面對這個大數(shù)據(jù)時代，個人信息需要適度保護(hù)，卻不宜過度。當(dāng)然，眼下的問題是保護(hù)嚴(yán)重缺失，我很擔(dān)心市場主體的肆意妄為引發(fā)民怨沸騰與監(jiān)管高壓，最終走向過度保護(hù)。

      年初的支付寶賬單事件，令個人信息保護(hù)成為社會焦點(diǎn)，公眾對此的關(guān)注上升到一個前所未有的高度。

      本月早些時候，先是網(wǎng)信辦針對上述事件約談了支付寶公司和芝麻信用的有關(guān)負(fù)責(zé)人，之后是工信部就侵犯用戶個人隱私的問題約談了百度、螞蟻金服與今日頭條，要求三家企業(yè)立即進(jìn)行整改。

      2017年以來，針對個人信息保護(hù)的監(jiān)管力度不斷加強(qiáng)，在此背景下，中國金融科技的數(shù)據(jù)紅利還有多久?

      在新金融瑯琊榜看來，如果不是可以近乎肆無忌憚地獲取、使用和交易個人信息，中國金融科技很難在短短幾年間高歌猛進(jìn)、傲視全球。可以毫不夸張地說，從業(yè)者實(shí)實(shí)在在地享受著監(jiān)管缺失之下的數(shù)據(jù)紅利。

      面對這個大數(shù)據(jù)時代，個人信息需要適度保護(hù)，卻不宜過度。當(dāng)然，眼下的問題是保護(hù)嚴(yán)重缺失，我很擔(dān)心市場主體的肆意妄為引發(fā)民怨沸騰與監(jiān)管高壓，最終走向過度保護(hù)。

      但愿最終的結(jié)局可以如央行副行長陳雨露所言，“讓信息在安全、合規(guī)的前提下自由流動，充分釋放信息流動所產(chǎn)生的紅利。”

     1.無隱私時代

     你覺得你真的有隱私可言嗎?

     在回答這個問題之前。不妨想一想，除了有關(guān)部門，騰訊和阿里等互聯(lián)網(wǎng)巨頭對你的了解，是不是到了毛骨悚然的地步?

     從通訊、網(wǎng)購、旅行、外賣、網(wǎng)約車、到掃碼支付，這些年你在互聯(lián)網(wǎng)上留下了多少個人信息?直觀來說，你的微信數(shù)據(jù)占據(jù)了多少手機(jī)存儲空間?你在淘寶、京東上的購物記錄，你在滴滴上的打車記錄，又有多少條?

     你有沒有遇到過：如果你在一家現(xiàn)金貸平臺進(jìn)行了手機(jī)注冊，接下來幾天里你很可能收到其他多家現(xiàn)金貸平臺的騷擾短信?并且無論怎么發(fā)送“N”或“TD”都退訂不了，隔一陣子就會來騷擾你。

     你有沒有遇到過：一些你早已卸載的社交APP或者生日提醒APP，突然有一天通過短信提醒你，又有好友給你發(fā)送私信或者送花，并且直接顯示這些好友的姓名?

     根據(jù)南都個人信息保護(hù)研究中心發(fā)布的《2017個人信息保護(hù)年度報告》，互聯(lián)網(wǎng)平臺隱私政策透明度的分布是陡峭的金字塔型，即透明度高的互聯(lián)網(wǎng)平臺極少，透明度低的占比超過80%;在互聯(lián)網(wǎng)金融類平臺和購物類平臺中，低透明度的占比甚至超過90%。

     這份報告還發(fā)現(xiàn)，有些重要條款在互聯(lián)網(wǎng)平臺中普遍缺失，這些條款內(nèi)容無一例外都指向企業(yè)責(zé)任，條款的缺失便減輕了企業(yè)責(zé)任，最終可能侵害用戶利益。同時，互聯(lián)網(wǎng)平臺的隱私政策普遍存在用戶權(quán)利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病。

     在實(shí)際中，還會碰到“霸王條款”，默認(rèn)勾選使用協(xié)議，如果取消勾選就無法使用相關(guān)APP。這些協(xié)議普遍不對等，平臺的權(quán)利遠(yuǎn)遠(yuǎn)多于和大于責(zé)任，可謂顯失公平。

     以前陣子鬧得沸沸揚(yáng)揚(yáng)的《芝麻服務(wù)協(xié)議》為例，根據(jù)這份協(xié)議，用戶授權(quán)芝麻信用采集信息，同時默認(rèn)同意第三方查詢非貸款類及其他非涉及商業(yè)秘密信息時，芝麻信用可以直接向第三方提供相關(guān)信息。

     2.相關(guān)法律法規(guī)

     金融是一個高度數(shù)據(jù)化的行業(yè)，在個人金融業(yè)務(wù)領(lǐng)域，需要大規(guī)模采集和使用個人信息，由此引出了個人信息保護(hù)。在我國，早前諸多法律法規(guī)均有涉及。

     1995年5月制定、2003年12月修訂的《商業(yè)銀行法》在第三章“對存款人的保護(hù)”中規(guī)定：商業(yè)銀行辦理個人儲蓄存款業(yè)務(wù)，應(yīng)當(dāng)遵循存款自愿、取款自由、存款有息、為存款人保密的原則。這是我國首次以法律的形式建立了金融機(jī)構(gòu)為存款人保密的法律原則。

     2006年10月制定的《反洗錢法》要求，金融機(jī)構(gòu)應(yīng)當(dāng)按照規(guī)定建立客戶身份資料和交易記錄保存制度，并對未按照規(guī)定保存客戶身份資料和交易記錄的或泄露有關(guān)信息的違法行為，規(guī)定了嚴(yán)格的懲處措施。

     2013年3月15日起施行的《征信業(yè)管理?xiàng)l例》對信用信息進(jìn)行采集、整理、保存、加工，并向信息使用者提供的活動進(jìn)行了全面規(guī)范，并對違法收集、查詢、使用信用信息的行為規(guī)定了比較嚴(yán)厲的行政處罰。

     除了上述法律法規(guī)，金融領(lǐng)域的個人信息保護(hù)，主要是由央行發(fā)布的各項(xiàng)部門規(guī)章，包括2005年8月施行的《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》、2006年11月制定的《金融機(jī)構(gòu)反洗錢規(guī)定》、2007年6月制定的《金融機(jī)構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》和2010年6月制定的《非金融機(jī)構(gòu)支付服務(wù)管理辦法》。

     上述法規(guī)規(guī)定了個人信用信息的報送整理、查詢、異議處理、安全管理和行政處罰，具體規(guī)定了客戶身份資料和交易記錄保存的防護(hù)管理措施、技術(shù)措施和保存期限等具體問題。

     值得一提的是，《金融機(jī)構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》，首次將從事匯兌業(yè)務(wù)、支付清算業(yè)務(wù)、基金銷售業(yè)務(wù)的機(jī)構(gòu)納入金融信息保護(hù)的主體范圍。

     另外還有一些規(guī)范性文件，包括2011年1月的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》、2012年3月的《關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個人金融信息保護(hù)工作的通知》以及2012年12月的《非金融機(jī)構(gòu)支付服務(wù)管理辦法實(shí)施細(xì)則》，均由央行制定。

     3.監(jiān)管滯后于現(xiàn)實(shí)

     然而，到目前為止，還沒有一部專門針對個人信息保護(hù)的法律出臺，尤其在互聯(lián)網(wǎng)金融發(fā)展如火如荼的這幾年，個人信息保護(hù)問題日益突出，相關(guān)的法律法規(guī)并沒有實(shí)質(zhì)性突破。

     上述監(jiān)管制度，效力最強(qiáng)的是《商業(yè)銀行法》和《反洗錢法》這兩部法律，但出臺時間都超過了10年，遠(yuǎn)遠(yuǎn)落后于時代。數(shù)量最多的是央行發(fā)布的部門規(guī)章，但只能算是行政性的業(yè)務(wù)說明，并不構(gòu)成法律解釋，

     這使得監(jiān)管部門雖有規(guī)定，但在實(shí)際中很難嚴(yán)格執(zhí)行。目前個人征信牌照尚未下發(fā)，監(jiān)管部門對市場主體的一些越界行為缺乏實(shí)質(zhì)性約束。

     舉例來說，《征信業(yè)管理?xiàng)l例》明令禁止征信機(jī)構(gòu)采集個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息。然而打開支付寶-芝麻信用，你會發(fā)現(xiàn)芝麻信用一直誘導(dǎo)用戶上傳房產(chǎn)信息、車輛信息、公積金和信用卡賬單等資料。

     還有一個至關(guān)重要的問題是，涉及個人信息違法違規(guī)，監(jiān)管制度對金融機(jī)構(gòu)的處罰相對嚴(yán)厲，但對第三方支付等非金融機(jī)構(gòu)的處罰明顯偏于寬松，缺乏懲戒力。

    《商業(yè)銀行法》對違規(guī)對外提供金融信息的行為，比如非法查詢行為，規(guī)定責(zé)令改正，有違法所得的，沒收違法所得，違法所得五萬元以上的，并處違法所得一倍以上五倍以下罰款;沒有違法所得或者違法所得不足五萬元的，處五萬元以上五十萬元以下罰款。

    《非金融機(jī)構(gòu)支付服務(wù)管理辦法》對違規(guī)保存使用金融信息的行為，如：未按規(guī)定保管相關(guān)資料或保守客戶商業(yè)秘密，責(zé)令其限期改正，并給予警告或處1萬元以上3萬元以下罰款。

     與給予金融機(jī)構(gòu)的行政處罰相比，針對非金融機(jī)構(gòu)即支付機(jī)構(gòu)的行政處罰，種類單一、額度較低，因此違規(guī)成本極低。這還導(dǎo)致在執(zhí)法實(shí)踐中，對于相同違法違規(guī)行為，金融機(jī)構(gòu)和非金融機(jī)構(gòu)之間無法做到一視同仁。

     這種差別對待，很可能向第三方支付及新型互聯(lián)網(wǎng)金融機(jī)構(gòu)釋放了一種寬松逾期，導(dǎo)致它們更加漠視對個人信息保護(hù)。

     在新金融快速前進(jìn)的當(dāng)下，個人信息侵權(quán)違法犯罪活動采用的技術(shù)手段日益復(fù)雜，因此一方面迫切需要將新金融主體納入監(jiān)管范圍，另一方面還需要充分利用監(jiān)管科技，及時填補(bǔ)真空與漏洞。

     4.個人信息保護(hù)新時代

     2017年04月，在由央行征信管理局、世界銀行集團(tuán)國際金融公司、APEC工商理事會共同主辦“個人信息保護(hù)與征信管理”國際研討會上，中國互聯(lián)網(wǎng)金融協(xié)會會長李東榮指出，從中國情況看，目前還沒有專門的個人信息保護(hù)法，應(yīng)考慮充分吸收借鑒國際經(jīng)驗(yàn)和最新探索成果，尊重中國在發(fā)展階段、立法程序等方面的現(xiàn)實(shí)國情，加快推動個人信息保護(hù)專門立法。

     李東榮建議，按照“頂層設(shè)計(jì)”和“急用先行”相結(jié)合、“充分利用現(xiàn)行法律”和“及時彌補(bǔ)短板空白”相結(jié)合的方式，加強(qiáng)基本法律和配套規(guī)則的協(xié)同效應(yīng)，盡快將個人信息保護(hù)全面納入法制框架。

     他還提出，要嚴(yán)格政府監(jiān)管，從保障信息主體權(quán)益和強(qiáng)調(diào)機(jī)構(gòu)責(zé)任出發(fā)，以個人信息采集和處理機(jī)構(gòu)為主要監(jiān)管對象，統(tǒng)一監(jiān)管要求和處罰標(biāo)準(zhǔn)，從信息安全、隱私保護(hù)等方面實(shí)施嚴(yán)格監(jiān)管，對于機(jī)構(gòu)違法違規(guī)行為進(jìn)行重罰。

     實(shí)際上，個人信息保護(hù)，絕不僅僅是金融監(jiān)管部門的職責(zé)。從最高法、網(wǎng)信辦到工信部等部門，都在加快動作。

     2017年5月，最高人民法院和最高人民檢察院發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》;6月1日，《網(wǎng)絡(luò)安全法》正式實(shí)施。7月，國家網(wǎng)信辦等四部委啟動個人信息保護(hù)專項(xiàng)行動。

     在近期約談百度、螞蟻金服和今日頭條的同時，據(jù)工信部披露，其已組織技術(shù)部門對相關(guān)手機(jī)應(yīng)用軟件是否存在侵犯用戶個人隱私行為進(jìn)行持續(xù)監(jiān)測，并將加強(qiáng)對互聯(lián)網(wǎng)服務(wù)信息收集使用規(guī)則告知、賬號注銷等環(huán)節(jié)的監(jiān)督檢查。一經(jīng)發(fā)現(xiàn)違法違規(guī)行為，將嚴(yán)肅查處并向社會曝光。

     與此同時，工信部要求各互聯(lián)網(wǎng)企業(yè)嚴(yán)格遵守相關(guān)法律法規(guī)，遵循合法、正當(dāng)、必要的原則收集使用個人信息，不得收集服務(wù)所必需以外的用戶個人信息，不得將信息用于提供服務(wù)之外的目的，不得非法向他人出售或提供個人信息，同時進(jìn)一步優(yōu)化服務(wù)協(xié)議、用戶隱私政策和手機(jī)權(quán)限調(diào)用說明，維護(hù)用戶合法權(quán)益。

     2018年1月4日，央行正式公示“信聯(lián)“相關(guān)情況，這有望成為中國個人征信領(lǐng)域的里程碑。

     信聯(lián)是由央行牽頭組建的國家級網(wǎng)絡(luò)金融個人信用基礎(chǔ)數(shù)據(jù)庫，主要目的是把央行征信中心未能覆蓋到的個人客戶金融信用數(shù)據(jù)納入，實(shí)現(xiàn)行業(yè)的信息共享，以有效降低風(fēng)險成本。