個(gè)人數(shù)據(jù)都被這類企業(yè)控制？侵犯?jìng)�(gè)人金融信息罰單181件 銀行竟是大戶

　　原標(biāo)題：個(gè)人數(shù)據(jù)都被這類企業(yè)控制著？侵犯“個(gè)人金融信息”罰單181件 銀行竟是“大戶”

　　數(shù)字經(jīng)濟(jì)時(shí)代，銀行難掩“數(shù)據(jù)”之渴�！般y行正在失去獲客的陣地，金融不再發(fā)生在我們的網(wǎng)點(diǎn)，金融發(fā)生在場(chǎng)景中�！� 一位金融科技從業(yè)者如是說(shuō)。

　　與頭部互聯(lián)網(wǎng)平臺(tái)、政府機(jī)構(gòu)合作將成為銀行重要的破局方式�！敖�立合作的目的不僅僅是共建合作場(chǎng)景，更關(guān)鍵的通過(guò)場(chǎng)景來(lái)獲得客戶和數(shù)據(jù)。”上述人士坦言。但在數(shù)據(jù)安全與個(gè)人信息保護(hù)被提上立法議程的情況下，各家金融機(jī)構(gòu)從合作平臺(tái)和用戶處獲取數(shù)據(jù)或?qū)⒈槐O(jiān)管高度關(guān)注，合規(guī)難度可能增加。

　　國(guó)家金融與發(fā)展實(shí)驗(yàn)室副主任曾剛向券商中國(guó)記者指出，未來(lái)對(duì)數(shù)據(jù)權(quán)屬的明確，或?qū)��?duì)整個(gè)金融體系的數(shù)據(jù)中后臺(tái)建設(shè)帶來(lái)根本性的影響，金融機(jī)構(gòu)的數(shù)字化路徑可能發(fā)生改變。

　　不同立場(chǎng)之間的博弈

　　傳統(tǒng)業(yè)務(wù)模式中，銀行主要依靠客戶自身主動(dòng)提供和上門訪談獲取信息。步入數(shù)字經(jīng)濟(jì)時(shí)代，銀行的業(yè)務(wù)模式已經(jīng)逐步轉(zhuǎn)向圍繞數(shù)據(jù)展開。“有了數(shù)據(jù)之后，就可以精細(xì)用戶畫像，業(yè)務(wù)更能夠?qū)崿F(xiàn)精準(zhǔn)營(yíng)銷，也就是獲客。”有銀行從業(yè)人員表示，現(xiàn)在最重要的就是獲取數(shù)據(jù)，然后通過(guò)數(shù)據(jù)找到客戶、識(shí)別客戶。

　　然而，隨著數(shù)據(jù)重要性不斷提高，想盡辦法獲取數(shù)據(jù)的銀行也被部分用戶指責(zé)“過(guò)度收集個(gè)人信息”。深度科技研究院院長(zhǎng)張孝榮也質(zhì)疑，有些銀行App的登錄設(shè)計(jì)很微妙，不光要指紋識(shí)別，有的還需要人臉識(shí)別�！斑@么做據(jù)稱是為了安全，難道以前不刷指紋與人臉的時(shí)候就不安全了嗎？”張孝榮表示，有些銀行肆無(wú)忌憚的收集用戶信息、LBS通信錄，甚至調(diào)用攝像頭相冊(cè)，“這些權(quán)限涉嫌侵犯用戶隱私，必須予以糾正”。

　　與此同時(shí)，涉嫌侵犯?jìng)�(gè)人信息的合規(guī)性風(fēng)險(xiǎn)也在增加。據(jù)移動(dòng)支付網(wǎng)發(fā)布的《中國(guó)個(gè)人金融信息保護(hù)執(zhí)法白皮書2020》不完全統(tǒng)計(jì)，央行在今年開出的行政處罰罰單中，案由涉及“個(gè)人金融信息”的共181張，涉罰金額合超1.8億元人民幣，處罰對(duì)象包括銀行、證券公司、支付機(jī)構(gòu)、消費(fèi)金融公司等。

　　從監(jiān)管處罰的情況來(lái)看，無(wú)論是處罰金額還是頻次上，銀行都是涉罰“大戶”。從銀行類型來(lái)看，涉及“個(gè)人金融信息”的相關(guān)處罰包括國(guó)有大行、股份行、城商行、村鎮(zhèn)銀行以及信用社等。也就是說(shuō)，銀行在這類相關(guān)違規(guī)問(wèn)題上具有普遍性，并非某一類銀行的問(wèn)題。

　　部分業(yè)內(nèi)人士認(rèn)為，這是市場(chǎng)在便捷性和信息保護(hù)之間進(jìn)行博弈后的選擇，而用戶作為個(gè)人信息的擁有者，也是促成這一結(jié)果的“合謀者”之一�！爱�(dāng)前，我國(guó)民眾之所以能夠享受高度便利的金融支付服務(wù)，很大程度上都是用自身信息安全換來(lái)的�！庇行袠I(yè)研究人士直言，“也可以理解成，在大勢(shì)之下，國(guó)人也習(xí)慣了用一定隱私的暴露來(lái)?yè)Q取生活上的方便”。

　　用戶到底是愿意讓渡隱私，還是缺少選擇權(quán)？有法律人士告訴券商中國(guó)記者，用戶犧牲個(gè)人的一些隱私去換取可享受的消費(fèi)服務(wù)或是便利的電商服務(wù)，可能多半是被迫的�！白匀蝗瞬�沒(méi)有主動(dòng)愿意犧牲個(gè)人隱私去換取享受的便利，很多時(shí)候是被動(dòng)的�！�

　　這位法律人士進(jìn)一步表示，這也是立法導(dǎo)向的結(jié)果�！皬牧⒎ń嵌榷�言，目前國(guó)內(nèi)的法律體系在保護(hù)個(gè)人隱私方面不夠完善、力度不夠大”。

　　隨著數(shù)據(jù)安全和個(gè)人信息保護(hù)制度的不斷完善，這個(gè)博弈過(guò)程還在繼續(xù)，但也將變得更加公平。全聯(lián)并購(gòu)公會(huì)信用管理專業(yè)委員常務(wù)副主任劉新海表示，從企業(yè)的角度來(lái)看，數(shù)據(jù)也是寶貴的資產(chǎn)�！皵�(shù)據(jù)信息是不是企業(yè)應(yīng)該開發(fā)？從消費(fèi)者角度看，不涉及個(gè)人隱私的信息是不是還能交換？”

　　劉新海補(bǔ)充說(shuō)，但作為監(jiān)管部門，有義務(wù)劃定底線，做出一個(gè)最基本的保護(hù)，例如一些特別敏感的數(shù)據(jù)如何采集、保存和使用，還有涉及兒童等弱勢(shì)群體的信息保護(hù)問(wèn)題等。

　　數(shù)據(jù)權(quán)屬待明確

　　從某種程度上來(lái)看，不同立場(chǎng)之間博弈的，其實(shí)是對(duì)于數(shù)據(jù)權(quán)屬的爭(zhēng)奪。

　　“目前，各國(guó)法律似乎還沒(méi)有準(zhǔn)確界定數(shù)據(jù)財(cái)產(chǎn)權(quán)益的歸屬，大型科技公司實(shí)際上擁有數(shù)據(jù)的控制權(quán)�！便y保監(jiān)會(huì)主席郭樹清日前發(fā)表演講時(shí)表示，中國(guó)政府已明確將數(shù)據(jù)列為與勞動(dòng)、資本、技術(shù)并列的生產(chǎn)要素，數(shù)據(jù)確權(quán)是數(shù)據(jù)市場(chǎng)化配置及報(bào)酬定價(jià)的基礎(chǔ)性問(wèn)題�！靶枰�盡快明確各方數(shù)據(jù)權(quán)益，推動(dòng)完善數(shù)據(jù)流轉(zhuǎn)和價(jià)格形成機(jī)制，充分并公平合理地利用數(shù)據(jù)價(jià)值，依法保護(hù)各交易主體利益”。

　　對(duì)數(shù)據(jù)權(quán)屬的討論由來(lái)已久。浙江大學(xué)光華法學(xué)院互聯(lián)網(wǎng)法律研究中心主任高艷東近日撰文直言，郭樹清恰好點(diǎn)中了當(dāng)前數(shù)字經(jīng)濟(jì)的命門：權(quán)屬未定，產(chǎn)業(yè)迷茫。

　　有律師向券商中國(guó)記者指出，目前數(shù)據(jù)權(quán)屬遲遲無(wú)法明確的主要爭(zhēng)議在于：經(jīng)過(guò)企業(yè)處理形成的個(gè)人數(shù)據(jù)歸誰(shuí)所有？“企業(yè)認(rèn)為，針對(duì)用戶的個(gè)人畫像是凝聚了一定投入成本的產(chǎn)出物，所有權(quán)應(yīng)該在企業(yè)。但如果這個(gè)數(shù)據(jù)指向用戶個(gè)人，被用于向用戶精準(zhǔn)營(yíng)銷，用戶是否有權(quán)要求企業(yè)刪除該數(shù)據(jù)呢？”

　　上述律師提到，從國(guó)內(nèi)目前推出的幾部征求意見稿來(lái)看，其實(shí)也顯露出與歐盟GDPR趨同的傾向，即“數(shù)據(jù)所有權(quán)仍然歸屬個(gè)人，企業(yè)僅擁有控制權(quán)，個(gè)人可以要求企業(yè)停止處理、刪除個(gè)人數(shù)據(jù)”。

　　數(shù)據(jù)權(quán)屬問(wèn)題也受到金融行業(yè)的高度關(guān)注，尤其對(duì)于正在數(shù)字化道路上探索的金融機(jī)構(gòu)而言，明確其權(quán)利歸屬所產(chǎn)生的影響或許更加深遠(yuǎn)而重大。曾剛指出，未來(lái)對(duì)數(shù)據(jù)權(quán)屬的明確，或?qū)��?duì)整個(gè)金融體系的數(shù)據(jù)中后臺(tái)建設(shè)帶來(lái)根本性的影響，金融機(jī)構(gòu)的數(shù)字化路徑可能發(fā)生改變。

　　例如，數(shù)據(jù)權(quán)屬的明確將對(duì)數(shù)據(jù)使用權(quán)進(jìn)行界定，或?qū)�決定金融機(jī)構(gòu)的數(shù)據(jù)使用范圍。曾剛對(duì)券商中國(guó)記者表示，在當(dāng)前數(shù)據(jù)使用權(quán)尚未明確的背景下，數(shù)據(jù)的實(shí)際控制權(quán)在大型科技公司手上，這導(dǎo)致了金融機(jī)構(gòu)朝著這些壟斷流量、壟斷數(shù)據(jù)的頭部場(chǎng)景靠攏，數(shù)據(jù)資源也進(jìn)一步向它們集中。

　　“這是因?yàn)槟壳皩?duì)數(shù)據(jù)的使用是沒(méi)有限制的，也就是企業(yè)實(shí)際掌握數(shù)據(jù)的控制權(quán)�！痹鴦傔M(jìn)一步解釋，在這樣的前提條件下，各行各業(yè)的數(shù)字化轉(zhuǎn)型基本上圍繞這些掌握數(shù)據(jù)的企業(yè)展開�！皳Q句話說(shuō)，由它們?nèi)�為金融行業(yè)賦能，實(shí)際上就是基于它們所掌握的龐大數(shù)據(jù)量，說(shuō)是技術(shù)賦能，但技術(shù)誰(shuí)都有，數(shù)據(jù)才是最核心的”。

　　有某持牌消費(fèi)金融公司人士也向記者表示，金融機(jī)構(gòu)應(yīng)該注意到，隨著個(gè)人信息保護(hù)相關(guān)政策法規(guī)的逐步完善，強(qiáng)監(jiān)管環(huán)境下越來(lái)越強(qiáng)調(diào)企業(yè)相關(guān)資質(zhì)的重要性，個(gè)人信息處理的持牌化，也將是必然趨勢(shì)。

　　“有一種潛在可能是，監(jiān)管后續(xù)或?qū)��?duì)不同持牌機(jī)構(gòu)的數(shù)據(jù)使用權(quán)作出不同規(guī)定，也就是說(shuō)，首先要持有牌照，才能拿到數(shù)據(jù)在某些領(lǐng)域的使用權(quán)，如果沒(méi)有，就無(wú)法使用�！痹鴦偼茰y(cè)，當(dāng)前圍繞頭部場(chǎng)景展開的數(shù)字化路徑可能就會(huì)被打破，繼而更多的機(jī)構(gòu)可能會(huì)更加重視自建場(chǎng)景和數(shù)據(jù)獲取渠道。

　　外部合作數(shù)據(jù)引關(guān)注

　　據(jù)了解，銀行業(yè)的數(shù)據(jù)可以籠統(tǒng)分為來(lái)自內(nèi)部體系和外部接入的數(shù)據(jù)，得益于銀行較為規(guī)范的內(nèi)控體系，內(nèi)部數(shù)據(jù)的保管較為嚴(yán)謹(jǐn)，接入外部數(shù)據(jù)這一合作模式則受到更多的關(guān)注。

　　有大行資深從業(yè)人員告訴記者，銀行內(nèi)部對(duì)個(gè)人信息的保管制度已經(jīng)較為完善。具體而言，在客戶資料的保管上，客戶經(jīng)理必須要設(shè)置密碼對(duì)其進(jìn)行保管。“這方面管理很嚴(yán)，也會(huì)定時(shí)檢查與抽查，甚至搞突襲檢查。”

　　此外，銀行內(nèi)部也規(guī)定了員工不能在內(nèi)部單獨(dú)查詢客戶信息，如果需要查詢必須在說(shuō)明理由后由主管授權(quán)。同時(shí)，主管不能操作柜員的系統(tǒng)。

　　一些內(nèi)控方面的規(guī)定也進(jìn)一步降低了信息通過(guò)內(nèi)部人員流出的可能性�！敖�期，也有不允許員工對(duì)著系統(tǒng)屏幕拍照的通知下達(dá)�！比�商中國(guó)記者從某大行人士處了解到，大型銀行在內(nèi)控上十分重視保密工作，對(duì)于客戶資料只能在內(nèi)部傳遞，要求不允許外傳。

　　不過(guò)，寧人律師事務(wù)所金融與科技委員會(huì)副主任馬軍指出，銀行這方面的內(nèi)控僅側(cè)重信息保管方面，而對(duì)個(gè)人信息數(shù)據(jù)的使用仍缺乏完善的制度體系。他介紹，銀行需要滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的要求，俗稱“等保測(cè)評(píng)”，“但這個(gè)測(cè)評(píng)側(cè)重于技術(shù)層面，對(duì)法律合規(guī)性層面缺乏要求”。

　　但隨著法律法規(guī)的完善，銀行業(yè)在外部合作的數(shù)據(jù)獲取和使用方面，可能會(huì)獲得監(jiān)管更高的關(guān)注。曾剛告訴記者，“未來(lái)如何強(qiáng)化對(duì)合作方的管理以及滿足外部數(shù)據(jù)合規(guī)性審查等，也可能是未來(lái)銀行需要重點(diǎn)考慮的問(wèn)題”。

　　“近年來(lái)，銀行在互聯(lián)網(wǎng)端的業(yè)務(wù)發(fā)展迅速，內(nèi)部數(shù)據(jù)很難完全滿足展業(yè)需求，因此銀行一直在拓展場(chǎng)景、接入外部數(shù)據(jù)。目前，銀行通過(guò)自建場(chǎng)景獲取的數(shù)據(jù)還比較少，更多的還是與主流的頭部互聯(lián)網(wǎng)平臺(tái)進(jìn)行對(duì)接以獲取數(shù)據(jù)�！彼�舉例介紹，比如現(xiàn)在廣泛討論的“開放銀行”，在與場(chǎng)景方對(duì)接的過(guò)程中，如果外部接入的數(shù)據(jù)提供方無(wú)法滿足數(shù)據(jù)安全和保護(hù)方面的合規(guī)要求，就可能將合規(guī)風(fēng)險(xiǎn)傳導(dǎo)到銀行。

　　“所以，強(qiáng)化合作的外部數(shù)據(jù)提供方可能是銀行下一步要去重點(diǎn)關(guān)注的�！痹鴦偨ㄗh，銀行在選取合作方時(shí)，可通過(guò)建立白名單等方式嚴(yán)格準(zhǔn)入要求，同時(shí)在使用數(shù)據(jù)時(shí)也要緊緊圍繞監(jiān)管要求來(lái)展業(yè)。

　　中小銀行或面臨更大挑戰(zhàn)

　　“一些中小銀行受限于自主研發(fā)能力，也在尋求其他利潤(rùn)合作聯(lián)盟的方式和與金融科技企業(yè)合作，利用第三方的資源�！�12月11日，國(guó)務(wù)院參事、銀保監(jiān)會(huì)原副主席王兆星在“第四屆中國(guó)數(shù)字銀行論壇”上指出，這可能是下一步中小商業(yè)銀行選擇之一，但也蘊(yùn)含很多不確定因素和風(fēng)險(xiǎn)。

　　曾剛也坦言，相比大行來(lái)說(shuō)，中小銀行數(shù)據(jù)治理能力相對(duì)較差，在合規(guī)使用外部數(shù)據(jù)方面問(wèn)題較多，加上在合作關(guān)系中不如大行強(qiáng)勢(shì)，可能存在更多的風(fēng)險(xiǎn)�！昂芏鄧�(guó)有銀行、股份制行的數(shù)據(jù)治理很多年前就開始了。”

　　曾剛指出，數(shù)字化的核心是要把數(shù)據(jù)打通，過(guò)去銀行數(shù)據(jù)是“煙囪式”的，數(shù)據(jù)匯集在各個(gè)部門，但各個(gè)部門之間沒(méi)有一個(gè)共同的平臺(tái)將數(shù)據(jù)以標(biāo)準(zhǔn)的格式統(tǒng)一。“這也就導(dǎo)致很多銀行有大量的數(shù)據(jù)，但卻沒(méi)法用”。也即是說(shuō)，大型銀行梳理和構(gòu)建數(shù)據(jù)基礎(chǔ)的行動(dòng)比中小銀行早得多，也走得相對(duì)更遠(yuǎn)。

　　未來(lái)，中小銀行也應(yīng)參考大銀行的一些標(biāo)準(zhǔn)，逐步建立起涉及外部合作準(zhǔn)入的一些要求。“國(guó)家在數(shù)據(jù)安全方面也可能會(huì)出臺(tái)一些政策，去積極構(gòu)建與之相應(yīng)的一些風(fēng)險(xiǎn)管理要求，也能夠及時(shí)的把在外部數(shù)據(jù)對(duì)接方面出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行有效防控�！痹鴦偙硎�。

　　“很多中小銀行的數(shù)字化做不起來(lái)，除了人才團(tuán)隊(duì)、業(yè)務(wù)意識(shí)和技術(shù)因素外，還有一個(gè)原因就是數(shù)據(jù)不過(guò)關(guān)�！币嘤谐巧绦腥耸勘硎荆�但銀行的數(shù)字化建設(shè)知易行難，就以數(shù)據(jù)治理為例，不僅需要漫長(zhǎng)的工作積累，還需要內(nèi)部協(xié)同。

　　“從根本上來(lái)說(shuō)，中小銀行還是要提高自主意識(shí)，在個(gè)人信息保護(hù)的方面加強(qiáng)技術(shù)與合規(guī)團(tuán)隊(duì)的建設(shè)�！瘪R軍表示，一些地方性中小銀行“技術(shù)靠別人、咨詢也靠別人，自主意識(shí)特別弱”。此外，銀行體系內(nèi)部常�！胺▌�(wù)部門不管技術(shù)部門，技術(shù)部門不管法務(wù)部門”，他指出，“必須有兩部門的統(tǒng)一協(xié)調(diào)，銀行才能建立起較為完善的個(gè)人信息保護(hù)制度”。

　　法律制度尚待細(xì)化

　　當(dāng)談到行業(yè)規(guī)范會(huì)不會(huì)對(duì)銀行的數(shù)字化轉(zhuǎn)型進(jìn)展產(chǎn)生影響時(shí)，多位業(yè)內(nèi)人士向記者表示，合規(guī)是使行業(yè)變得有序的過(guò)程，能夠促使企業(yè)在有法可依的范圍內(nèi)更好、更安全地使用數(shù)據(jù)，與發(fā)展是相互促進(jìn)的良性循環(huán)。

　　一位支付機(jī)構(gòu)人士表示，實(shí)際上，對(duì)于頭部企業(yè)來(lái)說(shuō)，信息泄露事件對(duì)品牌和口碑都有負(fù)面影響。所以，“它們其實(shí)很愿意提高合規(guī)能力”。亦有律師指出，“過(guò)去野蠻生長(zhǎng)的狀態(tài)下，金融機(jī)構(gòu)也非常擔(dān)心被罰，特別是一罰就是上千萬(wàn)的頂格處罰”，如果法律法規(guī)層面逐漸完善，雖然會(huì)增加金融機(jī)構(gòu)的合規(guī)成本，但其違法成本也會(huì)降低，“因?yàn)樾袠I(yè)終于‘有法可依’了”。

　　但目前，監(jiān)管層面還缺乏更細(xì)化的規(guī)章和明確的分工。有法律人士表示，雖然《數(shù)據(jù)安全法(草案)》中提到，由行業(yè)主管部門來(lái)進(jìn)行數(shù)據(jù)安全的監(jiān)管，但不同部門可能出現(xiàn)監(jiān)管的交叉重疊，例如由于目前頒布的相關(guān)草案較為籠統(tǒng)，行政機(jī)關(guān)和執(zhí)法機(jī)關(guān)如何分工等尚未明確，所以不排除有可能會(huì)多頭交叉監(jiān)管。他補(bǔ)充，這點(diǎn)也還需要按進(jìn)一步的部門規(guī)章如何細(xì)化。

　　馬軍也認(rèn)為，從監(jiān)管現(xiàn)狀來(lái)看，確實(shí)存在各部門管轄權(quán)界定不清，造成一些部門“各處插手”，結(jié)果“九龍治水”的問(wèn)題。但馬軍指出，多頭監(jiān)管也不一定是問(wèn)題所在，而是趨勢(shì)所向，因?yàn)閭�(gè)人信息保護(hù)制度的建立必然需要各部門分工合作。

　　劉新海表示，因?yàn)橹袊?guó)幅員遼闊，在一個(gè)基本的法律框架下，不同地區(qū)、不同行業(yè)對(duì)數(shù)據(jù)的積累程度和需求情況各有不同。“經(jīng)濟(jì)發(fā)達(dá)地區(qū)，有些監(jiān)管需要更加嚴(yán)格，經(jīng)濟(jì)不發(fā)達(dá)地區(qū)可以寬松一點(diǎn)，支持其發(fā)展，每個(gè)行業(yè)也有各自特性，對(duì)數(shù)據(jù)敏感程度不一。因此各部門、各地方政府后續(xù)結(jié)合各自特征再推出細(xì)化的規(guī)章制度或許是更符合現(xiàn)實(shí)的考量�！�

　　此外，劉新海還提到，除了法律規(guī)章外，要完善個(gè)人信息保護(hù)制度還需“軟硬兼施”。他指出，很多信息泄露事件是發(fā)端于快遞員、電商平臺(tái)小商家等環(huán)節(jié)，對(duì)于這類情況很難僅通過(guò)上層法律設(shè)計(jì)進(jìn)行約束，而需要建立起職業(yè)道德教育、監(jiān)督懲罰機(jī)制等配套設(shè)施�！昂�(jiǎn)而言之，個(gè)人要教育、平臺(tái)要約束、司法要跟進(jìn)，這個(gè)過(guò)程需要慢慢完成，相信未來(lái)也會(huì)慢慢完善�！�

　　（文章來(lái)源：券商中國(guó)）