数字经济与个人信息之间的适恰与过甚——专访中国互联网协会研究中心秘书长、联合国网络安全与网络犯罪问题高级顾问吴沈括
2019-05-30 15:15

  数字经济与个人信息之间的适恰与过甚——专访中国互联网协会研究中心秘书长、联合国网络安全与网络犯罪问题高级顾问吴沈括

  在经济和金融互联网化的新时代,金融消费者个人信息泄露事件屡屡发生,引起社会各界对个人金融信息安全的广泛关注。4月16日人民银行官网公布2019年规章制定工作计划,计划显示将制定个人金融信息(数据)保护试行办法和信用评级业管理暂行办法。

  据预测,中国的互联网数据信息市场未来5年内,仍将保持高速增长,到2020年,在裹挟着个人信息下的大数据产业规模将接近5万亿元。大数据的技术发展与物联网、AI人工智能等新技术领域的联系将更加紧密。如何切实保护用户权益、促进数据合规运用、建立公平有序的竞争环境,已成为摆在数据合规发展面前的问题之一。

  北京师范大学吴沈括教授是中国互联网协会研究中心秘书长、联合国网络安全与网络犯罪问题高级顾问、中华人民共和国最高人民法院咨询监督专家。在他看来,技术的多样和丰富,导致立法无法对相关问题予以规定,进而导致监管力度不强劲,浑水摸鱼的现象频有发生。

  经济、网络和数据高速发展的时代,经济体、技术和个人的数据信息,都将更紧密的联系在一起。在网络经济的浪潮中,经济商品交易和服务、消费者权益、个人信息保护、私人数据处理等方面出现了一些新情况、新问题。从淘宝的“猜你喜欢”到新闻客户端的“精准推送”;从银行泄露客户信息盗刷银行卡,到未经授权查询查询个人信用报告,这些看似不直接相关的现象,其中隐含着怎样的个人数据‘密码’,正是我们需要一起探究并试图把握的。

  网络数据作为新时代的新型财富资源。对此,吴沈括分析认为,要加快推进完善数据领域立法、严格企业的数据存储安全规范、优化行业自律效用,构建大数据安全依法有效的个人信息保护体系的建设。政府、行业、企业多方努力加强协作,为互联网时代金融经济发展保驾护航,成为大数据时代发展的必然趋势。

  财经网:互联网加金融,是金融业顺应时代的一个重要创新,这种创新给今天个人信息保护体系带来的最大改变是什么?

  吴沈括:互联网加金融使得原有的金融行业从原始的现金交易模式转变为了以第三方交易为主要模式的多元交流平台。因而,大数据“杀熟、多家外卖平台信息、数据买卖交易等问题频发,这将导致个人信息的安全风险转变为技术风险,数据安全问题与技术问题相互影响,导致数据保护问题的着力点应当集中于对网络环境下个人数据的流转方式等。从数据保护模式来说,传统的个人信息的保护架构并不能完全适应现在的技术水平,以至于很多行为的发生,会面临无法可依的窘境。对于法律的使用情况,技术应当如何规制以及规制程度等成为此类情境下探讨的重点。

  财经网:互联网的迅速发展为金融消费者提供了方便、快捷的金融服务,但同时也加剧了消费者个人信息泄露的风险。造成个人信息泄露的成因有哪些?

  吴沈括:1.技术风险:计算机等相关技术的发展,本身蕴含着一定的技术风险,计算机网络采用的不同技术也将影响系统本身的安全性。在技术水平低下的信息系统中,数据非常容易被攻击以及泄漏,由于技术难度较低,此类数据库也就成为了攻击重点对象。2.信息技术应用广泛性:信息技术的发展愈发迅速,使得技术的学习与应用不限于特定的门槛,因此技术滥用则会导致钓鱼网站等的泛滥,即对个人信息的存储等造成了一定威胁。在此种情况下,正是由于各类应用程序等均需要借助技术,因此可攻击的节点也愈发增多,信息的安全问题岌岌可危。3.监管不足:互联网的发展已远远超过了法律的管控速度,甚至会面临“灯下黑”的情况,对于违法或不合理的行为,并不能完全规制。

  财经网:区别于传统金融时代,互联网时代金融消费者个人信息泄露有哪些新的特点?

  吴沈括:1规模大。规模扩大的主要原因是互联网技术的高速发展,信息的传播性增强,导致受众的规模扩充至了较大范围,因此个人信息一旦泄露,被利用的范围则较传统时代扩展的愈发明显。2.传播快。传播速度一般是基于网络传播而言的,宽带互联网可连接不同时区和地区的用户,缩小了明显的时差,反而提升了信息交流额实时性,因此被泄露的信息在我们尚未察觉的情况下就已经被广泛传播。3.后果更为严重。正是因为规模以及速度的增强,才导致一旦信息发生泄漏则后果无可估量,同时鉴于金融信息所具有的重要性以及对公民生活的巨大影响力,此类信息的泄漏后果将更严重于一般程度的信息。4.不可控性更强。不可控性一般是指在信息泄漏事故发生后,相关主体采取急救措施的及时性以及有效性。网络技术催生了诸多形式的信息传播路线与目的地,这将导致数据控制者等在信息发生泄漏后并不能完全彻底的采用有效且迅速的方式,对事故所造成的损失予以有效的降低。

  吴沈括:首先在立法层面,我国法律框架对有关于互联网时代下的金融消费者的个人信息的规制并不足够完善。涉个人信息相关环节在信息技术的应用下具有一定多样性和挑战性,立法方面在技术规制方面存在一定难度。如何评价技术手段的效用是立法中应当着重考虑的关键点,但这也是目前来说比较难的点。其次,信息技术的介入,使得数据泄露方式衍生出了很多目前我们无法预测的途径。途径的多样化带来的就是监管方式的变化,我国目前的监管措施及力度并不能对各类情况以及各类语境做全面的覆盖,这将导致一些类型的行为将逃脱管制。最后,正是由于技术的多样和丰富,导致立法无法对相关问题予以规定,进而导致监管力度不强劲,浑水摸鱼的现象频有发生。

  财经网:《2016年中国互联网网络安全报告》指出,2016年公安机关共侦破侵犯个人信息的案件1800多起,查获各类公民个人信息300亿余条。这些数据表明我国个人信息保护面临着巨大的挑战,这其中涉及金融方面的信息安全,对个人和我国整体经济的安全有哪些危害和影响?

  吴沈括:金融信息对于公民来说,具有不同于普通公民信息的特性。涉及金钱等问题对于公民来说是涉及生活等各个方面的重要因素,因此此类信息的泄露所造成的影响对公民的影响也是非常巨大的。金融安全本是我国所关注的重点问题,而个人信息在目前也具有重大影响力,其会导致公民对社会失去应有的信任,进而则会影响原有的消费,对我国整体的经济安全也有重大危害。

  财经网:关于网贷领域用户信息的保护条例日益完善充实,在做好风控的前提下保护个人隐私,关于借贷双方的信息采集和处理方面,您认为网贷机构应该遵守的核心逻辑是什么?

  吴沈括:首先,作为数据收集者以及数据控制者,网贷机构手握公民重要的身份信息以及私密信息,因此做好此类信息的存储是尤为重要的一环。其次,此类信息的使用应当征得数据主体的同意,不可滥用或擅用,避免对数据主题造成不可挽回的损失。最后,数据的采集内容应当以最小目的性为一般限制,无关的信息不可收集。

  财经网:互联网金融间接促进了信用数据的积累和信用体系的建设。关于金融征信,央行近期公开回应了新的征信系统,据悉,新的征信系统将加入更多个人信息。如何在金融征信与个人信息保护两端找到平衡点?

  吴沈括:首先应明确必要的个人信息的范畴,应当纳入征信系统的信息可予以纳入,不必要的信息或过于敏感的信息应不予纳入或经审核后纳入。其次,应做好金融征信相关信息存储系统以及相关信息录入人员的安全保证以及审核问题,避免系统安全以及人员不可靠等问题造成相关信息的泄露。最后,应广泛征求公众意见,对于应纳入征信系统的信息做民意调查,以做到效率最高的实现征信系统的价值。

  财经网:就金融行业来看,我国当下有关个人信息保护的整体制度框架处于一个什么样的发展阶段?

  吴沈括:就金融类个人信息的保护,我国目前尚未生效的18年发布的《信息安全技术 个人信息安全规范》的国家标准提出了金融类消费者的相关信息的存储原则以及金融平台应当履行的有效性以及最小要求收集个人信息的相关原则。此外还提出了最小授权原则用于规制信息的对外提供。除上述标准外,2018年7月,中国人民银行发布了《关于加强跨境金融网络与信息服务管理的通知》,针对跨境金融网络与信息服务过程中的相关主体对信息的保护提出了一定的规制和要求。

  财经网:您是联合国网络安全与网络犯罪问题高级顾问,同时在欧洲高校任教。以全球视野看中国,在金融领域个人信息安全方面,国内和国外相比最大的不同是什么?有哪些值得我们学习借鉴?

  吴沈括:以美国来看,美国作为一个金融市场非常成熟的国家,其在金融类个人信息的保护方面提出了较为完善的保障制度体系,诸如通过逐步实施信息披露和隐私权保护制度来满足金融业迅速发展的需要。从欧盟来看,欧盟GDPR对相关信息的保护较为全面,其制度建构以及框架设计等对我国相关制度的完善有一定的借鉴意义。诸如提出个人金融信息的风险评估机制、数据保护认证机制以及安全保障机制等,对数据处理者、数据控制者等提出了应当遵循的义务要求。

  财经网:目前我国在个人信息保护政策制度包括监管方面还有哪些有待完善的地方?

  吴沈括:1.监管范围不够明确,暂时还无法确定技术与信息安全问题的平衡点。同时关于什么类型的数据以及数据范围应该纳入信息保护的管辖范畴,也尚无准确的定论。目前来看,除金融数据外,还有诸多类型的敏感信息的保护存有争议,诸如个人生物信息等。因此这一方面还需继续予以讨论。2.监管力度不够,目前对数据泄露问题的发生,规制力度尚不能达到惩罚的程度,且我国目前对个人信息的保护多以软法形式出现,而强制法律规制内容过于单一。我国刑法中对很多在网络环境下的特有行为并没有做出明确规定,诸如个人信息的非法持有行为等,这就为这一类行为的管控提供了模糊的界限,而不能保证一些对数据主体利益有损害的行为予以及时规制。

  吴沈括:首先,对于信息的非法使用,信息主体有权直接向信息使用者提出删除或停止使用的要求。其次,作为消费者,在发现其相关信息被泄露或者非法使用时,可依据《消费者权益保护法》以及《民事诉讼法》中有关证据的相关解释,对侵权行为主体提起民事诉讼。

  吴沈括:1.应尽快加强相关立法的建设,使诸多问题的规制能够有法可依。个人信息保护体系的建设对于各类语境下的个人信息的保护可提供指导性建议,这将为互联网金融环境下的个人信息的保护提供更为坚实的后盾。2.加强数据处理者或数据控制者的监管,从信息的使用以及流转环节中,对信息实行进一步的保护。数据处理者和数据控制者在数据流转环节扮演着非常重要的角色,其从整个流程中掌握着数据的流向以及数据流转的内容,对于个人信息主体权利的实现来说,有重要影响力。从数据流转可能的结果等来说,也影响着数据泄露问题是否会发生、具体损害结果的严重与否等问题。3.企业等金融第三方平台等应制定严格的数据存储安全规范以及应急措施等。4.互联网协会等应在行业自律方面起到有效预防、有效管控以及有效善后的积极作用。

      任你博,任你博娱乐,任你博官网