意见——个人信息保护法对中国金融业的七大影响

[email protected]

在全世界开始严格监管个人数据的同时，中国的环境被描述为“独一无二”。 中国的个人信息保护法（PIPL）被视为欧盟通用数据保护条例（GDPR）的中国版，但比后者更严格。 法律的要求影响了敏感数据高度集中的整个金融行业。 经国际原子能机构确认审核为年度重点，于8月启动了为期3个月的行业自纠专项项目。 中国金融界正被推动积极分析、评估和实施法律要求。 以下是他们在此过程中的主要关注点。

1- 新的信用报告机构保留个人数据

信用报告机构 (CRA) 作为外部支持者，在银行尽职调查过程中发挥着重要作用。 但在中国，迄今为止只有3家机构获准从事个人征信业务。 除中央银行历史最悠久的两个主体外，其他两个主体主要为私人所有，由于无法在处理个人信息之前获得个人同意，因此面临的障碍最大。 但是，CRA 处理的信息在很大程度上被归类为敏感数据，根据 PIPL，每个处理目的都需要事先获得特定的同意。 对于 CRA 的新人来说，很难找到编制个人数据库的合法起点，更不用说将其交给金融客户了。

2- 在金融机构或集团内进行交叉营销的可能性

由于大多数金融个人数据的敏感性，金融公司不得超出服务的原始目的处理这些数据。 尽管 GDPR 允许，但该限制基于特定业务而非内部法人实体或金融集团。 这将使高级联合营销成为不可能。 例如，您不能在没有事先获得他们对此类产品的批准并合理解释正当性和必要性的情况下向您的贷款客户出售理财产品。

3- 个人信息归档期间不一致

对于包含个人信息的档案的保存期限，存在反对意见。 PIPL随着操作目的的实现而将最佳原则保持较短，而金融行业的趋势则更可取，因为许多金融机构将其永久存储。 中国的反洗钱法要求在金融交易完成后至少有5年的归档期限，此外还有至少150份要求不同期限和不同账户的规范性文件。 PIPL的储存期限源于消费者的被遗忘权，仅允许法律法规的其他条款豁免，而之前的备案是大多数监管文件。 任何未指明的担忧都会占上风。

4- 向组织者报告和通知客户的义务

PIPL 对政府设置了两个相当严格的限制：只有立法和法规才被授权在同意的情况下处理个人信息，即使如此，提供者和接收者仍然需要通知。 然而，实际程序的运作方式完全不同，因为在监管要求的情况下没有发出通知。 或许整个行业都在等待客户对这个问题的第一次投诉或诉讼，以明确实际规则。

5. 评估个人数据跨境流动安全性的义务

PIPL 要求由中国国家互联网信息办公室 (CASA) 牵头对包含一定数量个人信息的公司的跨境数据传输进行安全评估。 银行显然是其中之一，因为它们的信用卡和借记卡每天都支持大量的国外交易。 但这样的评估是应该全部4000家中资银行都参与，还是只针对银联、万事达、Visa等卡结算实体？ 没有任何回应，也没有任何一方声称对此负责。

6.保障消费者权益的成本

PIPL 中列出了多种权利，包括但不限于查询、复制、删除等权利。 有一个相关的问题发生并吓坏了金融业。 一位客户要求查看奢侈品电商并复制卖家的所有个人信息，从历史订单到浏览器日志、自动决策、SDK 名称、收据名称等。 卖家想将其限制在客户资料栏，但法院拒绝了。 卖方还辩称，这将是整个行业的巨大成本。 法院裁定客户的权利优先。 如果这发生在银行怎么办？ 一家银行甚至可能无法收集它所持有的所有信息，而这些信息都被谨慎存储。 为了履行这一职责，金融公司必须将所有信息存储在中央 IT 系统中并使用适当的管理方案。

7、各方监管范围模糊不清

PIPL 立法格局为金融业提供了多项未指定的权力，包括 CAC（中国网信办）、工业和信息化部（工业和信息化部）、MPS（公安部）、PBOC（人民银行）中国），或各金融监管机构，甚至所有监管机构，对违反知识产权保护法的金融机构进行制裁。 如果出现任何非最终问题，例如评估金融申请的合法性，金融公司总是对报告谁感到困惑。