证券日报|“差异化销售”与“大数据杀熟”边界在于“是否同意”( 二 )_

肖飒：《个人信息保护法》第4条规定， “个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 ”所谓个人信息，是指通过该信息能够识别到特定的自然人。信息经过匿名化处理后，已不能识别到特定自然人，因此不属于《个人信息保护法》规定的“个人信息”范畴。
例如，一家证券公司通过某个自然人客户群体的投资交易信息，分析提炼得出该群体具有何种投资偏好的结论，这些结论并不指向某个具体的投资者，也不会以此信息识别出是哪个投资者的具体交易信息，那么这个结论作为衍生个人信息，已经不再是《个人信息保护法》规定的“个人信息” ，而是转化为金融机构自有的商业信息和商业秘密，金融机构拥有其知识产权。
事实上，衍生数据与网络用户信息、原始网络数据无直接对应关系，虽然同样源于网络用户信息，但经过网络运营者大量的智力劳动成果投入，经过深度开发与系统整合，最终呈现给消费者的数据内容已独立于网络用户信息、原始网络数据之外，可以为运营者所实际控制和使用，并带来经济利益。网络运营者对其开发的数据产品享有独立的财产性权益。
《证券日报》：按照《个人信息保护法》规定，金融机构作为“个人信息处理者”要承担哪些义务？有哪些环节需要注意？
肖飒：首先，金融机构在取得个人信息的环节，除第13条规定的例外情形外，应当以“取得个人同意”为前提，否则任何收集个人信息的行为都属违法。其次，《个人信息保护法》要求银行等金融机构在处理一些特别的个人信息的时候，征信主体须取得个人的“单独同意” 。这些信息主要包括：涉及向第三方提供个人信息的条款；涉及公开个人信息的条款；涉及在公共场所安装图像采集、个人身份识别设备，用于维护公共安全之外的其他目的条款；涉及敏感个人信息条款；涉及个人信息出境的条款；涉及不满十四周岁未成年人个人信息的条款。但很多银行在进行业务办理时，为了提高效率、降低成本，往往都采用格式条款。
【证券日报|“差异化销售”与“大数据杀熟”边界在于“是否同意”】需要强调的是，银行等金融机构应注意取得“单独同意”的方式方法，金融机构需要设置“同意前告知”这一环节，在告知客户时，要安排专业人员“一对一”提供服务，使客户充分知情及自愿做出同意的意思表示和行为。