|
《个人信息保护法》解读专题:金融机构滥用信息将遭处罚来源:中国银行保险报网 编者按: 11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式实施。该法系统全面地对个人信息的定义和权利、处理规则、处理者义务、法律责任等进行明确,特别是对社会反映强烈的过度收集个人信息、“大数据杀熟”、个人信息跨境提供等方面进行了严格规定,对于金融行业的影响深远。 □记者 苏洁 下载APP,勾选用户协议,购物、看剧、刷新闻、办业务……移动互联网让我们习惯了动动手指就能完成社交和购物,但我们在尽情享受乐趣的同时,我们的购物记录、浏览爱好、行为特征却像“脚印”一样,留在了沙滩上。 谁收集了我们的“脚印”?如何对“脚印”的查找和使用进行控制?11月1日实施的《个人信息保护法》给出了答案。作为我国第一部个人信息保护方面的专门法律,该法律的落地进一步提高并细化了对于个人信息收集和使用的合规要求。金融作为与数据协作密切的行业,《个人信息保护法》实施后,将带来巨大影响。 六大场景下的个人信息规范 数牍科技副总裁张迎春介绍,本次《个人信息保护法》最大的亮点是规定了共同处理、委托处理、个人信息转移、其他个人信息处理者共享、自动化决策、公共采集六大场景中个人信息处理的规定,这些规定的细化,对于银行保险机构作为“个人信息处理者”的义务将有更明确的指引作用。 张迎春指出,《个人信息保护法》对于金融同科技结合最为深入的征信、信用风险管理,线上营销(包括电子渠道),网点运营三大类业务影响最大,这些影响概括起来就体现为银行保险机构需要对照以上六大场景来梳理和审视在这几类业务中合法合规所需采取的行动。此外,值得注意的是,“告知同意”为核心的《个人信息保护法》,短期内可能会造成上述业务“合规”成本的上升,而降低“合规成本”就需要银行保险机构积极融入正在构建的多层次数据要素市场体系,充分利用国家、各地政府、行业监管部门正在构建的数据要素市场基础设施,如合规认证服务、要素交易市场、数据确权和公正服务等。 《个人信息保护法》对于个人信息做了具体且明确的要求。对于金融行业,尤其是银行保险机构来说,重点将对哪些方面带来影响? 清华大学五道口金融学院党委委员、清华大学国家金融研究院副院长张伟表示,对于金融行业来说,《个人信息保护法》为金融领域的信息保护确立了顶层设计。与此同时,《个人信息保护法》也为金融机构带来一定的挑战:一是处罚力度加大,金融机构应提高消费者权益保护意识,加强信息采集、使用方面的合规建设。二是不同信息处理者之间的边界问题对落实“告知同意”原则的影响。对于金融活动来说,机构间的个人信息转移较为普遍和频繁,例如保险公司从投保人获取被保险人、受益人个人信息,再保险业务中再保险人从直保公司获取个人信息等,此前这些信息转移都是金融活动中的正常运营安排,但《个人信息保护法》实施后,需要各方在合作协议和操作流程中厘清自身责任、义务边界,共同落实好相关规定,明确责任边界。三是集团性质的金融机构如何平衡合规与数据使用效率的难题。按照《个人信息保护法》,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应取得个人的单独同意。该要求对金融控股集团成员之间的信息转移共享,以及保险集团下属公司之间的数据共享将产生较大影响。 此外,张伟指出,对于金融机构来说,线下业务如何能够符合《个人信息保护法》的要求也是一个难点。比如保险销售误导可能涉及过度采集个人信息等问题。建议金融机构建立专业培训机制,一方面提高从业人员对个人信息保护的意识,另一方面建立相应的合规机制,促进线下从业人员遵纪守法,同时充分保证客户的合法权益。 索信达数据治理专家魏强指出,随着《个人信息保护法》的实施,使金融机构对个人信息保护从一般监管要求上升到强制性法律要求,势必将引起金融行业高度重视,促进金融机构进一步强化个人信息保护力度,充分保障个人信息主体的各种权利,以满足合规要求。另外,《个人信息保护法》确定了个人信息处理的明示同意规则以及个人信息跨境传输规则等,对集团型或多级法人的金融机构,在对个人信息的跨法人和跨境处理时,需要特别注意防范合规风险。 约束黑灰产和“大数据杀熟” 当前,信息泄露比较严重,如骚扰信息和诈骗电话等行为猖獗,虽然相关部门长期打击这些不法行为,但信息泄露源头不堵上,则不能从根本上解决问题,所以在信息保护方面产生了更高的需求。《个人信息保护法》的实施是否会对黑灰产和诈骗行为在立法上进行约束? 张迎春表示,在《个人信息保护法》实施前,信息泄露、信息滥用是围绕个人信息的问题,《个人信息保护法》实施之后,对个人信息相关问题有了“闭环”的规定,其出台意味着信息泄露、信息滥用等的非法性,使得相关监督、管理、保障、处罚等活动有了法律依据。 魏强介绍,《个人信息保护法》明确了详细的个人信息处理规则,其实施会对网络黑灰产和诈骗活动有强大的约束和震慑作用。黑灰产和诈骗活动通常会涉及对个人信息的非法采集、传播和买卖,《个人信息保护法》实施后,即使没有实施诈骗活动,仍然要承担相关的法律责任。 《个人信息保护法》实施之后,还会对企业如何利用数据产生影响。比如此前被很多互联网平台视为“利器”的“千人千面推送”“个性化展示”也面临新的调整。根据《个人信息保护法》规定,如通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。 互联网平台企业发展迅速,收集和应用了大量个人信息,如何去适应这一变化?“差异化的销售策略”与侵害个人权益的“大数据杀熟”之间的界限是什么? 魏强指出,“差异化的销售策略”与“大数据杀熟”两者的关键界限在于消费者是否拥有充分的知情权、选择权和公平消费权利。 张迎春表示,差异化的销售策略与“大数据杀熟”是两个不同的概念,“大数据杀熟”是基于对个人信息的了解,实施针对于不同个人的定价策略,来实现更高收益,这实际上是针对于个人的“定价歧视”;“差异化的销售策略”是指为了满足消费者个性化需求,在消费者同意、知情的前提下,让消费者更加高效地找到自己想要的产品或服务,这时消费者接收到推送产品的价格是不能有区别的。 加强隐私计算技术应用 微众银行副行长兼首席信息官马智涛在近日举办的一次会议上谈到,个人数据在市场占比中最大,超过了68%,但是要真正把其价值释放出来,难度系数也是最高的。 《个人信息保护法》第四十五条规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。马智涛表示,法规一方面对于数据应用呈收紧趋势,管控越来越严格。另一方面,也有非常重要的信号被释放出来,在各地的法规中都有提到个人信息可携带权,指数据主体有权利将其提供的个人信息无障碍地从A控制者转移到B控制者。 马智涛指出,分布式数据传输协议(DDTP)有机会成为通用性的平台,解决安全存储、可信传输、协同生产这三个问题。他表示,这种模式有机会做到完全由个人主导,而且遵循分布式理念,不需要参与机构有事前约定,并且也不需要依赖单一中心机构的推动,实现跨机构、跨场景、跨业态的数据层面合作。 张迎春表示,针对《个人信息保护法》,通过自动化决策方式向个人进行信息推送、商业营销,必须要经过消费者同意,如果消费者不同意,应提供不针对其个人特征的选项或提供便捷的拒绝方式。在获得了用户知情的前提下,信息的收集也需要合规,可以用技术手段避免信息被过度收集,并且防止自己的数据被泄露到其他平台、避免超出约定范围的使用、避免被爬虫或者是被灰黑产利用。在技术层面,可以通过建设匿名ID体系、引入隐私增强计算的方式,不仅可以保护数据标签的安全,保护用户安全,保护信息不被泄露,并且给予数据拥有方平台一个控制力,包括对数据收集的授权和收集后保存和使用的控制。 企业应健全数据安全保护制度 张伟谈到,个人信息与企业运营发展的大部分环节息息相关,其中包括技术、营销、售后等。因此,《个人信息保护法》的实施,企业需要从收集数据、处理数据以及内部管理三个层面应对带来的变化。 首先,收集数据层面。一方面,企业要保证收集用户数据的内容与维度合规;另一方面,企业还要尽快完善用户协议,更加明显地提示用户授权等,而且在未来还要提供删除个人数据的选项。 其次,处理数据层面。其中包括数据的存储、脱敏以及追踪。而这些环节都可通过金融科技手段来应对《个人信息保护法》带来的改变。比如,一是通过加密存储数据。涉及个人敏感信息,尽量采用加密存储等方式,确保数据信息的安全。二是对数据进行精细分类分级。三是对数据进行脱敏,这步尤为关键。四是对使用数据行为进行追踪。确保数据使用的行为安全与合法,有利于企业数据出现问题后进行事故的追责,为相关部门提供事实依据。 再次,企业内部管理层面。从战略层面而言,企业不仅需要从法律法规角度深刻认识到个人信息的重要性,还需要设置专门的数据安全职责岗位,监督企业数据的安全应用。从员工内部而言,企业应健全对数据的安全保护规章制度。 相关链接 2019年,《个人金融信息(数据)保护试行办法(初稿)》出炉,对于金融机构与第三方数据提供商合作等有所规范。 2020年2月,中国人民银行发布了金融行业标准《个人金融信息保护技术规范》,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,为金融机构建设个人金融信息保护架构提供了体系化与专业化的参考标准。 2020年9月,中国人民银行正式印发《金融数据安全 数据安全分级指南》,根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别由高到低划分为五级。 |