服務熱線:4008-510-150 (9:00-18:00)
您所在的位置:首頁 > 投資者教育 > 正文

互聯網金融行業個人信息保護相關知識的梳理和審視

廣州互聯網金融協會法律服務中心 2018/11/23 16:11:00
字體大小:

  互聯網為信息通信技術和人類生產生活交匯融合提供了可能,海量數據的集聚與利用成為互聯網的基本運作模式。互聯網金融也是依托大數據和云計算在開放的互聯網平臺上形成的功能化金融業態及其服務體系,因而在互聯網上進行的資金融通、支付、投資和信息中介服務,都需要采集和利用大量信息,尤其是個人信息。隨著互聯網金融行業中個人信息采集和利用的廣度和深度不斷拓展,個人信息流動日益突破地域和行業的原有界限,個人信息保護面臨的風險隨之大幅增加。

  

  近年來,國家持續加大對個人信息的保護力度,比如:《網絡借貸信息中介機構業務活動管理暫行辦法》第27條規定,網絡借貸信息中介機構應當加強出借人與借款人信息管理,確保出借人與借款人信息采集、處理及使用的合法性和安全性。網絡借貸信息中介機構及其資金存管機構、其他各類外包服務機構等應當為業務開展過程中收集的出借人與借款人信息保密,未經出借人與借款人同意,不得將出借人與借款人提供的信息用于所提供服務之外的目的。在中國境內收集的出借人與借款人信息的儲存、處理和分析應當在中國境內進行。除法律法規另有規定外,網絡借貸信息中介機構不得向境外提供境內出借人和借款人信息。

  在P2P網絡借貸機構合規檢查工作中,監管部門的“問題清單”更是針對“未能合法、安全地采集、處理及使用出借人、借款人信息”提出了5項合規要求。因此,有必要對互聯網金融行業個人信息保護給予必要梳理和審視。

  一、個人信息的界定

  如要保護個人信息,就需要首先對個人信息進行界定。實踐中,個人信息與個人隱私、個人數據混淆,造成誤解。

  根據《電信和互聯網用戶個人信息保護規定》(2013年9月1日施行)第4條的規定,個人信息是指姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息,以及用戶使用服務的時間、地點等信息。

  根據《中國人民銀行金融消費者權益保護實施辦法》(2016年12月14日施行)第27條的規定,個人金融信息,是指金融機構通過開展業務或者其他渠道獲取、加工和保存的個人信息,包括個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息及其他反映特定個人某些情況的信息。

  根據《網絡安全法》(2017年6月1日施行)第76條(五)的規定,個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

  根據《信息安全技術個人信息安全規范》(2018年5月1日施行)第3條3.1的規定,個人信息是指以電子或者其他方式記錄的,能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

  可見,個人信息與個人隱私、個人數據存在一定差別。首先,個人隱私,是個人生活領域內的事情不為他人知悉,與公共利益、群體利益無關,禁止他人干涉的純個人私事。個人隱私是個人生活最私密、直接涉及到個人尊嚴與自由的部分,一旦侵入,就會造成受害人的直接損害,特別是會受到精神損害。因此,他人無論怎樣使用個人隱私,都會對當事人造成損害,而個人信息在正常使用時不會對當事人構成侵犯。當然,個人隱私與個人信息存在一定的重疊,一些個人信息可能屬于個人隱私范疇。其次,個人數據,是個人在互聯網載體上對客觀事物進行闡述的記錄。《民法總則》第111條規定,自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。而《民法總則》第127條則規定,法律對數據、網絡虛擬財產的保護有規定的,依照其規定。可見,《民法總則》對這兩個不同的法律概念進行了區分。實際上,個人信息體現的是人格權屬性,而個人數據體現的作為網絡虛擬財產的產權屬性。

  因此,個人信息最核心的法律特征是具有身份識別性,即能夠直接或者與其他信息關聯識別個人身份。也就是說,個人信息可以同特定的個體產生聯系并且能夠表現出個人特點,是具有一定可識別性的信息集合體,具有客觀存在性、可識別性、無形性、兼有人身與財產屬性。當然,也有人認為,在互聯網金融中,金融消費者在互聯網上留下的不僅僅是一些靜態的個人信息,更是涉及到大量動態的數據,包括行為數據與互動數據,這些數據對于金融產品的開發設計營銷具有重要的意義與價值。這些數據與金融消費者相關,并能體現金融消費者的各項特征,可用于間接或者直接識別金融消費者的身份,因此,互聯網金融消費者個人信息還應包括這些動態的個人數據。

  二、互聯網金融行業侵害個人信息的原因和后果

  在互聯網金融中,資金供求雙方可以通過網絡平臺自行完成信息甄別、匹配、定價和交易,金融消費者可以在開放透明的平臺上快速找到適合自己的金融產品,削弱了信息不對稱程度,成本低且較為便捷。而且,整個互聯網金融業務主要由計算機處理,操作流程標準化,業務處理速度快,用戶體驗好,反映了互聯網金融的高效率。

  然而,正是這種開放和交互以及全程互聯網的處理,在為金融消費者帶來方便的同時,也給金融消費者的個人信息安全帶來了潛在的威脅。一方面,網絡的開放性使得不同網絡間互聯互通,實現了資源共享,但金融消費者的個人信息,特別是一些個人的敏感信息,沒有被屏蔽或脫敏處理就被放置在互聯網上,容易導致個人信息的泄漏。另一方面,互聯網金融機構普遍存在信息安全管理不健全的情形。由于互聯網金融機構對于個人信息具有絕對的主導權,而其對于個人信息隨意收集、使用和處置的做法,使得個人信息被侵害現象較為嚴重。而且,互聯網金融機構的網絡安全性不強,導致非法搜集、非法利用、非法存儲、非法加工或非法倒賣個人信息等個人信息被侵害的現象愈加嚴重。以P2P網絡借貸為例。P2P網絡借貸就是一個信息收集、數據分析和處理的過程,用戶首先需要在平臺上進行個人信息的注冊和審核,包括身份、職業、家庭、財產和健康狀況等,然后系統會根據使用對象的不同來設置信息的公開程度,以幫助出借人做出是否出借資金的決策。一些不法分子為了獲取用戶個人信息,利用P2P網絡借貸平臺的網絡信息技術漏洞,借助木馬病毒或者第三方插件進行惡意攻擊,進而盜取用戶的賬戶、密碼等關鍵信息,導致個人信息泄露。

  在互聯網金融行業中,個人信息被侵害會造成嚴重后果。根據葉名怡教授的總結,侵害個人信息的后果主要有:第一,數據泄露。即個人數據被破壞、竊取或擅自訪問,導致數據的保密性或完整性遭到破壞。第二,導致或促成下游犯罪發生。即信息侵害作為下游犯罪的預備條件,下游犯罪包括但不限于網絡攻擊、詐騙、身份盜竊、敲詐勒索、跟蹤殺人等等。第三,社會分選和歧視。所謂社會分選,是指收集個人數據,再依據多種標準(年齡、經濟實力等)將人群分類,并決定誰應當有何種待遇。社會分選可能帶來不當歧視。數據泄露或買賣使得分類篩選與歧視得以秘密化和便利化,受害人既無從知曉,也無法擺脫。第四,數據監控下的不安與自我審查。個人自治空間和隱私空間被大幅壓縮,私生活受到侵害。第五,消費操縱和關系控制。數據畫像使得定向廣告無比精準地在特定時間和場景到達目標用戶,誘發沖動消費。

  三、互聯網金融行業個人信息權利的設置

  目前,我國已在“知情、同意、授權”的架構上初步搭建了個人信息保護規則體系,涉及《民法總則》、《刑法》、《侵權責任法》、《消費者權益保護法》、《網絡安全法》以及全國人大、國務院、最高人民法院、最高人民檢察院、相關部委、人民銀行及監管機構的相關決定、指導意見、部門規章等規范性文件和非強制性的國家標準。例如,2015年,《刑法修正案(九)》將“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”整合為“侵犯公民個人信息罪”,擴大了犯罪主體和侵犯個人信息行為的范圍。2017年,《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》明確了侵犯公民個人信息罪的具體定罪量刑標準,刑事打擊侵害公民個人信息行為的力度更大。而且,隨著我國正在加快制定《個人信息保護法》,未來將從信息決定權、信息保密權、信息訪問權、信息更正權、信息可攜權、信息封鎖權、信息刪除權等多方面對個人信息進行全面保護。

  對個人信息進行保護,需要確立個人信息權。這一權利應當包括個人對信息被收集、利用等的知情權,以及自己利用或者授權他人利用的決定權,即便對于可以公開且必須公開的個人信息,個人也應當有一定的控制權。具體如下:

  第一,信息決定權。即個人對于其信息是否被收集、處理、利用享有控制和支配的權利。《網絡安全法》第41條規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。《信息安全技術公共及商用服務信息系統個人信息保護指南》(GB/Z 28828-2012)將個人信息分為個人一般信息和個人敏感信息,并提出默許同意和明示同意。對于個人一般信息的處理可以建立在默許同意的基礎上,只要個人信息主體沒有明確表示反對,便可收集和利用。對于個人敏感信息,則需要建立在明示同意的基礎上,在收集和利用之前,必須首先獲得個人信息主體明確的授權。個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。

  第二,信息更正權。即個人對于其信息享有自主更新的權利,以保證個人信息的準確。《網絡安全法》第42條規定,網絡運營者不得泄露、篡改、毀損其收集的個人信息。

  第三,信息可攜權。即信息主體有權就其被收集處理的個人信息獲得對應的副本,并可以在技術可行時直接要求信息控制者將這些個人信息傳輸給另一控制者。《網絡安全法》第42條規定,未經被收集者同意,網絡運營者不得向他人提供個人信息。

  第四,信息封鎖權。即個人對于其信息存在被侵害可能時,可以要求暫時凍結其信息,以保證個人信息的安全。

  第五,信息保密權。即個人可以請求保證其信息的隱秘性的權利。《網絡安全法》規定,網絡運營者應當承擔嚴格的保密責任(包括必要的保密措施、補救措施及泄露后的通知義務),未經信息主體的同意,不得向他人提供個人信息,但是經過處理無法識別特定個人且不能復原的除外。例如,第三方支付平臺有義務在未經許可的情況下,不得將用戶的賬戶名稱、姓名、身份證號、地區、財產余額等信息進行外泄或者公開,應當嚴格維持其保密狀態。

  第六,信息訪問權。即個人對于其個人信息以及相關的處理情況進行查詢、訪問并得到信息控制者的相應答復的權利。

  第七,信息刪除權。即個人可以請求信息處理主體無條件地刪除其個人相關信息的權利。《網絡安全法》規定,個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息。《信息安全技術公共及商用服務信息系統個人信息保護指南》(GB/Z 28828-2012)規定,在達成個人信息使用目的之后應刪除個人信息。

  第八,信息去隱私化權。即采取數據脫敏處理,對某些敏感信息通過脫敏規則進行數據的變形,實現敏感隱私數據的可靠保護。常見的敏感數據有姓名、身份證號碼、地址、電話號碼、銀行賬號、郵箱地址、所屬城市、郵編、密碼類(如賬戶查詢密碼、取款密碼、登錄密碼等)銀行帳號、交易日期、交易金額等個人信息,都需要進行數據脫敏。


這是半透明背景
互聯網銀行存管系統上線
提現當天到賬 資金更安全 支持更多銀行

為保證您的資金安全,請開通(激活)存管賬戶

香港六彩合彩特码资料 null