融資租賃公司在個(gè)人信息保護(hù)上的建議

個(gè)人信息保護(hù)一直是現(xiàn)代網(wǎng)絡(luò)社會(huì)中比較突出的問(wèn)題之一，在融資租賃業(yè)務(wù)過(guò)程中，作為融資租賃公司無(wú)論是在前期盡調(diào)中，還是在合同簽署以及后續(xù)的糾紛處理上，都會(huì)對(duì)客戶(hù)的個(gè)人信息進(jìn)行處理。如何在對(duì)客戶(hù)信息進(jìn)行收集、存儲(chǔ)、使用、加工等過(guò)程中做好對(duì)個(gè)人信息的保護(hù)，也是擺在融資租賃公司必須要面臨的一個(gè)重要問(wèn)題。

　　繼《民法典》對(duì)個(gè)人信息的定義、處理原則、處理個(gè)人信息的免責(zé)事由、安全保障義務(wù)等內(nèi)容有了專(zhuān)項(xiàng)條款（詳見(jiàn)《民法典》第一千零三十四條至第一千零三十九條）進(jìn)行規(guī)定以后，2021年8月20日通過(guò)的《個(gè)人信息保護(hù)法》，又對(duì)個(gè)人信息的保護(hù)給予了更為詳盡的規(guī)定，包括敏感信息的處理原則、國(guó)家機(jī)關(guān)處理個(gè)人信息的規(guī)則、個(gè)人處理個(gè)人信息的權(quán)利、個(gè)人信息處理者的義務(wù)以及相關(guān)的法律責(zé)任等，內(nèi)容非常豐富，可以說(shuō)，《個(gè)人信息保護(hù)法》是真正給個(gè)人信息保護(hù)上了一道“安全鎖”。筆者就在針對(duì)《個(gè)人信息保護(hù)法》相關(guān)條款進(jìn)行梳理和歸納的基礎(chǔ)上，試圖對(duì)融資租賃公司在個(gè)人信息的保護(hù)上提供一些建議，以供拋磚引玉。

一、個(gè)人信息的范圍及處理原則

　　根據(jù)《個(gè)人信息保護(hù)法》第四條的規(guī)定，個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。又根據(jù)《民法典》第一千零三十四條的規(guī)定，個(gè)人信息可以包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等�！秱�(gè)人信息保護(hù)法》也特別對(duì)敏感個(gè)人信息進(jìn)行了規(guī)定，根據(jù)第二十八條之規(guī)定，敏感個(gè)人信息包括個(gè)人的生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶(hù)、行蹤軌跡等信息。

　　根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，對(duì)個(gè)人信息（包括敏感信息）進(jìn)行處理（包括收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等），應(yīng)遵循包括但不限于以下原則：

　�。ㄒ唬�應(yīng)堅(jiān)持合法、正當(dāng)、必要和誠(chéng)信原則，不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。

　�。ǘ�）應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)。

　　（三）應(yīng)當(dāng)在對(duì)個(gè)人權(quán)益影響最小、實(shí)現(xiàn)處理目的的最小范圍內(nèi)收集，不得

　　過(guò)度收集個(gè)人信息。

　　（四）應(yīng)當(dāng)公開(kāi)個(gè)人信息處理的規(guī)則，明示處理的目的、方式和范圍。

　�。ㄎ澹�應(yīng)當(dāng)采用必要措施保障所處理的個(gè)人信息的安全。

　　（六）應(yīng)當(dāng)合法使用個(gè)人信息，不得危害國(guó)家安全、公共利益。

　　二、個(gè)人信息處理者的相關(guān)義務(wù)

根據(jù)《個(gè)人信息保護(hù)法》第十三條第二項(xiàng)的規(guī)定，在為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需的情況下，個(gè)人信息處理者可以對(duì)個(gè)人信息進(jìn)行處理，但需要履行包括但不限于以下義務(wù)：

　�。ㄒ唬┰谔幚韨�(gè)人信息前需要以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地履行告知義務(wù)。需要向個(gè)人告知個(gè)人信息處理者的名稱(chēng)或姓名和聯(lián)系方式以及個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類(lèi)、保存期限等。

　�。ǘ�）個(gè)人信息處理者向他人提供或公開(kāi)處理的個(gè)人信息或處理敏感個(gè)人信息，需取得個(gè)人單獨(dú)同意。

　�。ㄈ�）對(duì)處理敏感個(gè)人信息或利用個(gè)人信息進(jìn)行自動(dòng)化決策的，應(yīng)當(dāng)事前對(duì)個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要性等進(jìn)行評(píng)估。

　　（四）個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使查閱、復(fù)制其個(gè)人信息的通道。

　�。ㄎ澹┬枰獙�(duì)個(gè)人信息實(shí)行分類(lèi)管理、制定內(nèi)部管理制度和操作規(guī)程，并采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施，防止個(gè)人信息泄露、篡改、丟失。

　�。�六）應(yīng)合理確定個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)，制定應(yīng)急預(yù)案機(jī)制，明確具體的負(fù)責(zé)人。

　　（七）在處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要時(shí)應(yīng)主動(dòng)刪除個(gè)人信息。

　�。ò耍┬枰�向境外提供個(gè)人信息的，還需要經(jīng)國(guó)家網(wǎng)信部門(mén)安全評(píng)估和專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證。

　　三、違反《個(gè)人信息保護(hù)法》的法律后果

　　違反《個(gè)人信息保護(hù)法》規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未履行相關(guān)規(guī)定的個(gè)人信息保護(hù)義務(wù)的，可能會(huì)面臨以下不利后果：

　�。ㄒ唬┰诜�律上首先會(huì)面臨舉證責(zé)任倒置的風(fēng)險(xiǎn)，即若不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

　�。ǘ�）被責(zé)令改正，給予警告，沒(méi)收違法所得，對(duì)違法處理個(gè)人信息的應(yīng)用程序，被責(zé)令暫�；蛘呓K止提供服務(wù)。

　　（三）被處一百萬(wàn)元以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

　　（四）情節(jié)嚴(yán)重的，可面臨被責(zé)令暫停相關(guān)業(yè)務(wù)或者被停業(yè)整頓、通報(bào)有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可或者被吊銷(xiāo)營(yíng)業(yè)執(zhí)照。

　�。ㄎ澹┣楣�(jié)嚴(yán)重的，直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可能會(huì)面臨處十萬(wàn)元以上一百萬(wàn)元以下罰款，并可能會(huì)被禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。

　　（六）相關(guān)信息會(huì)被記入信用檔案，并予以公示。

　　四、針對(duì)融資租賃公司的建議

　　通過(guò)上述分析，作為個(gè)人信息處理者的融資租賃公司在處理個(gè)人信息（包括收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等）上會(huì)面臨較大的限制，必須履行“告知+同意”的義務(wù)，在個(gè)人信息的管理上也需要建立完善的內(nèi)部管理制度，保護(hù)個(gè)人信息的安全，防止個(gè)人信息泄露、篡改、丟失等，否則，可能會(huì)面臨非常不利的法律后果（包括但不限于舉證責(zé)任倒置、被處罰、停業(yè)整頓、被吊銷(xiāo)營(yíng)業(yè)執(zhí)照、高管被限制從業(yè)等）。為防范融資租賃公司在個(gè)人信息保護(hù)上的風(fēng)險(xiǎn)，確保個(gè)人信息處理的合規(guī)與合法，建議融資租賃公司可以考慮從以下幾各方面入手：

　�。ㄒ唬┛蓪�(duì)自己公司所開(kāi)展的不同業(yè)務(wù)類(lèi)型所涉及到的個(gè)人信息進(jìn)行梳理和分析，明確哪些個(gè)人信息是必須要處理的，哪些不是必須要處理的個(gè)人信息，對(duì)需要處理的個(gè)人信息進(jìn)行匯總和歸納。

　　（二）針對(duì)自動(dòng)化（如大數(shù)據(jù)風(fēng)控等系統(tǒng)）收集到的個(gè)人信息以及涉及到的個(gè)人敏感信息進(jìn)行重新梳理和評(píng)估。特別需要針對(duì)相關(guān)的敏感個(gè)人信息進(jìn)行歸納和整理，如有的融資租賃公司采取了人臉識(shí)別等技術(shù)進(jìn)行項(xiàng)目申報(bào)和簽約的，則會(huì)涉及到個(gè)人的生物識(shí)別信息；對(duì)以車(chē)輛作為租賃物的項(xiàng)目中，融資租賃公司會(huì)通過(guò)GPS來(lái)獲得客戶(hù)車(chē)輛的運(yùn)營(yíng)軌跡信息等，這些都屬于個(gè)人敏感信息的處理。

　　（三）在融資租賃相關(guān)合同中增加相關(guān)告知和同意的條款，通過(guò)條款向客戶(hù)告知融資租賃公司收集個(gè)人信息的必要性，明確會(huì)收集的范圍、個(gè)人信息的處理目的、處理方式，保存期限等。

　�。ㄋ模﹤�(gè)人信息的存儲(chǔ)最好在本地進(jìn)行，并指定專(zhuān)門(mén)的負(fù)責(zé)人進(jìn)行個(gè)人信息

　　安全的管理，定期形成個(gè)人信息安全管理報(bào)告，制定相關(guān)個(gè)信息處理的使用權(quán)限，并對(duì)個(gè)人信息數(shù)據(jù)進(jìn)行加密。個(gè)人信息需要存儲(chǔ)于其他平臺(tái)內(nèi)的，應(yīng)當(dāng)選擇具有較好資質(zhì)的平臺(tái)，并取得該平臺(tái)對(duì)個(gè)人信息保護(hù)的承諾及相關(guān)的風(fēng)控措施和預(yù)案。

　�。ㄎ澹┰跇I(yè)務(wù)申報(bào)系統(tǒng)設(shè)置上，設(shè)置客戶(hù)同意個(gè)人信息被處理的選項(xiàng)，制訂相應(yīng)的隱私政策。對(duì)于敏感信息設(shè)置單獨(dú)同意的模塊。必要時(shí)，單獨(dú)增加相關(guān)“告知+同意”處理個(gè)人信息的授權(quán)書(shū)或文件。

　　（六）制定內(nèi)部管理手冊(cè)，禁止內(nèi)部員工將個(gè)人信息向境外人員或機(jī)構(gòu)提供，禁止內(nèi)部員工對(duì)外公開(kāi)個(gè)人信息，并制定嚴(yán)格的考核機(jī)制。

　　《個(gè)人信息保護(hù)法》將于2021年11月1日起實(shí)施生效，在實(shí)施生效之前，融資租賃公司可以對(duì)本公司涉及到的個(gè)人信息進(jìn)行事前梳理，提前做好相關(guān)的準(zhǔn)備和研究。個(gè)人信息保護(hù)的趨嚴(yán)，也是本次《個(gè)人信息保護(hù)法》的核心之意，融資租賃公司也需要順應(yīng)大勢(shì)，不斷思考怎樣在個(gè)人信息保護(hù)與充分挖掘個(gè)人信息價(jià)值、促進(jìn)業(yè)務(wù)健康發(fā)展之間尋求平衡。當(dāng)然，《個(gè)人信息保護(hù)法》中的有些規(guī)定還需要相關(guān)管理部門(mén)或司法機(jī)關(guān)進(jìn)行細(xì)化，相關(guān)規(guī)則還需要在中國(guó)這個(gè)土壤中的不斷地接受實(shí)踐檢驗(yàn)，以便盡快尋找到更切合中國(guó)國(guó)情的、可落地的實(shí)施方案和實(shí)踐經(jīng)驗(yàn)。融資租賃公司也需要密切關(guān)注后續(xù)相關(guān)的監(jiān)管動(dòng)態(tài)、實(shí)施細(xì)則、相關(guān)案例等，以便在個(gè)人信息的保護(hù)上做到更加合規(guī)、合法，為公司融資租賃業(yè)務(wù)的穩(wěn)健發(fā)展奠定更堅(jiān)實(shí)的合規(guī)基礎(chǔ)。