个人信息保护法今日实施!

从11月1日起，《个人信息保护法》正式实施，这是一个让无数消费者刷屏的重磅消息。此后，过度收集个人信息、大数据杀熟等机构行为将涉嫌违法，而曾被业界视为重灾区的金融科技领域，个人信息安全和隐私保护也将达到新的水平。后续如何做好数据攻守道，将是每个金融科技公司都要面对的重要问题。

用户信息告别霸王获取

我国数据隐私相关立法正在加速实施。根据11月1日实施的《个人信息保护法》，共8章74条，既明确了个人信息和敏感个人信息的处理规则，又完善了个人信息保护投诉和举报机制。此外，制度加强了对侵犯个人信息权益的预防和处罚，可以说是全方位保障了消费者的信息安全。

具体来说，法律明确收集个人信息应限于处理目的的最小范围，不得过度收集个人信息；此外，对人脸信息等敏感个人信息强调，只有具备特定目的和充分必要性，采取严格的保护措施，才能处理生物识别、金融账户、行踪轨迹等敏感个人信息。

此外，在法律责任方面，《个人信息保护法》强调，违反法律规定处理个人信息的，有关部门将责令改正并给予警告，没收违法所得，责令暂停或终止非法处理个人信息的应用。

《个人信息保护法》的实施恰逢其时。在数字经济时代，一些企业、机构甚至个人为了谋求商业利益，随意收集、非法获取、过度使用甚至非法买卖个人信息，很多消费者直言不讳地表示深受其害。在业内人士看来，《个人信息保护法》的实施不仅有助于用户告别信息霸王获取时代，还保护了隐私权、人格权等一系列法律权利，有效防止了数据资源被犯罪分子利用造成的损害。

《个人信息保护法》将对互联网平台和数字经济产生重大影响。它定义了个人信息隐私的范围，也明确了个人信息的所有权。&nbsp；中南财经政法大学数字经济研究所执行所长、教授盘和林在接受《北京商报》采访时指出:未来，互联网平台需要从用户那里获得个人信息的授权，并将在使用和存储过程中承担更多的信息保护责任。

盘和林进一步表示，但总的来说，《个人信息保护法》主要是为了促进数字经济的发展，明确数字信息使用的权利边界，使所有权权益更加清晰，通过明确的定义扫清数字经济的障碍。同时，《个人信息保护法》也促进了数字产权的确定，数字产权政策是促进数字经济发展的重要推动力。

法院判决违法平台违法

《个人信息保护法》生效，加强用户数据权保护的另一面是一系列互联网公司、金融技术平台、支付公司、大数据公司和银行金融机构将面临更严格、更全面的监管。

《北京商报》记者注意到，10月29日，杭州互联网法院判决一家大型电子商务平台和支付机构非法处理公民个人信息。

据披露，被告A公司是电商平台的运营商，被告B公司是电商平台内置支付软件的运营商，原告吴某是电商平台的注册用户。原告称，未经其同意，电子商务平台将用户的真实身份信息传输给支付公司，上述行为严重侵犯了原告的个人信息权益等合法权益。

法院认为，在开发和设计产品之初，两个机构应该知道其产品存在非法处理用户个人信息的问题。为了追求商业利益，他们仍然在网上运营，主观过错明显。原告敏感的个人信息被非法处理，足以使原告在信任危机下产生可能进一步泄露或非法使用相关信息的风险焦虑。

最后，法院认定两个机构的信息处理侵犯了原告的个人信息权益，责令立即删除原告的个人信息，并以书面道歉信的形式向原告道歉，赔偿原告合理维权损失2000元。

需要注意的是，这样的信息处理侵权案件并不少见。《北京商报》记者在多次评估中发现，很多贷款援助平台甚至持牌金融机构一键捆绑第三方获取个人授权信息，霸王永久保存用户数据；另外，在贷款在此过程中，用户必须打开通讯录和位置权限，一键同意用户注册协议，查询个人信息，收集和使用授权书，否则无法正常使用App；甚至还有一些互助黄金公司，以提供贷款为由，诱导用户一键同意授权几十甚至几十份个人信息授权书。

对此，一互金公司高管告诉《北京商报》，在金融业务发展过程中，机构确实需要对申请人的信用资格进行审查，其中个人隐私信息必然会使用，但需要按照最小化和必要的原则，即使是金融机构本身，在获取、保留和向第三方询问客户数据时也需要非常谨慎。

此人告诉《北京商报》，需要警惕的是，市场上仍然有一些大数据公司，既不是客户信用数据的原始容器，也不是金融业务的实施者和责任人。但在向金融机构提供数据处理、决策引擎等服务时，在信息脱敏、跨企业互用等领域涉及到很多存在法律风险的行为。在他看来，随着新法规的实施和监管的增加，这些公司的后续数据处理和功能服务将在未来受到更大的限制。

机构如何做好数据攻？

随着用户个人信息安全和隐私保护达到一个新的水平，法律也对员工提出了更高的要求。

这是我国信息时代的重大战略布局，包括银行、征信机构等。只有明确法律红线，在规范内开展业务，才是符合时代需要，符合人民需求的正确行为。&nbsp；大成律师事务所合伙人肖勇指出，以银行为例，根据《个人信息保护法》，个人信息的处理应当取得个人同意。只有同意是在个人充分知情的前提下自愿明确的，这种同意才能被认定为个人的真实意思，从而认定个人信息处理者基于同意处理个人信息是合法有效的。

肖沙认为，这就要求银行在设置同意前重视并告知这个环节，并安排专业人员在告知客户时一对一提供服务，让客户充分了解，自愿做出同意的表达和行为。

对于互联网公司，盘和林认为，随着《个人信息保护法》的生效，后续的许多执法重点值得关注。第一，在数据所有权方面，互联网公司需要用户授权才能获得个人信息权益，互联网公司的内部信息保护需要提升用户知情权。第二，在数据使用方面，需要数据脱敏。第三，数据安全保护措施，包括数据信息存储软硬件安全和数据传输安全。互联网公司应该建立信息保护部门和机制。此外，公司应严厉打击信息销售，拦截非法信息跨境交易。

数字经济的发展离不开信息和数据的使用。在保护用户信息权益的同时，也要保护企业合理合法使用数据和信息的权利。盘和林补充说，对于互联网企业来说，不仅要有详细的信息保护违法处罚规则，还要公平保护互联网企业合法使用数据和信息的权利。对于信息保护执法，关键核心是明确信息权益的归属，可以推广和公开使用，简化隐私政策，包括格式一致的信息授权使用协议，明确个人删除信息的权利。