作者：特約研究員

來(lái)源：浙大融資租賃研究中心（ID：zju-rzzl）

個(gè)人信息保護一直是現代網(wǎng)絡(luò )社會(huì )中比較突出的問(wèn)題之一，在融資租賃業(yè)務(wù)過(guò)程中，作為融資租賃公司無(wú)論是在前期盡調中，還是在合同簽署以及后續的糾紛處理上，都會(huì )對客戶(hù)的個(gè)人信息進(jìn)行處理。如何在對客戶(hù)信息進(jìn)行收集、存儲、使用、加工等過(guò)程中做好對個(gè)人信息的保護，也是擺在融資租賃公司必須要面臨的一個(gè)重要問(wèn)題。

繼《民法典》對個(gè)人信息的定義、處理原則、處理個(gè)人信息的免責事由、安全保障義務(wù)等內容有了專(zhuān)項條款（詳見(jiàn)《民法典》第一千零三十四條至第一千零三十九條）進(jìn)行規定以后，2021年8月20日通過(guò)的《個(gè)人信息保護法》，又對個(gè)人信息的保護給予了更為詳盡的規定，包括敏感信息的處理原則、國家機關(guān)處理個(gè)人信息的規則、個(gè)人處理個(gè)人信息的權利、個(gè)人信息處理者的義務(wù)以及相關(guān)的法律責任等，內容非常豐富，可以說(shuō)，《個(gè)人信息保護法》是真正給個(gè)人信息保護上了一道“安全鎖”。筆者就在針對《個(gè)人信息保護法》相關(guān)條款進(jìn)行梳理和歸納的基礎上，試圖對融資租賃公司在個(gè)人信息的保護上提供一些建議，以供拋磚引玉。

一、個(gè)人信息的范圍及處理原則

根據《個(gè)人信息保護法》第四條的規定，個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。又根據《民法典》第一千零三十四條的規定，個(gè)人信息可以包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話(huà)號碼、電子郵箱、健康信息、行蹤信息等?！秱€(gè)人信息保護法》也特別對敏感個(gè)人信息進(jìn)行了規定，根據第二十八條之規定，敏感個(gè)人信息包括個(gè)人的生物識別、宗教信仰、特定身份、醫療健康、金融賬戶(hù)、行蹤軌跡等信息。

根據《個(gè)人信息保護法》的規定，對個(gè)人信息（包括敏感信息）進(jìn)行處理（包括收集、存儲、使用、加工、傳輸、提供、公開(kāi)、刪除等），應遵循包括但不限于以下原則：

（一）應堅持合法、正當、必要和誠信原則，不得通過(guò)誤導、欺詐、脅迫等方式處理個(gè)人信息。

（二）應當具有明確、合理的目的，并應當與處理目的直接相關(guān)。

（三）應當在對個(gè)人權益影響最小、實(shí)現處理目的的最小范圍內收集，不得過(guò)度收集個(gè)人信息。

（四）應當公開(kāi)個(gè)人信息處理的規則，明示處理的目的、方式和范圍。

（五）應當采用必要措施保障所處理的個(gè)人信息的安全。

（六）應當合法使用個(gè)人信息，不得危害國家安全、公共利益。

二、個(gè)人信息處理者的相關(guān)義務(wù)

根據《個(gè)人信息保護法》第十三條第二項的規定，在為訂立、履行個(gè)人作為一方當事人的合同所必需的情況下，個(gè)人信息處理者可以對個(gè)人信息進(jìn)行處理，但需要履行包括但不限于以下義務(wù)：

（一）在處理個(gè)人信息前需要以顯著(zhù)方式、清晰易懂的語(yǔ)言真實(shí)、準確、完整地履行告知義務(wù)。需要向個(gè)人告知個(gè)人信息處理者的名稱(chēng)或姓名和聯(lián)系方式以及個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類(lèi)、保存期限等。

（二）個(gè)人信息處理者向他人提供或公開(kāi)處理的個(gè)人信息或處理敏感個(gè)人信息，需取得個(gè)人單獨同意。

（三）對處理敏感個(gè)人信息或利用個(gè)人信息進(jìn)行自動(dòng)化決策的，應當事前對個(gè)人信息的處理目的、處理方式等是否合法、正當、必要性等進(jìn)行評估。

（四）個(gè)人信息處理者應當建立便捷的個(gè)人行使查閱、復制其個(gè)人信息的通道。

（五）需要對個(gè)人信息實(shí)行分類(lèi)管理、制定內部管理制度和操作規程，并采取相應的加密、去標識化等安全技術(shù)措施，防止個(gè)人信息泄露、篡改、丟失。

（六）應合理確定個(gè)人信息處理的操作權限，并定期對從業(yè)人員進(jìn)行安全教育和培訓，制定應急預案機制，明確具體的負責人。

（七）在處理目的已實(shí)現、無(wú)法實(shí)現或者為實(shí)現處理目的不再必要時(shí)應主動(dòng)刪除個(gè)人信息。

（八）需要向境外提供個(gè)人信息的，還需要經(jīng)國家網(wǎng)信部門(mén)安全評估和專(zhuān)業(yè)機構進(jìn)行個(gè)人信息保護認證。

三、違反《個(gè)人信息保護法》的法律后果

違反《個(gè)人信息保護法》規定處理個(gè)人信息，或者處理個(gè)人信息未履行相關(guān)規定的個(gè)人信息保護義務(wù)的，可能會(huì )面臨以下不利后果：

（一）在法律上首先會(huì )面臨舉證責任倒置的風(fēng)險，即若不能證明自己沒(méi)有過(guò)錯的，應當承擔損害賠償等侵權責任。

（二）被責令改正，給予警告，沒(méi)收違法所得，對違法處理個(gè)人信息的應用程序，被責令暫?；蛘呓K止提供服務(wù)。

（三）被處一百萬(wàn)元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

（四）情節嚴重的，可面臨被責令暫停相關(guān)業(yè)務(wù)或者被停業(yè)整頓、通報有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可或者被吊銷(xiāo)營(yíng)業(yè)執照。

（五）情節嚴重的，直接負責的主管人員和其他直接責任人員可能會(huì )面臨處十萬(wàn)元以上一百萬(wàn)元以下罰款，并可能會(huì )被禁止其在一定期限內擔任相關(guān)企業(yè)的董事、監事、高級管理人員和個(gè)人信息保護負責人。

（六）相關(guān)信息會(huì )被記入信用檔案，并予以公示。

四、針對融資租賃公司的建議

通過(guò)上述分析，作為個(gè)人信息處理者的融資租賃公司在處理個(gè)人信息（包括收集、存儲、使用、加工、傳輸、提供、公開(kāi)、刪除等）上會(huì )面臨較大的限制，必須履行“告知+同意”的義務(wù)，在個(gè)人信息的管理上也需要建立完善的內部管理制度，保護個(gè)人信息的安全，防止個(gè)人信息泄露、篡改、丟失等，否則，可能會(huì )面臨非常不利的法律后果（包括但不限于舉證責任倒置、被處罰、停業(yè)整頓、被吊銷(xiāo)營(yíng)業(yè)執照、高管被限制從業(yè)等）。為防范融資租賃公司在個(gè)人信息保護上的風(fēng)險，確保個(gè)人信息處理的合規與合法，建議融資租賃公司可以考慮從以下幾各方面入手：

（一）可對自己公司所開(kāi)展的不同業(yè)務(wù)類(lèi)型所涉及到的個(gè)人信息進(jìn)行梳理和分析，明確哪些個(gè)人信息是必須要處理的，哪些不是必須要處理的個(gè)人信息，對需要處理的個(gè)人信息進(jìn)行匯總和歸納。

（二）針對自動(dòng)化（如大數據風(fēng)控等系統）收集到的個(gè)人信息以及涉及到的個(gè)人敏感信息進(jìn)行重新梳理和評估。特別需要針對相關(guān)的敏感個(gè)人信息進(jìn)行歸納和整理，如有的融資租賃公司采取了人臉識別等技術(shù)進(jìn)行項目申報和簽約的，則會(huì )涉及到個(gè)人的生物識別信息；對以車(chē)輛作為租賃物的項目中，融資租賃公司會(huì )通過(guò)GPS來(lái)獲得客戶(hù)車(chē)輛的運營(yíng)軌跡信息等，這些都屬于個(gè)人敏感信息的處理。

（三）在融資租賃相關(guān)合同中增加相關(guān)告知和同意的條款，通過(guò)條款向客戶(hù)告知融資租賃公司收集個(gè)人信息的必要性，明確會(huì )收集的范圍、個(gè)人信息的處理目的、處理方式，保存期限等。

（四）個(gè)人信息的存儲最好在本地進(jìn)行，并指定專(zhuān)門(mén)的負責人進(jìn)行個(gè)人信息

安全的管理，定期形成個(gè)人信息安全管理報告，制定相關(guān)個(gè)信息處理的使用權限，并對個(gè)人信息數據進(jìn)行加密。個(gè)人信息需要存儲于其他平臺內的，應當選擇具有較好資質(zhì)的平臺，并取得該平臺對個(gè)人信息保護的承諾及相關(guān)的風(fēng)控措施和預案。

（五）在業(yè)務(wù)申報系統設置上，設置客戶(hù)同意個(gè)人信息被處理的選項，制訂相應的隱私政策。對于敏感信息設置單獨同意的模塊。必要時(shí)，單獨增加相關(guān)“告知+同意”處理個(gè)人信息的授權書(shū)或文件。

（六）制定內部管理手冊，禁止內部員工將個(gè)人信息向境外人員或機構提供，禁止內部員工對外公開(kāi)個(gè)人信息，并制定嚴格的考核機制。

《個(gè)人信息保護法》將于2021年11月1日起實(shí)施生效，在實(shí)施生效之前，融資租賃公司可以對本公司涉及到的個(gè)人信息進(jìn)行事前梳理，提前做好相關(guān)的準備和研究。個(gè)人信息保護的趨嚴，也是本次《個(gè)人信息保護法》的核心之意，融資租賃公司也需要順應大勢，不斷思考怎樣在個(gè)人信息保護與充分挖掘個(gè)人信息價(jià)值、促進(jìn)業(yè)務(wù)健康發(fā)展之間尋求平衡。當然，《個(gè)人信息保護法》中的有些規定還需要相關(guān)管理部門(mén)或司法機關(guān)進(jìn)行細化，相關(guān)規則還需要在中國這個(gè)土壤中的不斷地接受實(shí)踐檢驗，以便盡快尋找到更切合中國國情的、可落地的實(shí)施方案和實(shí)踐經(jīng)驗。融資租賃公司也需要密切關(guān)注后續相關(guān)的監管動(dòng)態(tài)、實(shí)施細則、相關(guān)案例等，以便在個(gè)人信息的保護上做到更加合規、合法，為公司融資租賃業(yè)務(wù)的穩健發(fā)展奠定更堅實(shí)的合規基礎。

注：文章為作者獨立觀(guān)點(diǎn)，不代表資產(chǎn)界立場(chǎng)。

題圖來(lái)自 Pexels，基于 CC0 協(xié)議

本文由“浙江大學(xué)融資租賃研究中心”投稿資產(chǎn)界，并經(jīng)資產(chǎn)界編輯發(fā)布。版權歸原作者所有，未經(jīng)授權，請勿轉載，謝謝！

原標題： 溫濤：融資租賃公司如何應對《個(gè)人信息保護法》的挑戰