文:姚佳
來源:新金融城
“數據治理是非常複雜的問題,上到國(guó)家的數據安全,中到行業的風險管控,微觀到個體的權益保護。最核心的問題是‘如何保證獲得用戶的充分授權’。”5月30日,在新金融聯盟主辦的“數據合規應用與金融消費者權益保護”研讨會(huì)上,中國(guó)社會(huì)科學(xué)院法學(xué)研究所教授姚佳表示。
數據如何利用和共享?姚佳指出,近期公開(kāi)征求意見的《個人信息保護法草案(二次審議稿)》第1條明确删除了草案一審稿第1條原來規定的“保障個人信息依法有序自由流動”這(zhè)一内容,“可見個人信息保護立法的宗旨是如何保護個人信息,如何對(duì)個人信息進(jìn)行流動和利用等問題并非這(zhè)部法律關注的重點,未來可能(néng)會(huì)進(jìn)一步探讨。”會(huì)上,工商銀行首席技術官呂仲濤、招商銀行首席信息官江朝陽、百行征信副總裁劉鵬鵬發(fā)表了主旨演講。人民銀行條法司副司長(cháng)謝丹、人民銀行消保局副局長(cháng)馬紹剛、中國(guó)互金協會(huì)秘書長(cháng)陸書春做了精彩點評。
以下爲姚佳教授發(fā)言全文:
2020年以來,《數據安全法》和《個人信息保護法》都(dōu)在緊鑼密鼓制定當中。對(duì)于草案的意見,無論是金融機構還(hái)是互聯網頭部企業,都(dōu)有一些比較集中的問題。比如對(duì)個人信息的處理規則以及合規要求,數據的利用和分享規則的建立,如何保護包括金融消費者在内的個人等。
數據合規應用與金融消費者權益保護的讨論背景。
現行的個人信息保護法律體系。
今天讨論的問題的背景非常宏大。首先,金融業發(fā)展到今天,在傳統行業快速發(fā)展并且在近年來互聯網科技賦能(néng)等結合的背景下才會(huì)産生這(zhè)個問題。其次,科技相對(duì)來說是獨立的體系,發(fā)展過(guò)程中也會(huì)有數據保護與數據分享、利用等價值判斷與價值選擇問題。最重要的是,在金融消費者保護方面(miàn),國(guó)内外監管機構等都(dōu)將(jiāng)金融消費者保護列爲一項核心工作,國(guó)内監管機構近年來也不斷制定規範性文件、指導意見等,試圖從金融消費者保護、信息透明度、金融消費者教育等各個方面(miàn)更好(hǎo)地保護金融消費者的個人信息,并希望形成(chéng)較爲良好(hǎo)的行業生态。但也有資料顯示,近年來有百餘種(zhǒng)銀行APP存在過(guò)度收集、超限收集或者概括授權等侵害個人信息權益等情況;同時也存在金融機構員工擅自洩露客戶信息給客戶造成(chéng)損害等行爲,給金融機構的信用與信譽等造成(chéng)比較負面(miàn)的影響。在金融業發(fā)展、科技發(fā)展以及金融消費者保護這(zhè)三者交叉的部分,就是今天所要集中讨論的問題。海量數據的出現,使得數據可運用于多個行業領域,對(duì)于金融業也不例外,實踐中通過(guò)數據、算法的運用,可進(jìn)行精準營銷、數據畫像、信用評價、風控等,對(duì)數據的運用實際上可以從不同維度去認識。每一個現實生活中的個體,在其個人信息經(jīng)由信息處理程序之後(hòu),可能(néng)會(huì)形成(chéng)不同的“虛拟”标簽畫像,每一個标簽會(huì)有不同維度或不同運用方式。有的标簽可能(néng)會(huì)識别到個人,有些标簽可能(néng)不會(huì)識别到個人。在對(duì)個人信息去标識化和匿名化的過(guò)程中,可能(néng)會(huì)運用各種(zhǒng)技術,比如隐私計算等。國(guó)際範圍内,20國(guó)集團、世界銀行、經(jīng)合組織(OECD)、金融穩定委員會(huì)(FSB)、金融包容聯盟(AFI)等都(dōu)強調和關注金融消費者信息保護。在國(guó)内,無論是“一行兩(liǎng)會(huì)”設立的消保機構,還(hái)是其他消保機構,以及在法律法規政策層面(miàn)上制定消費者權益保護法和出台系列規範性文件,都(dōu)表明我們在金融消費者保護上作出較多努力。
從國(guó)家層面(miàn)來看,我國(guó)對(duì)個人信息保護是高度重視的。近年來,較多法律、法規以及規範性文件在這(zhè)方面(miàn)都(dōu)作出較多努力,《民法典》也在人格權編針對(duì)個人信息保護進(jìn)行專門規定。從世界範圍内來看,個人信息保護立法有其自己獨特的發(fā)展脈絡,确實沒(méi)有其他國(guó)家或地區在《民法典》或傳統私法領域中出現。《中華人民共和國(guó)民法典》對(duì)個人信息保護的專門規定,在世界範圍内首開(kāi)在私法領域對(duì)個人信息保護的先河。《個人信息保護法草案》規定了個人信息處理規則、個人信息跨境提供規則、個人在個人信息處理活動中的權利以及個人信息處理者的義務等内容。那麼(me),什麼(me)是個人信息?《個人信息保護法草案》第4條規定,“個人信息是以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種(zhǒng)信息,不包括匿名化處理後(hòu)的信息。”在《個人信息保護法(草案)》之中,法定的兩(liǎng)造主體系“個人—個人信息處理者”。央行2020年初出台的《個人金融信息保護技術規範》中規定的主體是信息控制者,事(shì)實上在《民法典》之後(hòu),在法律層面(miàn)事(shì)實上已經(jīng)不存在信息控制者這(zhè)一法定概念。這(zhè)一點可能(néng)需要在個人信息保護法正式通過(guò)之後(hòu)再對(duì)系列規範性文件進(jìn)行修改完善。世界範圍内的均以“可識别性”爲标準,作爲判斷個人信息權益是否受到侵害的關鍵要素。個人信息處理者針對(duì)個人信息的後(hòu)續處理,一旦可識别出特定主體或者個人,就可以認定侵害了個人信息權益。信息處理所要保證的就是不得識别個體,“可識别性”是一條法律紅線,不可逾越。在《個人信息保護法(草案)》中,敏感個人信息中包括金融賬戶。法律對(duì)敏感個人信息的保護是非常強的。但金融賬戶以及通常所說的金融信息,不宜作寬泛處理,否則不符合金融業實踐,而在一定程度上應作限縮解釋。處理敏感個人信息應當取得個人的單獨同意,法律、行政法規規定處理敏感個人信息應當取得書面(miàn)同意的,從其規定。個人在個人信息處理活動中享有哪些權利?《個人信息保護法(草案)》規定個人信息權利體系包含知情權、決定權、查閱權、複制權、異議更正權、删除權。立法構建了比較強信息自決理念。在《民法典》和《個人信息保護法》之中并沒(méi)有規定數據可攜帶權和被(bèi)遺忘權,對(duì)這(zhè)兩(liǎng)個權利的争議比較大。對(duì)于金融機構來說,在《民法典》以及未來通過(guò)《個人信息保護法》之後(hòu),從央行的相關指導意見到其他的一些法律法規、規範性文件,都(dōu)需要與這(zhè)兩(liǎng)部法律以及相關法律相協調。同時,金融業是比較特殊的領域,不僅有行業方面(miàn)的規定,同時也還(hái)包括很多技術規範。未來這(zhè)些規範都(dōu)都(dōu)可能(néng)需要進(jìn)行相應調整。
在這(zhè)種(zhǒng)情況之下,金融數據的合規應用到底會(huì)是怎樣(yàng)的?對(duì)金融機構來說,首先要了解一些基礎性、背景性的内容,然後(hòu)進(jìn)行數據治理。數據治理有一些基本原則,上到國(guó)家的數據安全,中到行業的風險管控,微觀到個體的權益保護,實際上是非常複雜的問題。在這(zhè)種(zhǒng)情況下,根據整個信息或者數據的全周期,大概會(huì)涉及這(zhè)些方面(miàn)。數據治理要遵循合法合理、确保安全、目的明确、告知同意、最少夠用等原則,同時在信息處理過(guò)程中要遵循公開(kāi)透明、分級管理、權責一緻、流程可溯以及主體參與等原則。最核心的問題是“如何保證用戶的充分授權”。客觀來講,互聯網頭部企業還(hái)是比較重視這(zhè)個問題的。爲了合規,他們的隐私協議也在不斷調整以适應合規需求。但銀行等金融機構目前比較多的是概括授權方式獲得用戶信息使用的授權,至少從現在目前來看,基本上不太符合《個人信息保護法》中的規定,需要進(jìn)行比較大規模的調整。另外一個問題是數據如何利用、共享。如何實現數據共享?數據交易能(néng)否進(jìn)行?從目前來看,确實還(hái)是存在很多禁區和限制。《個人信息保護法草案(二次審議稿)》第1條明确删除了草案一審稿第1條原來規定的“保障個人信息依法有序自由流動”。由此可見,《個人信息保護法》的立法目标宗旨是“如何保護個人信息”,而在這(zhè)部法律中并不以關注個人信息流動爲重點。數據如何利用等未來可能(néng)會(huì)繼續讨論,至少從目前來看還(hái)是有很多障礙。金融機構的個人信息合規存儲主要包括四個要點:去标識化、最小化、本地化需求、不得再存儲。關于個人信息删除權二草明确規定了:如果信息處理目的已經(jīng)實現或爲實現處理目的不再必要,個人信息保護者應主動删除個人信息,個人也有權請求删除。可見,在未來個人信息保護立法的适用中,金融數據合規應用仍任重道(dào)遠。究竟什麼(me)是個人信息的匿名化處理?已有科學(xué)實驗表明,絕對(duì)的匿名化在技術上事(shì)實上無法實現。理論上是很難實現完全意義上的匿名化,完全不可複制和不可複原識别,實踐中的匿名化處理仍可能(néng)存在識别出個人的風險。因此,個人信息的匿名化問題仍有讨論空間。互聯網企業非常關心的技術應用,比如隐私計算、匿名身份認證技術等等,這(zhè)些都(dōu)是以後(hòu)在技術層面(miàn)可以進(jìn)一步應用和開(kāi)發(fā)的重點。總之,未來金融業的發(fā)展方向(xiàng)就是既要充分保護金融消費者的個人信息,又兼顧促進(jìn)金融業的長(cháng)遠發(fā)展。法律不是制造障礙,合規也不是限制,而是爲了更好(hǎo)地在利益平衡中推動金融業更加規範、長(cháng)遠地發(fā)展。重視當下,前瞻未來,是爲金融業長(cháng)久發(fā)展之道(dào)。
