下载APP，勾选用户协议，购物、看剧、刷新闻、办业务……移动互联网让我们习惯了动动手指就能完成社交和购物，但我们在尽情享受乐趣的同时，我们的购物记录、浏览爱好、行为特征却像“脚印”一样，留在了沙滩上。

谁收集了我们的“脚印”？如何对“脚印”的查找和使用进行控制？11月1日实施的《个人信息保护法》给出了答案。

六大场景下的个人信息规范

《个人信息保护法》规定了共同处理、委托处理、个人信息转移、其他个人信息处理者共享、自动化决策、公共采集六大场景中个人信息处理的规定。对金融同科技结合最为深入的征信、信用风险管理，线上营销（包括电子渠道），网点运营三大类业务影响最大，银行保险机构需要对照以上六大场景来梳理和审视在这几类业务中合法合规所需采取的行动。

《个人信息保护法》为金融领域的信息保护确立了顶层设计，同时也为金融机构带来一定的挑战：

01

对于金融活动来说，机构间的个人信息转移较为普遍和频繁，例如保险公司从投保人获取被保险人、受益人个人信息，再保险业务中再保险人从直保公司获取个人信息等，此前这些信息转移都是金融活动中的正常运营安排，但《个人信息保护法》实施后，需要各方在合作协议和操作流程中厘清自身责任、义务边界，共同落实好相关规定，明确责任边界。

02

集团性质的金融机构如何平衡合规与数据使用效率的难题。按照《个人信息保护法》，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应取得个人的单独同意。该要求对金融控股集团成员之间的信息转移共享，以及保险集团下属公司之间的数据共享将产生较大影响。

03

对于金融机构来说，线下业务如何能够符合《个人信息保护法》的要求也是一个难点。比如保险销售误导可能涉及过度采集个人信息等问题。建议金融机构建立专业培训机制，一方面提高从业人员对个人信息保护的意识，另一方面建立相应的合规机制，促进线下从业人员遵纪守法，同时充分保证客户的合法权益。

约束黑灰产和“大数据杀熟”

《个人信息保护法》实施会对网络黑灰产和诈骗活动有强大的约束和震慑作用。黑灰产和诈骗活动通常会涉及对个人信息的非法采集、传播和买卖，《个人信息保护法》实施后，即使没有实施诈骗活动，仍然要承担相关的法律责任。

《个人信息保护法》实施之后，还会对企业如何利用数据产生影响。

比如此前被很多互联网平台视为“利器”的“千人千面推送”“个性化展示”也面临新的调整。根据《个人信息保护法》规定，如通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

互联网平台企业发展迅速，收集和应用了大量个人信息，“差异化的销售策略”与侵害个人权益的“大数据杀熟”之间的界限是什么？

其实，差异化的销售策略与“大数据杀熟”是两个不同的概念，“大数据杀熟”是基于对个人信息的了解，实施针对于不同个人的定价策略，来实现更高收益，这实际上是针对于个人的“定价歧视”；“差异化的销售策略”是指为了满足消费者个性化需求，在消费者同意、知情的前提下，让消费者更加高效地找到自己想要的产品或服务，这时消费者接收到推送产品的价格是不能有区别的。

违反个人信息保护法最高罚一百万元

如果处罚无力度，规定也会“软绵绵”。有关组织和个人如果违反个人信息保护法，将承担哪些责任?

根据个人信息保护法的相关规定，履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或主要负责人进行约谈，或要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

来源：中国银行保险报