當前位置首頁 > 新聞 > 市場環境 >

守護數據安全個人信息保護“交規”日臻完善

中國產業經濟信息網時間：2020-12-19

　　今年以來，監管層多次針對個人信息保護和數據安全發聲。日前，中國銀保監會主席郭樹清在2020年新加坡金融科技節上演講時，再次強調金融數據安全問題。央行科技司司長李偉也在6月份舉行的第十二屆陸家嘴論壇上表示，金融科技的創新首先要高度重視個人隱私的保護，也包括個人金融信息的保護，把數據安全作為發展金融科技的一個底線和紅線。

　　事實上，中國已于今年在個人信息保護的頂層設計方面邁出了一大步。今年5月全國人大表決通過的《民法典》中明確了個人信息受法律保護，市場期待已久的《中華人民共和國數據安全法(草案)》、《個人信息保護法(草案)》也先后于7月、10月進入征求意見階段。郭樹清在前述講話中表示，監管部門正在研究制定金融數據安全保護條例，構建更加有效的保護機制，防止數據泄露和濫用。

　　“一些科技公司利用市場優勢，過度采集、使用企業和個人數據，甚至盜賣數據。這些行為沒有得到用戶充分授權，嚴重侵犯企業利益和個人隱私。”郭樹清指出。可以與之相互印證的是，亦有業內人士認為，個人信息保護相關“交規”在今年密集出臺，日臻完善，與互聯網金融整治進入收官階段的整體步調一致。

　　頂層設計密集出臺

　　進入2020年之后，涉及個人信息保護各方面的工作齊頭并進，各項法律法規及地方規范性文件密集出臺，App違法違規收集使用個人信息治理工作也即將迎來標準落地。個人信息保護制度的建設在今年加速，數據隱私保護制度漏洞正在彌補。

　　證券時報·券商中國記者通過梳理2020年以來涉及個人信息保護與數據安全領域的政策發現，在法律、部門規章、規范性文件和行業標準規則層面，有近18例文件相繼出臺。從文件發布主體來看，全國人大、國家互聯網信息辦公室、工業和信息化部、公安部、國家安全部、中國人民銀行和中國銀保監會均有參與。

　　在立法層面，今年5月28日，十三屆全國人大三次會議表決通過《民法典》，自2021年1月1日起施行。《民法典》中明確了自然人的個人信息受法律保護，同時也界定個人信息的定義以及處理的原則和條件等條例。10月份，《個人信息保護法(草案)》也首度公開，對個人信息保護的責任落實以及健全個人信息處理規則進行明確。目前，《中華人民共和國數據安全法(草案)》和《個人信息保護法(草案)》均在征求意見階段。

　　地方政府層面也有推進相關政策落地，例如，在擁有騰訊、華為等一批本土數據企業的深圳，就于7月15日出臺了《深圳經濟特區數據條例(征求意見稿)》，并首次提出“數據權”這一概念。目前，國內對數據權存在立法空白，該文件指出，數據權是一種與傳統民法中物權、知識產權等權利存在不同的新型權利，其具有財產權、人格權和國家主權屬性。

　　另一方面，中央網信辦、工業和信息化部、公安部、國家市場監管總局四部門于今年7月啟動了App違法違規收集使用個人信息治理工作，并于12月1日印發了《常見類型移動互聯網應用程序(App)必要個人信息范圍(征求意見稿)》，對38類常見類型App必要個人信息范圍作出明確規定，極大限制了App私自收集用戶大量信息的行為。

　　值得一提的是，銀保監會7月12日出臺的《商業銀行互聯網貸款管理暫行辦法》對風險數據進行了定義，同時提到商業銀行應當建立風險數據安全管理的策略與標準，保障借款人風險數據在采集、傳輸、存儲、處理和銷毀過程中的安全，防范數據泄露、丟失或被篡改的風險。

　　當談到如何看待立法監管逐漸落地時，一位不愿具名的從業人士向證券時報·券商中國記者表示，這是一個系統性工程，對數字經濟的“一刀切”肯定也不是監管希望看到的，所以監管也需要在實踐中慢慢找到數據帶來的商業價值和保護公民權益之間的一個平衡點。

　　修高速也要訂“交規”

　　正如郭樹清所言，中國金融科技應用整體上在法律規范和風險監管等方面一直是“摸著石頭過河”。而現在，“摸著石頭過河”的金融科技到了走向規范化的節點。

　　“今年監管層面密集出臺了一些個人信息保護方面的政策，這其實與國內整個Fintech行業，或者說是互聯網金融走向規范的步調是一致的。”日本第三方支付機構Netstars的CTO陳斌告訴記者。

　　2014年以來，以P2P網貸機構和互聯網消費金融兩類模式為首的互聯網金融迅速發展起來。據銀保監會統計，高峰時期有5000多家P2P網貸機構運營，年交易規模約3萬億元。郭樹清還指出，一些互聯網金融機構通過各類消費場景，過度營銷貸款或類信用卡透支等金融產品，誘導過度消費，有的機構甚至給缺乏還款能力的學生過度放貸。

　　但在銀保監會宣布“在運營P2P網貸機構數量歸零”，以及螞蟻集團上市踩下“急剎車”后，業內已然意識到，互聯網金融行業將徹底告別野蠻生長時期，而在這一行業走向規范的同時，其所依賴的數據信息也不出意外地迎來監管的熱切關注。

　　“互聯網金融興起的基礎正是個人在互聯網上留下的大量信息。”陳斌認為，“因為互聯網公司掌握大量個人信息，能夠以此判斷用戶的借貸能力和償還能力，這是近年來互聯網金融發展的核心基礎。”

　　據他介紹，在互聯網金融興起以前，國內引進美國FICO的評分機制，也就是央行的個人征信中心對借貸人做定性評估，但缺乏定量評估導致銀行只知客戶資質“好”與“差”，卻不知“有多好”或“有多差”。爾后，數字經濟浪潮拍岸而來，央行征信系統立顯“捉襟見肘”，加之國內相關法律缺失，大量互聯網公司開始以大數據分析之名行征信業務之實。“但這也是市場需求驅動下不可避免的結果。”一位業內人士表示。

　　這一情況正在改善。今年1月，央行征信系統上線二代個人征信報告，對個人信息、信貸信息、夫妻共同借貸等進行了相應細化。2018年成立的百行征信覆蓋了消費金融領域等信貸數據，與央行提供的征信報告錯位。此外，央行還在近期受理了第二張個人征信牌照的申請。

　　“對互聯網金融行業來說，個人征信體系是基礎設施，可類比高速公路，個人信息保護制度的建設則可類比交通規則。”全聯并購公會信用管理專業委員常務副主任劉新海表示，只有基礎設施和規則都完備了，數字經濟的駕駛才能兼得規范與速度。

　　此外，在數字經濟時代，個人支付所需要的身份識別信息比如指紋、面部等生物認證信息被大量收集，一些集團、企業在數據使用上超出個人授權進行開發，來進行獲客營銷、資源互換等操作，而此類信息一旦泄露，就極易危害到用戶的人身及財產安全，這些情況也已進入監管視野。央行科技司司長李偉就曾表示，金融科技的創新首先要高度重視個人隱私的保護，也包括個人金融信息的保護，把數據安全作為發展金融科技的一個底線和紅線。

　　與國際市場聯動

　　隨著數字經濟在全球范圍內的蓬勃發展，許多國家及地區近兩年來均陸續出臺了數據保護及安全領域的相關規則條例，諸如歐盟通用數據保護條例(GDPR)、加州消費者隱私法(CCPA)、新加坡個人信息保密條款(PDPA)和日本個人信息保護法(PIPA)等，不一而足。

　　這些政策的影響范疇巨大，跨國企業不得不將其納入合規考量。有研究數據安全領域的律師表示，在《數據安全法(草案)》發布之前，中國尚沒有一部明確的法律可以實現域外管轄，但在這方面歐美已經走在了前面，“我國如果沒有相關立法，國內的企業在面對境外執法機構的一些要求和處罰時就會比較弱勢”。

　　與此同時，網絡攻擊事件在疫情期間激增，進一步提高了國際市場對信息安全的重視。例如，2020年4月，世界衛生組織在其官網稱，該組織發現，疫情期間針對其工作人員的網絡攻擊和針對廣大公眾的電子郵件詐騙數量急劇增加，是以往的5倍。

　　一家支付機構國際業務部人士告訴記者，由于現在全球對個人信息安全保護的關注程度越來越大，公司業務層面也特別重視個人信息保護以及數據安全的操作規范，比如尋求國際認定的標準以降低業務風險，而與國際客戶進行業務合作的時候，也要進行認證互關。

　　“現在國際有公認的這種標準制定的組織，而目前的做法也是，要求頭部企業對合作伙伴有強制性要求，即符合這個認證，目前支付行業數據安全標準主要是公認PCI，信息安全方面則是ISO。”上述業內人士表示，在支付領域，信息安全應當排在首要位置，在當下數據作為生產要素的情況下，為了爭取授權，對客戶某些個人信息進行收集是必要的，而防范風險的關鍵在于如何對這些信息數據進行安全有效的管理。

　　隨著國內個人信息保護逐步完善，甚至向歐美的監管要求看齊，陳斌認為，這對持牌金融機構的影響不那么大，反而可以說是利好，這是由于持牌金融機構過去對數據的運用均比較規范，相對而言，這意味著其它競爭對手的“手腳”將被收束到一定的范圍內。

　　轉自：證券時報

返回產經網首頁 >>