中国社科院法学所网络与信息法室副主任周辉在《白皮书》发布现场表示,《个人信息保护法》最有冲击力的就是行政责任部分,比欧盟的GDPR(《通用数据保护条例》)的责任条款还要严。处罚金额最高是5000万元人民币;就营业额来说,可以达到上一年度营业额的5%。周辉认为,对于大体量的机构,特别是像一些大的互联网平台企业、金融机构来说,可能会在2022年看到这样的罚单。
2022年1月10日,中国人民银行上海总部公布了两项行政处罚信息,均与银行机构违规采集信息相关。其中,东亚银行(中国)有限公司因违反信用信息采集、提供、查询及相关管理规定,被处以1674万元罚款,责令限期改正。北京银行股份有限公司上海分行因违反信用信息采集、提供、查询及相关管理规定,被处以255万元罚款,责令限期改正。同时,时任北京银行张江支行行长秦舟波被罚10万元。
在此以前,单个机构因信息管理方面的原因被处以千万以上罚单此前较为少见。
与往年相比,《白皮书》关注到,金融机构从业人员犯罪的判决中共同犯罪的占比高,但除了传统的非法吸收公众存款罪、集资诈骗罪等,还涉及到其他犯罪。其中即包括,随着我国不断加强个人信息保护的立法,金融机构从业人员侵犯公民个人信息案件也在增多。司法大数据统计显示,在金融机构从业人员涉侵犯公民个人信息罪案件中,与外部人员共同犯罪的案件占比高达75.00%。由于金融机构从业人员能够接触到客户的诸多个人信息,不乏少数工作人员与外部人员勾结,以此牟利。
2021年1月,《民法典》确定了隐私的定义,明确个人信息的定义及处理个人信息应遵循的原则和条件。
自2021年11月1日起正式实施的《个人信息保护法》再次从法律层面定调金融账户的敏感性,要求金融机构在处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息时,都必须取得个人的单独同意。
周辉认为,在个人信息的合规里面,最重要的一个环节是“同意”,“同意”在《个人信息保护法》里面是非常严格的,它是个人在充分知情的前提下自愿、明确作出的“同意”,而且《个人信息保护法》的制度设计规定了“单独同意”,在很多场景下,比如对于敏感信息的处理、对于信息出境的处理,都需要用户来做出单独同意。
“其实在目前合规实践的难点就是怎么去理解‘单独同意’。”周辉表示,其个人的观点是,所谓的单独同意,并不是意味着用户需要每类信息都跳出一个弹窗,而是可以在统一的弹窗下,在每一类信息处理的时候要给一个单独勾选的可能或者是空间。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
