守护数据安全 个人信息保护“交规”日臻完善
编者按:假如站在10年后的时间节点回顾历史,或许会发现,2020年已成为我国建立个人信息保护制度的关键之年。在今年,我国两部关于个人信息保护的法律取得重大进展,顶层设计推进一系列布局,而野蛮生长的互联网金融也正在收归监管之手。与此同时,国际上对于个人信息保护的重视与法律制度的完善,也倒逼国内加快立法进程,逐渐建立起自己的数据安全规范。今日起,本报推出聚焦个人信息保护系列报道,直面难点、共同求解,敬请关注。
见习记者 李颖超 杜晓彤
今年以来,监管层多次针对个人信息保护和数据安全发声。日前,中国银保监会主席郭树清在2020年新加坡金融科技节上演讲时,再次强调金融数据安全问题。央行科技司司长李伟也在6月份举行的第十二届陆家嘴(600663,股吧)论坛上表示,金融科技的创新首先要高度重视个人隐私的保护,也包括个人金融信息的保护,把数据安全作为发展金融科技的一个底线和红线。
事实上,中国已于今年在个人信息保护的顶层设计方面迈出了一大步。今年5月全国人大表决通过的《民法典》中明确了个人信息受法律保护,市场期待已久的《中华人民共和国数据安全法(草案)》、《个人信息保护法(草案)》也先后于7月、10月进入征求意见阶段。郭树清在前述讲话中表示,监管部门正在研究制定金融数据安全保护条例,构建更加有效的保护机制,防止数据泄露和滥用。
“一些科技公司利用市场优势,过度采集、使用企业和个人数据,甚至盗卖数据。这些行为没有得到用户充分授权,严重侵犯企业利益和个人隐私。”郭树清指出。可以与之相互印证的是,亦有业内人士认为,个人信息保护相关“交规”在今年密集出台,日臻完善,与互联网金融整治进入收官阶段的整体步调一致。
顶层设计密集出台
进入2020年之后,涉及个人信息保护各方面的工作齐头并进,各项法律法规及地方规范性文件密集出台,App违法违规收集使用个人信息治理工作也即将迎来标准落地。个人信息保护制度的建设在今年加速,数据隐私保护制度漏洞正在弥补。
证券时报·券商中国记者通过梳理2020年以来涉及个人信息保护与数据安全领域的政策发现,在法律、部门规章、规范性文件和行业标准规则层面,有近18例文件相继出台。从文件发布主体来看,全国人大、国家互联网信息办公室、工业和信息化部、公安部、国家安全部、中国人民银行和中国银保监会均有参与。
在立法层面,今年5月28日,十三届全国人大三次会议表决通过《民法典》,自2021年1月1日起施行。《民法典》中明确了自然人的个人信息受法律保护,同时也界定个人信息的定义以及处理的原则和条件等条例。10月份,《个人信息保护法(草案)》也首度公开,对个人信息保护的责任落实以及健全个人信息处理规则进行明确。目前,《中华人民共和国数据安全法(草案)》和《个人信息保护法(草案)》均在征求意见阶段。
地方政府层面也有推进相关政策落地,例如,在拥有腾讯、华为等一批本土数据企业的深圳,就于7月15日出台了《深圳经济特区数据条例(征求意见稿)》,并首次提出“数据权”这一概念。目前,国内对数据权存在立法空白,该文件指出,数据权是一种与传统民法中物权、知识产权等权利存在不同的新型权利,其具有财产权、人格权和国家主权属性。
另一方面,中央网信办、工业和信息化部、公安部、国家市场监管总局四部门于今年7月启动了App违法违规收集使用个人信息治理工作,并于12月1日印发了《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》,对38类常见类型App必要个人信息范围作出明确规定,极大限制了App私自收集用户大量信息的行为。
值得一提的是,银保监会7月12日出台的《商业银行互联网贷款管理暂行办法》对风险数据进行了定义,同时提到商业银行应当建立风险数据安全管理的策略与标准,保障借款人风险数据在采集、传输、存储、处理和销毁过程中的安全,防范数据泄露、丢失或被篡改的风险。
当谈到如何看待立法监管逐渐落地时,一位不愿具名的从业人士向证券时报·券商中国记者表示,这是一个系统性工程,对数字经济的“一刀切”肯定也不是监管希望看到的,所以监管也需要在实践中慢慢找到数据带来的商业价值和保护公民权益之间的一个平衡点。
修高速也要订“交规”
正如郭树清所言,中国金融科技应用整体上在法律规范和风险监管等方面一直是“摸着石头过河”。而现在,“摸着石头过河”的金融科技到了走向规范化的节点。
“今年监管层面密集出台了一些个人信息保护方面的政策,这其实与国内整个Fintech行业,或者说是互联网金融走向规范的步调是一致的。”日本第三方支付机构Netstars的CTO陈斌告诉记者。
2014年以来,以P2P网贷机构和互联网消费金融两类模式为首的互联网金融迅速发展起来。据银保监会统计,高峰时期有5000多家P2P网贷机构运营,年交易规模约3万亿元。郭树清还指出,一些互联网金融机构通过各类消费场景,过度营销贷款或类信用卡透支等金融产品,诱导过度消费,有的机构甚至给缺乏还款能力的学生过度放贷。
但在银保监会宣布“在运营P2P网贷机构数量归零”,以及蚂蚁集团上市踩下“急刹车”后,业内已然意识到,互联网金融行业将彻底告别野蛮生长时期,而在这一行业走向规范的同时,其所依赖的数据信息也不出意外地迎来监管的热切关注。
“互联网金融兴起的基础正是个人在互联网上留下的大量信息。”陈斌认为,“因为互联网公司掌握大量个人信息,能够以此判断用户的借贷能力和偿还能力,这是近年来互联网金融发展的核心基础。”
据他介绍,在互联网金融兴起以前,国内引进美国FICO的评分机制,也就是央行的个人征信中心对借贷人做定性评估,但缺乏定量评估导致银行只知客户资质“好”与“差”,却不知“有多好”或“有多差”。尔后,数字经济浪潮拍岸而来,央行征信系统立显“捉襟见肘”,加之国内相关法律缺失,大量互联网公司开始以大数据分析之名行征信业务之实。“但这也是市场需求驱动下不可避免的结果。”一位业内人士表示。
这一情况正在改善。今年1月,央行征信系统上线二代个人征信报告,对个人信息、信贷信息、夫妻共同借贷等进行了相应细化。2018年成立的百行征信覆盖了消费金融领域等信贷数据,与央行提供的征信报告错位。此外,央行还在近期受理了第二张个人征信牌照的申请。
“对互联网金融行业来说,个人征信体系是基础设施,可类比高速公路,个人信息保护制度的建设则可类比交通规则。”全联并购公会信用管理专业委员常务副主任刘新海表示,只有基础设施和规则都完备了,数字经济的驾驶才能兼得规范与速度。
此外,在数字经济时代,个人支付所需要的身份识别信息比如指纹、面部等生物认证信息被大量收集,一些集团、企业在数据使用上超出个人授权进行开发,来进行获客营销、资源互换等操作,而此类信息一旦泄露,就极易危害到用户的人身及财产安全,这些情况也已进入监管视野。央行科技司司长李伟就曾表示,金融科技的创新首先要高度重视个人隐私的保护,也包括个人金融信息的保护,把数据安全作为发展金融科技的一个底线和红线。
与国际市场联动
随着数字经济在全球范围内的蓬勃发展,许多国家及地区近两年来均陆续出台了数据保护及安全领域的相关规则条例,诸如欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)、新加坡个人信息保密条款(PDPA)和日本个人信息保护法(PIPA)等,不一而足。
这些政策的影响范畴巨大,跨国企业不得不将其纳入合规考量。有研究数据安全领域的律师表示,在《数据安全法(草案)》发布之前,中国尚没有一部明确的法律可以实现域外管辖,但在这方面欧美已经走在了前面,“我国如果没有相关立法,国内的企业在面对境外执法机构的一些要求和处罚时就会比较弱势”。
与此同时,网络攻击事件在疫情期间激增,进一步提高了国际市场对信息安全的重视。例如,2020年4月,世界卫生组织在其官网称,该组织发现,疫情期间针对其工作人员的网络攻击和针对广大公众的电子邮件诈骗数量急剧增加,是以往的5倍。
一家支付机构国际业务部人士告诉记者,由于现在全球对个人信息安全保护的关注程度越来越大,公司业务层面也特别重视个人信息保护以及数据安全的操作规范,比如寻求国际认定的标准以降低业务风险,而与国际客户进行业务合作的时候,也要进行认证互关。
“现在国际有公认的这种标准制定的组织,而目前的做法也是,要求头部企业对合作伙伴有强制性要求,即符合这个认证,目前支付行业数据安全标准主要是公认PCI,信息安全方面则是ISO。”上述业内人士表示,在支付领域,信息安全应当排在首要位置,在当下数据作为生产要素的情况下,为了争取授权,对客户某些个人信息进行收集是必要的,而防范风险的关键在于如何对这些信息数据进行安全有效的管理。
随着国内个人信息保护逐步完善,甚至向欧美的监管要求看齐,陈斌认为,这对持牌金融机构的影响不那么大,反而可以说是利好,这是由于持牌金融机构过去对数据的运用均比较规范,相对而言,这意味着其它竞争对手的“手脚”将被收束到一定的范围内。
本文系作者授权本站发表,未经许可,不得转载。