admin

律师支招!互联网金融企业如何正确使用公民个人信息?

行业新闻 2018-05-09 24浏览

导语:无论是互联网企业还是新金融机构,都面临公民个人信息数据使用问题。那么,如何正确抵御法律风险?看互联网金融法律专家的解答。前者需被采集人同意,后者风险更多。
因此,我们需要:
建立健全“用户信息保护”制度
首先要“有制度”,行政机关、司法机关来审查,信息保护制度都没有,怎么说都说不过去;
其次是“制度有效”,牛栏关猫,明眼人一看就知道有问题,还是应该达到有效的程度,谨防数据外泄;
再次“制度对内不对外”,从业人员应当知悉,公司制度仅能规制内部员工,不能对抗善意第三人,也就是说我们不能拿着内部规定去规制外人。
2. 目的,公开规制
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
不得违规、违约收集与 无关的个人信息。
3. 使用个人信息遵从原则
根据国标GB/Z 28828-2012《信息安全技术公共及商用 信息系统个人信息保护指南》规定,个人信息管理者在使用信息系统对个人信息进行使用时,宜遵循以下原则:
目标明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
个人同意原则——处理个人信息前要征得个人信息主体的同意。
质量保证原则——保证处理过程中的个人信息完整、准确、可用,并处于最新状态。
安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保证个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
4. 数据脱敏,原则明确
数据脱敏,实际上就是“匿名化”处理数据,也就是达到两个标准:
一是无法识别特定个人;
二是不能复原。
也就是说,以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证 码、通信通讯 、住址、账 密码、财产状况、行踪轨迹等,都要处置到“无法识别”+“不能复原”的程度。
5. 应急补救方案
黑客不是盖的,内鬼也是有的,一旦出现信息泄露、损毁、丢失,应当立即采取补救措施,确保被泄露人的知情权,另外向注册地网信办汇报情况。
6. 监管部门是国家网信部门7. 个人信息和重要数据出境,要小心(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包括关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会 利益,行业主管或监管部门认为应该评估。
如上诸项完成后,还要注意谨防信息流转过程中带来的刑事问题。
刑事风险
刑法第253条之一侵犯公民个人信息罪
这是2009年2月刑法修正(七)增设,2015年8月修订,2017年5月又修订的重要罪名,违法国家有关规定,向他人出售或者提供公民个人信息,情节严重或特别严重构成犯罪。
违反国家有关规定,将在履行职责或者提供 过程中获得的公民个人信息,出售或者提供给他人的,依照前款规定从重处罚。
单位也可以构成本罪。
2. 核心在于对“提供”的理解3. 情节严重是入罪的最后一根稻草
具备非法获取、出售或者提供公民个人信息,然后加之“情节严重”则入刑,具体情形如下:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(请诸位互金平台关注:征信和财产信息是烫手山芋,切忌外放)
(四)非法获取、出售或者提供住宿信息、通信记录、征信信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供 过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他严重情形。
应该说,情节严重的标准并不高,只要违反上述十项的任何一项,结合非法获取、出售或者提供公民个人信息的行为,即构成犯罪。
4. 购买别人售卖的个人信息用于合法用途,属于犯罪吗?
2017年6月1日之前,我们一般理解购买他们售卖的公民个人信息不属于犯罪行为。简言之,作为买受人也存在刑法风险,但要求达到“情节严重”才构成犯罪。
如果为合法经营活动而非法购买、收受上述第三项、四项以外的公民个人信息,“情节严重”的标准适当放宽,具体是:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民信息的;
(三)其他情节严重的情形。
5. 买了信息又买出,公民个人信息的条数不重复计算
对于将公民个人信息买入后再卖出的行为,认为对此类信息的侵害不能重复累计计算,因此不予以重复计算。
6. 向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算
将同一公民的个人信息向不同的主体出售、提供的,是对同一个人信息的反复多次的侵害,因此解释规定了对与此类信息进行累计计算。
7. 对批量公民个人信息的条数的认定8. 坐牢还要罚钱
侵犯公民信息罪有罚金刑,也就是相关人员领刑,还要罚违法所得的1-5倍,请注意罚金是罚本人或单位的合法财产,那些非法所得当然要被追缴。
结语文章来源:肖飒lawyer债管家合作加盟
债管家各省、市、区、县合作火热加盟中有意者可以加客服人员咨询了解债管家——债权变现管理专家