2021年11月1日，《中華人民共和國個(gè)人信息保護法》正式實(shí)施，該法規定，在中華人民共和國境內處理自然人個(gè)人信息的活動(dòng)適用本法。同時(shí)，該法還明確，個(gè)人信息的處理包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開(kāi)、刪除等。金融機構在日常業(yè)務(wù)開(kāi)展中，諸多環(huán)節會(huì )涉及到處理自然人信息，本文就金融機構就業(yè)務(wù)過(guò)程涉及的個(gè)人信息處理合規問(wèn)題分析如下：

     根據《個(gè)人信息保護法》的規定，收集信息遵循處理個(gè)人信息應當遵循合法、正當、必要和誠信原則，不得通過(guò)誤導、欺詐、脅迫等方式處理個(gè)人信息。

對于必要原則，2020年11月央行頒布的《中國人民銀行金融消費者權益保護實(shí)施辦法》（中國人民銀行令[2020]第5號）已將收集信息的必要性原則納入。在業(yè)務(wù)開(kāi)展中，如果過(guò)度收集信息，一旦這些信息被濫用，將嚴重損害個(gè)人的隱私權益。因此，筆者認為必要性原則的引入有利于約束機構處理個(gè)人信息的目的。不過(guò)，必要性原則如何進(jìn)行判定，這需要相關(guān)部門(mén)對各類(lèi)處理個(gè)人信息事項進(jìn)行具體明確。當然，金融機構也可以自行制定制度進(jìn)行明確。

     根據《個(gè)人信息保護法》的規定，符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：

（一）取得個(gè)人的同意；（二）為訂立、履行個(gè)人作為一方當事人的合同所必需，或者按照依法制定的勞動(dòng)規章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；（三）為履行法定職責或者法定義務(wù)所必需；（四）為應對突發(fā)公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；（五）為公共利益實(shí)施新聞報道、輿論監督等行為，在合理的范圍內處理個(gè)人信息；（六）依照本法規定在合理的范圍內處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息；（七）法律、行政法規規定的其他情形。

同時(shí)，《個(gè)人信息保護法》還規定，基于個(gè)人同意處理個(gè)人信息的，該同意應當由個(gè)人在充分知情的前提下自愿、明確作出。

     金融機構在個(gè)人信息處理實(shí)踐中，除前款第二項至第七項規定情形外，處理個(gè)人信息應當取得個(gè)人同意。不過(guò)，這種同意也不應當是對所有信息的同意，即不能將所有可能存在的信息形式均予以羅列，然后以公司統一安排的格式條款的形式要求個(gè)人全部同意。畢竟，取得同意應當受到信息處理必要性及自愿等原則的約束。

     根據《個(gè)人信息保護法》的規定，基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權撤回其同意。個(gè)人信息處理者應當提供便捷的撤回同意的方式。個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

對于個(gè)人同意處理其個(gè)人信息的，個(gè)人可隨時(shí)予以撤回，而且金融機構不得就同意設置阻礙，而應當提供便捷的撤回同意的方式。當然，同意撤回之前的信息處理活動(dòng)依然有效。此外，個(gè)人撤回信息處理同意的，除非該信息是提供產(chǎn)品或服務(wù)所必需，否則，金融機構不得拒絕提供產(chǎn)品或服務(wù)。

     根據《個(gè)人信息保護法》的規定，處理個(gè)人信息應當保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準確、不完整對個(gè)人權益造成不利影響。

實(shí)踐中確實(shí)存在處理個(gè)人信息質(zhì)量不過(guò)關(guān)，導致個(gè)人信息不準確，嚴重者會(huì )損害個(gè)人權益。比如，把個(gè)人欠款金額、性別、婚姻狀況等弄錯，從而給當事人造成一些不必要的麻煩。確保處理個(gè)人信息的準確性，其實(shí)是對金融機構內部員工工作質(zhì)量的要求，為此，金融機構應加強個(gè)人信息處理崗位的人員的管理，確保處理個(gè)人信息的準確性。

     根據《個(gè)人信息保護法》的規定，敏感個(gè)人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個(gè)人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶(hù)、行蹤軌跡等信息，以及不滿(mǎn)十四周歲未成年人的個(gè)人信息。

《個(gè)人信息保護法》對個(gè)人信息中的敏感信息部分進(jìn)行了羅列，并對敏感信息的處理提供了更為嚴格的處理要求。因此，金融機構在處理個(gè)人信息時(shí)，應當將敏感信息單獨管理，并制定專(zhuān)門(mén)的處理原則，確保敏感信息的處理符合法律的要求。當然，敏感信息與普通信息的區分，意味著(zhù)金融機構在信息處理前，應當對信息進(jìn)行分類(lèi)，不同類(lèi)別的信息設置不同的接觸人員范圍及不同的保密要求。

      根據《個(gè)人信息保護法》的規定，個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個(gè)人信息的，應當具備下列條件之一：

（一）依照本法第四十條的規定通過(guò)國家網(wǎng)信部門(mén)組織的安全評估；（二）按照國家網(wǎng)信部門(mén)的規定經(jīng)專(zhuān)業(yè)機構進(jìn)行個(gè)人信息保護認證；（三）按照國家網(wǎng)信部門(mén)制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務(wù)；（四）法律、行政法規或者國家網(wǎng)信部門(mén)規定的其他條件。

      對于信息的跨境提供，主要針對那些擁有境外股東的金融機構，其在向股東提供個(gè)人信息時(shí)，意味著(zhù)個(gè)人信息的跨境流轉。舉例而言，在《個(gè)人信息保護法》出臺前，向境外股東提供員工個(gè)人信息屬于正常行為，但是《個(gè)人信息保護法》出臺后，此類(lèi)信息的提供也應當按照法定的流程進(jìn)行。

     根據《個(gè)人信息保護法》的規定，個(gè)人有權向個(gè)人信息處理者查閱、復制其個(gè)人信息；個(gè)人請求查閱、復制其個(gè)人信息的，個(gè)人信息處理者應當及時(shí)提供。

個(gè)人有權查閱、復制其個(gè)人信息，既是對個(gè)人對金融機構處理信息行為的監督，又是個(gè)人對其已提供過(guò)的信息的一種知情了解。不過(guò)在實(shí)踐中，個(gè)人在與金融機構或第三方發(fā)生爭議時(shí)查閱復制信息的需求更大。如果是與金融機構發(fā)生爭議的，金融機構則不能違規隱匿一些信息或拒不提供相關(guān)信息。

　  個(gè)人信息保護在近年逐步得到了國家的關(guān)注，本次專(zhuān)門(mén)通過(guò)法律的形式對個(gè)人信息保護予以規范，表明了國家在個(gè)人信息保護領(lǐng)域的決心。作為市場(chǎng)上非常重要的個(gè)人信息處理者的金融機構，應當針對自身業(yè)務(wù)情況，就個(gè)人信息處理制定可行的制度，確保個(gè)人信息處理過(guò)程合法合規。