作者：特約研究員

來源：浙大融資租賃研究中心（ID：zju-rzzl）

個人信息保護(hù)一直是現(xiàn)代網(wǎng)絡(luò)社會中比較突出的問題之一，在融資租賃業(yè)務(wù)過程中，作為融資租賃公司無論是在前期盡調(diào)中，還是在合同簽署以及后續(xù)的糾紛處理上，都會對客戶的個人信息進(jìn)行處理。如何在對客戶信息進(jìn)行收集、存儲、使用、加工等過程中做好對個人信息的保護(hù)，也是擺在融資租賃公司必須要面臨的一個重要問題。

繼《民法典》對個人信息的定義、處理原則、處理個人信息的免責(zé)事由、安全保障義務(wù)等內(nèi)容有了專項條款（詳見《民法典》第一千零三十四條至第一千零三十九條）進(jìn)行規(guī)定以后，2021年8月20日通過的《個人信息保護(hù)法》，又對個人信息的保護(hù)給予了更為詳盡的規(guī)定，包括敏感信息的處理原則、國家機(jī)關(guān)處理個人信息的規(guī)則、個人處理個人信息的權(quán)利、個人信息處理者的義務(wù)以及相關(guān)的法律責(zé)任等，內(nèi)容非常豐富，可以說，《個人信息保護(hù)法》是真正給個人信息保護(hù)上了一道“安全鎖”。筆者就在針對《個人信息保護(hù)法》相關(guān)條款進(jìn)行梳理和歸納的基礎(chǔ)上，試圖對融資租賃公司在個人信息的保護(hù)上提供一些建議，以供拋磚引玉。

一、個人信息的范圍及處理原則

根據(jù)《個人信息保護(hù)法》第四條的規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。又根據(jù)《民法典》第一千零三十四條的規(guī)定，個人信息可以包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！秱€人信息保護(hù)法》也特別對敏感個人信息進(jìn)行了規(guī)定，根據(jù)第二十八條之規(guī)定，敏感個人信息包括個人的生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息。

根據(jù)《個人信息保護(hù)法》的規(guī)定，對個人信息（包括敏感信息）進(jìn)行處理（包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等），應(yīng)遵循包括但不限于以下原則：

（一）應(yīng)堅持合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。

（二）應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)。

（三）應(yīng)當(dāng)在對個人權(quán)益影響最小、實現(xiàn)處理目的的最小范圍內(nèi)收集，不得過度收集個人信息。

（四）應(yīng)當(dāng)公開個人信息處理的規(guī)則，明示處理的目的、方式和范圍。

（五）應(yīng)當(dāng)采用必要措施保障所處理的個人信息的安全。

（六）應(yīng)當(dāng)合法使用個人信息，不得危害國家安全、公共利益。

二、個人信息處理者的相關(guān)義務(wù)

根據(jù)《個人信息保護(hù)法》第十三條第二項的規(guī)定，在為訂立、履行個人作為一方當(dāng)事人的合同所必需的情況下，個人信息處理者可以對個人信息進(jìn)行處理，但需要履行包括但不限于以下義務(wù)：

（一）在處理個人信息前需要以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地履行告知義務(wù)。需要向個人告知個人信息處理者的名稱或姓名和聯(lián)系方式以及個人信息的處理目的、處理方式，處理的個人信息種類、保存期限等。

（二）個人信息處理者向他人提供或公開處理的個人信息或處理敏感個人信息，需取得個人單獨同意。

（三）對處理敏感個人信息或利用個人信息進(jìn)行自動化決策的，應(yīng)當(dāng)事前對個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要性等進(jìn)行評估。

（四）個人信息處理者應(yīng)當(dāng)建立便捷的個人行使查閱、復(fù)制其個人信息的通道。

（五）需要對個人信息實行分類管理、制定內(nèi)部管理制度和操作規(guī)程，并采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施，防止個人信息泄露、篡改、丟失。

（六）應(yīng)合理確定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)，制定應(yīng)急預(yù)案機(jī)制，明確具體的負(fù)責(zé)人。

（七）在處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要時應(yīng)主動刪除個人信息。

（八）需要向境外提供個人信息的，還需要經(jīng)國家網(wǎng)信部門安全評估和專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證。

三、違反《個人信息保護(hù)法》的法律后果

違反《個人信息保護(hù)法》規(guī)定處理個人信息，或者處理個人信息未履行相關(guān)規(guī)定的個人信息保護(hù)義務(wù)的，可能會面臨以下不利后果：

（一）在法律上首先會面臨舉證責(zé)任倒置的風(fēng)險，即若不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

（二）被責(zé)令改正，給予警告，沒收違法所得，對違法處理個人信息的應(yīng)用程序，被責(zé)令暫?；蛘呓K止提供服務(wù)。

（三）被處一百萬元以下罰款；對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

（四）情節(jié)嚴(yán)重的，可面臨被責(zé)令暫停相關(guān)業(yè)務(wù)或者被停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者被吊銷營業(yè)執(zhí)照。

（五）情節(jié)嚴(yán)重的，直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可能會面臨處十萬元以上一百萬元以下罰款，并可能會被禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護(hù)負(fù)責(zé)人。

（六）相關(guān)信息會被記入信用檔案，并予以公示。

四、針對融資租賃公司的建議

通過上述分析，作為個人信息處理者的融資租賃公司在處理個人信息（包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等）上會面臨較大的限制，必須履行“告知+同意”的義務(wù)，在個人信息的管理上也需要建立完善的內(nèi)部管理制度，保護(hù)個人信息的安全，防止個人信息泄露、篡改、丟失等，否則，可能會面臨非常不利的法律后果（包括但不限于舉證責(zé)任倒置、被處罰、停業(yè)整頓、被吊銷營業(yè)執(zhí)照、高管被限制從業(yè)等）。為防范融資租賃公司在個人信息保護(hù)上的風(fēng)險，確保個人信息處理的合規(guī)與合法，建議融資租賃公司可以考慮從以下幾各方面入手：

（一）可對自己公司所開展的不同業(yè)務(wù)類型所涉及到的個人信息進(jìn)行梳理和分析，明確哪些個人信息是必須要處理的，哪些不是必須要處理的個人信息，對需要處理的個人信息進(jìn)行匯總和歸納。

（二）針對自動化（如大數(shù)據(jù)風(fēng)控等系統(tǒng)）收集到的個人信息以及涉及到的個人敏感信息進(jìn)行重新梳理和評估。特別需要針對相關(guān)的敏感個人信息進(jìn)行歸納和整理，如有的融資租賃公司采取了人臉識別等技術(shù)進(jìn)行項目申報和簽約的，則會涉及到個人的生物識別信息；對以車輛作為租賃物的項目中，融資租賃公司會通過GPS來獲得客戶車輛的運(yùn)營軌跡信息等，這些都屬于個人敏感信息的處理。

（三）在融資租賃相關(guān)合同中增加相關(guān)告知和同意的條款，通過條款向客戶告知融資租賃公司收集個人信息的必要性，明確會收集的范圍、個人信息的處理目的、處理方式，保存期限等。

（四）個人信息的存儲最好在本地進(jìn)行，并指定專門的負(fù)責(zé)人進(jìn)行個人信息

安全的管理，定期形成個人信息安全管理報告，制定相關(guān)個信息處理的使用權(quán)限，并對個人信息數(shù)據(jù)進(jìn)行加密。個人信息需要存儲于其他平臺內(nèi)的，應(yīng)當(dāng)選擇具有較好資質(zhì)的平臺，并取得該平臺對個人信息保護(hù)的承諾及相關(guān)的風(fēng)控措施和預(yù)案。

（五）在業(yè)務(wù)申報系統(tǒng)設(shè)置上，設(shè)置客戶同意個人信息被處理的選項，制訂相應(yīng)的隱私政策。對于敏感信息設(shè)置單獨同意的模塊。必要時，單獨增加相關(guān)“告知+同意”處理個人信息的授權(quán)書或文件。

（六）制定內(nèi)部管理手冊，禁止內(nèi)部員工將個人信息向境外人員或機(jī)構(gòu)提供，禁止內(nèi)部員工對外公開個人信息，并制定嚴(yán)格的考核機(jī)制。

《個人信息保護(hù)法》將于2021年11月1日起實施生效，在實施生效之前，融資租賃公司可以對本公司涉及到的個人信息進(jìn)行事前梳理，提前做好相關(guān)的準(zhǔn)備和研究。個人信息保護(hù)的趨嚴(yán)，也是本次《個人信息保護(hù)法》的核心之意，融資租賃公司也需要順應(yīng)大勢，不斷思考怎樣在個人信息保護(hù)與充分挖掘個人信息價值、促進(jìn)業(yè)務(wù)健康發(fā)展之間尋求平衡。當(dāng)然，《個人信息保護(hù)法》中的有些規(guī)定還需要相關(guān)管理部門或司法機(jī)關(guān)進(jìn)行細(xì)化，相關(guān)規(guī)則還需要在中國這個土壤中的不斷地接受實踐檢驗，以便盡快尋找到更切合中國國情的、可落地的實施方案和實踐經(jīng)驗。融資租賃公司也需要密切關(guān)注后續(xù)相關(guān)的監(jiān)管動態(tài)、實施細(xì)則、相關(guān)案例等，以便在個人信息的保護(hù)上做到更加合規(guī)、合法，為公司融資租賃業(yè)務(wù)的穩(wěn)健發(fā)展奠定更堅實的合規(guī)基礎(chǔ)。

注：文章為作者獨立觀點，不代表資產(chǎn)界立場。

題圖來自 Pexels，基于 CC0 協(xié)議

本文由“浙江大學(xué)融資租賃研究中心”投稿資產(chǎn)界，并經(jīng)資產(chǎn)界編輯發(fā)布。版權(quán)歸原作者所有，未經(jīng)授權(quán)，請勿轉(zhuǎn)載，謝謝！

原標(biāo)題： 溫濤：融資租賃公司如何應(yīng)對《個人信息保護(hù)法》的挑戰(zhàn)