文：家俊輝

來源：21世紀經(jīng)濟報道(dào)  

11月1日，《中華人民共和國(guó)個人信息保護法》（下稱“個保法”）正式施行。

個保法明确不得過(guò)度收集個人信息、大數據殺熟，對(duì)人臉信息等敏感個人信息的處理作出規制，完善個人信息保護投訴、舉報工作機制等，充分回應了社會(huì)關切，爲破解個人信息保護中的熱點難點問題提供了強有力的法律保障。而銀行等金融機構的業務與個人信息息息相關，個保法的正式實施將(jiāng)會(huì)對(duì)金融機構帶來怎樣(yàng)的合規挑戰？

比如，當前在金融行業應用頗爲廣泛的人臉識别技術，在給行業和客戶帶來便利的同時，也有潛在的信息洩露風險。

“應用人臉識别時，不僅要考慮便利性，還(hái)要考慮安全性。”日前，在廣州數字金融創新研究院、廣東廣悅律師事(shì)務所聯合主辦的 “羊城數字金融沙龍”論壇第一期活動——“金融行業數據安全治理”學(xué)術沙龍上，廣東廣悅律師事(shì)務所高級合夥人楊傑表示，現階段人臉識别已逐漸取代人工成(chéng)爲金融機構最高級别的認證手段，并被(bèi)廣泛應用。例如，在違規性監控領域，爲節約成(chéng)本、提高便利性，人工監控已經(jīng)被(bèi)人臉識别監控替代，但是否符合個保法的最小必要原則值得讨論。

對(duì)此，中南财經(jīng)政法大學(xué)數字經(jīng)濟研究院執行院長(cháng)、教授盤和林表示，相較指紋等個人信息，人臉識别更容易與個人對(duì)應，這(zhè)是人臉識别被(bèi)廣泛普遍關注的原因之一，也是個保法提高人臉識别管制的理由之一。“金融機構和類金融機構應界定人臉識别的使用範圍，在存在替代方案的情況下，金融機構仍需遵循最小必要原則，審慎使用人臉識别技術。”

所謂“最小必要”，指的是處理個人信息應當具有明确、合理的目的，并應當限于實現處理目的的最小範圍，不得進(jìn)行與處理目的無關的個人信息處理。

華南師範大學(xué)法學(xué)院研究員、數字政府與數字經(jīng)濟法治研究中心主任馬顔昕則認爲，人臉具有外部性，安全級别并不太高，其被(bèi)廣泛關注并非由于存在重大安全性隐患，而是由于其使用範圍廣、易被(bèi)采集的特點。“在第三方支付等小額支付領域，人臉識别更多是提供便利，在金融機構領域更多是提供個人身份确認功能(néng)。”

針對(duì)個保法的最小必要原則，馬顔昕提出，金融機構可通過(guò)提供線上人臉識别和線下辦理的雙選項方案以符合法律的要求。

同時，他表示，相比最小必要原則，自動化決策的濫用和敏感個人信息的單獨同意對(duì)金融行業帶來的挑戰更大。

如今，生活中自動化決策的應用範圍已非常廣泛，健康碼、個稅APP等均使用自動化決策提供服務。

馬顔昕認爲，相較精準營銷業務，金融機構依托自動化決策開(kāi)展的金融科技業務受個保法的沖擊更大。一方面(miàn)，個保法的實施將(jiāng)影響金融機構使用金融科技手段進(jìn)行自動化決策，進(jìn)而影響貸款審批、逃稅監管等業務的開(kāi)展。另一方面(miàn)，随著(zhe)科技的快速發(fā)展和個人信用狀态的模糊化，大量未持征信牌照的類金融機構也開(kāi)始利用自動化決策紛紛開(kāi)展用戶信用評估業務，如車險評估及其他各類評估評分等。“這(zhè)是否符合征信業務開(kāi)展的相關規定，未來又將(jiāng)如何調整，是類金融機構面(miàn)臨的重要挑戰。”

不過(guò)，盤和林表示，在人工智能(néng)、數字經(jīng)濟快速發(fā)展的現代社會(huì)，自動化決策不可避免。但他同時也指出，自動化決策的廣泛應用會(huì)降低社會(huì)容忍度、壓縮個人生存空間。“因此，開(kāi)展自動化決策時，不僅要考慮效率的提高，也要考慮人性的特征、個人隐私的邊界以及弱勢群體的生存等問題。政府與企業應厘清個人信息采集、自動化決策應用以及按章執法的邊界，允許試錯。”

對(duì)此，楊傑表示贊同。他進(jìn)一步指出，現階段，金融機構自動化決策業務往往涉及數據在集團内部流動的現象，在多數情況下，個人信息收集者并非數據的實際使用者。“金融機構應按照個保法要求，解決好(hǎo)個人信息數據在集團内部流動時的‘再次同意’問題。”

而對(duì)于個人信息的存儲，楊傑認爲，中央與地方、大型金融機構與中小型金融機構、類金融機構應做到相同的安全防護級别，并實現非必要不存儲。“在技術層面(miàn)，個人信息要第一時間進(jìn)行去标識化處理；在管理層面(miàn)，機構應當關注信息的保存期限以及隔離存儲設置。”

盤和林也表示，同一類型的個人信息在各地、各企業的存儲應達到統一的安全級别。此外，個保法仍需後(hòu)續配套法律的支撐，使各地政府公職人員能(néng)有法可依、有标準可依，打通企業數據向(xiàng)政府流動的最後(hòu)一公裡(lǐ)。

“個人信息洩露在未來不是技術問題，而是管理問題。2018年歐盟頒布《一般數據保護法案》後(hòu)，近年來又發(fā)布數字市場法、數字服務法、數字治理法等一系列法律草案，計劃形成(chéng)全面(miàn)的數據法律體系。”馬顔昕以歐盟數據法律體系爲例指出，當前我國(guó)企業向(xiàng)政府提供數據信息時，面(miàn)臨向(xiàng)誰提供數據，誰負責數據安全以及多頭重複向(xiàng)企業要數據等問題，政府應通過(guò)立法等機制，建立企業向(xiàng)政府共享數據的渠道(dào)。