【解读】个保法出台,境外金融机构实践中如何应对?
【解读】个保法出台,境外金融机构实践中如何应对?
来源 :大成律师事务所 周亮 姚梓南
《个人信息保护法》(以下简称“《个保法》”)已于2021年11月1日正式施行。《个保法》中规定了“域外管辖原则”,对于参与中国跨境金融业务的境外金融机构而言,意味着需要根据《个保法》重新审视其个人信息保护合规体系。本文将根据我们的实践经验,重点解析《个保法》中对境外金融机构处理个人信息的要求和个人信息跨境传输的要求,以期给境外金融机构的跨境金融业务提供帮助。
01《个保法》将适用于境外金融机构
《个保法》第三条第二款规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。
境外金融机构,特别是香港的金融机构基本都会涉及向境内自然人客户提供产品或服务和分析、评估境内自然人的行为。因此根据该条法律,境外金融机构处理境内个人信息的行为,基本上都会受到《个保法》的监管,并须遵守《个保法》的相关规则。可见,该条具有类似于欧盟《通用数据保护条例》(“GDPR”)长臂管辖的效果,明确了该法对境外个人信息处理者具有管辖效力。
如果对《个保法》第三条第二款进行文义解释,则全球范围内所有具有“处理中国境内自然人个人信息”的机构均受到该法管辖。这意味着《个保法》的管辖范围非常大,但却十分必要。实际上,该条的目的在于为那些个人信息遭受不法收集、处理的中国境内自然人提供救济;另外,此举也是为了避免信息处理者基于境内外不同的处理政策,为了规避风险、降低成本、逃避管辖,专门将其公司设置在境外。在其他国家和地区,也存在类似的长臂管辖或个人信息保护法域外效力的规定,比如GDPR适用于所有向欧盟境内可识别的自然人提供商品、服务或为了监控欧盟境内可识别的自然人的活动而收集、处理其相关数据的组织,而无论该组织是否属于欧盟成员国。
02《个保法》对境外金融机构处理个人信息的要求
(1)境外金融机构需要在境内设立专门机构或者指定代表
根据《个保法》第五十三条,一旦境外金融机构被认定属于《个保法》规定的境外个人信息处理者,境外金融机构便需要在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送履行个人信息保护职责的部门。关于履行个人信息保护职责的部门具体是指哪一部门,有待实施细则等规定进一步澄清。
(2)境外金融机构需要得到客户的同意或单独同意才能收集个人信息
境外金融机构在收集客户一般个人信息时,需要取得客户的同意。在办理业务的过程中,涉及到的个人基本信息指的是自然人身份识别信息,如姓名、性别、出生年月、职业、居住地址等信息。在此过程中,任何场景下告知、取得客户的同意只需要境外金融机构用显著、清晰、易懂的语言真实、准确、完整地向个人告知需要收集的个人信息种类、处理信息的目的、方式、保存期限及限制等内容,并通过制作《个人信息授权同意书》《隐私声明》等文件,获取客户的签字或勾选即可。
境外金融机构在收集客户敏感个人信息时必须要取得单独同意。敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息等。
要取得客户的单独同意,实践中至少存在以下三种方式可供选择:
a.通过制作单独的《个人信息授权同意书》等文件,要求用户签署,取得用户单独、明确的同意;
b.通过制作单独的“告知同意界面”弹框等方式,要求用户确认,取得个人单独、明确的同意;
c.通过在隐私政策中设置单独的“敏感个人信息”章节,要求客户勾选,取得个人单独、明确的同意。比如许多网上银行在向用户提供其隐私政策时,都专门针对未成年人个人信息的收集使用制订了较为详细的单独说明条款,并在其后紧跟“用户同意”勾选项。
(3)境外金融机构不能违反“必要原则、公开收集使用规则、明示收集使用规则”收集个人信息
首先,境外金融机构在收集客户信息的过程中,不能违反必要原则,收集与其提供的服务无关的个人信息。“违反必要原则”的行为在实践中具体表现为:收集与现有业务功能无关的客户个人信息、收集客户个人信息的频率超出实际需要、以改善服务质量等为由强制收集客户个人信息等。此外,通过客户一揽子授权获得的信息,即使客户同意,也属于违规收集信息。
其次,境外金融机构在收集客户信息的过程中,如果没有公开收集使用规则,即使客户同意,也构成违规收集。“违反公开收集使用规则”的行为在实践中具体表现为:没有收集使用规则、首次运行时无明显提示使用规则、使用规则难以访问、使用规则形式上难以阅读等。
最后,境外金融机构在收集客户信息的过程中,必须明示收集使用个人信息的目的、方式和范围。“违反明示收集使用规则”的行为在实践中具体表现为:未逐条列举、发生变化时未以适当方式通知、收集敏感信息未同步告知等。
03个人信息跨境传输的要求
《个保法》第三章对于境内个人信息的跨境传输制定了详细规则。对于境外金融机构而言,个人信息跨境传输的常见情形是境外金融机构的境内分支机构(“境内分支机构”)将个人信息传输至境外金融机构。具体传输方式有两种:一是境内分支机构将其收集的个人信息提供给境外的第三方信息处理公司,个人信息经境内服务器储存、处理后再提供给境外金融机构;二是境内分支机构将其收集的个人信息通过内部系统直接传输给境外金融机构。
无论属于以上哪种传输方式,境外金融机构境内分支机构都需要遵守《个保法》第三十八条的以下规定:
“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(1)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(4)法律、行政法规或者国家网信部门规定的其他条件。
本条第一项的“国家网信部门组织的安全评估”指的是国家互联网信息办公室2019年公布的《个人信息出境安全评估办法(征求意见稿)》项下对个人信息出境的安全评估框架、评估流程、评估材料申报的要求。而第三项所指的“国家网信部门制定的标准合同”则仍有待网信部门公布。
此外,境外金融机构境内分支机构还应当符合《个保法》第三十九条的以下规定:
“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”
04境外金融机构的合规建议
《个保法》的出台,对于个人而言意味着个人信息保护程度的提升,但对于境外金融机构而言却意味着跨境业务合规风险的升级。我们建议,境外金融机构可以从以下几个方面规避风险:一是及时梳理涉及《个保法》的新规定,对机构的个人信息保护及管理规定进行更新,进行全面的合规自查;二是根据《个保法》指引,建立起个人信息保护制度体系,对一般个人信息和敏感个人信息进行分类管理,明确不同的信息处理模式,实施不同的安全保护措施;三是完善隐私政策,与客户签订修正后的隐私声明、用户协议等文件;四是完善金融机构官网和手机APP收集个人信息的模式,确保在必要范围内收集个人信息。
请先 登录后发表评论 ~