个人信息保护的要点

二、个人信息保护的要点

个人信息保护同个人人格保护有很强的关联性。在当今的信息社会，积累的个人信息可制作成能简单检索的数据库，使个人信息的利用价值得以飞跃性提高。由此，个人信息保护已不仅仅是对人格权利的保护，实质上是以维护个人的利益为目的，保护个人的人格权和经济利益不受非法侵害。个人信息保护的要点如下：

（一）个人信息的含义

广义上的个人信息，是指与公民个人相关的信息。例如，对金融机构来讲，个人信息具体表现为：客户的姓名、地址、电话、生日、银行账号、交易情况、信用等级、资产状况、工作单位、家庭成员情况、指纹、邮址（网络）及个人的音容笑貌等。这些个人信息在金融机构的存款业务、贷款业务、外汇业务、理财咨询等具体环节中，通过客户提交的各种表格和资料中获得。个人信息保护的管理办法通常要求金融机构利用客户个人信息的目的必须特定，如授信判断、商品销售、市场调查、资格认定等；该利用目的相应的利用范围必须有限制，如不可随便提供给第三者；个人信息必须合法、公正地取得，事先要公告利用目的，并获客户书面同意；利用目的有变更，必须立即书面通知客户，并再次获其书面同意等。

（二）个人信息有一般个人信息和长期个人信息之分

一般个人信息，主要是指因某一业务或者某一事由而产生的，不需要长期保存的个人信息。对于这类信息，信息收集方应当在业务结束或者事由完结后及时清除该信息。金融机构应当为此规定详细的安全管理措施。例如，安全管理的组织措施，如信息收集和利用阶段的管理程序，包括信息收集制度，信息利用制度和信息清除制度；安全管理的人员措施，如从业人员的责任、监督、限制向第三者提供等；安全管理的技术措施，如系统本身的管理和事故防范等。

长期个人信息是指比个人数据更重要的金融机构准备长期利用的重要信息。因为这类信息极有可能被卷入个人信息的不正当交易，所以，在个人信息保护管理中应当对长期保存的个人数据有更为严格的规定。例如，将金融机构所拥有的长期保存的个人数据公示客户；长期保存的个人数据必须对其本人公开（除非侵害其生命、身体等可以例外）；机构若订正、追加或消除相关内容，必须就其改动内容立即通知本人；通过不正当手段获取的个人数据规定其立即停止利用和消去等。

（三）金融机构应当以内部控制和管理制度落实个人信息保护

《个人信用信息基础数据库管理暂行办法》第二十六条规定：“商业银行应当根据中国人民银行的有关规定，制定相关信用信息报送、查询、使用、异议处理、安全管理等方面的内部管理制度和操作规程，并报中国人民银行备案。”第二十七条第一款规定：“商业银行应当建立用户管理制度，明确管理员用户、数据上报用户和信息查询用户的职责及操作规程。”