原标题:原创 | 法学教授姚佳谈金融数据治理:核心是充分授权
来源:新金融城
“数据治理是非常复杂的问题,上到国家的数据安全,中到行业的风险管控,微观到个体的权益保护。最核心的问题是‘如何保证获得用户的充分授权’。”5月30日,在新金融联盟主办的“数据合规应用与金融消费者权益保护”研讨会上,中国社会科学院法学研究所教授姚佳表示。
数据如何利用和共享?姚佳指出,近期公开征求意见的《个人信息保护法草案(二次审议稿)》第1条明确删除了草案一审稿第1条原来规定的“保障个人信息依法有序自由流动”这一内容,“可见个人信息保护立法的宗旨是如何保护个人信息,如何对个人信息进行流动和利用等问题并非这部法律关注的重点,未来可能会进一步探讨。”
会上,工商银行首席技术官吕仲涛、招商银行首席信息官江朝阳、百行征信副总裁刘鹏鹏发表了主旨演讲。人民银行条法司副司长谢丹、人民银行消保局副局长马绍刚、中国互金协会秘书长陆书春做了精彩点评。(详见→研讨 | 数据融合共享与消费者权益保护如何兼顾?“匿名技术”或为良方)
以下为姚佳教授发言全文:
数据合规应用与金融消费者权益保护
文 | 姚佳
中国社会科学院法学研究所教授姚佳
2020年以来,《数据安全法》和《个人信息保护法》都在紧锣密鼓制定当中。对于草案的意见,无论是金融机构还是互联网头部企业,都有一些比较集中的问题。比如对个人信息的处理规则以及合规要求,数据的利用和分享规则的建立,如何保护包括金融消费者在内的个人等。
今天我分享几个方面:
数据合规应用与金融消费者权益保护的讨论背景。
现行的个人信息保护法律体系。
金融行业数据合规的应用实践。
为什么个人信息保护很重要?
今天讨论的问题的背景非常宏大。首先,金融业发展到今天,在传统行业快速发展并且在近年来互联网科技赋能等结合的背景下才会产生这个问题。
其次,科技相对来说是独立的体系,发展过程中也会有数据保护与数据分享、利用等价值判断与价值选择问题。
最重要的是,在金融消费者保护方面,国内外监管机构等都将金融消费者保护列为一项核心工作,国内监管机构近年来也不断制定规范性文件、指导意见等,试图从金融消费者保护、信息透明度、金融消费者教育等各个方面更好地保护金融消费者的个人信息,并希望形成较为良好的行业生态。但也有资料显示,近年来有百余种银行APP存在过度收集、超限收集或者概括授权等侵害个人信息权益等情况;同时也存在金融机构员工擅自泄露客户信息给客户造成损害等行为,给金融机构的信用与信誉等造成比较负面的影响。
在金融业发展、科技发展以及金融消费者保护这三者交叉的部分,就是今天所要集中讨论的问题。
海量数据的出现,使得数据可运用于多个行业领域,对于金融业也不例外,实践中通过数据、算法的运用,可进行精准营销、数据画像、信用评价、风控等,对数据的运用实际上可以从不同维度去认识。
每一个现实生活中的个体,在其个人信息经由信息处理程序之后,可能会形成不同的“虚拟”标签画像,每一个标签会有不同维度或不同运用方式。有的标签可能会识别到个人,有些标签可能不会识别到个人。在对个人信息去标识化和匿名化的过程中,可能会运用各种技术,比如隐私计算等。
国际范围内,20国集团、世界银行、经合组织(OECD)、金融稳定委员会(FSB)、金融包容联盟(AFI)等都强调和关注金融消费者信息保护。在国内,无论是“一行两会”设立的消保机构,还是其他消保机构,以及在法律法规政策层面上制定消费者权益保护法和出台系列规范性文件,都表明我们在金融消费者保护上作出较多努力。
个人信息保护究竟保护的是什么?
从国家层面来看,我国对个人信息保护是高度重视的。近年来,较多法律、法规以及规范性文件在这方面都作出较多努力,《民法典》也在人格权编针对个人信息保护进行专门规定。
从世界范围内来看,个人信息保护立法有其自己独特的发展脉络,确实没有其他国家或地区在《民法典》或传统私法领域中出现。《中华人民共和国民法典》对个人信息保护的专门规定,在世界范围内首开在私法领域对个人信息保护的先河。
《个人信息保护法草案》规定了个人信息处理规则、个人信息跨境提供规则、个人在个人信息处理活动中的权利以及个人信息处理者的义务等内容。那么,什么是个人信息?《个人信息保护法草案》第4条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”在《个人信息保护法(草案)》之中,法定的两造主体系“个人—个人信息处理者”。央行2020年初出台的《个人金融信息保护技术规范》中规定的主体是信息控制者,事实上在《民法典》之后,在法律层面事实上已经不存在信息控制者这一法定概念。这一点可能需要在个人信息保护法正式通过之后再对系列规范性文件进行修改完善。
世界范围内的均以“可识别性”为标准,作为判断个人信息权益是否受到侵害的关键要素。个人信息处理者针对个人信息的后续处理,一旦可识别出特定主体或者个人,就可以认定侵害了个人信息权益。信息处理所要保证的就是不得识别个体,“可识别性”是一条法律红线,不可逾越。
在《个人信息保护法(草案)》中,敏感个人信息中包括金融账户。法律对敏感个人信息的保护是非常强的。但金融账户以及通常所说的金融信息,不宜作宽泛处理,否则不符合金融业实践,而在一定程度上应作限缩解释。处理敏感个人信息应当取得个人的单独同意,法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
个人在个人信息处理活动中享有哪些权利?《个人信息保护法(草案)》规定个人信息权利体系包含知情权、决定权、查阅权、复制权、异议更正权、删除权。立法构建了比较强信息自决理念。在《民法典》和《个人信息保护法》之中并没有规定数据可携带权和被遗忘权,对这两个权利的争议比较大。对于金融机构来说,在《民法典》以及未来通过《个人信息保护法》之后,从央行的相关指导意见到其他的一些法律法规、规范性文件,都需要与这两部法律以及相关法律相协调。同时,金融业是比较特殊的领域,不仅有行业方面的规定,同时也还包括很多技术规范。未来这些规范都都可能需要进行相应调整。
金融数据如何合规应用?
在这种情况之下,金融数据的合规应用到底会是怎样的?对金融机构来说,首先要了解一些基础性、背景性的内容,然后进行数据治理。
数据治理有一些基本原则,上到国家的数据安全,中到行业的风险管控,微观到个体的权益保护,实际上是非常复杂的问题。在这种情况下,根据整个信息或者数据的全周期,大概会涉及这些方面。数据治理要遵循合法合理、确保安全、目的明确、告知同意、最少够用等原则,同时在信息处理过程中要遵循公开透明、分级管理、权责一致、流程可溯以及主体参与等原则。
最核心的问题是“如何保证用户的充分授权”。客观来讲,互联网头部企业还是比较重视这个问题的。为了合规,他们的隐私协议也在不断调整以适应合规需求。但银行等金融机构目前比较多的是概括授权方式获得用户信息使用的授权,至少从现在目前来看,基本上不太符合《个人信息保护法》中的规定,需要进行比较大规模的调整。
另外一个问题是数据如何利用、共享。如何实现数据共享?数据交易能否进行?从目前来看,确实还是存在很多禁区和限制。《个人信息保护法草案(二次审议稿)》第1条明确删除了草案一审稿第1条原来规定的“保障个人信息依法有序自由流动”。由此可见,《个人信息保护法》的立法目标宗旨是“如何保护个人信息”,而在这部法律中并不以关注个人信息流动为重点。数据如何利用等未来可能会继续讨论,至少从目前来看还是有很多障碍。
金融机构的个人信息合规存储主要包括四个要点:去标识化、最小化、本地化需求、不得再存储。关于个人信息删除权二草明确规定了:如果信息处理目的已经实现或为实现处理目的不再必要,个人信息保护者应主动删除个人信息,个人也有权请求删除。可见,在未来个人信息保护立法的适用中,金融数据合规应用仍任重道远。
究竟什么是个人信息的匿名化处理?已有科学实验表明,绝对的匿名化在技术上事实上无法实现。理论上是很难实现完全意义上的匿名化,完全不可复制和不可复原识别,实践中的匿名化处理仍可能存在识别出个人的风险。因此,个人信息的匿名化问题仍有讨论空间。互联网企业非常关心的技术应用,比如隐私计算、匿名身份认证技术等等,这些都是以后在技术层面可以进一步应用和开发的重点。
总之,未来金融业的发展方向就是既要充分保护金融消费者的个人信息,又兼顾促进金融业的长远发展。法律不是制造障碍,合规也不是限制,而是为了更好地在利益平衡中推动金融业更加规范、长远地发展。重视当下,前瞻未来,是为金融业长久发展之道。
责任编辑:范迪
APP专享直播
热门推荐
收起
24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
