具体场景中,建议个人信息处理者判断是否是在履行法定职责或法定义务时要区分处理环节匹配依据,以下暂以反洗钱的法定职责与法定义务信息收集/提供环节为例:
【法定职责主体】国务院反洗钱行政主管部门或者其省一级派出机构
【法定职责依据】
《反洗钱法》第二十三条第一款
国务院反洗钱行政主管部门或者其省一级派出机构发现可疑交易活动,需要调查核实的,可以向金融机构进行调查,金融机构应当予以配合,如实提供有关文件和资料。
《反洗钱法》第二十五条第一款
调查中需要进一步核查的,经国务院反洗钱行政主管部门或者其省一级派出机构的负责人批准,可以查阅、复制被调查对象的账户信息、交易记录和其他有关资料;对可能被转移、隐藏、篡改或者毁损的文件、资料,可以予以封存。
【法定义务主体】金融机构和特定非金融机构
金融机构:从事金融业务的政策性银行、商业银行、信用合作社、邮政储汇机构、信托投资公司、证券公司、期货经纪公司、保险公司以及国务院反洗钱行政主管部门确定并公布的从事金融业务的其他机构。
特定非金融机构:
(一)房地产开发企业、房地产中介机构销售房屋、为不动产买卖提供服务。
(二)贵金属交易商、贵金属交易场所从事贵金属现货交易或为贵金属现货交易提供服务。
(三)会计师事务所、律师事务所、公证机构接受客户委托为客户办理或准备办理以下业务,包括:买卖不动产,代管资金、证券或其他资产,代管银行账户、证券账户,为成立、运营企业筹集资金,以及代客户买卖经营性实体业务。
(四)公司服务提供商为客户提供或准备提供以下服务,包括:为公司的设立、经营、管理等提供专业服务,担任或安排他人担任公司董事、合伙人或持有公司股票,为公司提供注册地址、办公地址或通讯地址等。
【法定义务依据】
《反洗钱法》第三条
在中华人民共和国境内设立的金融机构和按照规定应当履行反洗钱义务的特定非金融机构,应当依法采取预防、监控措施,建立健全客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度,履行反洗钱义务。
《反洗钱法》第二十三条第一款(同上)
《反洗钱法》第三十四条(履行反洗钱义务的金融机构范围)
《反洗钱法》第三十五条 应当履行反洗钱义务的特定非金融机构的范围、其履行反洗钱义务和对其监督管理的具体办法,由国务院反洗钱行政主管部门会同国务院有关部门制定。
银办发〔2018〕120号《中国人民银行办公厅关于加强特定非金融机构反洗钱监管工作的通知》(履行反洗钱义务的特定非金融机构范围)
上述主体范围、信息范围及对应依据,将适用于反洗钱工作中反洗钱行政主管部门调查“收集”和金融机构、特定非金融机构向前述部门“提供”这一环节。存储亦为处理环节之一,义务机构在应对“存储”时,其相应义务依据应有变化,比如时限依据则应符合《反洗钱法》第十九条第三款,即“客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年”。同理,笔者认为,义务机构应当确保对特定资料的存储满足特定时间,该时长无需取得特定个人的同意,但应当就本机构将要存储的时间告知个人。
再如大额可疑交易报告工作,义务机构依据《中华人民共和国反洗钱法》《中华人民共和国中国人民银行法》《中华人民共和国反恐怖主义法》《金融机构大额交易和可疑交易报告管理办法》等法律法规进行大额交易和可疑交易报告时,报送要素内容包含个人金融信息,不是响应特定机关现时提出的调查要求,而是义务机构主动对符合条件者定时报送,此时也属于履行法定义务的场景,无需取得个人同意,但作为报送要素的特定个人金融信息在获取时应是合法收集,如为特定业务收集,则需要遵循《个人信息保护法》的要求取得该信息被用于特定业务的“告知-同意”,且应同步对个人信息主体就无需同意的场景履行必要的告知义务。