金融企業網絡客戶數據收集的法律分析及對策——網絡安全法適用之一
作者:吳衛明 2016-12-07隨著互聯網技術、信息技術與金融的深度融合,大數據金融、科技金融等概念成為金融機構轉型過程中被熱捧的詞匯,也是眾多電商企業、供應鏈企業、信息科技企業切入金融市場的重要突破口。
大數據作為戰略資源的價值不斷顯現,數據收集、數據加工也日趨成為當前產品研發、市場營銷、金融創新的重要工具。得數據者得市場,金融企業作為典型的虛擬經濟形態,由于其無需依賴物流,加之支付的網絡化,從而成為數據化的最大受益者。與此對應,金融行業也將成為數據應用的重要領域。
然而,金融機構如何收集數據、如何加工數據、如何分享及交換數據,長期以來并沒有非常明確的法律規定。關于數據運用及保護的規則以個人隱私保護、企業商業秘密保護等方式散見于民法通則、反不正當競爭法、刑法及全國人大的相關決定中。2016年11月7日,《中華人民共和國網絡安全法》(簡稱“網絡安全法”)由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議于2016年11月7日通過并公布,并將于2017年6月1日起施行。網絡安全法對于數據收集進行了明確和系統的規定,并對數據收集者的責任進行了明確的界定。錦天城律師擬通過本文,對于金融企業通過網絡收集個人用戶信息的規則進行歸納,并作出對策分析。
一、客戶數據收集規則
1、數據收集的公開原則
網絡安全法第22條規定:網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。同時,該法還規定網絡運營者收集、使用個人信息,應當公開收集、使用規則,明示收集、使用信息的目的、方式和范圍。
在各種網絡應用,用戶的個人信息常常在不經意間被網絡運營者收集并匯總。比如用戶使用免費wifi過程中經常遇到的通過手機接收驗證碼方式,運營者即具備收集用戶信息的可能性;生活中類似的信息手機場景還有許多。網絡安全法對此類信息收集提出了規范要求。
2、數據收集的合法、正當原則
網絡安全法第41條規定:網絡運營者不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
此條款為網絡運營者信息收集的合法、正當性要求。即收集客戶信息不能違反法律法規的規定,以及不能超出協議約定、社會道德規范等確立的正當性界限。
3、數據收集的最小化原則
最小化原則也稱為必要性原則。網絡安全法對此專門規定了信息收集的“必要性原則”,即網絡運營者不得收集與其提供的服務無關的個人信息。從大數據運用角度看,網絡經營者總是希望獲取盡可能多的用戶個人信息,從而可以在多個維度給用戶“畫像”,使得大數據的應用場景更加豐富,從而獲取價值最大化。
個人數據收集的必要性原則,對此提出了規范,要求只能收集與其提供服務有關的個人信息,這對于金融企業在大數據運用與隱私保護之間的平衡能力以及對于法律的理解提出了較高要求。
錦天城律師認為,互聯網各種場景的個人信息收集,一方面能夠降低社會信用的審核成本,促進交易,推動創新,有利于經濟發展;另一方面,一旦信息被濫用,信息系統相互之間的數據被不當拼接,將可能導致公民隱私遭受無法挽回的損失。因此,法律對于個人信息的收集提早予以規范,引導合理收集,是在公眾安全與商業效率之間尋找一個動態平衡。立法也預留了一定的創新和自主空間,企業應積極應對。提早構建合理的數據結構和數據收集體系,從而將自身的數據價值最大化。
二、金融企業的應對措施
1、建立合理的公示機制
金融企業可以根據網絡安全法及相關金融法規的要求,在其涉及到客戶信息收集的網站、APP、其他移動端應用程序中,以合理的方式明示該應用將會收集信息,以及收集信息的種類、用途、目的、范圍等,并以合理的方式獲得用戶同意。
在部分應用中,由于數據結構的復雜性,金融企業需要在明示獲得用戶同意與信息收集的便利性、高效性之間取得平衡,這對于網絡經營者的數據法律風險管理能力提出了較高的要求。
2、規范數據收集方法
根據數據收集的合法性、正當性原則,收集客戶信息的方法、手段不應違反法律、法規、合同約定,收集數據信息的內容、種類、范圍也應遵守法律、法規即合同的約定。
對于金融企業而言,除了上述基本要求之外,還應建立敏感信息排除制度。即如果收集的個人信息可能會涉及到影響國家安全的敏感信息,應予以排除。避免所收集到的信息本身違反國家的保密或敏感信息保護制度,從而導致違法。
3、建立信息收集目錄
根據個人信息收集的最小化原則,網絡運營者不應收集與其提供服務無關的信息。這一條的規定看似簡單,實則對于網絡經營者的數據管理能力提出了很高的要求。錦天城律師認為,法律對于何為“與提供的服務無關”并沒有準確界定,這就需要網絡經營者綜合運用市場知識、行業知識、部門法知識,對于本行業、本企業所涉及服務的市場、法律屬性作出準確分析和認知,并據此描繪出“信息地圖”,然后按圖索驥,制作合理的個人信息收集目錄。
網絡安全法是電子商務及網絡金融的基礎性法律,金融機構作為重要的網絡運營者,在用戶數據收集放面不應“任性”。而是應根據網絡安全法的要求,構建合理的數據收集體系。
