盛学军 刘志伟
编者按:金融业大数据运用与个人信息之间联系紧密,唇齿相依。在金融业大数据运用中,金融(科技)企业面临个人信息属性辨识困难、收集边界难以把握、挖掘开发易误解误用、外部人攻击、内部人破坏以及由此引发的个人金融信息权益侵害等多重风险。为此,本文提出金融(科技)企业应当确认个人金融信息的敏感属性,优化自身的隐私政策和外部规则,加强对平台接入(嵌入)第三方产品或服务的管理,提升公司对收集、存储和处理数据的管理水平。
随着大数据技术在金融领域的运用,个人金融信息也对个人金融信息主体的人身安全、财产权益,乃至行业发展和金融安全造成了一定的影响。本文在全面梳理和准确把握当前以及未来一段时期个人金融信息保护法律规范的整体框架、规制思路和基本内容的基础上,分析了大数据运用中的个人金融信息保护问题,考察了个人金融信息保护法制的现实状况,并提出了大数据时代个人金融信息保护的注意事项。
大数据运用中个人金融信息保护问题
大数据技术在金融领域的运用,在缓解信息不对称和增强风险管理能力方面效果明显,也促进了金融科技、监管科技行业的快速发展。但与此同时,金融业大数据技术运用中个人金融信息的收集、保存、处理、利用和共享等行为也对个人金融信息主体的人身安全、财产权益,乃至行业发展和金融安全造成了不良影响。
个人金融信息潜在的资产价值引发了信息收集、保存、处理、利用和共享行为秩序的混乱。在前大数据时代,个人金融信息价值一般只限于金融机构内部利用、消极防御外部人攻击等方面,而大数据时代,金融机构侧重于个人金融信息资源的深度挖掘与开发利用。在办理业务的过程中,金融机构尽可能多地采集客户个人金融信息,存在强制授权、过度授权、超范围收集个人金融信息等问题。存在采集个人金融信息后,未经客户明示同意就进行深度挖掘、再次利用,甚至还将个人金融信息进行共享转让,如用于精准营销、个性推荐、有偿共享等问题。此外,个人金融信息开放、共享、使用过程中的安全保护问题也面临着比以往更严峻的挑战,如数据黑产、大数据杀熟、网络诈骗等。
大数据运用中个人金融信息的新特点增加了保护难度。较之于传统的外部人攻击、内部人破坏,大数据技术本身的信息科技风险也可能是个人金融信息侵害的重要风险来源。除了大数据自身的信息科技风险外,大数据时代个人金融信息有人格性与财产性、个体性与公共性、消极性与积极性等多重价值属性的融合与难以有效区分的特征,决定了金融机构即使正常合理地收集、开发、利用个人金融信息,也难以有效处理“利用”与“防护”的边界关系,或许稍不注意就可能侵害客户的个人金融信息权益,因而实践中最麻烦的就是个人金融信息模糊导致的误解誤用问题。
个人金融信息的个体性关注过度掩盖了因其社会性而导致个人自决原则的滥用。个人信息本身之所以能够成为个人信息,就在于其具有身份、个性等识别功能。大数据技术所具有的信息汇集融合功能,可以让公共管理部门对信息流、资金流进行有效追踪,运用到反洗钱、反腐败、反偷税漏税以及打击金融传销、金融诈骗等违法犯罪活动中;也可让金融机构更好地利用个人金融信息开发设计出个性化的金融产品或服务,为客户提供更加妥帖、适当、有效的金融产品或服务。当然,个人金融信息的社会性,还决定了任何单位和个人不得仅通过个人信息主体自治性授权方式获得个人金融信息,用于非法开展个人征信业务。
个人金融信息保护法制的现实状况
除正在征求意见的《个人金融信息(数据)保护试行办法》外,金融业尚未形成完整统一的个人金融信息保护规范,但这并不代表《中国人民银行法》《商业银行法》《证券法》《保险法》等法律法规中不存在个人金融信息保护条款。为进一步适应大数据时代个人金融信息保护的要求,《关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)和《关于金融机构进一步做好客户个人金融信息保护工作的通知》(银发〔2012〕80号)以及专章设置“个人金融信息保护”的《金融消费者权益保护实施办法》(银发〔2016〕314号 )中,均明确了个人金融信息的定义及其收集、保存、使用、对外提供的业务规则,也对企业内部控制、信息安全技术防范措施、委托处理、信息泄露报告及责任承担等内容进行了规定。
当然,为保证个人金融信息保护工作开展的合法合规,金融机构除需关注金融业中个人金融信息保护有关的规范外,也要关注具有普遍适用性的个人信息保护法律规范、国家标准等。比如,《关于印发银行业金融机构数据治理指引的通知》(银保监发〔2018〕22号)第24条有关“银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准”的规定,显然旨在将《信息安全技术个人信息安全规范》(GB/T 35273-2017)等国家标准纳入到金融机构数据治理的合规体系之中。事实上,《个人金融信息(数据)保护试行办法(征求意见稿)》第25条也做出了类似规定。
进一步讲,对于金融科技企业而言,尤其要关注《网络安全法》第41条和第42条,《电子商务法》第18条,以及正在征求意见的《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《信息安全技术 数据出境安全评估指南(征求意见稿)》《信息安全技术 应用(App)收集个人信息基本规范(征求意见稿)》等个人信息保护规范和标准。
整体而言,《网络安全法》确立了个人信息保护的基本框架——业务流程(收集、存储、使用、传输)和运营管理(风险管理、内部控制),《数据安全管理办法(征求意见稿)》《信息安全技术个人信息安全规范(征求意见稿)》《信息安全技术 数据出境安全评估指南(征求意见稿)》等是对《网络安全法》基本框架下两项核心内容的细化、发展和延伸。而《个人金融信息(数据)保护试行办法(征求意见稿)》则是在具有普遍适用性的个人信息保护规范的基础上,结合现行金融法律规范中有关个人金融信息保护的规定而制定的专门性个人金融信息保护规范——以保护个人金融信息为核心目标,按个人信息全生命周期,对个人金融信息的收集、使用、存储、展示、对外提供、跨境流动等不同应用场景进行了全面细致的规定。
大数据时代个人金融信息保护的注意事项
为更好的实现大数据技术在金融业中的运用,促进金融数据的开放、共享和流动,金融企业尤其是金融科技企业既要做好金融数据的挖掘、开发和利用工作,也要保证个人金融信息收集、使用、存储、展示、对外提供、跨境流动行为的合法合规。
明白个人金融信息属于个人敏感信息,其收集、使用应遵循合法、公开透明、最小必要原则、选择同意、目的限制、使用限制、质量、安全等原则。尽管《个人金融信息(数据)保护试行办法(征求意见稿)》未明确规定个人金融信息属于个人敏感信息,但《信息安全技术 个人信息安全规范》附录部分明确了“个人财产信息”属于个人敏感信息,其包括银行账号、存款信息信贷记录、征信信息、流水记录等,这与《个人金融信息(数据)保护试行办法(征求意见稿)》第3条对个人金融信息的界定具有高度重合性。因而,个人金融信息应属于个人敏感信息。以此为基础,《数据安全管理办法(征求意见稿)》第22条关于实现个人用户控制力的关键在于知情同意基础上的高透明度使用规则的规定,决定了对以个人金融信息为代表的个人敏感信息应采取主动点击同意的明示授权规则,对一般个人信息则可采用概括授权同意规则,但概括授权需限定于特定的场景空间和法律条件。当然,《个人金融信息(数据)保护试行办法(征求意见稿)》第12条也明确,个人金融信息的收集不得以默认授权、功能捆绑等误导、强迫个人信息主体的方式进行。
“隐私保护政策”涉及“隐私保护政策”属性和内容两个层面的内容,其优化应参考《信息安全技术 个人信息安全规范》附录D“隐私政策模板”。就前者而言,目前国内有关隐私保护政策的属性究竟是合同还是规则公示存在争议,并且实践中平台也经常以隐私保护政策构成与个人信息主体之间的合同为由,仅仅依据隐私保护政策来确立个人信息的收集、使用。值得注意的是,《信息安全技术 个人信息安全规范》明确了隐私保护政策不被认定为平台与个人信息主体间签订的合同,也不能按照合同的方式来履行。当然,《个人金融信息(数据)保护试行办法(征求意见稿)》第18条也对“格式条款”进行了明确,要做到位置醒目、方式显著、语言通俗、提请注意和特别说明。
就后者而言,为满足《网络安全法》第41条和第42条个人信息收集、使用“明示+同意”的原则性要求,实践中存在将所有服务和业务功能捆绑,即通过隐私保护政策强制客户进行一次性“概括授权”,同意各项业务功能所需要收集的各种信息,否则将无法使用。对此,《信息安全技术 个人信息安全规范》要求产品和服务的提供者应区分基本业务功能和扩展业务功能,且基本业务功能以个人信息主体的需求为必要,不得将改善服务质量、提升用户体验、研发新产品单独作为基本业务功能,尤其强调了个人信息收集、使用的必要性。对此,《个人金融信息(数据)保护试行办法(征求意见稿)》第12条也做出了相應的规定。
加强对平台接入/嵌入第三方产品或服务的管理,避免承担第三方违法违规引发的责任。《个人金融信息(数据)保护试行办法(征求意见稿)》第21条明确规定了个人金融信息第三方“委托处理”应遵循的规则,但其未对《信息安全技术 个人信息安全规范》规定的“共同个人信息控制”以及修订意见稿新增的“接入/嵌入第三方产品或服务管理”做明确规定,但这并不代表金融机构不需要做好“共同个人信息控制”“接入/嵌入第三方产品或服务管理”两类应用场景的准备工作。
当然,对于金融科技企业控制的信息平台而言,尤其要关注实践中普遍存在的第三方产品或服务接入/嵌入这一应用场景。在此场景中,平台商和第三方之间的义务与责任分担模糊不清。在难以追究第三方产品或服务提供商责任的情形下,个人金融信息主体经常直接向平台商追诉。更重要的是,《关键信息基础设施安全保护条例(征求意见稿)》已明确将金融行业领域单位纳入关键信息基础设施的范围,大型金融科技企业控制的信息平台极有可能被认定为关键信息基础设施,并被要求承担安全保障义务。因而,平台商应依据《信息安全技术 个人信息安全规范》的规定,建立第三方产品或服务接入管理机制、工作流程和安全评估机制;应与第三方产品或服务提供者签订合同,明确双方应采取的安全措施和责任承担;要求第三方依法依规收集、使用个人金融信息,为个人金融信息主体提供请求、申诉机制,并对第三方产品或服务进行督促和监督。
加强公司内部已收集、存储、处理数据的管理,保证个人金融信息工作开展的合法合规。一是个人金融信息的存储规则。《个人金融信息(数据)保护试行办法(征求意见稿)》第16条明确规定保存的时间最小化,超过最短时间后要删除或匿名化处理,但未如《信息安全技术 个人信息安全规范》那样,对“去标识化处理”进行规定。当然,《个人金融信息(数据)保护试行办法(征求意见稿)》第25条有关个人金融信息安全保障的“技术措施”规定,决定了金融机构需要对其收集的个人金融信息进行去标识化处理,并采取加密等安全措施,以便让个人金融信息具备不可链接性和不可观察性。同时,为保证个人金融信息安全,金融科技企业应尽可能以一种分散、分区域的方式来储存和处理。
二是个人金融信息安全事件报告规则。《个人金融信息(数据)保护试行办法(征求意见稿)》第29条明确,当发生信息泄露时,金融机构应向有关主管部门报告,但未规定告知个人金融信息主体。值得注意的是,按照《网络安全法》第42条规定,金融机构应该按照规定及时告知用户,并且因个人金融信息属于个人敏感信息,所以应做到向个人金融信息主体逐一告知。当然,《个人金融信息(数据)保护试行办法(征求意见稿)》还缺乏个人金融信息安全事件告知、上报的具体标准,这会增加实践中个人金融信息安全事件处理的难度。实践中,可参考《信息安全技术 个人信息安全规范》的规定,从信息泄露所涉及个人金融信息的数量、影响程度和范围等角度进行考量。
三是《个人金融信息(数据)保护试行办法(征求意见稿)》第26条、第27条和第28条要求金融机构做好个人金融信息安全保障组织措施,个人金融信息系统访问、处理权限控制,对员工进行教育、培训、监督等工作。对此,可考虑参照国际公认的加强组织监管良好实践的“三道防线”模式,做好个人金融信息安全保障工作。通过建立适当的风险治理架构、加强对管理层进行问责的机制等,来确定任务和分配资源、职责,并从运营管理、合规管理、内部审计三个维度实施,将对个人金融信息保护的支持集成到组织的整体管理和治理框架中,以符合《信息安全技术 个人信息安全规范》《个人金融信息(数据)保护试行办法(征求意见稿)》对个人金融信息进行有效保护的要求。
(作者单位:西南政法大学)