信息化觀察網(wǎng)

面對這個大數(shù)據(jù)時代，個人信息需要適度保護，卻不宜過度。當然，眼下的問題是保護嚴重缺失，我很擔心市場主體的肆意妄為引發(fā)民怨沸騰與監(jiān)管高壓，最終走向過度保護。

年初的支付寶賬單事件，令個人信息保護成為社會焦點，公眾對此的關(guān)注上升到一個前所未有的高度。

本月早些時候，先是網(wǎng)信辦針對上述事件約談了支付寶公司和芝麻信用的有關(guān)負責人，之后是工信部就侵犯用戶個人隱私的問題約談了百度、螞蟻金服與今日頭條，要求三家企業(yè)立即進行整改。

2017年以來，針對個人信息保護的監(jiān)管力度不斷加強，在此背景下，中國金融科技的數(shù)據(jù)紅利還有多久?

在新金融瑯琊榜看來，如果不是可以近乎肆無忌憚地獲取、使用和交易個人信息，中國金融科技很難在短短幾年間高歌猛進、傲視全球?？梢院敛豢鋸埖卣f，從業(yè)者實實在在地享受著監(jiān)管缺失之下的數(shù)據(jù)紅利。

面對這個大數(shù)據(jù)時代，個人信息需要適度保護，卻不宜過度。當然，眼下的問題是保護嚴重缺失，我很擔心市場主體的肆意妄為引發(fā)民怨沸騰與監(jiān)管高壓，最終走向過度保護。

但愿最終的結(jié)局可以如央行副行長陳雨露所言，“讓信息在安全、合規(guī)的前提下自由流動，充分釋放信息流動所產(chǎn)生的紅利。”

1.無隱私時代

你覺得你真的有隱私可言嗎?

在回答這個問題之前。不妨想一想，除了有關(guān)部門，騰訊和阿里等互聯(lián)網(wǎng)巨頭對你的了解，是不是到了毛骨悚然的地步?

從通訊、網(wǎng)購、旅行、外賣、網(wǎng)約車、到掃碼支付，這些年你在互聯(lián)網(wǎng)上留下了多少個人信息?直觀來說，你的微信數(shù)據(jù)占據(jù)了多少手機存儲空間?你在淘寶、京東上的購物記錄，你在滴滴上的打車記錄，又有多少條?

你有沒有遇到過：如果你在一家現(xiàn)金貸平臺進行了手機注冊，接下來幾天里你很可能收到其他多家現(xiàn)金貸平臺的騷擾短信?并且無論怎么發(fā)送“N”或“TD”都退訂不了，隔一陣子就會來騷擾你。

你有沒有遇到過：一些你早已卸載的社交APP或者生日提醒APP，突然有一天通過短信提醒你，又有好友給你發(fā)送私信或者送花，并且直接顯示這些好友的姓名?

根據(jù)南都個人信息保護研究中心發(fā)布的《2017個人信息保護年度報告》，互聯(lián)網(wǎng)平臺隱私政策透明度的分布是陡峭的金字塔型，即透明度高的互聯(lián)網(wǎng)平臺極少，透明度低的占比超過80%;在互聯(lián)網(wǎng)金融類平臺和購物類平臺中，低透明度的占比甚至超過90%。

這份報告還發(fā)現(xiàn)，有些重要條款在互聯(lián)網(wǎng)平臺中普遍缺失，這些條款內(nèi)容無一例外都指向企業(yè)責任，條款的缺失便減輕了企業(yè)責任，最終可能侵害用戶利益。同時，互聯(lián)網(wǎng)平臺的隱私政策普遍存在用戶權(quán)利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病。

在實際中，還會碰到“霸王條款”，默認勾選使用協(xié)議，如果取消勾選就無法使用相關(guān)APP。這些協(xié)議普遍不對等，平臺的權(quán)利遠遠多于和大于責任，可謂顯失公平。

以前陣子鬧得沸沸揚揚的《芝麻服務(wù)協(xié)議》為例，根據(jù)這份協(xié)議，用戶授權(quán)芝麻信用采集信息，同時默認同意第三方查詢非貸款類及其他非涉及商業(yè)秘密信息時，芝麻信用可以直接向第三方提供相關(guān)信息。

2.相關(guān)法律法規(guī)

金融是一個高度數(shù)據(jù)化的行業(yè)，在個人金融業(yè)務(wù)領(lǐng)域，需要大規(guī)模采集和使用個人信息，由此引出了個人信息保護。在我國，早前諸多法律法規(guī)均有涉及。

1995年5月制定、2003年12月修訂的《商業(yè)銀行法》在第三章“對存款人的保護”中規(guī)定：商業(yè)銀行辦理個人儲蓄存款業(yè)務(wù)，應(yīng)當遵循存款自愿、取款自由、存款有息、為存款人保密的原則。這是我國首次以法律的形式建立了金融機構(gòu)為存款人保密的法律原則。

2006年10月制定的《反洗錢法》要求，金融機構(gòu)應(yīng)當按照規(guī)定建立客戶身份資料和交易記錄保存制度，并對未按照規(guī)定保存客戶身份資料和交易記錄的或泄露有關(guān)信息的違法行為，規(guī)定了嚴格的懲處措施。

2013年3月15日起施行的《征信業(yè)管理條例》對信用信息進行采集、整理、保存、加工，并向信息使用者提供的活動進行了全面規(guī)范，并對違法收集、查詢、使用信用信息的行為規(guī)定了比較嚴厲的行政處罰。

除了上述法律法規(guī)，金融領(lǐng)域的個人信息保護，主要是由央行發(fā)布的各項部門規(guī)章，包括2005年8月施行的《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》、2006年11月制定的《金融機構(gòu)反洗錢規(guī)定》、2007年6月制定的《金融機構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》和2010年6月制定的《非金融機構(gòu)支付服務(wù)管理辦法》。

上述法規(guī)規(guī)定了個人信用信息的報送整理、查詢、異議處理、安全管理和行政處罰，具體規(guī)定了客戶身份資料和交易記錄保存的防護管理措施、技術(shù)措施和保存期限等具體問題。

值得一提的是，《金融機構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》，首次將從事匯兌業(yè)務(wù)、支付清算業(yè)務(wù)、基金銷售業(yè)務(wù)的機構(gòu)納入金融信息保護的主體范圍。

另外還有一些規(guī)范性文件，包括2011年1月的《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》、2012年3月的《關(guān)于金融機構(gòu)進一步做好客戶個人金融信息保護工作的通知》以及2012年12月的《非金融機構(gòu)支付服務(wù)管理辦法實施細則》，均由央行制定。

3.監(jiān)管滯后于現(xiàn)實

然而，到目前為止，還沒有一部專門針對個人信息保護的法律出臺，尤其在互聯(lián)網(wǎng)金融發(fā)展如火如荼的這幾年，個人信息保護問題日益突出，相關(guān)的法律法規(guī)并沒有實質(zhì)性突破。

上述監(jiān)管制度，效力最強的是《商業(yè)銀行法》和《反洗錢法》這兩部法律，但出臺時間都超過了10年，遠遠落后于時代。數(shù)量最多的是央行發(fā)布的部門規(guī)章，但只能算是行政性的業(yè)務(wù)說明，并不構(gòu)成法律解釋，

這使得監(jiān)管部門雖有規(guī)定，但在實際中很難嚴格執(zhí)行。目前個人征信牌照尚未下發(fā)，監(jiān)管部門對市場主體的一些越界行為缺乏實質(zhì)性約束。

舉例來說，《征信業(yè)管理條例》明令禁止征信機構(gòu)采集個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息。然而打開支付寶-芝麻信用，你會發(fā)現(xiàn)芝麻信用一直誘導(dǎo)用戶上傳房產(chǎn)信息、車輛信息、公積金和信用卡賬單等資料。

還有一個至關(guān)重要的問題是，涉及個人信息違法違規(guī)，監(jiān)管制度對金融機構(gòu)的處罰相對嚴厲，但對第三方支付等非金融機構(gòu)的處罰明顯偏于寬松，缺乏懲戒力。

《商業(yè)銀行法》對違規(guī)對外提供金融信息的行為，比如非法查詢行為，規(guī)定責令改正，有違法所得的，沒收違法所得，違法所得五萬元以上的，并處違法所得一倍以上五倍以下罰款;沒有違法所得或者違法所得不足五萬元的，處五萬元以上五十萬元以下罰款。

《非金融機構(gòu)支付服務(wù)管理辦法》對違規(guī)保存使用金融信息的行為，如：未按規(guī)定保管相關(guān)資料或保守客戶商業(yè)秘密，責令其限期改正，并給予警告或處1萬元以上3萬元以下罰款。

與給予金融機構(gòu)的行政處罰相比，針對非金融機構(gòu)即支付機構(gòu)的行政處罰，種類單一、額度較低，因此違規(guī)成本極低。這還導(dǎo)致在執(zhí)法實踐中，對于相同違法違規(guī)行為，金融機構(gòu)和非金融機構(gòu)之間無法做到一視同仁。

這種差別對待，很可能向第三方支付及新型互聯(lián)網(wǎng)金融機構(gòu)釋放了一種寬松逾期，導(dǎo)致它們更加漠視對個人信息保護。

在新金融快速前進的當下，個人信息侵權(quán)違法犯罪活動采用的技術(shù)手段日益復(fù)雜，因此一方面迫切需要將新金融主體納入監(jiān)管范圍，另一方面還需要充分利用監(jiān)管科技，及時填補真空與漏洞。

4.個人信息保護新時代

2017年04月，在由央行征信管理局、世界銀行集團國際金融公司、APEC工商理事會共同主辦“個人信息保護與征信管理”國際研討會上，中國互聯(lián)網(wǎng)金融協(xié)會會長李東榮指出，從中國情況看，目前還沒有專門的個人信息保護法，應(yīng)考慮充分吸收借鑒國際經(jīng)驗和最新探索成果，尊重中國在發(fā)展階段、立法程序等方面的現(xiàn)實國情，加快推動個人信息保護專門立法。

李東榮建議，按照“頂層設(shè)計”和“急用先行”相結(jié)合、“充分利用現(xiàn)行法律”和“及時彌補短板空白”相結(jié)合的方式，加強基本法律和配套規(guī)則的協(xié)同效應(yīng)，盡快將個人信息保護全面納入法制框架。

他還提出，要嚴格政府監(jiān)管，從保障信息主體權(quán)益和強調(diào)機構(gòu)責任出發(fā)，以個人信息采集和處理機構(gòu)為主要監(jiān)管對象，統(tǒng)一監(jiān)管要求和處罰標準，從信息安全、隱私保護等方面實施嚴格監(jiān)管，對于機構(gòu)違法違規(guī)行為進行重罰。

實際上，個人信息保護，絕不僅僅是金融監(jiān)管部門的職責。從最高法、網(wǎng)信辦到工信部等部門，都在加快動作。

2017年5月，最高人民法院和最高人民檢察院發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》;6月1日，《網(wǎng)絡(luò)安全法》正式實施。7月，國家網(wǎng)信辦等四部委啟動個人信息保護專項行動。

在近期約談百度、螞蟻金服和今日頭條的同時，據(jù)工信部披露，其已組織技術(shù)部門對相關(guān)手機應(yīng)用軟件是否存在侵犯用戶個人隱私行為進行持續(xù)監(jiān)測，并將加強對互聯(lián)網(wǎng)服務(wù)信息收集使用規(guī)則告知、賬號注銷等環(huán)節(jié)的監(jiān)督檢查。一經(jīng)發(fā)現(xiàn)違法違規(guī)行為，將嚴肅查處并向社會曝光。

與此同時，工信部要求各互聯(lián)網(wǎng)企業(yè)嚴格遵守相關(guān)法律法規(guī)，遵循合法、正當、必要的原則收集使用個人信息，不得收集服務(wù)所必需以外的用戶個人信息，不得將信息用于提供服務(wù)之外的目的，不得非法向他人出售或提供個人信息，同時進一步優(yōu)化服務(wù)協(xié)議、用戶隱私政策和手機權(quán)限調(diào)用說明，維護用戶合法權(quán)益。

2018年1月4日，央行正式公示“信聯(lián)“相關(guān)情況，這有望成為中國個人征信領(lǐng)域的里程碑。

信聯(lián)是由央行牽頭組建的國家級網(wǎng)絡(luò)金融個人信用基礎(chǔ)數(shù)據(jù)庫，主要目的是把央行征信中心未能覆蓋到的個人客戶金融信用數(shù)據(jù)納入，實現(xiàn)行業(yè)的信息共享，以有效降低風險成本。