自2021年11月1日起《个人信息保护法》施行以来,行业监管机关越来越重视消费者个人信息保护,要求银行保险机构对个人信息保护乱象进行自查并对自查及检查结果进行通报。
一
什么是个人信息?
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
二
什么是敏感个人信息?
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
三
个人信息处理的一般规则
符合下列情形之一的,个人信息处理者方可处理个人信息:
1.取得个人的同意;
2.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
3.为履行法定职责或者法定义务所必需;
4.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
5.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
6.依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
7.法律、行政法规规定的其他情形。
四
哪些处理情形需要信息所有者单独同意?
1.个人信息处理者向其他个人信息处理者提供其处理的个人信息的;
2.个人信息处理者公开其处理的个人信息;
3.在公共场所安装图像采集、个人身份识别设备,所收集的个人图像、身份识别信息用于维护公共安全之外目的的;
4.处理敏感个人信息;
5.个人信息处理者向中华人民共和国境外提供个人信息的。
五
处理个人信息时应向个人告知哪些事项?
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
1.个人信息处理者的名称或者姓名和联系方式;
2.个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
3.个人行使本法规定权利的方式和程序;
4.法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
六
保险公司常见的违反《个人信息保护法》情形
1.通过非法购买或交换方式采集公民个人信息;
2.使用个人信息用于不当营销或擅自办理业务;
3.未经个人同意将个人信息提供给其他机构或向境外提供;
4.强制要求消费者同意使用其个人信息;
5.电子数据存储或纸质材料保存管理混乱;
6.信息查询权限管理混乱或查询业务操作不规范;
7.业务关系终止后,未及时删除个人信息。
七
违反《个人信息保护法》的法律风险
1.个人信息保护主管部门或行业监管部门行政处罚风险;
2.违反治安管理行为的行政处罚风险;
3.侵害个人信息权益民事赔偿风险;
4.触犯《刑法》侵害公民个人信息罪刑事处罚风险。
END
