本文相关作者：袁开宇，李妍，陈洋

2021年8月20日，《中华人民共和国个人信息保护法》（“信保法”，Personal Information Protection Law，PIPL）发布，并将于同年11月1日正式实施。这部法律受到社会各界包括国际媒体的高度关注，不少分析文章都将其与欧洲的《一般数据保护法》（General Data Protection Regulation, GDPR）相提并论，称之为“当今最严信息保护法”之一。就在9月2日，爱尔兰数据监管部门向脸书（Facebook）旗下的聊天软件WhatsApp开出2.25亿欧元的罚单，而在稍早时候，卢森堡数据监管部门给亚马逊（Amazon）开出的罚单更高达7.46亿欧元。毫无疑问，作为欧盟GDPR的“姊妹篇”，中国的PIPL如果火力全开则同样威力巨大，值得从事个人信息处理活动的市场主体高度重视。本文拟从权利形态、信息边界、落实机制等方面，简要分析和提示金融机构落实信保法的若干要点。

(一)  明确权利形态

按照目前学术及实务界的主流观点，“个人信息权益”涉及人身和财产等基本权利，具有多元多重的权利属性，因此信保法第一条规定“根据宪法，制定本法”。

简言之，“个人信息”就是以电子或其他方式记录的与自然人有关的各种信息。值得注意的是，在当前数字化浪潮下，虽然电子化的信息记录方式已经非常普遍，但本法所保护的个人信息并不以电子化记录的信息为限，也包括白纸黑字等传统形式记录的信息，如客户在金融机构填写的开户申请、业务表单等文件上包含的个人信息。

同时，信保法所保护的个人信息，以“已识别或者可识别”自然人的信息为限，也就是说，如果某项或某组信息是金融机构在识别某个客户过程中收集的，或者通过金融机构所存储的某项或某组信息可以识别到特定的自然人，则金融机构在处理该类信息时都须遵循信保法的规定。另外，“匿名化处理”及“去标识化”的信息，在信保法的某些领域应适用不同的例外性规范。

(二)  厘清信息边界

要根据信保法妥善平衡地保护各种权利，首先要厘清这些权利所对应的信息边界。

第一，个人与信息处理者之间的边界。信保法中的“个人”与民法上的“自然人”基本同义，而“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织和个人。自然人的个人信息受到法律保护，个人是其信息权益的“法定所有人”，金融机构切忌把业务过程中获取的个人信息，理所当然地看成本机构的囊中之物而任意处置。

第二，不同信息处理者之间的边界。金融活动中往往会发生机构间个人信息转移的情况，例如保险经纪公司收集投保信息后转移给保险公司开展核保，代销理财产品的银行将购买人信息转移给理财公司确认销售，或电子支付公司把支付指令转移给清算平台进行处理，等等。这些信息转移都是金融活动中的正常运营安排，并非法律法规所禁止，但信保法实施后，需要各方在合作协议和操作流程中厘清自身责任义务边界，共同落实个人信息保护的相关法律规定。另外，金融控股集团成员之间以及金融机构关联企业之间在进行信息转移和共享时，也要关注不同法律实体间的信息边界问题。

第三，境内、外信息处理者之间的边界。业界普遍认为，信保法内容的一大亮点是明确了域外管辖权，即：如果相关信息处理活动的目的是向中国境内自然人提供产品或服务，或涉及分析和评估中国境内自然人的行为，则即使该信息处理者为境外主体或信息处理活动发生在境外，仍须受到本法规制。需要国际性金融机构特别关注的是，在向设立于中国境外的地区总部或全球总部传输，或通过位于境外的数据运营中心、客户服务中心处理境内个人业务时，须特别考虑信保法第三章关于个人信息跨境提供的规则，尤其是国家安全评估、专业机构认证、标准合同签订、单独同意取得及限制禁止清单等相关要求。当然，境外金融机构向境内自然人跨境提供产品或服务时，应怎样遵循信保法要求还需要实践探索，例如中国内地居民为美国某证券公司既有客户，则在开展后续证券交易过程中，该美国证券公司是否因而需要全面遵守中国信保法关于信息收集、存储、使用、加工、传输、提供、公开和删除等的具体规定。另外，在境外涉及中国个人信息处理活动的金融机构，必须按信保法要求在中国境内设立专门机构或指定代表，负责处理个人信息保护相关事务，并向有关职权部门报送该机构和代表的联系信息。

(三)  建立落实机制

作为市场上重要的信息处理者，金融机构应按照信保法要求履行相关法定义务，包括但不限于建立如下七个方面的法律落实及内部合规机制。

1)        修订法律文本。“告知-同意”原则是信息处理者与个人之间信息边界的重要“守护人”，因此各个金融机构应全面审核现有的客户端文件，判断与信息处理相关的“告知”条款是否足够充分，以及相关“同意”条款是否足够明确，尤其是关注“单独同意”、“书面同意”的形式和内容是否符合法律规定。同时，合作机构之间、集团成员之间、关联企业之间，应通过合作协议或服务标准协议等厘清机构间的信息边界和责任义务。另外，要特别关注若涉及跨境提供个人信息，也可以通过使用国家网信部门制定的标准合同与境外接收方订立合同这一法定途径。

2)        遵循三最原则。在处理个人信息过程中，金融机构应切实遵循“三最原则”，即采取对个人权益影响最小的方式、限于实现处理目的的最小范围，以及保存期限应当为实现处理目的所必须的最短时间。为实现上述原则，金融机构应制定相应的内部管理制度和操作流程。

3)        实施信息分类。信保法将个人信息区分为一般个人信息和敏感个人信息，分别给予不同的保护程度和合规要求，其中“金融账户信息”即属于法律列举的敏感个人信息。全国金融标准化技术委员会制定、由中国人民银行（“人民银行”）早在2020年2月13日发布并实施的《个人金融信息保护技术规范》，便将个人金融信息区分为内部使用信息、可识别信息及用户鉴别信息（即C1-C3类别信息），因每一类别信息均可能对个人金融信息主体的信息安全与财产安全造成一定影响或危害，故应当理解为信保法下所规定的敏感个人信息，金融机构须根据信保法要求结合实际按照上述标准实施信息分类、给予相应保护，同时采取必要的加密、去标识化、匿名化处理等安全技术措施。

4)        规范决策流程。随着数据积累和模型迭代，不少金融机构开始通过“自动化决策”的方式向客户推送信息和开展营销，包括推荐保险、证券、基金、理财等单只金融产品以及构建相关投资管理组合、提供智能投顾服务等等，但信保法明确要求进行这些“精准营销”、“个性定制”的同时，必须提供不针对客户个人特征的选项，或向其提供便捷的拒绝方式。另外，如果金融机构以自动化决策方式做出的决定对个人权益有重大影响，则个人有权要求金融机构予以说明，并有权拒绝仅用过自动化决策方式做出的决定，例如贷款申请、支付指令和投资适合度的决策等。但这涉及到有时确实无法对大数据决策进行逻辑理解及分析，所以更要求金融机构在业务中平衡安排机器决策与人工决策的比重。

5)        履行跨境程序。金融机构向境外提供个人信息时，须履行必要的法定程序，包括向相关个人告知特定内容并取得其单独同意、通过相应的国家安全评估和专业保护认证、签署国家网信部门制定的标准合同等等。另外，涉及向外国司法或执法机构提供信息的，金融机构须获得人民银行、证监会或银保监会等主管机构的批准；还应特别注意，对国家网信部门公告列入“限制或禁止个人信息提供清单”的境外组织和个人，以及在个人信息保护方面对中国采取歧视性措施的国家或地区，信保法均有专门规范予以对制。

6)        开展事前评估。亡羊补牢总不如未雨绸缪，因此金融机构应在个人信息保护的特定情形下，开展信保法所要求的事前“个人信息保护影响评估”，这些特定情形包括：处理敏感个人信息、利用个人信息进行自动化决策、委托处理或向他人提供个人信息、公开个人信息、向境外提供个人信息等情形。就上述信息处理活动，建议金融机构自身或委托专业机构开展专项事前评估，评估内容应涵盖处理目的、处理方式的合法、正当、必要性，对个人权益的影响及安全性，以及保护措施的合法、有效、适当性等。该评估报告和处理记录应至少保存三年。

7)        其他合规机制。除落实上述法规要求外，金融机构须建立全方位、综合性的个人信息保护机制，例如：为实施信息分类保护，设置合理的操作权限并配套相应的员工培训；为防范、补救和处理信息风险事件，形成必要的应急预案并开展模拟演练；为符合外部监管或实施内部管理，建立针对信息处理活动、保护措施及其风险事件的报告制度；为监督信息处理活动和采取保护措施，指定本机构信息保护负责人；为验证和评估本机构信息保护的依法合规性，开展定期专项审计或纳入内部或外部审计计划等。

业界曾有笑谈，说一国监管水平迈向全球领先的第一步，是在罚单金额上向国际同行看齐。信保法严格规定了信息处理者违反相关法定义务的法律责任，处罚上限高达五千万元人民币或违法者上一年度营业额的百分之五，相关企业董事、监事、高级管理人员和个人信息保护负责人亦可能因此承担个人罚款或遭到禁业限制。今年11月1日PIPL正式实施后，依据该法开出的罚单金额短期之内可能还会与GDPR存在一定距离，但无可置疑地是，以信保法和《中华人民共和国数据安全法》、《中华人民共和国网络安全法》为三大法律支柱，中国目前已经建立了相对完善的个人信息保护规范体系，金融监管部门也推出了《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《银行业金融机构数据治理指引》和《中国人民银行金融消费者权益保护实施办法》等规章制度，另有《个人信息和重要数据出境安全评估办法》、《个人金融信息（数据）保护试行办法》等配套法规在草案修订和征求意见中。

综上可见，信保法的落实并非仅仅涉及单个法律或某个规则的具体实施，金融机构应做好全面依法和整体合规的综合考量和审慎安排，律师事务所等专业机构也应做好提供新法落实及合规方案的切实准备。