证券、期货、基金公司作为资本市场中介服务机构，为投资提供金融服务的过程中，需要采集、存储、使用、传输、分析个人信息等情形。投资者个人信息处理的主要场景，包括账户管理（信息录入及视频采集）、适当性管理评估、交易监控、反洗钱管理、客户授信调查、投顾及营销等多个业务环节，涉及个人身份背景信息、家庭经济状况、应用环境及其他关联信息等超过三十余项。无论是投资者还是金融机构，全面理解、掌握《个人信息保护法》，办理业务时把握好在法定权利义务范围内处理个人信息，可以避免发生违法违规的情况。

《中华人民共和国个人信息保护法》规定，自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化(无法识别且不能复原)处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

处理个人信息基本原则和规定

★处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

★处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

★处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

★处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

★个人信息处理者（自主决定处理目的、处理方式的组织、个人）应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

★任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

★符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；（取得个人单独同意或者书面同意等）

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；（参考行业监管指引）

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

★个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

★在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

★个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。如果相关信息对个人权益有重大影响的，应当依照规定取得个人同意。

★国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

★个人信息处理者因业务等需要，确需境外提供个人信息的，应当符合法律规定。

敏感个人信息及保护规定

★敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

★处理敏感个人信息应当取得个人的单独同意；依法应当取得书面同意的，从其规定。

★个人信息处理者处理敏感个人信息的，除依法向个人告知相关事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

个人在个人信息处理活动中的权利

★个人对其个人信息的处理享有知情权、决定权（包括查阅、复制其个人信息），有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

个人行使权利的请求被拒绝的，个人可以依法向人民法院提起诉讼。

个人信息处理者的义务

★个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

履行个人信息保护职责的部门

★国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

★履行个人信息保护职责的部门负责依法履行个人信息保护职责、依法推进保护工作、依法采取相关措施、依法给予治安管理处罚、依法追究刑事责任。

★个人信息处理者违反法律、行政法规或者违反约定处理个人信息的，未履行本法规定的个人信息保护义务的，当事方可以向履行个人信息保护职责的部门投诉、举报。

（编辑：杨润曦）