金融業(yè)大數(shù)據(jù)運(yùn)用中的個(gè)人信息保護(hù)

盛學(xué)軍 劉志偉

編者按：金融業(yè)大數(shù)據(jù)運(yùn)用與個(gè)人信息之間聯(lián)系緊密，唇齒相依。在金融業(yè)大數(shù)據(jù)運(yùn)用中，金融（科技）企業(yè)面臨個(gè)人信息屬性辨識困難、收集邊界難以把握、挖掘開發(fā)易誤解誤用、外部人攻擊、內(nèi)部人破壞以及由此引發(fā)的個(gè)人金融信息權(quán)益侵害等多重風(fēng)險(xiǎn)。為此，本文提出金融（科技）企業(yè)應(yīng)當(dāng)確認(rèn)個(gè)人金融信息的敏感屬性，優(yōu)化自身的隱私政策和外部規(guī)則，加強(qiáng)對平臺接入（嵌入）第三方產(chǎn)品或服務(wù)的管理，提升公司對收集、存儲和處理數(shù)據(jù)的管理水平。

隨著大數(shù)據(jù)技術(shù)在金融領(lǐng)域的運(yùn)用，個(gè)人金融信息也對個(gè)人金融信息主體的人身安全、財(cái)產(chǎn)權(quán)益，乃至行業(yè)發(fā)展和金融安全造成了一定的影響。本文在全面梳理和準(zhǔn)確把握當(dāng)前以及未來一段時(shí)期個(gè)人金融信息保護(hù)法律規(guī)范的整體框架、規(guī)制思路和基本內(nèi)容的基礎(chǔ)上，分析了大數(shù)據(jù)運(yùn)用中的個(gè)人金融信息保護(hù)問題，考察了個(gè)人金融信息保護(hù)法制的現(xiàn)實(shí)狀況，并提出了大數(shù)據(jù)時(shí)代個(gè)人金融信息保護(hù)的注意事項(xiàng)。

大數(shù)據(jù)運(yùn)用中個(gè)人金融信息保護(hù)問題

大數(shù)據(jù)技術(shù)在金融領(lǐng)域的運(yùn)用，在緩解信息不對稱和增強(qiáng)風(fēng)險(xiǎn)管理能力方面效果明顯，也促進(jìn)了金融科技、監(jiān)管科技行業(yè)的快速發(fā)展。但與此同時(shí)，金融業(yè)大數(shù)據(jù)技術(shù)運(yùn)用中個(gè)人金融信息的收集、保存、處理、利用和共享等行為也對個(gè)人金融信息主體的人身安全、財(cái)產(chǎn)權(quán)益，乃至行業(yè)發(fā)展和金融安全造成了不良影響。

個(gè)人金融信息潛在的資產(chǎn)價(jià)值引發(fā)了信息收集、保存、處理、利用和共享行為秩序的混亂。在前大數(shù)據(jù)時(shí)代，個(gè)人金融信息價(jià)值一般只限于金融機(jī)構(gòu)內(nèi)部利用、消極防御外部人攻擊等方面，而大數(shù)據(jù)時(shí)代，金融機(jī)構(gòu)側(cè)重于個(gè)人金融信息資源的深度挖掘與開發(fā)利用。在辦理業(yè)務(wù)的過程中，金融機(jī)構(gòu)盡可能多地采集客戶個(gè)人金融信息，存在強(qiáng)制授權(quán)、過度授權(quán)、超范圍收集個(gè)人金融信息等問題。存在采集個(gè)人金融信息后，未經(jīng)客戶明示同意就進(jìn)行深度挖掘、再次利用，甚至還將個(gè)人金融信息進(jìn)行共享轉(zhuǎn)讓，如用于精準(zhǔn)營銷、個(gè)性推薦、有償共享等問題。此外，個(gè)人金融信息開放、共享、使用過程中的安全保護(hù)問題也面臨著比以往更嚴(yán)峻的挑戰(zhàn)，如數(shù)據(jù)黑產(chǎn)、大數(shù)據(jù)殺熟、網(wǎng)絡(luò)詐騙等。

大數(shù)據(jù)運(yùn)用中個(gè)人金融信息的新特點(diǎn)增加了保護(hù)難度。較之于傳統(tǒng)的外部人攻擊、內(nèi)部人破壞，大數(shù)據(jù)技術(shù)本身的信息科技風(fēng)險(xiǎn)也可能是個(gè)人金融信息侵害的重要風(fēng)險(xiǎn)來源。除了大數(shù)據(jù)自身的信息科技風(fēng)險(xiǎn)外，大數(shù)據(jù)時(shí)代個(gè)人金融信息有人格性與財(cái)產(chǎn)性、個(gè)體性與公共性、消極性與積極性等多重價(jià)值屬性的融合與難以有效區(qū)分的特征，決定了金融機(jī)構(gòu)即使正常合理地收集、開發(fā)、利用個(gè)人金融信息，也難以有效處理“利用”與“防護(hù)”的邊界關(guān)系，或許稍不注意就可能侵害客戶的個(gè)人金融信息權(quán)益，因而實(shí)踐中最麻煩的就是個(gè)人金融信息模糊導(dǎo)致的誤解誤用問題。

個(gè)人金融信息的個(gè)體性關(guān)注過度掩蓋了因其社會性而導(dǎo)致個(gè)人自決原則的濫用。個(gè)人信息本身之所以能夠成為個(gè)人信息，就在于其具有身份、個(gè)性等識別功能。大數(shù)據(jù)技術(shù)所具有的信息匯集融合功能，可以讓公共管理部門對信息流、資金流進(jìn)行有效追蹤，運(yùn)用到反洗錢、反腐敗、反偷稅漏稅以及打擊金融傳銷、金融詐騙等違法犯罪活動中;也可讓金融機(jī)構(gòu)更好地利用個(gè)人金融信息開發(fā)設(shè)計(jì)出個(gè)性化的金融產(chǎn)品或服務(wù)，為客戶提供更加妥帖、適當(dāng)、有效的金融產(chǎn)品或服務(wù)。當(dāng)然，個(gè)人金融信息的社會性，還決定了任何單位和個(gè)人不得僅通過個(gè)人信息主體自治性授權(quán)方式獲得個(gè)人金融信息，用于非法開展個(gè)人征信業(yè)務(wù)。

個(gè)人金融信息保護(hù)法制的現(xiàn)實(shí)狀況

除正在征求意見的《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法》外，金融業(yè)尚未形成完整統(tǒng)一的個(gè)人金融信息保護(hù)規(guī)范，但這并不代表《中國人民銀行法》《商業(yè)銀行法》《證券法》《保險(xiǎn)法》等法律法規(guī)中不存在個(gè)人金融信息保護(hù)條款。為進(jìn)一步適應(yīng)大數(shù)據(jù)時(shí)代個(gè)人金融信息保護(hù)的要求，《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》（銀發(fā)〔2011〕17號）和《關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個(gè)人金融信息保護(hù)工作的通知》（銀發(fā)〔2012〕80號）以及專章設(shè)置“個(gè)人金融信息保護(hù)”的《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》（銀發(fā)〔2016〕314號 ）中，均明確了個(gè)人金融信息的定義及其收集、保存、使用、對外提供的業(yè)務(wù)規(guī)則，也對企業(yè)內(nèi)部控制、信息安全技術(shù)防范措施、委托處理、信息泄露報(bào)告及責(zé)任承擔(dān)等內(nèi)容進(jìn)行了規(guī)定。

當(dāng)然，為保證個(gè)人金融信息保護(hù)工作開展的合法合規(guī)，金融機(jī)構(gòu)除需關(guān)注金融業(yè)中個(gè)人金融信息保護(hù)有關(guān)的規(guī)范外，也要關(guān)注具有普遍適用性的個(gè)人信息保護(hù)法律規(guī)范、國家標(biāo)準(zhǔn)等。比如，《關(guān)于印發(fā)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引的通知》（銀保監(jiān)發(fā)〔2018〕22號）第24條有關(guān)“銀行業(yè)金融機(jī)構(gòu)采集、應(yīng)用數(shù)據(jù)涉及到個(gè)人信息的，應(yīng)遵循國家個(gè)人信息保護(hù)法律法規(guī)要求，符合與個(gè)人信息安全相關(guān)的國家標(biāo)準(zhǔn)”的規(guī)定，顯然旨在將《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2017）等國家標(biāo)準(zhǔn)納入到金融機(jī)構(gòu)數(shù)據(jù)治理的合規(guī)體系之中。事實(shí)上，《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》第25條也做出了類似規(guī)定。

進(jìn)一步講，對于金融科技企業(yè)而言，尤其要關(guān)注《網(wǎng)絡(luò)安全法》第41條和第42條，《電子商務(wù)法》第18條，以及正在征求意見的《數(shù)據(jù)安全管理辦法（征求意見稿）》《個(gè)人信息出境安全評估辦法（征求意見稿）》《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》《信息安全技術(shù) 應(yīng)用（App）收集個(gè)人信息基本規(guī)范（征求意見稿）》等個(gè)人信息保護(hù)規(guī)范和標(biāo)準(zhǔn)。

整體而言，《網(wǎng)絡(luò)安全法》確立了個(gè)人信息保護(hù)的基本框架——業(yè)務(wù)流程（收集、存儲、使用、傳輸）和運(yùn)營管理（風(fēng)險(xiǎn)管理、內(nèi)部控制），《數(shù)據(jù)安全管理辦法（征求意見稿）》《信息安全技術(shù)個(gè)人信息安全規(guī)范（征求意見稿）》《信息安全技術(shù)?數(shù)據(jù)出境安全評估指南（征求意見稿）》等是對《網(wǎng)絡(luò)安全法》基本框架下兩項(xiàng)核心內(nèi)容的細(xì)化、發(fā)展和延伸。而《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》則是在具有普遍適用性的個(gè)人信息保護(hù)規(guī)范的基礎(chǔ)上，結(jié)合現(xiàn)行金融法律規(guī)范中有關(guān)個(gè)人金融信息保護(hù)的規(guī)定而制定的專門性個(gè)人金融信息保護(hù)規(guī)范——以保護(hù)個(gè)人金融信息為核心目標(biāo)，按個(gè)人信息全生命周期，對個(gè)人金融信息的收集、使用、存儲、展示、對外提供、跨境流動等不同應(yīng)用場景進(jìn)行了全面細(xì)致的規(guī)定。

大數(shù)據(jù)時(shí)代個(gè)人金融信息保護(hù)的注意事項(xiàng)

為更好的實(shí)現(xiàn)大數(shù)據(jù)技術(shù)在金融業(yè)中的運(yùn)用，促進(jìn)金融數(shù)據(jù)的開放、共享和流動，金融企業(yè)尤其是金融科技企業(yè)既要做好金融數(shù)據(jù)的挖掘、開發(fā)和利用工作，也要保證個(gè)人金融信息收集、使用、存儲、展示、對外提供、跨境流動行為的合法合規(guī)。

明白個(gè)人金融信息屬于個(gè)人敏感信息，其收集、使用應(yīng)遵循合法、公開透明、最小必要原則、選擇同意、目的限制、使用限制、質(zhì)量、安全等原則。盡管《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》未明確規(guī)定個(gè)人金融信息屬于個(gè)人敏感信息，但《信息安全技術(shù)?個(gè)人信息安全規(guī)范》附錄部分明確了“個(gè)人財(cái)產(chǎn)信息”屬于個(gè)人敏感信息，其包括銀行賬號、存款信息信貸記錄、征信信息、流水記錄等，這與《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》第3條對個(gè)人金融信息的界定具有高度重合性。因而，個(gè)人金融信息應(yīng)屬于個(gè)人敏感信息。以此為基礎(chǔ)，《數(shù)據(jù)安全管理辦法（征求意見稿）》第22條關(guān)于實(shí)現(xiàn)個(gè)人用戶控制力的關(guān)鍵在于知情同意基礎(chǔ)上的高透明度使用規(guī)則的規(guī)定，決定了對以個(gè)人金融信息為代表的個(gè)人敏感信息應(yīng)采取主動點(diǎn)擊同意的明示授權(quán)規(guī)則，對一般個(gè)人信息則可采用概括授權(quán)同意規(guī)則，但概括授權(quán)需限定于特定的場景空間和法律條件。當(dāng)然，《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》第12條也明確，個(gè)人金融信息的收集不得以默認(rèn)授權(quán)、功能捆綁等誤導(dǎo)、強(qiáng)迫個(gè)人信息主體的方式進(jìn)行。

“隱私保護(hù)政策”涉及“隱私保護(hù)政策”屬性和內(nèi)容兩個(gè)層面的內(nèi)容，其優(yōu)化應(yīng)參考《信息安全技術(shù)?個(gè)人信息安全規(guī)范》附錄D“隱私政策模板”。就前者而言，目前國內(nèi)有關(guān)隱私保護(hù)政策的屬性究竟是合同還是規(guī)則公示存在爭議，并且實(shí)踐中平臺也經(jīng)常以隱私保護(hù)政策構(gòu)成與個(gè)人信息主體之間的合同為由，僅僅依據(jù)隱私保護(hù)政策來確立個(gè)人信息的收集、使用。值得注意的是，《信息安全技術(shù) 個(gè)人信息安全規(guī)范》明確了隱私保護(hù)政策不被認(rèn)定為平臺與個(gè)人信息主體間簽訂的合同，也不能按照合同的方式來履行。當(dāng)然，《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》第18條也對“格式條款”進(jìn)行了明確，要做到位置醒目、方式顯著、語言通俗、提請注意和特別說明。

就后者而言，為滿足《網(wǎng)絡(luò)安全法》第41條和第42條個(gè)人信息收集、使用“明示+同意”的原則性要求，實(shí)踐中存在將所有服務(wù)和業(yè)務(wù)功能捆綁，即通過隱私保護(hù)政策強(qiáng)制客戶進(jìn)行一次性“概括授權(quán)”，同意各項(xiàng)業(yè)務(wù)功能所需要收集的各種信息，否則將無法使用。對此，《信息安全技術(shù) 個(gè)人信息安全規(guī)范》要求產(chǎn)品和服務(wù)的提供者應(yīng)區(qū)分基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能，且基本業(yè)務(wù)功能以個(gè)人信息主體的需求為必要，不得將改善服務(wù)質(zhì)量、提升用戶體驗(yàn)、研發(fā)新產(chǎn)品單獨(dú)作為基本業(yè)務(wù)功能，尤其強(qiáng)調(diào)了個(gè)人信息收集、使用的必要性。對此，《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》第12條也做出了相應(yīng)的規(guī)定。

加強(qiáng)對平臺接入/嵌入第三方產(chǎn)品或服務(wù)的管理，避免承擔(dān)第三方違法違規(guī)引發(fā)的責(zé)任?！秱€(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》第21條明確規(guī)定了個(gè)人金融信息第三方“委托處理”應(yīng)遵循的規(guī)則，但其未對《信息安全技術(shù) 個(gè)人信息安全規(guī)范》規(guī)定的“共同個(gè)人信息控制”以及修訂意見稿新增的“接入/嵌入第三方產(chǎn)品或服務(wù)管理”做明確規(guī)定，但這并不代表金融機(jī)構(gòu)不需要做好“共同個(gè)人信息控制”“接入/嵌入第三方產(chǎn)品或服務(wù)管理”兩類應(yīng)用場景的準(zhǔn)備工作。

當(dāng)然，對于金融科技企業(yè)控制的信息平臺而言，尤其要關(guān)注實(shí)踐中普遍存在的第三方產(chǎn)品或服務(wù)接入/嵌入這一應(yīng)用場景。在此場景中，平臺商和第三方之間的義務(wù)與責(zé)任分擔(dān)模糊不清。在難以追究第三方產(chǎn)品或服務(wù)提供商責(zé)任的情形下，個(gè)人金融信息主體經(jīng)常直接向平臺商追訴。更重要的是，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》已明確將金融行業(yè)領(lǐng)域單位納入關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，大型金融科技企業(yè)控制的信息平臺極有可能被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施，并被要求承擔(dān)安全保障義務(wù)。因而，平臺商應(yīng)依據(jù)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的規(guī)定，建立第三方產(chǎn)品或服務(wù)接入管理機(jī)制、工作流程和安全評估機(jī)制;應(yīng)與第三方產(chǎn)品或服務(wù)提供者簽訂合同，明確雙方應(yīng)采取的安全措施和責(zé)任承擔(dān);要求第三方依法依規(guī)收集、使用個(gè)人金融信息，為個(gè)人金融信息主體提供請求、申訴機(jī)制，并對第三方產(chǎn)品或服務(wù)進(jìn)行督促和監(jiān)督。

加強(qiáng)公司內(nèi)部已收集、存儲、處理數(shù)據(jù)的管理，保證個(gè)人金融信息工作開展的合法合規(guī)。一是個(gè)人金融信息的存儲規(guī)則?！秱€(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》第16條明確規(guī)定保存的時(shí)間最小化，超過最短時(shí)間后要刪除或匿名化處理，但未如《信息安全技術(shù) 個(gè)人信息安全規(guī)范》那樣，對“去標(biāo)識化處理”進(jìn)行規(guī)定。當(dāng)然，《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》第25條有關(guān)個(gè)人金融信息安全保障的“技術(shù)措施”規(guī)定，決定了金融機(jī)構(gòu)需要對其收集的個(gè)人金融信息進(jìn)行去標(biāo)識化處理，并采取加密等安全措施，以便讓個(gè)人金融信息具備不可鏈接性和不可觀察性。同時(shí)，為保證個(gè)人金融信息安全，金融科技企業(yè)應(yīng)盡可能以一種分散、分區(qū)域的方式來儲存和處理。

二是個(gè)人金融信息安全事件報(bào)告規(guī)則?！秱€(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》第29條明確，當(dāng)發(fā)生信息泄露時(shí)，金融機(jī)構(gòu)應(yīng)向有關(guān)主管部門報(bào)告，但未規(guī)定告知個(gè)人金融信息主體。值得注意的是，按照《網(wǎng)絡(luò)安全法》第42條規(guī)定，金融機(jī)構(gòu)應(yīng)該按照規(guī)定及時(shí)告知用戶，并且因個(gè)人金融信息屬于個(gè)人敏感信息，所以應(yīng)做到向個(gè)人金融信息主體逐一告知。當(dāng)然，《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》還缺乏個(gè)人金融信息安全事件告知、上報(bào)的具體標(biāo)準(zhǔn)，這會增加實(shí)踐中個(gè)人金融信息安全事件處理的難度。實(shí)踐中，可參考《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的規(guī)定，從信息泄露所涉及個(gè)人金融信息的數(shù)量、影響程度和范圍等角度進(jìn)行考量。

三是《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》第26條、第27條和第28條要求金融機(jī)構(gòu)做好個(gè)人金融信息安全保障組織措施，個(gè)人金融信息系統(tǒng)訪問、處理權(quán)限控制，對員工進(jìn)行教育、培訓(xùn)、監(jiān)督等工作。對此，可考慮參照國際公認(rèn)的加強(qiáng)組織監(jiān)管良好實(shí)踐的“三道防線”模式，做好個(gè)人金融信息安全保障工作。通過建立適當(dāng)?shù)娘L(fēng)險(xiǎn)治理架構(gòu)、加強(qiáng)對管理層進(jìn)行問責(zé)的機(jī)制等，來確定任務(wù)和分配資源、職責(zé)，并從運(yùn)營管理、合規(guī)管理、內(nèi)部審計(jì)三個(gè)維度實(shí)施，將對個(gè)人金融信息保護(hù)的支持集成到組織的整體管理和治理框架中，以符合《信息安全技術(shù) 個(gè)人信息安全規(guī)范》《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（征求意見稿）》對個(gè)人金融信息進(jìn)行有效保護(hù)的要求。

（作者單位：西南政法大學(xué)）