大数据时代来临,各种数据成为企业的重点收集对象,也成为企业的重要信息资产之一。但是随着企业和个人信息被大量收集和使用而凸显的侵权情况以及各种网络安全和数据保护等问题,国内就个人信息的保护也越发趋严。除了2017年6月1日生效的《中华人民共和国网络安全法》之外,我国不断地出台了《电信和互联网用户个人信息保护规定》、《信息安全技术个人信息安全规范》、《信息安全技术公共及商用服务信息系统个人信息保护指南》和《互联网个人信息安全保护指南》等规定,目前已发布的《个人信息和重要数据出境安全评估办法》、《个人信息出境安全评估办法》等征求意见稿以及《出境数据安全评估指南》草案,不仅关注个人的隐私,还更注重个人信息的收集和处理,同时对于个人信息的跨境数据传输保护力度也是更为看重。对企业而言,法律法规等规定的出台势必需要企业进行内部的调整配合。

一、融资租赁公司收集和使用个人信息的,需要事先取得个人信息主体的明确同意。

1、融资租赁公司在提供融资租赁服务时,需要对融资租赁申请者即承租人(以下简称“承租人”)的背景进行审核,因此会要求承租人提供大量的资料和信息。而在承租人提供资料和信息时,无论承租人是自然人还是法人,都不可避免地会涉及承租人相关个人信息的收集。同时,随着市场经济的不断发展和改革,融资租赁也逐步实现了网络化,承租人可以通过网络或APP的方式进行融资租赁的申请,融资租赁公司也可以通过网络方式收集到更多个人信息。

2、根据《中华人民共和国网络安全法》、《信息安全技术个人信息安全规范》和《信息安全技术公共及商用服务信息系统个人信息保护指南》等规定,其要求在收集和使用个人信息时,应当事先取得个人信息主体的同意。同时,根据《信息安全技术个人信息安全规范》以及《信息安全技术数据出境安全评估指南(征求意见稿)》,又进一步从信息的敏感度将个人信息区分为个人基本信息和个人敏感信息,并且就个人敏感信息的要求更为严格。
个人基本信息

通常为能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等;

就收集个人基本信息以及使用信息目的、方式和范围需要事先取得个人信息主体的同意;

个人敏感信息

通常为身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。

收集个人敏感信息的,需要事先就收集、使用信息目的、方式和范围取得个人信息主体的同意,并确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示,不可通过间接或默认方法;融资租赁公司应当明确告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并且明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;

3、虽然《信息安全技术个人信息安全规范》不属于强制性规范,并且《信息安全技术数据出境安全评估指南(征求意见稿)》仍尚未正式出台,但是不排除将来相关部门会就个人信息的收集和使用制定更为完善和具体的规定。而为了适应国家政策和将来新出台的法律法规,融资租赁公司可能会需要进行相应调整:

1)在融资租赁合同里设置相应条款:

列明个人信息的收集范围:

列明个人信息使用用途,尤其是需要向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型;

列明收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等)

个人信息主体就该个人信息的收集和使用明确授权同意相关内容:

2)在融资租赁合同配套的相应交易文件设置同意书或承诺书,由个人信息主体签署。

二、融资租赁公司收集个人信息后,不排除可能会有个别融资租赁公司需要将收集到的个人信息向境外传输或存储于境外的情况,根据目前现行有效法律法规,虽然没有明确的禁止性规定,但是不排除对于信息数据的跨境传输和存储要求将逐渐缩紧控管。
1、根据相关法律规定:

《信息安全技术个人信息安全规范》的规定:“在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求。”

《信息安全技术个人信息安全规范》的规定:“个人敏感信息的传输和存储对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。”;

《信息安全技术公共及商用服务信息系统个人信息保护指南》的规定:“未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。”;

《个人信息出境安全评估办法》(征求意见稿)的规定:“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。国家关于个人信息出境另有规定的,从其规定。”

因此根据上述:

1)如需要将个人信息进行跨境传输或提供给第三方以及跨境存储的,需要个人信息主体事先同意并进行安全评估后方可进行跨境传输和存储,并确保该信息内容不会侵害个人、第三人或影响国家安全和社会公共利益;

2)如公司涉及需要将个人敏感信息进行跨境传输或提供给第三方的,在上述1)的基础上除外,还需要进行安全评估,并且还需要将敏感信息采用加密等安全措施后方可进行跨境传输;

3)因此,个人信息原则上应当在境内存储。如业务需要,经个人信息主体事先同意并进行安全评估才可进行跨境传输和存储,涉及敏感信息的还需要采用加密等安全措施后方可进行跨境存储;

4)就可能影响国家安全、损害公共利益或者可能无法提供有效的安全措施保障个人安全的,则有可能不被允许进行传输。

2、虽然上述的《信息安全技术个人信息安全规范》和《信息安全技术公共及商用服务信息系统个人信息保护指南》不属于强制性规范,并且《个人信息出境安全评估办法》(征求意见稿)也尚未正式出台,但是将来的监管趋势可能会越发严格,而对于有些外资融资租赁公司需要向其境外母公司进行数据跨境传输或者由于个别租赁公司将服务器设置在境外而需要跨境存储的,则建议尽量符合和遵守《信息安全技术个人信息安全规范》、《信息安全技术公共及商用服务信息系统个人信息保护指南》及《个人信息出境安全评估办法》(征求意见稿)等文件的要求,以降低将来出台正式规定或者出台相应强制性规定时公司内部在业务流程上的衔接风险;

3、虽然由于国内目前就个人信息保护的相关法律规定尚未制定完善,较多规定和法条尚在征求意见中并且尚未正式生效,但是能够从其中得出国家政策对其调控的大致方向。因此如将来这些规定和法条正式生效后,则不排除各融资租赁公司在运营过程中涉及收集个人信息、数据出境和境外存储的情况将适用这些正式规定和法条。因此建议融资租赁公司可以事先进行内部业务流程的各个环节梳理,如届时相应法律规定出台,则可以立即进行对应哪些流程受到新出台的规定规范并进行相应调整,以缩短衔接上的时间和风险。