網(wǎng)絡安全法視角下的金融機構(gòu)大數(shù)據(jù)戰(zhàn)略構(gòu)建
作者:吳衛(wèi)明 2017-06-30隨著遠程身份識別技術(shù)和大數(shù)據(jù)方法的逐步推廣,金融機構(gòu)的業(yè)務流程和業(yè)務鏈條已經(jīng)逐步實現(xiàn)了全程數(shù)據(jù)化。數(shù)據(jù)成為金融機構(gòu)業(yè)務推廣、風險防控、業(yè)務審核、客戶識別、產(chǎn)品創(chuàng)新的基數(shù),大數(shù)據(jù)戰(zhàn)略成為金融機構(gòu)的核心戰(zhàn)略。大數(shù)據(jù)戰(zhàn)略推行,意味著金融機構(gòu)必須成為數(shù)據(jù)的采集者、加工者、運用者,但數(shù)據(jù)本身重要的來源是金融機構(gòu)的客戶或者其他渠道的用戶,大數(shù)據(jù)戰(zhàn)略繞不開的一個障礙是個人信息保護。
2017年6月1日生效的《網(wǎng)絡安全法》,在網(wǎng)絡安全支持與促進、網(wǎng)絡運行安全、網(wǎng)絡信息安全、檢測預警與應急處置等方面進行了規(guī)范。特別是在個人信息保護方面進行了專門的規(guī)制,對信息獲取的原則、方法、法律責任也進行了明確。事實上,個人信息保護在民法通則、刑法、全國人大的相關(guān)決定、最高院司法解釋中也都有規(guī)定。網(wǎng)絡安全法是對上述原則、規(guī)則的概括性規(guī)定,也是在法律上進一步強化個人信息保護的舉措。
個人信息保護與金融機構(gòu)大數(shù)據(jù)戰(zhàn)略,是天然的一對矛盾,吳衛(wèi)明博士認為,在網(wǎng)絡安全法的大背景下,如何合理的收集、加工、使用個人信息,成為企業(yè)大數(shù)據(jù)戰(zhàn)略構(gòu)建過程中必須考慮的因素。
一、網(wǎng)絡安全法對個人信息保護的規(guī)定
對于公民個人信息保護,我國相關(guān)立法一直非常重視。除了民法通則及2017年即將生效的民法總則做了相應規(guī)定外,2012年全國人大常委會頒布的《全國人民代表大會常務委員會關(guān)于加強網(wǎng)絡信息保護的決定》,也對此做了規(guī)定。該決定對于國家保護公民信息、網(wǎng)絡服務提供者保護公民信息、信息的收集和使用規(guī)則、禁止泄漏和散布個人信息、禁止竊取和出售個人信息均做了較為詳盡的規(guī)定。
2017年6月1日生效的《網(wǎng)絡安全法》對于個人信息收集的原則、個人信息保護也做了詳盡的規(guī)定。
1、信息收集的明示原則
《網(wǎng)絡安全法》第22條規(guī)定: 網(wǎng)絡產(chǎn)品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護的規(guī)定。
2、信息收集的合法、正當原則
《網(wǎng)絡安全法》第41條規(guī)定:網(wǎng)絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。
3、信息保密規(guī)則
《網(wǎng)絡安全法》第40條規(guī)定:網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。42條規(guī)定:網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息;未經(jīng)被收集者同意,不得向他人提供個人信息。但是,經(jīng)過處理無法識別特定個人且不能復原的除外。
上述個人信息保護的規(guī)則,從信息收集、使用、保存、轉(zhuǎn)移均做了規(guī)定。用一句話歸納就是,網(wǎng)絡運營者可以收集公民個人信息,但應在必要范圍內(nèi),并且不能隨意交給第三方使用。
二、大數(shù)據(jù)應用中的信息保護問題
大數(shù)據(jù)的基礎是信息的獲取和加工、利用,但是這一過程必然涉及到對個人信息的獲取。在實踐操作中,常見的問題主要包括以下幾個方面:
1、獲取信息未明示告知用戶
此類情況在手機應用程序中比較常見,比如部分手機應用程序,其默認功能設置為獲取用戶的地理信息,需要用戶專門關(guān)閉后才停止信息的收集。此類應用將用戶的地理信息作為提供用戶需求分析以及改善服務體驗的重要數(shù)據(jù)源, 在商業(yè)目的上具有一定的合理性,但卻存在收集個人信息未經(jīng)明示和獲得用戶同意的問題。
還有人臉識別過程中對用戶面部特征信息的獲取,也會存在獲取用戶人臉特征,但未能明確告知的情況。
可以說,明示告知,是網(wǎng)絡運營者在獲取用戶信息過程中容易忽略的問題。
2、不同主體之間的信息混用問題
此種情況,容易發(fā)生在大型企業(yè)集團或金融集團內(nèi)部。通常,金融企業(yè)會將收集到的用戶信息作為自己的重要資產(chǎn)。而同一企業(yè)集團內(nèi)部的不同主體所獲取的用戶信息通常具有互補性,在數(shù)據(jù)維度上也更為豐富,更有利于大數(shù)據(jù)模型的建立和分析。于是,在同一集團內(nèi)部,數(shù)據(jù)信息的混用也成為企業(yè)比較容易忽略的法律風險。此外,不同的企業(yè)主體之間,也存在著通過協(xié)議進行信息互換的情況。上述信息混用,如果沒有取得用戶事先同意,將會產(chǎn)生違法的風險。
3、數(shù)據(jù)來源的合法性問題
由于互聯(lián)網(wǎng)上個人信息獲取的便利性和傳遞的低成本,加之信息資源的邊際成本遞減特性,導致信息的獲取者往往有將獲得的信息再次專賣的動機,業(yè)內(nèi)部分互聯(lián)網(wǎng)運營者缺乏個人信息保護的意識。
對于金融行業(yè)而言,通常并不具有主動竊取或出賣用戶信息的動機,但是,出于大數(shù)據(jù)征信和風控的需要,經(jīng)常會選擇從第三方買入個人信息。這一點,在上海市2016年打擊倒賣個人信息犯罪的執(zhí)法活動中,已經(jīng)有所體現(xiàn)。如果第三方數(shù)據(jù)提供商在個人信息提供過程中,未獲得用戶授權(quán),或者第三方數(shù)據(jù)本身是通過不當爬取、惡意獲取、非法買入獲得,則金融機構(gòu)從第三方獲取信息的行為,將會存在很大的法律合規(guī)風險。
4、數(shù)據(jù)跨境使用問題
對于跨國經(jīng)營的金融機構(gòu)而言,在中國境內(nèi)獲得用戶個人信息,如果需要跨境使用,也會面臨法律合規(guī)問題。對此,《網(wǎng)絡安全法》規(guī)定了“關(guān)鍵信息基礎設施的運營者”特殊的跨境數(shù)據(jù)使用和安全審查規(guī)則。國家網(wǎng)信辦發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法》(征求意見稿)則將個人信息出境的適用范圍擴展到所有的網(wǎng)絡運營者。金融機構(gòu)作為國際間投資、貿(mào)易的結(jié)算和支付中樞,也將受到數(shù)據(jù)跨境適用規(guī)則的影響。
三、金融機構(gòu)如何構(gòu)建自己的大數(shù)據(jù)戰(zhàn)略
對于《網(wǎng)絡安全法》及其他個人信息保護的法律、法規(guī)、規(guī)章對金融機構(gòu)的影響,吳衛(wèi)明博士認為,金融機構(gòu)首先應構(gòu)建自身的大數(shù)據(jù)戰(zhàn)略,以此進行應對,降低法律對自己的影響。大數(shù)據(jù)戰(zhàn)略應從以下幾個方面予以考慮:
1、對自身的網(wǎng)絡主體地位作出明確界定
是否屬于“關(guān)鍵信息基礎設施的運營者”,這是網(wǎng)絡者運營首先需要對自身作出的定位。按照《網(wǎng)絡安全法》的規(guī)定,“關(guān)鍵信息基礎設的運營者”除了需要承擔普通網(wǎng)絡運營者的法律責任外,在信息保護、內(nèi)部合規(guī)、機構(gòu)設置等方面還需要承擔特殊責任。特別是在跨境信息傳輸和使用方面,需要承擔更多的責任。
不同主體定位,機構(gòu)的數(shù)據(jù)管理責任也不同,對于大數(shù)據(jù)利用的限制也會不同。因此,金融機構(gòu)對自身的網(wǎng)絡運營者地位作出界定,是大數(shù)據(jù)戰(zhàn)略的前提。
2、數(shù)據(jù)分層戰(zhàn)略
不同數(shù)據(jù),有著不同的價值,數(shù)據(jù)泄漏或混用給用戶、社會公共利益、國家安全造成的損害也是不同的。吳衛(wèi)明博士認為,數(shù)據(jù)分層戰(zhàn)略,是企業(yè)大數(shù)據(jù)戰(zhàn)略的基礎。
這要求金融機構(gòu)在收集用戶信息前,需要對數(shù)據(jù)的維度作出合理的分析,并且對數(shù)據(jù)設置不同的敏感度層級。經(jīng)過數(shù)據(jù)分層處理,針對不同的合規(guī)需要與合規(guī)事項,企業(yè)可以有采取更具針對性的應對方法。
3、優(yōu)化數(shù)據(jù)模型
從統(tǒng)計學意義上講,數(shù)據(jù)維度的豐富,有利于數(shù)據(jù)模型的準確分析。但是,在商業(yè)應用中,也需要考慮因子的相關(guān)性,對于部分維度的數(shù)據(jù),雖然具有相關(guān)性,但對于商業(yè)判斷并不具有實質(zhì)性價值,則可以在數(shù)據(jù)模型中大膽剔除。
按照個人信息保護的原則,過多的數(shù)據(jù)也會成為企業(yè)的負擔,甚至帶來不必要的法律風險。因此,數(shù)據(jù)模型優(yōu)化也是金融企業(yè)大數(shù)據(jù)戰(zhàn)略需要考慮的。
4、建立數(shù)據(jù)保護制度和完善數(shù)據(jù)保護規(guī)程
《網(wǎng)絡安全法》在信息保護領(lǐng)域,既具有私法的特征,也帶有公法特征。因此,網(wǎng)絡安全法對于個人信息保護采用了公共責任立法的原則。即,如果網(wǎng)絡運營者發(fā)生信息泄漏等安全事故,網(wǎng)絡運營者需要承擔相應的法律責任。這一點,與重大生產(chǎn)責任事故罪的立法思路是一致的。而網(wǎng)絡運營者是否已經(jīng)按照法律、法規(guī)、規(guī)章的要求建立了網(wǎng)絡安全及個人信息保護制度、是否有完善的操作規(guī)程和完善的內(nèi)部機構(gòu),就成為網(wǎng)絡運營者在發(fā)生數(shù)據(jù)安全事故后能否免責或減輕法律責任的關(guān)鍵。
綜上,金融機構(gòu)作為重要的網(wǎng)絡運營者,構(gòu)建自身的大數(shù)據(jù)戰(zhàn)略,是《網(wǎng)絡安全法》環(huán)境下必不可少的基礎工作。
