今年以來，監(jiān)管層對個(gè)人信息保護(hù)力度正在不斷加大。

在剛剛完成向社會(huì)征求意見的《中華人民共和國個(gè)人信息保護(hù)法(草案)》(以下簡稱《草案》)備受業(yè)界關(guān)注。如今，“大數(shù)據(jù)殺熟”、個(gè)人信息泄露問題一直是備受爭議和詬病的問題。在大數(shù)據(jù)潮流的沖擊下，金融機(jī)構(gòu)對個(gè)人信息安全及用戶隱私保護(hù)等方面正面臨新的挑戰(zhàn)。保障個(gè)人信息安全已成為各金融機(jī)構(gòu)安全保障義務(wù)的核心內(nèi)容。

《草案》對于金融機(jī)構(gòu)及金融業(yè)影響如何?金融機(jī)構(gòu)在個(gè)人信息數(shù)據(jù)安全及事后審計(jì)問責(zé)方面面臨怎樣的嚴(yán)監(jiān)管?對此《證券日報(bào)》記者專訪了中國銀行法學(xué)研究會(huì)理事肖颯。

《證券日報(bào)》：《草案》對金融機(jī)構(gòu)在個(gè)人金融信息保護(hù)上提出了哪些新要求?

肖颯：《草案》對金融機(jī)構(gòu)在個(gè)人金融信息保護(hù)上提出了更高的要求。其通過個(gè)人信息的處理原則、處理義務(wù)、敏感信息的處理規(guī)則和相關(guān)處罰標(biāo)準(zhǔn)等規(guī)定，為保護(hù)個(gè)人金融信息提供了法律保障。

具體來看：第一，規(guī)定了處理個(gè)人信息的七個(gè)基本原則，即合法性原則、目的明確原則、最小必要原則、公開透明原則、準(zhǔn)確性原則、可問責(zé)性原則、數(shù)據(jù)安全原則;第二，明確了個(gè)人信息處理者的多項(xiàng)義務(wù)，具體包括6個(gè)方面;第三，對個(gè)人敏感信息的處理提出了更高要求。包括：(1)個(gè)人信息處理者只有在具有特定目的和充分必要的情形下才能處理敏感個(gè)人信息。(2)需向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人的影響，并取得個(gè)人的單獨(dú)同意或依法取得書面同意;第四，規(guī)定了對違法處理個(gè)人信息的相關(guān)處罰標(biāo)準(zhǔn)。

總體來看，對金融機(jī)構(gòu)而言更加嚴(yán)苛，金融機(jī)構(gòu)在個(gè)人信息保護(hù)方面正面臨嚴(yán)監(jiān)管。

《證券日報(bào)》：能否展開談?wù)劇恫莅浮穼鹑跈C(jī)構(gòu)違法處理個(gè)人信息的相關(guān)處罰標(biāo)準(zhǔn)?

肖颯：此次對違法處理個(gè)人信息的法律責(zé)任做了全面規(guī)定，全方位規(guī)定了違法處理個(gè)人信息的處罰形式，具體的處罰形式包括：責(zé)令改正、沒收違法所得、給予警告、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照、記入信用檔案等等。目前，對違法處理個(gè)人信息的有關(guān)問題，監(jiān)管層一直處于嚴(yán)監(jiān)管態(tài)勢。

《證券日報(bào)》：在個(gè)人信息數(shù)據(jù)安全及金融機(jī)構(gòu)技術(shù)措施應(yīng)用等方面是否也提出較為嚴(yán)格的要求?

肖颯：確實(shí)是的。《草案》對個(gè)人信息數(shù)據(jù)安全及金融機(jī)構(gòu)技術(shù)措施應(yīng)用和事后審計(jì)問責(zé)等提出了更為具體的要求。一是制定內(nèi)部管理制度和操作規(guī)程;二是對個(gè)人信息實(shí)行分級(jí)分類管理;三是采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施;四是合理確定個(gè)人信息處理的操作權(quán)限，并定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn);五是制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案;六是指定個(gè)人信息保護(hù)負(fù)責(zé)人;七是對個(gè)人信息處理活動(dòng)的合法性進(jìn)行審計(jì);八是對個(gè)人信息處理活動(dòng)在事前進(jìn)行風(fēng)險(xiǎn)評(píng)估。

在事后審計(jì)問責(zé)方面也有了明確規(guī)定，其中違法處理個(gè)人信息，或者處理個(gè)人信息未按照規(guī)定采取必要的安全保護(hù)措施的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，給予警告;拒不改正的，并處一百萬元以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。這些規(guī)定是給個(gè)人信息處理者履行義務(wù)施加了明確了規(guī)范，避免個(gè)人信息的保護(hù)責(zé)任落為空談。

《證券日報(bào)》：從行業(yè)角度看，目前金融業(yè)在個(gè)人信息安全保護(hù)情況如何?以您多年從業(yè)經(jīng)驗(yàn)，能否為金融機(jī)構(gòu)在個(gè)人信息保護(hù)方面工作提些建設(shè)性的意見?

肖颯：《草案》的提出是我國法治的進(jìn)步。從行業(yè)角度看，金融機(jī)構(gòu)保護(hù)個(gè)人信息的力度還遠(yuǎn)遠(yuǎn)不夠，任重而道遠(yuǎn)。金融業(yè)個(gè)人信息泄露事件頻發(fā)，側(cè)面反映了金融機(jī)構(gòu)對保護(hù)用戶個(gè)人信息安全上確實(shí)存在不足。

未來，金融機(jī)構(gòu)在個(gè)人信息保護(hù)工作上，首先，在取得個(gè)人信息的時(shí)候，應(yīng)該明確告知并且取得權(quán)利人的同意;其次，金融機(jī)構(gòu)處理個(gè)人信息的過程中應(yīng)當(dāng)采取必要措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露或者被竊取、篡改、刪除;最后，金融機(jī)構(gòu)發(fā)現(xiàn)個(gè)人信息泄露的，應(yīng)當(dāng)立即采取補(bǔ)救措施。建議，各大金融機(jī)構(gòu)應(yīng)該建立事前審查機(jī)制、安全防護(hù)機(jī)制、事后補(bǔ)救機(jī)制等來保護(hù)用戶的個(gè)人信息安全。