近期，個(gè)人信息保護(hù)法草案已提請十三屆全國人大常委會第三十次會議三審，該草案是個(gè)人信息保護(hù)方面的專門法律，幾經(jīng)修改完善個(gè)人信息處理規(guī)則，尤其是嚴(yán)格限制APP過度收集個(gè)人信息，“大數(shù)據(jù)殺熟”等數(shù)據(jù)濫用亂象。

[[418713]]

個(gè)人信息是互聯(lián)網(wǎng)企業(yè)輸出用戶畫像、制定營銷策略以及識別風(fēng)險(xiǎn)的重要依據(jù)，部分企業(yè)為了商業(yè)價(jià)值最大化，過度挖掘和濫用個(gè)人數(shù)據(jù)，導(dǎo)致用戶的隱私、財(cái)產(chǎn)被侵犯。在金融領(lǐng)域，數(shù)據(jù)的重要性更加突出，大數(shù)據(jù)公司和金融機(jī)構(gòu)濫用數(shù)據(jù)的危害性也就更大。

早期，金融市場中的大數(shù)據(jù)風(fēng)控服務(wù)商十分活躍，非法爬蟲導(dǎo)致金融消費(fèi)者的個(gè)人信息被盜取，監(jiān)管出手整治后大數(shù)據(jù)風(fēng)控亂象才得以消停。而后，金融機(jī)構(gòu)和金融科技企業(yè)侵犯用戶隱私現(xiàn)象屢禁不止，招聯(lián)、分期樂、360借條等機(jī)構(gòu)和產(chǎn)品均遭點(diǎn)名。

個(gè)人信息保護(hù)法即將出臺，加之此前已出臺的數(shù)據(jù)安全法，我國逐漸在個(gè)人信息保護(hù)和數(shù)據(jù)安全方面形成了由法律、行政法規(guī)、規(guī)范性文件在內(nèi)的多層次法律規(guī)范體系。這也從根本上斬?cái)鄶?shù)據(jù)濫用的產(chǎn)業(yè)鏈條，對數(shù)據(jù)殺熟、非法爬蟲等違規(guī)采集和使用數(shù)據(jù)的行為精確定性量刑。

多部法律聯(lián)合保障信息安全

在本次個(gè)人信息保護(hù)法審議前，全國人大常委會法制工作委員會舉行記者會介紹關(guān)于《個(gè)人信息保護(hù)法》有關(guān)情況。個(gè)人信息保護(hù)法草案三次審議稿擬修改內(nèi)容涉及對“利用個(gè)人信息進(jìn)行自動化決策”的規(guī)范。

具體來看，就是部分應(yīng)用產(chǎn)品，利用用戶畫像、算法推薦等技術(shù)，涉嫌信息騷擾、“大數(shù)據(jù)”殺熟。針對上述亂象，個(gè)人信息保護(hù)法完善個(gè)人信息處理規(guī)則，尤其限制過度收集個(gè)人信息和“大數(shù)據(jù)殺熟”。

根據(jù)個(gè)人信息保護(hù)法的定義，企業(yè)自動化決策的概念是指通過程序自動分析、評估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動。

值得注意的是，基于數(shù)據(jù)的自動化決策并沒有被法律一棒子打死，而是采取合規(guī)的方式督促其健康發(fā)展。在法律層面，自動化決策應(yīng)當(dāng)遵守個(gè)人信息處理的一般規(guī)則，包括應(yīng)遵循合法、正當(dāng)、必要和誠信原則，目的明確和最小化處理原則，公開透明原則，信息質(zhì)量原則，責(zé)任原則等。

同時(shí)，個(gè)人信息保護(hù)法也明令禁止企業(yè)的霸王服務(wù)協(xié)議。企業(yè)在自動化決策時(shí)，包括用戶畫像、算法推薦等，應(yīng)當(dāng)在充分告知個(gè)人信息處理相關(guān)事項(xiàng)的前提下取得個(gè)人同意，不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)。

就金融領(lǐng)域的信息保護(hù)而言，除了個(gè)人信息保護(hù)法外，還包括數(shù)據(jù)安全法、征信業(yè)務(wù)管理辦法以及個(gè)人金融信息保護(hù)相關(guān)法律法規(guī)。今年年初，央行就《征信業(yè)務(wù)管理辦法(征求意見稿)》公開征求意見，《辦法》指出征信機(jī)構(gòu)采集信用信息，應(yīng)當(dāng)遵循“最少、必要”的原則，不得過度采集。

在實(shí)際的金融消費(fèi)活動中，如果涉及助貸平臺，個(gè)人信息采集和使用的環(huán)節(jié)就會增加，這自然也會導(dǎo)致消費(fèi)者個(gè)人信息隱患增加。征信業(yè)務(wù)被整頓后，監(jiān)管要求金融科技企業(yè)按照個(gè)人征信業(yè)務(wù)整改工作要求，不得將個(gè)人主動提交的信息、平臺內(nèi)產(chǎn)生的信息或從外部獲取的信息以申請信息、身份信息、基礎(chǔ)信息、個(gè)人畫像評分信息等名義直接向金融機(jī)構(gòu)提供。

另外，《數(shù)據(jù)安全法》已于今年6月份正式通過，將于2021年9月1日開始施行?！稊?shù)據(jù)安全法》是我國第一部數(shù)據(jù)安全領(lǐng)域的專門法律，該法兼顧數(shù)據(jù)保護(hù)和數(shù)據(jù)應(yīng)用，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

央行副行長陳雨露曾明確表示，加強(qiáng)個(gè)人征信信息保護(hù)、確保征信信息安全是征信工作的底線。從個(gè)人信息保護(hù)到征信、風(fēng)控業(yè)務(wù)管理，金融市場中的數(shù)據(jù)安全將被全方位監(jiān)督。

大數(shù)據(jù)違規(guī)牟利被封堵

從互聯(lián)網(wǎng)企業(yè)涉及的大數(shù)據(jù)亂象可以看出，主要分為數(shù)據(jù)采集和使用兩個(gè)層面。在數(shù)據(jù)采集上，金融市場曾出現(xiàn)非持牌機(jī)構(gòu)與持牌機(jī)構(gòu)均違規(guī)、過度獲取用戶信息，尤其部分大數(shù)據(jù)服務(wù)商，利用非法爬蟲批量抓取用戶數(shù)據(jù)，然后倒賣至信貸鏈條上的助貸平臺、催收方等。

2019年，由于大數(shù)據(jù)風(fēng)控行業(yè)存在涉眾性隱患，警方介入，抓走了一大批大數(shù)據(jù)風(fēng)控企業(yè)的高管，并迫使大數(shù)據(jù)風(fēng)控在風(fēng)口關(guān)頭緊急剎車。那些涉案數(shù)據(jù)服務(wù)商與爬蟲業(yè)務(wù)及侵犯公民個(gè)人信息有關(guān)。

除了警方介入，監(jiān)管部門也加大大數(shù)據(jù)應(yīng)用的風(fēng)險(xiǎn)排查。央行對銀行及征信機(jī)構(gòu)下發(fā)緊急通知，要求銀行排查是否與第三方數(shù)據(jù)公司開展合作，排查的合作內(nèi)容涉及數(shù)據(jù)采集、信用欺詐、信用評分、風(fēng)控建模等方面。

在前幾年，金融借貸類App讀取用戶通訊錄的現(xiàn)象比較普遍，隨著用戶隱私意識加強(qiáng)和相關(guān)信息保護(hù)法規(guī)出臺，強(qiáng)制讀取通訊錄事件減少。

個(gè)人數(shù)據(jù)被違規(guī)抓取、肆意泄露，在一定程度上源于當(dāng)時(shí)缺乏數(shù)據(jù)安全和金融消費(fèi)者個(gè)人信息保護(hù)相關(guān)的配套法律，消費(fèi)者和企業(yè)的數(shù)據(jù)安全保護(hù)邊界意識模糊。因此，早期個(gè)人信息保護(hù)主要由監(jiān)管和警方引導(dǎo)。

相比違規(guī)采集個(gè)人信息，不規(guī)范使用個(gè)人信息能直接給消費(fèi)者帶來財(cái)產(chǎn)甚至人身傷害。部分金融企業(yè)未列明App收集使用個(gè)人信息的目的、方式和范圍，在用戶未使用相關(guān)功能時(shí)提前開啟通訊錄、定位、短信、錄音、相機(jī)等權(quán)限。這些信息均關(guān)系到用戶個(gè)人敏感信息，一旦被濫用，很可能流入黑灰產(chǎn)業(yè)，或者引發(fā)無休止的騷擾電話。

目前，金融領(lǐng)域的個(gè)人信息保護(hù)，不僅在立法層面得到保障，而且金融機(jī)構(gòu)、行業(yè)協(xié)會、消費(fèi)者都越來越重視，這為數(shù)據(jù)安全編織了一個(gè)穩(wěn)固的網(wǎng)絡(luò)。如果有機(jī)構(gòu)踩紅線侵犯用戶個(gè)人信息，將面臨史無前例的嚴(yán)懲。

借助金融數(shù)據(jù)，金融服務(wù)的觸達(dá)能力得到延伸，金融機(jī)構(gòu)可以根據(jù)數(shù)據(jù)的風(fēng)險(xiǎn)偏好特征為用戶推送金融產(chǎn)品。即便如此，個(gè)人信息保護(hù)和數(shù)據(jù)安全始終是數(shù)據(jù)賦能的前提。