柴文梁 王振海

（中国人民银行长春中心支行，吉林长春 130051）

一、《个人信息保护法》的立法亮点

2021年正式实施的《个人信息保护法》，是我国现行法律体系中，关于个人信息保护的首部专门性立法。习近平总书记曾强调：“网络事业发展必须贯彻以人民为中心的发展思想，把增进人民福祉作为信息化发展的出发点和落脚点，让人民群众在信息化发展中有更多获得感、幸福感、安全感。”《个人信息保护法》整合了分部在不同法律规范中关于个人信息保护的零星规定，系统化地梳理并规范了个人信息保护的原则、各参与方的权利义务以及信息处理规则等规定。

（一）扩展个人信息保护的涵盖范围

确定个人信息保护涵盖范围首先要明确个人信息这一概念的内涵，《网络安全法》《民法典》以及《个人信息保护法》在最大限度保持立法一致性的基础上，采取了层层递进的方式对个人信息的概念进行定义。《网络安全法》采用了“个人身份”这一标准来界定个人信息，①参见《中华人民共和国网络安全法》第76条。《民法典》则采用“可识别”标准，②参见《中华人民共和国民法典》第1034条。而《个人信息保护法》在此基础上，又引入了“关联性”标准，增加关联性标准的意义在于，在大数据时代，很多信息虽不能直接精准识别到个人，但却与个人息息相关，并能对个人权益产生重要的影响，例如网络地址、消费记录等。因此，《个人信息保护法》在对个人信息进行定义时，在“识别”之外添加“有关”的表述，实质上是以扩张解释的方法理解“识别”概念。此种立法方式，进一步扩展了个人信息的涵盖范围。

（二）明确个人在个人信息处理活动中的权利

个人信息处理活动中，个人权利保护的核心在于个人对信息的独立控制和自主决策，即个人有权决定将自己的个人信息交由谁来进行处理、以何种方式处理，并能够对信息的处理结果及风险作出合理预判。《个人信息保护法》设置了“个人在个人信息处理活动中的权利”专门章节，并通过第44条至第49条，规定了个人享有的多项权利。与《民法典》相比，《个人信息保护法》增加并更新了如查阅复制、更正删除、指定转移等多项权利，建立了更为完备的权利系统，此种制度设计能够帮助个人更为有效地管理自有的个人信息，并能够及时对信息处理可能引发的侵权风险进行预估及防范。此外，《个人信息保护法》还规定了已死亡自然人的近亲属的权利，近亲属为维护自身合法权益，可以对死者的个人信息行使查阅复制、更正删除等权利。①参见《中华人民共和国个人信息保护法》第49条。

（三）强化个人信息处理者的义务

个人若要实现对自己的个人信息独立控制和自主决策，主要取决于两方面因素：个人信息处理者对个人享有的各项法定权利予以充分的尊重，以及个人信息处理者按照法律规定履行自身应尽的义务。《民法典》规定了信息处理者的一般义务，即禁止泄露篡改、禁止非法提供、采取必要安保措施以及补救报告义务。②参见《中华人民共和国民法典》第1038条。《个人信息保护法》采取了义务人自主管理和非自主管理并重的方式，进一步完善了个人信息处理的义务性规定。具体来说，主要包括以下几方面内容：一是采取列举方式，明确了个人信息处理者应当采取的六项措施来确保处理行为的合法性；二是规定了规模化的信息处理者应当指定个人信息保护负责人；三是建立了事前的影响评估制度；四是规定了个人信息处理者的补救和通知义务；五是增加了大型互联网平台义务的特别规定。

二、《个人信息保护法》对央行执法活动的影响

通常而言，为了履行提供政务服务、维护国家安全、惩治违法犯罪、管理经济社会事务等职责，国家机关在日常工作中需要处理大量个人信息。为防止国家机关在个人信息处理中，因保护意识不强、操作流程不当、安保措施不到位等原因侵害个人信息权，《个人信息保护法》设置了规制国家机构处理个人信息的专节规定。央行作为国家金融管理部门，在开展执法活动中，需要处理大量的个人信息，也应当遵守《个人信息保护法》关于国家机关处理个人信息的特别规定。《个人信息保护法》对央行执法活动的影响体现在执法证据的收集和使用，以及对金融违法违规行为实施行政处罚方面。

（一）限定处理个人信息的目的和范围

《个人信息保护法》要求国家机关只能出于公共利益考虑处理个人信息，即要求国家机关必须为履行法定职责处理个人信息，并规定了国家机关不履行个人信息保护义务的行政责任。具体到本文语境，央行执法活动只能出于履行金融管理职责的需要，进而处理个人信息。这要求央行的执法活动，应当依照法律法规规定的权限和程序开展，如违反法定权限和程序，则不仅可能造成执法行为的无效，还可能构成违法处理个人信息。此外，央行执法活动中处理个人信息的范围也要接受法律的制度性约束，即“不得超出履行法定职责所必需的范围和限度”。③参见《中华人民共和国个人信息保护法》第34条。

（二）规定处理个人信息的告知义务

取得个人同意，是最基础的合法处理个人信息的前提条件，适用于一般的信息处理者。区别于商业经营者等一般信息处理者，央行开展执法活动属于国家机关履行法定职责的行为，无需取得个人的同意，但要依照法律规定履行告知义务。值得注意的是，此种告知义务具有例外规定，即法律法规规定保密或无需告知的，这意味着国家机关在处理信息需要保密或告知将妨碍国家机关履行职责等情形下可豁免告知义务。

（三）限制个人信息的储存地域

一般信息处理者对个人信息的收集和利用的目的在于商业利益或个人利益，而国家机关处理个人信息的初衷在于公共利益。这一不同决定了国家机关在履行行政管理职能的过程中，会不可避免地查询、收集、使用大量的个人信息，其处理信息的范围和数量远远大于一般信息处理者。由于国家机关对个人信息的处理行为不仅涉及个人的个体权利，法律要求只能将上述信息储存在我国境内，确需传输至国外的，则应当进行安全评估。④参见《中华人民共和国个人信息保护法》第36条。对央行执法活动来说，执法活动中收集的个人信息，也应当遵守这一规定，即原则上只能在国内储存。

三、央行执法活动中履行个人信息保护义务的建议

按照《个人信息保护法》，央行开展执法活动，在执法证据调取、收集前履行告知义务并取得信息主体的同意，无疑是风险最下的处理方式，但采取此种“一刀切”的处理方式，无疑会在很大程度上增加执法人员工作量，并且降低执法活动的效率，不利于对金融违法违规行为实施及时、有效的震慑。本文认为，可以从控制取证信息量、信息去标识化以及区分不同情况履行告知义务、取得个人同意三个维度入手，在履行法定个人信息保护义务的同时，最大限度地保障执法活动的效率。

（一）合理确定执法活动的取证范围和数量

如前文所述，央行执法活动中，难以避免地会接触大量的个人信息，《个人信息保护法》第6条规定，处理个人信息应当遵循“最小范围”和“最小影响”规定。①参见《中华人民共和国个人信息保护法》第6条。这一规定，确立了我国个人信息处理的目的限定原则。这一原则着重显示了对个人信息处理手段与目的之间的关联性的考察，是比例原则中适当性与必要性原则混合，同样体现了对个人信息利用和保护之间的平衡。央行执法活动中对个人信息的处理也要受到上述规定的约束，这就要求央行在执法活动中，应当在对个人信息权益所造成的影响与惩治金融违法违规、维护金融安全之间进行利益平衡。简而言之，从拟认定的金融违法违规行为入手，结合执法活动实际，筛选出与相关违法违规行为最直接相关的个人信息作为执法证据予以收集、留存；同时，在证据的收集数量方面，保证证据证明力充分的基础上，以能够证明违法违规行为存在以及违法违规行为的次数为限，控制收集数量和范围。这既是履行《个人信息保护法》“最小必要”规定所必须，也是最大限度降低执法人员工作量的合理选择。

（二）采取技术手段对相关个人信息进行脱敏处理

《个人信息保护法》对个人信息定义的核心在于“可识别”，这也是个人信息的基本功能和价值所在。个人信息的脱敏处理，是采取技术手段，对个人信息进行去标识、匿名的过程，能够最大限度地降低相关信息的可识别属性，使得相关信息无法直接识别到具体的某个个人。央行执法活动中，可以采取脱敏手段对执法取证需要留存的个人信息进行加工处理，以实现最大程度保护个人信息权益的目的。个人信息的脱敏处理主要分为两步，一是筛选出相关个人信息中的敏感字段，例如姓名、职务、联系方式、住址、银行账号等；二是使用加密、遮蔽、删除的方式，将筛选出的部分或全部信息进行去标识化、匿名化加工。具体的脱敏方法，可以参考国家市场监管总局和国家标注化管理委员会于2019年发布的《信息安全技术个人信息去标识化指南》中对于各种常见个人信息去标识化的规定。

（三）区分不同信息，全面、及时履行告知义务及取得个人同意

央行开展执法活动依法履行告知义务即可，无需取得个人同意。但应当注意的是，此种规定并不是绝对的，《个人信息保护法》规定在公开个人信息的场景下，应当取得个人的单独同意。央行执法活动中，对于征信管理、支付结算、反洗钱等领域的某些金融违法违规行为实施行政处罚时，依法需要对相关违法违规行为的责任人实施行政处罚，并公开责任人的行政处罚信息，这就需要对不同类型的个人信息进行区分处理。一般来讲，央行执法活动中处理的个人信息主要包括金融客户个人信息和金融机构员工个人信息两大类。其中，金融机构客户个人信息主要包括客户身份信息和交易信息，金融机构员工个人信息主要分为一般员工个人信息与违法违规行为责任人个人信息。对于金融机构客户个人信息，可以通过最小范围收集，配合最大程度去标识化的方式对信息进行处理。对于金融机构员工个人信息，要区分一般员工和违法违规行为责任人，对于一般员工，如执法活动中需要通过制作询问笔录等方式留存个人信息，需要履行告知义务。而对于责任人的个人信息，考虑到后续行政处罚及行政处罚信息公开问题，则需要单独取得同意，建议以签署书面同意书的方式，从而最大程度地防范侵权法律风险。