顾雷:多措并举保护个人信息
发布时间:2021-09-02 08:39:22 作者: 来源:中国银行保险报网
□顾雷
大数据深刻地改变着我们的生活、生产和思维方式,同时也增加了个人信息泄露的风险。今天,从移动互联网、无人驾驶、面部识别到可穿戴设备、智能家居、医疗监测器械,数据驱动的创新背后,人们担心物联网设备泄露个人健康信息,尤其是在经济利益驱使下,一些不法平台或机构从事超出消费者授权的个人数据的共享、信用卡欺诈、数据杀熟、名誉损害、出售贩卖个人信息等违法行为,衍生出敲诈、勒索、诈骗等违法犯罪行为。显然,个人信息保护已成为社会最关心、最敏感的现实问题之一,尤其是普通大众,他们经常为无所不在的不当数据处理深感不安。为此,加强个人信息保护已成为全社会的共同愿望。我国8月20日公布了第一部《中华人民共和国个人信息保护法》,重构数字时代社会互信,实现以人为本的大数据交流文明、互动文明和分享文明,实现数据信息交流与市场经济发展的正相关关系,从四个层面筑牢金融市场发展的数据根基、信息根基和规则根基,全面开通市场主体健康成长的安全通道。
第一层面,确立个人信息保护原则,保障全社会每一个人免受不法数据侵犯。
虽然个人信息收集、处理和应用涉及社会每一个人,但对社会普通大众群体而言意义至关重要,因为他们更容易遭受到交易诈骗、买卖胁迫、合同欺诈以及数据不实的侵犯。因此,《中华人民共和国个人信息保护法》强调每一个人信息使用处理应当遵循合法、正当、必要和诚信原则,在制度层面保护个人金融信息安全,收集、使用个人信息,遵循合法、正当、必要及最小化的原则,诸如向个人明示收集与使用个人信息的目的、方式、范围和规则,进行数据分级分类、数据匿名化、知情同意、规范操作、应急补偿,逐渐消除个别企业利用大数据分析、评估消费者的个人投资偏好、消费习惯、经济状况,以及对价格的敏感程度等信息用于商业营销,杜绝“大数据杀熟”行为,最终消灭对消费者在交易价格实行歧视性的差别待遇,误导、欺诈消费者行为,确保个人数据权益保护与数据流动的动态平衡。这是我国个人信息安全与保护立法上的一次进步,十分符合普惠金融建立一个能有效为社会所有阶层,特别是为贫困人群、低收入群体和城镇居民提供服务的宗旨,有效实现“得用户者得天下”圭臬,最大限度保障全体社会成员的信息安全。
第二层面,将“隐私权保护”调整为“个人信息保护”,着眼于更大规模社会市场主体信息安全。
《中华人民共和国个人信息保护法》并不是单纯针对某一部分人群或特定群体的隐私保护,从“隐私权保护”调整为“个人信息保护”,扩大了个人信息保护范围,表面是对文本名称的简单改变,实际体现信息立法从局限于某一部分群体信息权利的“最优化”保护嬗变到对全体社会大众信息权利的“最大化”保护。这种变化不仅符合我国民法典人格范畴,也符合普惠金融为全社会最大多数人群服务的宗旨,对我国全社会法治建设和个人权利保护将产生深远影响。
第三层面,严格保护敏感个人信息,确保社会普通大众群体合法权利。
在一个社会中,如果个人的生物识别、金融账户、行踪轨迹等信息泄露或者被非法使用,他们的人身、财产安全会遭受严重侵犯,对整个社会稳定也将产生负面影响。为此,《中华人民共和国个人信息保护法》将每一个人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理和使用。显然,《中华人民共和国个人信息保护法》不仅确立了敏感信息、匿名化信息、去标识化信息等类别,还确立了数据泄露通知、个人隐私影响评估、文档化记录等保护义务,成为一条具有普惠性、兼容性的保护条款,最大限度保护千千万万普罗大众的信息安全。
第四层面,加大科技信息投入,全方位保护每一位消费者信息安全。
数字普惠金融发展,离不开每一位消费者支持。《中华人民共和国个人信息保护法》高度重视消费者个人信息保护,通过多渠道、多形式和多方面对消费者权益进行了全方面保护,让消费者体验到金融服务温暖和市场诚信,健全个人信息数据安全的管理体系。例如,《中华人民共和国个人信息保护法》要求建立IT治理、管理、技术三个层次及包含多个细分领域的信息安全管理体系,从组织、制度、流程、工具层面多管齐下,对数据密级定义、分级、对应保护措施、数据全生命周期保护策略进行明确规定,针对消费者金融信息的收集、存储、传输、使用、共享、销毁等保护要求和操作规范方面进行专门规定,利用大数据模型挖掘分析,智能识别其中包含的消费者敏感信息等,设立消费者敏感信息人工智能辅助监察系统,构筑有效的消费者信息安全防线。
中国人民大学中国普惠金融研究院一项最新研究显示:《中华人民共和国个人信息保护法》公布以来,已经有越来越多的互金平台或互联网机构凭借科技优势自研了独有的敏感数据透明加密存储系统,加强了以字段为单位对个人信息加密保存,并通过国家计算机病毒应急处理中心(CVERC)的APP安全认证(安全检测)、APP信息安全认证(隐私保护),努力搭建数据信息合则生、不合则亡的市场原则,着力提高个人信息安全性。
(作者单位:中国人民大学中国普惠金融研究院)
□顾雷
大数据深刻地改变着我们的生活、生产和思维方式,同时也增加了个人信息泄露的风险。今天,从移动互联网、无人驾驶、面部识别到可穿戴设备、智能家居、医疗监测器械,数据驱动的创新背后,人们担心物联网设备泄露个人健康信息,尤其是在经济利益驱使下,一些不法平台或机构从事超出消费者授权的个人数据的共享、信用卡欺诈、数据杀熟、名誉损害、出售贩卖个人信息等违法行为,衍生出敲诈、勒索、诈骗等违法犯罪行为。显然,个人信息保护已成为社会最关心、最敏感的现实问题之一,尤其是普通大众,他们经常为无所不在的不当数据处理深感不安。为此,加强个人信息保护已成为全社会的共同愿望。我国8月20日公布了第一部《中华人民共和国个人信息保护法》,重构数字时代社会互信,实现以人为本的大数据交流文明、互动文明和分享文明,实现数据信息交流与市场经济发展的正相关关系,从四个层面筑牢金融市场发展的数据根基、信息根基和规则根基,全面开通市场主体健康成长的安全通道。
第一层面,确立个人信息保护原则,保障全社会每一个人免受不法数据侵犯。
虽然个人信息收集、处理和应用涉及社会每一个人,但对社会普通大众群体而言意义至关重要,因为他们更容易遭受到交易诈骗、买卖胁迫、合同欺诈以及数据不实的侵犯。因此,《中华人民共和国个人信息保护法》强调每一个人信息使用处理应当遵循合法、正当、必要和诚信原则,在制度层面保护个人金融信息安全,收集、使用个人信息,遵循合法、正当、必要及最小化的原则,诸如向个人明示收集与使用个人信息的目的、方式、范围和规则,进行数据分级分类、数据匿名化、知情同意、规范操作、应急补偿,逐渐消除个别企业利用大数据分析、评估消费者的个人投资偏好、消费习惯、经济状况,以及对价格的敏感程度等信息用于商业营销,杜绝“大数据杀熟”行为,最终消灭对消费者在交易价格实行歧视性的差别待遇,误导、欺诈消费者行为,确保个人数据权益保护与数据流动的动态平衡。这是我国个人信息安全与保护立法上的一次进步,十分符合普惠金融建立一个能有效为社会所有阶层,特别是为贫困人群、低收入群体和城镇居民提供服务的宗旨,有效实现“得用户者得天下”圭臬,最大限度保障全体社会成员的信息安全。
第二层面,将“隐私权保护”调整为“个人信息保护”,着眼于更大规模社会市场主体信息安全。
《中华人民共和国个人信息保护法》并不是单纯针对某一部分人群或特定群体的隐私保护,从“隐私权保护”调整为“个人信息保护”,扩大了个人信息保护范围,表面是对文本名称的简单改变,实际体现信息立法从局限于某一部分群体信息权利的“最优化”保护嬗变到对全体社会大众信息权利的“最大化”保护。这种变化不仅符合我国民法典人格范畴,也符合普惠金融为全社会最大多数人群服务的宗旨,对我国全社会法治建设和个人权利保护将产生深远影响。
第三层面,严格保护敏感个人信息,确保社会普通大众群体合法权利。
在一个社会中,如果个人的生物识别、金融账户、行踪轨迹等信息泄露或者被非法使用,他们的人身、财产安全会遭受严重侵犯,对整个社会稳定也将产生负面影响。为此,《中华人民共和国个人信息保护法》将每一个人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理和使用。显然,《中华人民共和国个人信息保护法》不仅确立了敏感信息、匿名化信息、去标识化信息等类别,还确立了数据泄露通知、个人隐私影响评估、文档化记录等保护义务,成为一条具有普惠性、兼容性的保护条款,最大限度保护千千万万普罗大众的信息安全。
第四层面,加大科技信息投入,全方位保护每一位消费者信息安全。
数字普惠金融发展,离不开每一位消费者支持。《中华人民共和国个人信息保护法》高度重视消费者个人信息保护,通过多渠道、多形式和多方面对消费者权益进行了全方面保护,让消费者体验到金融服务温暖和市场诚信,健全个人信息数据安全的管理体系。例如,《中华人民共和国个人信息保护法》要求建立IT治理、管理、技术三个层次及包含多个细分领域的信息安全管理体系,从组织、制度、流程、工具层面多管齐下,对数据密级定义、分级、对应保护措施、数据全生命周期保护策略进行明确规定,针对消费者金融信息的收集、存储、传输、使用、共享、销毁等保护要求和操作规范方面进行专门规定,利用大数据模型挖掘分析,智能识别其中包含的消费者敏感信息等,设立消费者敏感信息人工智能辅助监察系统,构筑有效的消费者信息安全防线。
中国人民大学中国普惠金融研究院一项最新研究显示:《中华人民共和国个人信息保护法》公布以来,已经有越来越多的互金平台或互联网机构凭借科技优势自研了独有的敏感数据透明加密存储系统,加强了以字段为单位对个人信息加密保存,并通过国家计算机病毒应急处理中心(CVERC)的APP安全认证(安全检测)、APP信息安全认证(隐私保护),努力搭建数据信息合则生、不合则亡的市场原则,着力提高个人信息安全性。
(作者单位:中国人民大学中国普惠金融研究院)
