網絡安全法視角下的金融機構大數據戰略構建
作者:吳衛明 2017-06-30隨著遠程身份識別技術和大數據方法的逐步推廣,金融機構的業務流程和業務鏈條已經逐步實現了全程數據化。數據成為金融機構業務推廣、風險防控、業務審核、客戶識別、產品創新的基數,大數據戰略成為金融機構的核心戰略。大數據戰略推行,意味著金融機構必須成為數據的采集者、加工者、運用者,但數據本身重要的來源是金融機構的客戶或者其他渠道的用戶,大數據戰略繞不開的一個障礙是個人信息保護。
2017年6月1日生效的《網絡安全法》,在網絡安全支持與促進、網絡運行安全、網絡信息安全、檢測預警與應急處置等方面進行了規范。特別是在個人信息保護方面進行了專門的規制,對信息獲取的原則、方法、法律責任也進行了明確。事實上,個人信息保護在民法通則、刑法、全國人大的相關決定、最高院司法解釋中也都有規定。網絡安全法是對上述原則、規則的概括性規定,也是在法律上進一步強化個人信息保護的舉措。
個人信息保護與金融機構大數據戰略,是天然的一對矛盾,吳衛明博士認為,在網絡安全法的大背景下,如何合理的收集、加工、使用個人信息,成為企業大數據戰略構建過程中必須考慮的因素。
一、網絡安全法對個人信息保護的規定
對于公民個人信息保護,我國相關立法一直非常重視。除了民法通則及2017年即將生效的民法總則做了相應規定外,2012年全國人大常委會頒布的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》,也對此做了規定。該決定對于國家保護公民信息、網絡服務提供者保護公民信息、信息的收集和使用規則、禁止泄漏和散布個人信息、禁止竊取和出售個人信息均做了較為詳盡的規定。
2017年6月1日生效的《網絡安全法》對于個人信息收集的原則、個人信息保護也做了詳盡的規定。
1、信息收集的明示原則
《網絡安全法》第22條規定: 網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。
2、信息收集的合法、正當原則
《網絡安全法》第41條規定:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
3、信息保密規則
《網絡安全法》第40條規定:網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。42條規定:網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
上述個人信息保護的規則,從信息收集、使用、保存、轉移均做了規定。用一句話歸納就是,網絡運營者可以收集公民個人信息,但應在必要范圍內,并且不能隨意交給第三方使用。
二、大數據應用中的信息保護問題
大數據的基礎是信息的獲取和加工、利用,但是這一過程必然涉及到對個人信息的獲取。在實踐操作中,常見的問題主要包括以下幾個方面:
1、獲取信息未明示告知用戶
此類情況在手機應用程序中比較常見,比如部分手機應用程序,其默認功能設置為獲取用戶的地理信息,需要用戶專門關閉后才停止信息的收集。此類應用將用戶的地理信息作為提供用戶需求分析以及改善服務體驗的重要數據源, 在商業目的上具有一定的合理性,但卻存在收集個人信息未經明示和獲得用戶同意的問題。
還有人臉識別過程中對用戶面部特征信息的獲取,也會存在獲取用戶人臉特征,但未能明確告知的情況。
可以說,明示告知,是網絡運營者在獲取用戶信息過程中容易忽略的問題。
2、不同主體之間的信息混用問題
此種情況,容易發生在大型企業集團或金融集團內部。通常,金融企業會將收集到的用戶信息作為自己的重要資產。而同一企業集團內部的不同主體所獲取的用戶信息通常具有互補性,在數據維度上也更為豐富,更有利于大數據模型的建立和分析。于是,在同一集團內部,數據信息的混用也成為企業比較容易忽略的法律風險。此外,不同的企業主體之間,也存在著通過協議進行信息互換的情況。上述信息混用,如果沒有取得用戶事先同意,將會產生違法的風險。
3、數據來源的合法性問題
由于互聯網上個人信息獲取的便利性和傳遞的低成本,加之信息資源的邊際成本遞減特性,導致信息的獲取者往往有將獲得的信息再次專賣的動機,業內部分互聯網運營者缺乏個人信息保護的意識。
對于金融行業而言,通常并不具有主動竊取或出賣用戶信息的動機,但是,出于大數據征信和風控的需要,經常會選擇從第三方買入個人信息。這一點,在上海市2016年打擊倒賣個人信息犯罪的執法活動中,已經有所體現。如果第三方數據提供商在個人信息提供過程中,未獲得用戶授權,或者第三方數據本身是通過不當爬取、惡意獲取、非法買入獲得,則金融機構從第三方獲取信息的行為,將會存在很大的法律合規風險。
4、數據跨境使用問題
對于跨國經營的金融機構而言,在中國境內獲得用戶個人信息,如果需要跨境使用,也會面臨法律合規問題。對此,《網絡安全法》規定了“關鍵信息基礎設施的運營者”特殊的跨境數據使用和安全審查規則。國家網信辦發布的《個人信息和重要數據出境安全評估辦法》(征求意見稿)則將個人信息出境的適用范圍擴展到所有的網絡運營者。金融機構作為國際間投資、貿易的結算和支付中樞,也將受到數據跨境適用規則的影響。
三、金融機構如何構建自己的大數據戰略
對于《網絡安全法》及其他個人信息保護的法律、法規、規章對金融機構的影響,吳衛明博士認為,金融機構首先應構建自身的大數據戰略,以此進行應對,降低法律對自己的影響。大數據戰略應從以下幾個方面予以考慮:
1、對自身的網絡主體地位作出明確界定
是否屬于“關鍵信息基礎設施的運營者”,這是網絡者運營首先需要對自身作出的定位。按照《網絡安全法》的規定,“關鍵信息基礎設的運營者”除了需要承擔普通網絡運營者的法律責任外,在信息保護、內部合規、機構設置等方面還需要承擔特殊責任。特別是在跨境信息傳輸和使用方面,需要承擔更多的責任。
不同主體定位,機構的數據管理責任也不同,對于大數據利用的限制也會不同。因此,金融機構對自身的網絡運營者地位作出界定,是大數據戰略的前提。
2、數據分層戰略
不同數據,有著不同的價值,數據泄漏或混用給用戶、社會公共利益、國家安全造成的損害也是不同的。吳衛明博士認為,數據分層戰略,是企業大數據戰略的基礎。
這要求金融機構在收集用戶信息前,需要對數據的維度作出合理的分析,并且對數據設置不同的敏感度層級。經過數據分層處理,針對不同的合規需要與合規事項,企業可以有采取更具針對性的應對方法。
3、優化數據模型
從統計學意義上講,數據維度的豐富,有利于數據模型的準確分析。但是,在商業應用中,也需要考慮因子的相關性,對于部分維度的數據,雖然具有相關性,但對于商業判斷并不具有實質性價值,則可以在數據模型中大膽剔除。
按照個人信息保護的原則,過多的數據也會成為企業的負擔,甚至帶來不必要的法律風險。因此,數據模型優化也是金融企業大數據戰略需要考慮的。
4、建立數據保護制度和完善數據保護規程
《網絡安全法》在信息保護領域,既具有私法的特征,也帶有公法特征。因此,網絡安全法對于個人信息保護采用了公共責任立法的原則。即,如果網絡運營者發生信息泄漏等安全事故,網絡運營者需要承擔相應的法律責任。這一點,與重大生產責任事故罪的立法思路是一致的。而網絡運營者是否已經按照法律、法規、規章的要求建立了網絡安全及個人信息保護制度、是否有完善的操作規程和完善的內部機構,就成為網絡運營者在發生數據安全事故后能否免責或減輕法律責任的關鍵。
綜上,金融機構作為重要的網絡運營者,構建自身的大數據戰略,是《網絡安全法》環境下必不可少的基礎工作。
