一、问题描述
某移动金融App向其他个人信息处理者提供其处理的个人信息时,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意。
二、违规认定
违反《中华人民共和国个人信息保护法》第二十三条规定。规定明确,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息;接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
三、问题根源
此类问题根源一是对用户告知环节的忽视,导致在涉及第三方的信息共享环节中,未能主动向用户披露相关信息并获取明确授权。二是对“单独同意”机制理解执行不足,未区分“单独同意”与一般同意,导致合规偏差。此外,内部管理机制的不完善也可能导致在信息共享环节缺乏必要的审核流程,使得信息在未经用户充分授权的情况下被提供给第三方,增加了用户个人信息泄露和滥用的风险。
四、合规建议
金融机构向其他个人信息处理者提供信息前,应明确告知用户接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得用户的单独同意。告知内容需确保真实、准确、完整,并以显著方式呈现,避免用户因信息不透明而无法做出自主决策。同时,建立健全内部审核机制,对涉及第三方的信息共享行为进行严格管控,确保符合法律法规要求。
(供稿单位:重庆国家金融科技认证中心)
长
按
关
注
解锁更多精彩内容