11月3日，由北京金融科技产业联盟、移动支付网主办的2020第五届中国金融科技安全大会在深圳顺利召开。广东金融学院数字金融法律研究中心主任、华南商事仲裁研究院院长李支以《个人信息安全法（草案）》背景下的金融数据合规问题为题进行了分享。

首先，李支分享了对于《个人信息安全法（草案）》的两个共识：

1、目前全国人大只是就《个人信息保护法（草案）》征求意见和建议，最终以正式公布的法案条文为准；

2、个人信息保护是金融数据合规的关键性问题之一，但绝不限于此。

基于这两个关键认识，《个人信息安全法（草案）》有四个特点：体现以人民为中心、强调保护与利用的平衡、强调全流程合法以及强调审慎处理个人信息。

李支表示，《个人信息安全法（草案）》的立法目的明确写了两个方面平衡，一个方面个人信息保护规范利用，另外一个方面是要促进个人信息开发、利用。

很明显，法案希望实现个人信息保护和个人信息开发利用的平衡。当然这个平衡点目前可能大家还在找。在个人信息处理方面，李支表示，目前不能太过于创新，不能用激进方式去使用信息，要尊重个人信息，尊重个人隐私。

李支认为，《个人信息安全法（草案）》扩充了个人信息处理的合法性基础，主要体现在5个方面：

第一、必须要求个人同意；

第二、合同必需；

第三法定职责或义务；

第四、基于个人生命与财产安全紧急保护；

第五、舆论监督。

合规永远是金融机构最关心的话题，要处理个人信息，必须要符合5种情形之一，信息处理者才能处理个人信息。

《个人信息安全法（草案）》规定，为订立或者履行个人作为一方当事人的合同所必需，那么如何判定“合同所必需”？又如何判断“合同所必需”时是否仍需要“个人同意”？

李支表示，对如何判定“合同所必需”目前没有明确的答案，需要等待明确的标准。而对于“合同所必需”时是否仍需要“个人同意”这个问题，李支建议金融机构可以将类似条款做出抗辩的条款，一旦发生纠纷，将《个人信息保护法》里面确定合同所必需作为抗辩的理由。

在共同处理信息的合规风险方面，李支认为有三个合规要点：个人同意；明确约定处理目的、处理方式、个人信息种类；不宜转委托。

最后，李支对《个人信息安全法（草案）》可能带来的变化做出了自己的判断。他认为，《个人信息安全法（草案）》落地后在个人信息保护规则上不会有根本性改变，对“促进个人信息合理利用”应有所加强，而数据流通的个人“知情—同意”规则将被坚持并有可能强化。