孙华荣
摘 要:随着移动支付等非现金支付方式日益普及,支付交易与生产生活场景深度融合,支付数字化、信息化、移动化趋势日趋明显,支付服务提供商采集的支付信息数据呈指数级增长,已经成为支付服务提供商的重要资产。但同时,个人支付信息数据保护问题日益突出,法律法规对个人支付信息数据保护力度不足、支付服务提供商获取信息冲动强烈且对信息数据风险管理不力、公众信息保护意识不强,给不法分子非法获取和利用信息带来可乘之机。结合我国支付市场实际,应从健全支付信息数据保护的法规制度体系、优化监管资源配置和使用、推进行业自律规范、提高公民个人信息数据保护意识等方面提出政策建议。
关键词:个人支付信息数据保护;演化博弈;支付监管
中图分类号:F830 文献标识码:B 文章编号:1674-2265(2020)08-0044-04
DOI:10.19647/j.cnki.37-1462/f.2020.08.007
一、引言
支付交易中涉及大量敏感个人信息的存储、传输和使用。随着移动支付等非现金支付方式日益普及,支付交易与生产生活场景深度融合,支付数字化、信息化、移动化趋势日趋明显,支付服务提供商采集的支付信息数据呈指数级增长,已经成为支付服务提供商的重要资产。在发挥大数据技术优势的同时,个人支付信息数据保护问题也日益突出,法律法规对个人支付信息数据保护力度不足、支付服务提供商获取支付信息数据冲动强烈且对信息数据风险管理不力、公众个人支付信息数据保护意识不强,给不法分子非法获取和利用个人支付信息数据带来可乘之机。在这一背景下,本文立足于个人支付信息保护现实问题,研究在支付数据资产化的利益驱动下,如何防范支付信息数据泄露和滥用、提升数据保护水平、规范数据保护规则,旨在为平衡大数据应用与信息保护的关系、推动支付數据的安全有效运用、促进支付行业创新发展提供政策参考。
二、文献综述
(一)个人支付信息数据的界定
盛婧婧(2018)[1]采用归纳法,认为个人支付信息数据是指在支付结算过程中,涉及能够识别个人信息的资料,且这些数据资料通常与个人利益相关,表现为可交换、可存储的数据资料。陈丽(2019)[2]采用列举法,认为用户在支付过程中提供的基本信息属于个人支付信息数据,如姓名、身份证号、住址、联系电话、银行卡号等信息。参考已有研究,本文将个人支付信息数据的概念定义如下:个人支付信息包括所有基于支付活动产生的信息,主要涉及两个方面:个人信息和支付交易信息。个人支付信息主要包括发起支付业务的数据,如银行卡密码、信用卡到期日、安全码等传统信息和面部特征、指纹、声音等生物信息,还有身份证号、银行账户、支付账户、手机号码、通信地址等身份核验信息。交易信息,包括交易金额、交易时间、交易地点、交易渠道、交易频率、购买商品或服务类别等。
(二)个人支付信息数据利用的立法研究
杨渊(2014)[3]认为我国应该加快完善个人信息保护立法。马永保(2014)[4]认为应该正确定位消费者与第三方支付企业在消费者个人信息处分上的权限,限制第三方支付平台信息收集的范围,完善民事责任机制。谢迎春(2017)[5]认为,应当综合借鉴美国和韩国的支付机构信息保护立法内容,结合中国实际,将支付机构信息保护的立法定义为综合性信息保护法规,或将其作为一章纳入《个人信息保护法》。姬蕾蕾(2017)[6]认为我国个人信息保护立法应该立足于具体场景风险管理,个人信息保护监管机构应独立于政府,采取差异化救济赔偿模式。
(三)个人支付信息数据利用的实证分析
学者们主要采取两种模型对个人支付信息数据保护进行实证分析。第一,使用统计相关模型发现支付业务风险点并制定相应的措施。陈丽莉(2013)[7]、李二亮(2014)[8]等学者利用威胁树风险评估模型寻找支付系统的威胁路径和风险点,为支付服务提供商系统安全的改进和用户选择提供参考。李松涛等(2018)[9]基于德尔菲法,设计了针对支付机构和监管机构以及个人的调查问卷,并对调查结果使用结构方程模型进行了多元化数据分析,给出了支付市场信息安全监管的原则、目标、对策及建议。第二,博弈论模型主要用来分析对个人支付信息数据保护的监管力度和监管方法。贾楠(2017)[10]利用博弈论分析了个人支付信息数据保护制度的形成原因、现状和未来发展,得出了全面监管的结论。危怀安等(2018)[11]基于我国第三方网上支付信息安全监管涉及的第三方支付机构、行业主管部门等影响因素及决策分析角度,使用静态博弈方法讨论了监管部门对第三方支付机构监管的必要性和对策,为制定和完善信息安全监管及措施提供了理论支持。
本文基于上述研究,对我国支付数据信息保护存在的问题进行分析,对如何构建有效的个人支付信息数据保护制度框架进行探讨。
三、我国个人支付信息数据利用存在的问题
(一)个人支付信息数据保护法律体系不完善
一是法律法规层级不高。当前我国《个人信息保护法》尚未出台,有关个人支付信息数据保护的规定和要求散落在多个法律、行政法规、部门规章、规范性文件和行业自律规定中,针对个人金融信息,特别是个人支付信息保护的法律法规,系统性不足,适用性复杂。二是法律法规内容较为笼统,可操作性不强。大部分相关法律法规仅作出了原则性规定,未具体明确覆盖个人支付信息收集、传输、销毁全生命周期的策略,以及对访问控制等配套保障措施的硬性要求。如《网络安全法》第四十一条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开使用、收集原则”;《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定,“银行业金融机构应当采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用”;《非银行支付机构网络支付业务管理办法》第二十条规定,“支付机构应当以‘最小化原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和范围”。三是责任追究机制亟待完善。侵犯个人支付信息数据安全的责任主要体现在刑事和行政责任方面,民事立法等相关法规中涉及违法违规企业与个人的处罚条款较少。
(二)个人支付信息数据治理面临困难
经济社会各领域中数字技术的不断发展,更好地治理海量的个人支付信息是支付行业未来发展的重点。目前个人支付信息数据治理面临困难,主要表现在:一是存在信息孤岛,多数机构不愿共享,将数据作为战略性资源,且个人支付数据具有一定敏感性,涉及用户个人隐私,共享可能存在法律风险,客观上给机构间共享数据带来障碍;此外各机构数据接口不统一,数据难以互联互通,严重阻碍数据开放共享。二是数据质量不高,由于缺乏统一的数据治理体系,支付机构在数据采集、存储、处理等环节可能存在不科学、不规范等问题,无法确保数据的完整性和准确性;支付业务条线繁杂、业务种类多样,数据采集标准不一、统计口径各异,数据一致性难以保障。三是融合应用困难,部分金融机构利用海量支付数据建模分析解决实际问题的能力有待提高,支付数据资源没有得到充分利用。
(三)支付服务提供商个人支付信息管理不规范问题较为突出
随着支付数据资产化趋势的不断深化,支付服务提供商最大限度采集、利用消费者信息的驱动力不断增强,但信息保护力度较弱。从近年来人民银行对支付服务领域金融消费权益保护监督检查情况看,支付消费者信息安全管理不规范的问题比较突出。主要表现在:一是过度收集或不当收集消费者个人信息。支付服务提供商收集消费者个人支付信息未遵循最少、必需原则,收集信息范围过大,存在以概括授权的方式索取与支付产品和服务无关的消费者个人信息使用授权的情形,甚至存在未经授权收集其个人支付信息或采用技术手段不当获取个人支付信息授权的情形。二是个人支付信息保管不规范。如支付服务提供商对支付信息无访问控制策略,未明确员工或外包服务商对个人支付信息的保密责任,通过外包协议约定转移信息保护风险责任等。三是个人支付信息的使用管理不规范。如智能POS机能够直接显示持卡人的敏感信息,交易处理过程中敏感信息未加密传输,以金融集团模式开展经营的机构,与集团旗下其他公司共享、使用个人金融信息超出合理范围等。
(四)消费者个人支付信息保护意识不强
一是对个人支付信息安全权利的整体重视程度不足,比如在注册支付账户时不会仔细阅读隐私条款,在启用App时不关注隐私权限的获取等,不仅使得用户端对支付服务提供商采集、利用个人支付信息的必要监督缺失,也为不法分子泄露、滥用个人支付信息提供了可乘之机。二是主动维权意愿不强。当个人支付信息被泄露或出售给不法分子时,若未造成经济损失,当事人往往受制于投诉、诉讼等维权手段环节多、追溯难、举证难、耗时久等原因主动放弃维权。
(五)监管合作机制有待建立和完善
当前支付业务与电商、社交、信贷等业务高度融合,支付信息数据的采集应用已經不仅仅局限于支付服务提供商,还涉及电商平台、社交平台等各类市场主体,因此支付信息数据监管涉及中国人民银行、银保监、商务、工信、网信、公安、市场监管等多个专业主管部门。但现阶段对个人支付信息数据采集应用的监管职责划分尚不明确,可能导致监管重叠或监管空白;从监管模式看,监管部门间信息共享和监管协作不够,也在一定程度上弱化了监管效果。
四、政策建议
(一)完善个人信息数据的立法保护体系
一是加快推动个人支付信息保护专门立法,出台配套法规,细化隐私条款设置,明确信息采集主体、采集方式,理清各当事人的法律关系和权利义务。结合实际,重点强化对人脸、指纹等生物特征信息保护,对滥用垄断优势等强行收集和共享信息数据行为做出严格的禁止性规定,对于消费者的数据删除权等给予充分保障。二是对现有涉及个人信息保护的规章制度进行细化,明确覆盖个人支付信息收集、存储、传输、销毁全生命周期的管理策略和配套保障措施,增强其可操作性。三是完善侵权责任追究制度和赔偿机制,采取举证责任倒置方式,强化民事赔偿责任,畅通救济渠道,为消费者获得合理赔偿提供保障。四是建立科学的违规惩戒制度体系,将惩戒措施与违规规模、违规收益相挂钩,保障制度威慑力,防止出现“大而不能管”的情况。
(二)优化个人信息数据的监管资源配置
一是平衡好个人支付信息数据共享与保护的“跷跷板”,在保证数据安全的前提下,允许适度的数据共享,鼓励支付服务提供商将支付信息数据这一核心资产管好、用好,促进数据资产流动和增值,借助金融科技力量实现支付业务创新、产品创新和服务创新。二是创新监管手段。探索建立基于大数据、人工智能、区块链等技术的个人支付信息采集和使用监管系统,精准描绘每个监管对象的“机构画像”,全面提升非现场监测能力;运用监管沙箱方式管控创新业务风险,探索持续性监管措施。三是实施分类监管和重点监管。根据不同支付服务提供商的规模、个人信息使用情况等,分层次确定监管重点,强化分类监管和重点监管。四是加强各监管部门沟通合作,建议构建由中国人民银行牵头,银保监、商务、工信、网信、公安、市场监管等多个相关部门协同配合的多层次个人支付信息数据安全监督管理体系,明确各部门职责分工,不断深化监管信息共享,畅通线索移交处置渠道,形成监管合力。
(三)制定个人信息数据保护的行业自律规范
注重发挥行业自律组织柔性监管作用,将个人支付信息数据保护纳入支付行业自律范围。一是针对支付信息数据保护,建立专项行业自律规范和相关评价指标体系,定期开展自律管理评价;完善行业内部互相监督和外部举报奖励机制,将用户支付数据保护纳入举报奖励范围。二是鼓励行业自律组织立足于支付行业发展,凝聚行业力量,研究支付信息数据保护机制,推动形成行业标准化。三是强化培训,引导支付服务提供商以及下游市场主体增强支付信息数据保护意识。
(四)强化个人支付信息数据治理
从制度建设、业务实施、技术保障等方面,提高支付服务提供商对个人支付信息数据管理的精细化水平。一是健全个人支付信息数据治理体系,建立全局数据模型和科学合理的数据架构,实现对支付数据的全面梳理和有效管控;综合国家安全、公众权益、个人隐私和企业合法利益等因素做好数据分级管理,实现支付数据精细化管理;规范数据共享流程,确保数据使用方在依法合规、保障安全前提下,根据业务需要申请使用数据。二是加强安全管控,遵循“用户授权、最小够用、全程防护”原则,充分评估潜在风险,把好安全关口,加强数据全生命周期安全管理,严防用户数据的泄露、篡改和滥用;严格履行信息披露和告知义务,主动对专业性强或关系消费者切身利益的条款、事项进行充分解释说明;加大信息安全技术投入,充分运用网络安全和信息技术安全等手段,完善支付信息安全保障措施,及时堵塞平台系统漏洞,提升系统安全防护能力,严控个人金融信息泄露风险。三是强化数据应用技术,在算力、算法、存储、网络等方面加强技术支撑,利用云计算、深度学习、神经网络等方法切实增强数据应用能力。
(五)增强社会公众个人信息数据保护的意识
数据的所有权属于消费者,应当是消费者决定支付数据的使用范围和使用领域。一是监管部门、行业协会、支付服务提供商应该加强支付信息数据保护的宣传教育,普及数据权利意识,帮助广大消费者形成良好的支付数据保护习惯、发生泄漏时应当及时运用法律手段维护自身利益。二是支付服务提供商在采集个人支付信息数据时,应以显著方式提示客户数据采集和应用的范围,以及客户删除数据的途径。三是消费者自身应当增强数据权利意识,重视个人支付信息数据的使用范围,注册用户时应当仔细阅读隐私条款,使用服务完毕时及时注销用户,防止自身信息泄露。
参考文献:
[1]盛婧婧.支付结算领域的个人信息安全保护 [J].时代金融,2018,(14).
[2]陈丽.移动支付领域中的个人金融信息保护研究[J].商业经济,2019,(1).
[3]杨渊.大数据背景下个人隐私保护和信息应用研究 [J].征信,2014,32(8).
[4]马永保.第三方支付行业消费者个人信息权保护探讨 [J].甘肃金融,2014,(4).
[5]谢迎春.发达国家第三方支付信息安全监管的主要做法及启示 [J].财经界(学术版),2017,(22).
[6]姬蕾蕾.个人信息保护立法路径比较研究 [J].图书馆建设,2017,(9).
[7]陈丽莉.基于威胁树的第三方支付信息安全风险评估 [J].信息安全与技术,2013,4(8).
[8]李二亮.第三方支付系统威胁树信息安全评估研究 [J].计算机应用研究,2014,31(4).
[9]李松涛,危怀安.第三方支付信息安全监管的多元化调查分析 [J].统计与决策,2018,34(4).
[10]贾楠.中国互联网金融风险度量、监管博弈与监管效率研究 [C].吉林大学,2017.
[11]危怀安,李松涛.第三方支付信息安全监管影响因素及决策分析 [J].统计与决策,2018,(8).