|
企业法律顾问告诉你:个人隐私数据保护现状分析企业法律顾问告诉你:个人隐私数据保护现状分析监管要求
1. 我国金融隐私权法律保护现状现今互联网已然成为现代社会中人们日常生活不可或缺的重要组成部分。互联网金融自其诞生到飞速扩张发展, 在互联网金融行业扩张发展的同时,也伴随着一些隐患,如金融客户个人信息被泄露、金融账户信息被窃取、账户资金被盗用等问题层出不穷,例如:2015年汇丰银行大量秘密银行账户文件被曝光,涉及约3万个账户,这些账户总计持有约1200亿美元资产。在互联网时代下对金融隐私权的保护应当受到足够的重视,敏感数据泄漏的频繁发生,将严重影银行的声誉及客户的利益。 早期, 我国已基本形成在法律法规层面和银行实务层面对金融隐私权的保护体系,但相关的法律法规仍然分散。包括了: 《合同法》保密义务的规定、《商业银行法》第60条及第92条规定的规定、《银行业监督管理法》第11条及第43条的规定、《反洗钱法》第30-33条的规定、《个人信用信息基础数据库管理暂行办法》的第5及42条规定、《贷款通则》的第23及65条规定。上述的法律条文要求较为原则、粗疏。有关金融隐私权保护的法律问题研究还处于起步阶段。相关的法律规定比较零散,这样就增加了客户金融信息被泄露的法律风险。所以,怎样去构建一个健全的法律体系,完善对金融客户的信息泄露及滥用问题的补救方案,是我国现今金融法律体系急需解决的一个重点问题。 自从网络安全法公布及实施以来,除了关键基础设施保护、网络安全等级保护要求、数据跨境传输之外,个人隐私保护的要求也是重点关注的议题。国家主管网络安全的相关部委机构等,例如: 中央的网信办、工信部、公安部,地方的网信办、通管局、及网警部门,全国信息安全标准化技术委员会、市场监督管理总局标准技术管理司以及行业主管机构正紧锣密鼓展开网络安全及个人隐私保护的相关工作。 此外,今年5月份到8月份,《数据安全管理办法(征求意见稿)》、《App违法违规收集使用个人信息行为认定方法(征求意见稿)》、《个人信息安全规范(征求意见稿)》、《信息安全技术、移动互联网应用(App)收集个人信息基本规范(草案)》等密集出台,这些法律法规从多方面体系化地完善我国个人信息隐私保护方面的法律法规体系。
2. 个人金融信息及隐私保护个人金融信息是指银行业金融机构在开展金融业务、提供金融服务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的财产信息、账户信息、信用信息、金融交易信息以及在这些信息基础上整理加工所得的衍生信息等。广义的个人金融信息应包括所有金融机构及特定非金融机构在与自然人建立业务联系、销售金融产品和提供金融服务的过程中产生、获得的所有个人信息的总和。
3. 金融行业个人信息的采集我国金融企业通过使用个人数据,比如支付领域的身份识别(人脸、指纹、虹膜、语音识别)和信贷领域的大数据等,提供了金融服务的便利性,弥补了传统金融的不足。国内的银行等金融行业的生物特征的应用随着技术的进步及辨识率的提升,也渐渐地开始利用摄像头进行个人信息的采集、识别、辨识技术等融入在业务不同应用场景中。例如: 1) 开户及大额转账时的公安联网稽查,进行个人身份的验证核实,将个人照片与实名身份信息透过联网与公安局的数据库进行比对,进而强化个人身份验证的准确性。 2) 银行为了加强客户服务,针对VIP用户,利用人脸识别技术,进入银行网点同时即能识别客户,提前让对应的客户经理在门口迎接。 3) 银行内部员工的内部日常工作及身份识别环节,例如: 刷脸考勤、刷脸吃饭等环节。 生物特征识别(BIOMETRICS),生物识别系统是对生物特征进行取样,提取其唯一的特征并且转化成数字代码,并进一步将这些代码组合而成的特征模板。人们同识别系统交互进行身份认证时,识别系统获取其特征并与数据可中的特征模板进行比对,以确定是否匹配,从而决定接受或拒绝该人。 常见的生物特征的应用包括: 指纹识别、人脸识别、步态识别、虹膜识别、手掌几何学识别、DNA识别、声音和签字识别、手形识别、签名识别等。目前国内生物特征应用场景日渐增多,包括个人的手机解锁、门禁开锁到公共安全相关的人脸识别(例如公共场所人员密集度估算、闯红灯等交通违规),针对身份认证的生物识别应用目前在金融相关行业、电子商务、电子政务、军队、互联网相关服务等领域都有不少应用。
4. 个人隐私数据保护技术方案银行金融机构应从理念的转变开始,从设计和默认上保护数据隐私:“security by design and by default”,要求从规划设计上应当做到安全,同时要将安全作为默认规则。由于篇幅关系,本次文章将不开展执行细节。
1. 秉承公平公正的原则,应当通知用户,经过授权才能拿; 2. 使用目的应当符合使用场景,而不是以借口a用于b;
1. 给用户提供迁移和删除权限以及手段; 2. 安全事件主动通知,确保用户知情权;
1. 如果对外传输的数据经过脱敏(ip hash或者用户标识符 hash等),只要符合国标并不可逆就是可以的; 2. 建议产品七层流量统一走https。
5. 银行应注意合作公司的数据来源目前的一些企业利用不合法渠道获取的个人数据的灰色地带从事商业活动,近期杭州、上海等地多家大数据智能风控企业连遭警方调查。一时间,大数据行业风声鹤唳。例如魔某科技和某信宝被调查的原因均与爬取用户信息(可简单理解为“爬虫”技术)及用户数据引用服务违规有关。 爬虫技术有利于挖掘数据价值,它是中性的,但部分第三方数据公司在与其他金融机构合作过程中,留存部分数据,又把这些数据转手倒卖给第三方消费信贷公司,甚至是现金贷、高炮台公司,使得用户数据被滥用,这就触及合规的底线了。爬虫技术的数据采集主要包括:公开的第三方数据;抓取用户主动授权的个人基本信息、联系人信息、银行卡信息等数据;授权抓取数据,如设备号、IP地址、运营商/电商等用户授权后合规采集数据;经授权的平台数据,如用户在平台的历史借款、还款情况等用户已在注册协议或隐私协议中授权业务方进行分析的数据。 在大数据公司产业链中,运营商的责任有以下几点:首先,互相勾结情形,即在没有征得用户授权的情形下,和爬虫公司合作,这种情形是有责任的。其次是不知情的情形,运营商没有责任,甚至也是受害者。比较复杂的是,在运营商得到用户授权的情形下,运营商的责任主要体现在如何合法归置这些数据。大数据公司采集的数据存在是否获得授权、爬取是否合法合规的问题。一方面公共数据的爬取是不允许商业利用的,并不是说互联网的数据可以随便爬取。另一方面有些客户提供淘宝号,甚至密码授权爬取,在爬取时就侵入了对方的计算机,这其实也是一种犯罪行为,叫作侵入计算机犯罪。 随着大数据技术的迅猛发展,银行也在使用大量的外部数据,如互联网金融放款业务的各个业务环节,包括销售环节、审批环节、授信环节、贷后存量客户管理环节、贷后逾期客户管理环节、资金流动性管理环节及放款环节都使用大数据技术来进行风控,而互联网金融企业为了更精准预判借款人的信用状况,除了采用公安及人民银行的个人信用数据的查询之外,还会透过自建的风控模型及技术或是购买大数据公司或是互联网企业的数据来进行风险的识别。银行应注意甄别合作公司数据的授权。
结语金融相关行业,需及早进行数据安全治理,同时将安全及隐私的合规要求,融入在系统设计中成为必要的需求。在央行近期发布的金融科技发展规划(2019-2021年)中提出,在切实保障个人隐私、商业秘密与敏感数据前提下,强化金融与刑罚、社保、工商、税务、海关、电力、电信等行业的数据静源融合应用,实现数据资源有机整合与深度利用。为能够满足监管个人隐私数据保护下开展业务,并符合政府期许、隐私合规、及客户满意的前提下,开展数据安全治理,已是金融行业刻不容缓的工作。
附录: 我国隐私保护相关标准及其他规范 |