
近期,备受关注的《中华人民共和国个人信息保护法(草案)》(以下简称草案)正式提交十三届全国人大常委会第二十二次会议首次审议,揭开我国个人信息立法进程的新篇章。 在我国数字化转型加速、新技术新应用层出不穷的背景下,个人信息处理逐渐成为社会进步和产业升级新的驱动力,广大民众对于加大个人信息保护力度有着空前的关切和期待,个人信息保护法的制定是保障公民个人信息权益、促进个人信息合理利用的必然举措。 草案对个人信息合理利用以及信息泄露等诸多民众现实关切做出了及时、有效回应: 针对目前频发的个人信息泄露事件,草案明确规定个人信息处理者的义务规则,要求其立即采取补救措施,并且向履行个人信息保护职责的部门和个人通知信息泄露的原因、已泄露的个人信息种类和可能造成的危害、已采取的补救措施以及个人可以采取的减轻危害措施等重要事项。 针对日益普遍的自动化决策应用,草案明确要求保证决策的透明度和处理结果的公平合理,并赋予个人相关的知情权和拒绝权,特别是在通过自动化决策方式进行商业营销或信息推送的应用场景中,有权同时获得不针对其个人特征的选项。 针对广泛存在的已公开个人信息的利用问题,草案明确强调对该类信息的后续利用应当符合该个人信息被公开时的用途,超出与该用途相关合理范围的,应当另行告知并取得同意。在用途不明确的场景中,必须遵从合理、谨慎的处理原则,如果相关个人信息处理活动对个人有重大影响的,则应当依法向个人告知并取得其同意。 总体来看,草案在个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等多个层面设计和建构个人信息保护的立法框架,在规范设计上呈现出众多亮点。 草案以“告知-同意”机制为核心逻辑建构覆盖个人信息处理全生命周期的规则框架,强化保障自然人的控制能力,同时注重与其他重要利益包括国家安全以及公共利益等的平衡协调,例如,针对各类不同的具体场景设定告知或者同意的例外规则。这反映了立法者对个人权益的着重保护,并通过系统的个人权利内容以及个人信息处理者义务相关规定予以全面细化落实,切实贯彻保护个人信息权益与促进个人信息合理利用的双重立法目的。 草案还通过明确规定履行个人信息保护职责的部门权限分工,进一步提升个人信息权益的保护层次和水平。从国家网信部门、国务院有关部门到县级以上地方人民政府有关部门的职责内容与执法方式等细化规定,将有力推动个人信息处理活动监管机制的革新与完善。 草案同时注重发挥国家、社会、企业和个人等不同主体的协同作用,打造个人信息保护领域的多方共享共治模式。草案特别强调国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织和社会公众共同参与个人信息保护的良好环境,为个人信息依法有序自由流动奠定坚实的、可持续的生态基础。(吴沈括)
个人信息保护法草案终于“揭开面纱”。草案中确立了以“告知—同意”为核心的个人信息处理规则,即处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;不得以个人不同意为由拒绝提供产品或者服务。此外,草案对违法处理个人信息行为设置了严格的法律责任,其中一大亮点是提高了违法成本,可处5000万元以下或者上一年度营业额百分之五以下罚款。 不久前,一则“清华大学教授拒绝小区人脸识别门禁”的新闻引发热议,也将人们的目光聚焦到个人信息保护这一话题上。随着信息化与经济社会的深度融合,人们越来越享受信息化带来的种种便利,但也要面对个人信息泄露等问题带来的或大或小的烦恼。为此,制定一部个人信息保护方面专门法律的呼声也不绝于耳。 在10月13日开幕的十三届全国人大常委会第二十二次会议上,个人信息保护法草案终于“揭开面纱”。相关专家表示,草案的制定将为个人信息保护形成更加完备的制度,提供更加有力的法律保障。 千呼万唤始出来 最新数据显示,截至2020年6月,我国网民规模达9.4亿,相当于全球网民的五分之一,较2020年3月增长3625万。网站数量为468万个,国内市场上监测到的APP数量为359万款。个人信息的收集、使用更为广泛。 近年来,虽然我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等目的出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全,相关问题十分突出。相关业内专家认为,我国个人信息保护法律制度已逐步建立,但仍难以适应信息化快速发展的现实情况。因此,应当在现行法律基础上制定出台专门法律,增强法律规范的系统性、针对性和可操作性。 中国社会科学院法学研究所研究员周汉华分析,一方面,现实生活中个人信息得不到保护的问题越来越突出;另一方面,随着信息化时代的到来,数字经济快速发展,信息即资源,如何处理好保护个人信息与数字经济发展的关系,需要在立法过程中不断平衡。周汉华认为,个人信息保护法的制定经历了相对较长的周期,可谓“千呼万唤始出来”。较长的时间周期,也为更好认识信息化快速发展过程中出现的个人信息保护问题提供了便利,现在法律草案的亮相可谓“水到渠成”。 保障个人知情权决定权 何谓个人信息?此次的法律草案明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。 周汉华称,这一概念相对宽泛,因为随着大数据时代的到来,个人信息很容易被识别,相对宽泛的定义有利于把各种情况包含其中,更好保护个人信息。 草案中确立了以“告知—同意”为核心的个人信息处理规则,即:处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。 北京华讯律师事务所主任张韬表示,“告知—同意”规则中的告知即要充分保障相关个人主体的知情权,同意是要保障其对信息的自主决定权,保障这两种权利才能从根本上保障个人信息安全。 此外,此次草案还设专节对处理敏感个人信息作出严格限制,只有在具有特定目的和充分必要性的情形下,方可处理敏感个人信息,并且应当取得个人单独同意或者书面同意。 张韬表示,敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息,从其定义就可看出,一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害。“敏感个人信息和每个人都有重大利害关系,设专节既能显示立法机关对这一问题的重视,又能更具针对性地对相关方面问题作具体约束和专门管理,为个人信息保护筑起坚固堡垒。”张韬说。 解决大数据杀熟等问题 在网上搜索一个商品,接着就不断收到同类商品的广告推送……生活中,我们多少都遇到过类似问题。 对此,草案规定,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。 周汉华说:“定制化服务是大数据时代的一个特点,随之出现的一个挑战是大数据被滥用以及可能造成的‘大数据杀熟’等问题。对‘自动化决策’作出规定,就是为了解决相关问题。” 此外,草案还明确,个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 张韬认为,这些规定意味着解决“信息茧房”问题受到了重视,“数据信息的利用过程中可能产生的负面问题,正通过立法方式进行规制,平台不能向用户仅推送个性化信息及广告,否则用户有权拒绝”。 草案规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。 周汉华认为,这一规定可以看作整部草案的一大亮点。“现在‘无处不在’的人脸识别、视频监控等系统存在信息泄露风险,相关信息一旦被泄露和滥用,有可能威胁个人的人身、财产安全以及公共安全。从草案中可以看出,这一问题已经得到了立法机关的重视。”周汉华说。 张韬表示,公共场所中的监控或其他个人信息识别设备的安装及使用,既关系公共安全,也关系广大不特定人群的信息安全,因此有必要对其进行规制。 提高违法行为打击力度 草案对违法处理个人信息行为设置了严格的法律责任。周汉华表示:“对每个人很小的一点侵害,在全社会范围合起来都会造成很大的问题,因此要提高对违法行为的打击力度。如何提高违法成本,同时把法律规定的内容落实下来是草案起草的一大难点。” 可以看到,此次草案对法律责任作出的具体规定包括:违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。 上述违法行为情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照。 周汉华认为,“并处5000万元以下或者上一年度营业额百分之五以下罚款”这一规定是一大亮点,按营业额百分比进行罚款可以提高法律对相关企业违法行为的威慑力。(张雪)
继节前常州出台二套房首付提高的政策之后,长三角又一三四线城市出台调控新政。10月15日上午,无锡市住房公积金管理中心官网发布《关于规范住房公积金个人住房贷款政策有关问题的通知》。其中提到:职工家庭第二套自住住房公积金个人住房贷款利率,按照同期首套住房公积金个人住房贷款利率的1.1倍执行。本通知自发布之日起施行。
【2020中国企业家十大法律风险】 数据不仅是数字经济的关键要素,也是信息时代重要的生产要素。在我国,数据安全更是被上升为与国家安全同等重要的地位。 1、数据安全是企业持续发展的基础 当前各类数据主体多样,处理活动复杂,安全风险加大。随着立法不断强调并严格要求对数据进行保护,企业的合规举措也应不断提高。回顾2020年上半年,国内就发生了新浪微博5.38亿用户数据在暗网出售、建设银行员工贩卖5万多条客户信息等数据泄露事件。此外,据国外媒体报道,万豪、美高梅酒店至少1,580万客人信息遭泄露;化妆品巨头雅诗兰黛,因不安全服务器泄露了4.4亿用户敏感信息……这些事件轻则造成企业商誉受损、失去客户信任,重则可能面临行政处罚和刑事指控,例如2015年Uber数据泄露事件遭美国司法部刑事调查;2017年雅虎前CEO玛丽莎·梅耶尔被要求就网络安全漏洞问题作证,否则将面临刑事指控。 大部分企业对网络、数据安全缺乏足够的重视,也缺乏相应的责任感。企业对网络技术依赖越多,接入的设备也多,每个接入网络的设备和人都可能被黑客利用成为窃取数据的跳板,或员工本身就是“黑客”,这让企业防不胜防。在把数据作为生产资料使用的同时,也应当把数据作为生产资料保护,这是现代企业应当树立的重要观念。 大量企业的数据存在云端,虽然“云”本身的安全性有一定的技术保障,但接入云端的第三方应用软件、系统和接口的安全性却令人担忧。如果不对这些数据进行加密,它们就处于一种“裸奔”的状态,可能导致企业的系统漏洞和数据泄露事件。如果企业不重视,这些漏洞要么未被及时修复,要么未被检测发现,待爆雷后成为公共事件,亡羊补牢已晚矣。2018年8月,华住集团旗下汉庭、美爵等酒店共计5亿条包含个人身份证号、手机号码、开房记录等的个人信息泄露,并被打包在暗网上销售。案件虽成功告破,但也暴露出以酒店业为代表的多数企业并未做好数据安全保护措施,在数据泄露后也没有紧急预案处置应对突发情况。 今年的的调查数据显示,72%的上市公司和69%的规模在千人以上的公司对于系统漏洞、计算机病毒、网络攻击、网络侵入、数据泄露等突发安全事件,有应急预案和危机处置机制。但是这些制度在实际运行中的效果如何,还有待观察。上述华住集团信息泄露和一系列的银行信息泄露事件反映的就是这个问题。比制定制度更重要的是有效运行制度,并在运行中不断完善,提升员工的个人信息保护意识。 不同行业对数据安全的重视程度不同,越是对数据依赖程度高的行业,企业越重视数据安全。71%的银行、金融业受访企业有这一制度安排,但是银行数据体量庞大,决定了数据安全是百密不能有一疏的工作,只要一个员工没管住,数据就可能如溃提之水奔涌而出,中信事件和建设银行信息泄露事件就是很好的例子。所以,数据安全没有最好,只有更好。 履行网络安全管理义务,并将数据安全事项及时向行政监管部门(公安、网信办、工信办等)报告,积极回应监管要求等方面,银行和金融业与物流和交通运输业的受访者中,有超过50%的企业重视这一工作。这些行业要提供服务,就要采集相应的个人信息,因此对所收集的个人信息采取保护措施也就十分必要。虽有50%左右的受访者比较重视数据安全,但行业重视度的绝对值并不高,仍有改善空间。 2、互联网企业的个人信息保护 中国互联网产业何以前浪翻腾、后浪奔涌?一是,对于数据这样一个全新的事物,法律也在摸索中,尤其是关于个人信息的采集、使用边界不甚清晰;二是,网民数量叹为观止,海量个人信息不断“投喂”企业,为企业发展提供了源源不断如活水般的生产资料。 早期,互联网企业利用数据野蛮生长,但随着立法不断严密,监管必定不断收紧,并将长时间保持这个趋势。2019年,工信部、国家网信办等多部门联合开展了贯穿全年的APP个人信息专项治理工作,2020年仍在持续中。所涉问题集中在私自收集个人信息、过度索取权限、私自共享给第三方等方面。 用户让渡个人信息作为实现便捷功能的对价,这是市场逻辑,无可厚非。但是如果企业不经“通知-同意”程序,违规获取个人信息,就打破了“君子协定”,进入法律法规的监管区。根据互联网企业规模的大小,在个人信息保护方面存在的问题也有不同特征: 第一,规模较大、体系成熟的互联网企业,满足“60分”的合格线,但没有做到优秀。例如,根据工信部通报,QQ强制用户使用定向推送功能,不给权限不让用;QQ阅读私自收集个人信息,还私自分享给第三方;当当私自和超范围收集个人信息,不给权限不让用;高铁管家、12306软件过度索取权限……这些都是互联网行业的知名企业,一般而言都具有合规意识,他们会通过隐私政策告知用户收集和使用规则,另一方面又往往通过各种形式扩充收集个人信息的范围和种类,试图抓取更多信息,请求开放更多权限,服务其数据挖掘,收集“必要性”原则屡屡被突破。 但是,随着《个人信息安全规范》的生效和《个人信息保护法》的制定,个人信息收集、使用规则将更加具体和可操作,也将对企业提出更高的合规要求。越是依赖个人信息产出的互联网大企业,违规的成本越高,这就需要做到从“及格”到“优秀”的质的跨越,也是从“要我合规”到“我要合规”的观念提升。 第二,规模较小,或处于创业期的互联网企业,个人信息保护工作往往处于“60分”合格线以下。实践中大量侵犯个人信息的犯罪,多以这一类企业为主。由于成本所限,这些公司没有专门的合规部门,个人信息保护意识不强,在收集个人信息时,不提供或提供极为粗糙的隐私政策,私自收集个人信息,甚至向第三方共享、出售。2018年8月,浙江省公安局破获了一起重大个人信息盗窃案,原新三板挂牌公司瑞智华胜,窃取知名互联网公司30亿条用户个人信息,该公司法定代表人与相关经营人员因此获刑,另有两家关联公司也被立案处理。该公司2017年12月在新三板挂牌,2018年8月上述事件曝光,瑞智华胜作出紧急停牌处理,短短两个月后的11月2日,瑞智华胜在新三板就被正式摘牌。一家处于初创期的明星上市公司,因缺乏个人信息保护的相关意识,非法经营个人信息买卖业务,使得企业多年努力毁于一旦。 此外,值得特别注意的是第三方软件开发工具包(SDK),据相关报告和央视“3•15”晚会披露,部分APP的SDK插件在未经用户同意的情形下,收集用户的联系人、短信、位置、设备信息等,甚至短信内容会被全部传走。因为SDK的责任往往由相应APP开发公司承担,这会为企业埋下很多隐患,所以,APP不能仅考虑SDK的便捷,更应该对其合法性和合规性保持警觉。 综上所述,互联网大企业往往在法律红线之内的模糊地带,最大化商业利益。但是“能力越大、责任越大”,他们要做的,不止是合法,而是做好行业表率,促进用户与企业的互信,推动行业自律与发展。与此相对,小企业合规意识和能力不足,往往试图蒙混过关,但互联网产业的野蛮生长期已经过去,任何侥幸心理,都可能因小利而失大局。 3、传统企业的个人信息保护 互联网企业的个人信息保护是显性问题,关注度高,相比而言,传统行业的个人信息保护问题则难以暴露,更为隐秘。根据本调查问卷显示,获取个人信息最多的传统行业是文化/传媒/娱乐服务业与银行/金融业,但分别只有22%和21%的受访者表示,其所在企业采用“隐私政策”或用户协议等方式提示用户收集个人信息;收集个人信息时,经用户同意,最小限度地使用个人信息是基本原则,物流/交通运输服务业对这一原则的重视程度最高,但也仅为25%;用户同意方能与第三方共享,这是个人信息共享的合法前提,在不同行业中,消费品行业采用这一做法的占比最高,银行/金融业仅为7.8%,甚至低于整体均值0.2个百分点。 银行/金融业由于征信需要,是收集个人信息较多的行业,但频频发生的银行个人信息泄露事件,揭示银行的个人信息保护还有提升空间。“中信事件”是传统行业个人信息泄露的缩影,虽然中信银行在客户信息保护方面,建立了一系列的制度、流程,但员工不仅未按照流程操作,还将客户信息对外提供并加盖公章,这种为了“大客户”利益而将储户信息随意提供给第三方的行为,完全超出了大众的预期。这一事件比较有代表性,揭示出传统行业的个人信息泄露往往不是技术性的,而是人为的,这就对传统行业的数据储存和保管提出了更高的要求。传统行业一般基于业务需要收集必要个人信息,比如银行、快递公司等,提供的服务本身就要求客户提供姓名、住址等信息,在个人信息收集的合法性方面一般不存在问题。风险在于,这些个人信息一般会通过数据化的方式保存,但是传统行业较为缺乏数据安全的观念和技术支撑,对所收集个人信息的利用,没有界限感。例如,银行将储户开卡所必需提供的个人信息,进行用户画像,又通过电话、短信等方式给储户推荐理财产品,就是典型的超范围使用个人信息的情形。证券公司也会收集大量的客户财产信息,因此也存在同样的问题。传统行业一般不存在一个事先的程序与客户约定个人信息的二次利用或共享,所收集个人信息除了满足特定服务需求外,不应有别的用途,还应妥善保管。除非有明确法律规定,不能把个人信息挪作他用或者与第三方共享在经营过程中获取的个人信息,是基本原则。 总而言之,无论互联网企业还是传统行业,都应对所收集数据分级、加密,并进行脱敏处理;对内,要严格限定个人信息的查看和使用规则,并进行员工培训,培养相关合规意识;对外,要制定详尽的个人信息保护政策供用户了解同意。如果条件允许,一定要设置员工权限并进行留痕记录,便于事后追责。 个人信息保护的浪潮将席卷一切领域,以萎缩产业为代价的个人信息保护不可取,以侵害个人信息权利为代价的行业发展也不会长久。个人信息保护与企业发展,是在更高价值层面上的统一,不是“零和游戏”。企业只有尊重个体尊严,对个人信息用之有度,才会有长远健康的发展。 注:以上内容摘自于北京和昶律师事务所与《财富》(中文版)共同发布的“2020中国企业家法律风险报告”。 相关链接: 【序言】好的公司是通过制度制约人性之恶 而不是以恶制恶
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估