2021年11月1日，《中華人民共和國個人信息保護法》正式實施，該法規(guī)定，在中華人民共和國境內(nèi)處理自然人個人信息的活動適用本法。同時，該法還明確，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。金融機構(gòu)在日常業(yè)務(wù)開展中，諸多環(huán)節(jié)會涉及到處理自然人信息，本文就金融機構(gòu)就業(yè)務(wù)過程涉及的個人信息處理合規(guī)問題分析如下：

     根據(jù)《個人信息保護法》的規(guī)定，收集信息遵循處理個人信息應(yīng)當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

對于必要原則，2020年11月央行頒布的《中國人民銀行金融消費者權(quán)益保護實施辦法》（中國人民銀行令[2020]第5號）已將收集信息的必要性原則納入。在業(yè)務(wù)開展中，如果過度收集信息，一旦這些信息被濫用，將嚴重損害個人的隱私權(quán)益。因此，筆者認為必要性原則的引入有利于約束機構(gòu)處理個人信息的目的。不過，必要性原則如何進行判定，這需要相關(guān)部門對各類處理個人信息事項進行具體明確。當然，金融機構(gòu)也可以自行制定制度進行明確。

     根據(jù)《個人信息保護法》的規(guī)定，符合下列情形之一的，個人信息處理者方可處理個人信息：

（一）取得個人的同意；（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；（三）為履行法定職責或者法定義務(wù)所必需；（四）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；（五）為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息；（六）依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；（七）法律、行政法規(guī)規(guī)定的其他情形。

同時，《個人信息保護法》還規(guī)定，基于個人同意處理個人信息的，該同意應(yīng)當由個人在充分知情的前提下自愿、明確作出。

     金融機構(gòu)在個人信息處理實踐中，除前款第二項至第七項規(guī)定情形外，處理個人信息應(yīng)當取得個人同意。不過，這種同意也不應(yīng)當是對所有信息的同意，即不能將所有可能存在的信息形式均予以羅列，然后以公司統(tǒng)一安排的格式條款的形式要求個人全部同意。畢竟，取得同意應(yīng)當受到信息處理必要性及自愿等原則的約束。

     根據(jù)《個人信息保護法》的規(guī)定，基于個人同意處理個人信息的，個人有權(quán)撤回其同意。個人信息處理者應(yīng)當提供便捷的撤回同意的方式。個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理活動的效力。個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

對于個人同意處理其個人信息的，個人可隨時予以撤回，而且金融機構(gòu)不得就同意設(shè)置阻礙，而應(yīng)當提供便捷的撤回同意的方式。當然，同意撤回之前的信息處理活動依然有效。此外，個人撤回信息處理同意的，除非該信息是提供產(chǎn)品或服務(wù)所必需，否則，金融機構(gòu)不得拒絕提供產(chǎn)品或服務(wù)。

     根據(jù)《個人信息保護法》的規(guī)定，處理個人信息應(yīng)當保證個人信息的質(zhì)量，避免因個人信息不準確、不完整對個人權(quán)益造成不利影響。

實踐中確實存在處理個人信息質(zhì)量不過關(guān)，導致個人信息不準確，嚴重者會損害個人權(quán)益。比如，把個人欠款金額、性別、婚姻狀況等弄錯，從而給當事人造成一些不必要的麻煩。確保處理個人信息的準確性，其實是對金融機構(gòu)內(nèi)部員工工作質(zhì)量的要求，為此，金融機構(gòu)應(yīng)加強個人信息處理崗位的人員的管理，確保處理個人信息的準確性。

     根據(jù)《個人信息保護法》的規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

《個人信息保護法》對個人信息中的敏感信息部分進行了羅列，并對敏感信息的處理提供了更為嚴格的處理要求。因此，金融機構(gòu)在處理個人信息時，應(yīng)當將敏感信息單獨管理，并制定專門的處理原則，確保敏感信息的處理符合法律的要求。當然，敏感信息與普通信息的區(qū)分，意味著金融機構(gòu)在信息處理前，應(yīng)當對信息進行分類，不同類別的信息設(shè)置不同的接觸人員范圍及不同的保密要求。

      根據(jù)《個人信息保護法》的規(guī)定，個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當具備下列條件之一：

（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；（三）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

      對于信息的跨境提供，主要針對那些擁有境外股東的金融機構(gòu)，其在向股東提供個人信息時，意味著個人信息的跨境流轉(zhuǎn)。舉例而言，在《個人信息保護法》出臺前，向境外股東提供員工個人信息屬于正常行為，但是《個人信息保護法》出臺后，此類信息的提供也應(yīng)當按照法定的流程進行。

     根據(jù)《個人信息保護法》的規(guī)定，個人有權(quán)向個人信息處理者查閱、復制其個人信息；個人請求查閱、復制其個人信息的，個人信息處理者應(yīng)當及時提供。

個人有權(quán)查閱、復制其個人信息，既是對個人對金融機構(gòu)處理信息行為的監(jiān)督，又是個人對其已提供過的信息的一種知情了解。不過在實踐中，個人在與金融機構(gòu)或第三方發(fā)生爭議時查閱復制信息的需求更大。如果是與金融機構(gòu)發(fā)生爭議的，金融機構(gòu)則不能違規(guī)隱匿一些信息或拒不提供相關(guān)信息。

　  個人信息保護在近年逐步得到了國家的關(guān)注，本次專門通過法律的形式對個人信息保護予以規(guī)范，表明了國家在個人信息保護領(lǐng)域的決心。作為市場上非常重要的個人信息處理者的金融機構(gòu)，應(yīng)當針對自身業(yè)務(wù)情況，就個人信息處理制定可行的制度，確保個人信息處理過程合法合規(guī)。