作者：特約研究員

來源：浙大融資租賃研究中心（ID：zju-rzzl）

個人信息保護一直是現(xiàn)代網(wǎng)絡社會中比較突出的問題之一，在融資租賃業(yè)務過程中，作為融資租賃公司無論是在前期盡調(diào)中，還是在合同簽署以及后續(xù)的糾紛處理上，都會對客戶的個人信息進行處理。如何在對客戶信息進行收集、存儲、使用、加工等過程中做好對個人信息的保護，也是擺在融資租賃公司必須要面臨的一個重要問題。

繼《民法典》對個人信息的定義、處理原則、處理個人信息的免責事由、安全保障義務等內(nèi)容有了專項條款（詳見《民法典》第一千零三十四條至第一千零三十九條）進行規(guī)定以后，2021年8月20日通過的《個人信息保護法》，又對個人信息的保護給予了更為詳盡的規(guī)定，包括敏感信息的處理原則、國家機關(guān)處理個人信息的規(guī)則、個人處理個人信息的權(quán)利、個人信息處理者的義務以及相關(guān)的法律責任等，內(nèi)容非常豐富，可以說，《個人信息保護法》是真正給個人信息保護上了一道“安全鎖”。筆者就在針對《個人信息保護法》相關(guān)條款進行梳理和歸納的基礎(chǔ)上，試圖對融資租賃公司在個人信息的保護上提供一些建議，以供拋磚引玉。

一、個人信息的范圍及處理原則

根據(jù)《個人信息保護法》第四條的規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。又根據(jù)《民法典》第一千零三十四條的規(guī)定，個人信息可以包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！秱€人信息保護法》也特別對敏感個人信息進行了規(guī)定，根據(jù)第二十八條之規(guī)定，敏感個人信息包括個人的生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息。

根據(jù)《個人信息保護法》的規(guī)定，對個人信息（包括敏感信息）進行處理（包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等），應遵循包括但不限于以下原則：

（一）應堅持合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

（二）應當具有明確、合理的目的，并應當與處理目的直接相關(guān)。

（三）應當在對個人權(quán)益影響最小、實現(xiàn)處理目的的最小范圍內(nèi)收集，不得過度收集個人信息。

（四）應當公開個人信息處理的規(guī)則，明示處理的目的、方式和范圍。

（五）應當采用必要措施保障所處理的個人信息的安全。

（六）應當合法使用個人信息，不得危害國家安全、公共利益。

二、個人信息處理者的相關(guān)義務

根據(jù)《個人信息保護法》第十三條第二項的規(guī)定，在為訂立、履行個人作為一方當事人的合同所必需的情況下，個人信息處理者可以對個人信息進行處理，但需要履行包括但不限于以下義務：

（一）在處理個人信息前需要以顯著方式、清晰易懂的語言真實、準確、完整地履行告知義務。需要向個人告知個人信息處理者的名稱或姓名和聯(lián)系方式以及個人信息的處理目的、處理方式，處理的個人信息種類、保存期限等。

（二）個人信息處理者向他人提供或公開處理的個人信息或處理敏感個人信息，需取得個人單獨同意。

（三）對處理敏感個人信息或利用個人信息進行自動化決策的，應當事前對個人信息的處理目的、處理方式等是否合法、正當、必要性等進行評估。

（四）個人信息處理者應當建立便捷的個人行使查閱、復制其個人信息的通道。

（五）需要對個人信息實行分類管理、制定內(nèi)部管理制度和操作規(guī)程，并采取相應的加密、去標識化等安全技術(shù)措施，防止個人信息泄露、篡改、丟失。

（六）應合理確定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進行安全教育和培訓，制定應急預案機制，明確具體的負責人。

（七）在處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要時應主動刪除個人信息。

（八）需要向境外提供個人信息的，還需要經(jīng)國家網(wǎng)信部門安全評估和專業(yè)機構(gòu)進行個人信息保護認證。

三、違反《個人信息保護法》的法律后果

違反《個人信息保護法》規(guī)定處理個人信息，或者處理個人信息未履行相關(guān)規(guī)定的個人信息保護義務的，可能會面臨以下不利后果：

（一）在法律上首先會面臨舉證責任倒置的風險，即若不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾?quán)責任。

（二）被責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，被責令暫?；蛘呓K止提供服務。

（三）被處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

（四）情節(jié)嚴重的，可面臨被責令暫停相關(guān)業(yè)務或者被停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務許可或者被吊銷營業(yè)執(zhí)照。

（五）情節(jié)嚴重的，直接負責的主管人員和其他直接責任人員可能會面臨處十萬元以上一百萬元以下罰款，并可能會被禁止其在一定期限內(nèi)擔任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。

（六）相關(guān)信息會被記入信用檔案，并予以公示。

四、針對融資租賃公司的建議

通過上述分析，作為個人信息處理者的融資租賃公司在處理個人信息（包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等）上會面臨較大的限制，必須履行“告知+同意”的義務，在個人信息的管理上也需要建立完善的內(nèi)部管理制度，保護個人信息的安全，防止個人信息泄露、篡改、丟失等，否則，可能會面臨非常不利的法律后果（包括但不限于舉證責任倒置、被處罰、停業(yè)整頓、被吊銷營業(yè)執(zhí)照、高管被限制從業(yè)等）。為防范融資租賃公司在個人信息保護上的風險，確保個人信息處理的合規(guī)與合法，建議融資租賃公司可以考慮從以下幾各方面入手：

（一）可對自己公司所開展的不同業(yè)務類型所涉及到的個人信息進行梳理和分析，明確哪些個人信息是必須要處理的，哪些不是必須要處理的個人信息，對需要處理的個人信息進行匯總和歸納。

（二）針對自動化（如大數(shù)據(jù)風控等系統(tǒng)）收集到的個人信息以及涉及到的個人敏感信息進行重新梳理和評估。特別需要針對相關(guān)的敏感個人信息進行歸納和整理，如有的融資租賃公司采取了人臉識別等技術(shù)進行項目申報和簽約的，則會涉及到個人的生物識別信息；對以車輛作為租賃物的項目中，融資租賃公司會通過GPS來獲得客戶車輛的運營軌跡信息等，這些都屬于個人敏感信息的處理。

（三）在融資租賃相關(guān)合同中增加相關(guān)告知和同意的條款，通過條款向客戶告知融資租賃公司收集個人信息的必要性，明確會收集的范圍、個人信息的處理目的、處理方式，保存期限等。

（四）個人信息的存儲最好在本地進行，并指定專門的負責人進行個人信息

安全的管理，定期形成個人信息安全管理報告，制定相關(guān)個信息處理的使用權(quán)限，并對個人信息數(shù)據(jù)進行加密。個人信息需要存儲于其他平臺內(nèi)的，應當選擇具有較好資質(zhì)的平臺，并取得該平臺對個人信息保護的承諾及相關(guān)的風控措施和預案。

（五）在業(yè)務申報系統(tǒng)設置上，設置客戶同意個人信息被處理的選項，制訂相應的隱私政策。對于敏感信息設置單獨同意的模塊。必要時，單獨增加相關(guān)“告知+同意”處理個人信息的授權(quán)書或文件。

（六）制定內(nèi)部管理手冊，禁止內(nèi)部員工將個人信息向境外人員或機構(gòu)提供，禁止內(nèi)部員工對外公開個人信息，并制定嚴格的考核機制。

《個人信息保護法》將于2021年11月1日起實施生效，在實施生效之前，融資租賃公司可以對本公司涉及到的個人信息進行事前梳理，提前做好相關(guān)的準備和研究。個人信息保護的趨嚴，也是本次《個人信息保護法》的核心之意，融資租賃公司也需要順應大勢，不斷思考怎樣在個人信息保護與充分挖掘個人信息價值、促進業(yè)務健康發(fā)展之間尋求平衡。當然，《個人信息保護法》中的有些規(guī)定還需要相關(guān)管理部門或司法機關(guān)進行細化，相關(guān)規(guī)則還需要在中國這個土壤中的不斷地接受實踐檢驗，以便盡快尋找到更切合中國國情的、可落地的實施方案和實踐經(jīng)驗。融資租賃公司也需要密切關(guān)注后續(xù)相關(guān)的監(jiān)管動態(tài)、實施細則、相關(guān)案例等，以便在個人信息的保護上做到更加合規(guī)、合法，為公司融資租賃業(yè)務的穩(wěn)健發(fā)展奠定更堅實的合規(guī)基礎(chǔ)。

注：文章為作者獨立觀點，不代表資產(chǎn)界立場。

題圖來自 Pexels，基于 CC0 協(xié)議

本文由“浙江大學融資租賃研究中心”投稿資產(chǎn)界，并經(jīng)資產(chǎn)界編輯發(fā)布。版權(quán)歸原作者所有，未經(jīng)授權(quán)，請勿轉(zhuǎn)載，謝謝！

原標題： 溫濤：融資租賃公司如何應對《個人信息保護法》的挑戰(zhàn)