自2012年起，315晚會已連續(xù)7年提及信息安全隱患問題：手機(jī)APP要求的種種不合理授權(quán)、暗網(wǎng)上被不斷兜售的個人信息、層出不窮的數(shù)據(jù)泄露事件，還有今年315晚會上被點名曝光的高科技灰色產(chǎn)業(yè)鏈——通過“探針盒子”收集附近用戶的電話；利用智能機(jī)器人打出大量騷擾電話；從APP中獲取用戶隱私信息……

圍繞數(shù)據(jù)所形成的產(chǎn)業(yè)發(fā)展和個人信息隱私權(quán)之間必然存在某種程度上的分歧。 目前，世界各國都已經(jīng)開始通過修訂或增加法律法規(guī)中關(guān)于個人信息保護(hù)邊界和內(nèi)容的界定，積極尋找開發(fā)數(shù)據(jù)經(jīng)濟(jì)價值與保護(hù) 個人信息安全 之間的平衡點。

1、 中國保護(hù)個人信息安全的相關(guān)政策

2016年11月7日，全國人大常委會頒布《中華人民共和國網(wǎng)絡(luò)安全法》，首次定義了從立法層面對個人信息進(jìn)行了定義和不完全列舉：

個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

此前，我國對個人信息安全的規(guī)定主要散見于《民法》、《刑法》、《消費者權(quán)益保護(hù)法》、《征信業(yè)管理條例》等法律條文中，《網(wǎng)絡(luò)安全法》是首次對網(wǎng)絡(luò)運營者的職責(zé)、違規(guī)使用個人信息需承擔(dān)的法律責(zé)任做出了集中性規(guī)定的法律文件，彌補(bǔ)了我國法律體系中的一大空白。

盡管目前我國尚未針對個人信息安全進(jìn)行專門立法，但對個人信息安全保護(hù)法的探索早已開始。

經(jīng)過企業(yè)方（包括阿里、騰訊、華為等企業(yè)代表）、學(xué)術(shù)界和監(jiān)管部門三方漫長的博弈，2017年12月29日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《信息安全技術(shù) 個人信息安全規(guī)范》，并于2018年5月1日正式實施。

該規(guī)范類屬于推薦性標(biāo)準(zhǔn)，不強(qiáng)制執(zhí)行，也不屬于法律體系，是對個人信息安全立法的一次重要嘗試。 標(biāo)準(zhǔn)中按照信息的敏感程度劃分了個人信息和個人敏感信息，分別規(guī)定了不同的收集、保存、使用以及處理等流轉(zhuǎn)環(huán)節(jié)的方法和原則，并要求個人信息控制者收集個人信息后，個人信息控制者宜立即進(jìn)行去標(biāo)識化處理，并采取技術(shù)和管理方面的措施，將去標(biāo)識化后的信息與可用于恢復(fù)識別個人的信息分開存儲。

此外，該標(biāo)準(zhǔn)還對用戶畫像的定義及使用做出了規(guī)范：

直接使用特定自然人的個人信息，形成該自然人的特征模型，稱為直接用戶畫像，直接用戶畫像的信息可以識別某一特定自然人。

使用來源于特定自然人以外的個人信息，如其所在群體的數(shù)據(jù)，形成該自然人的特征模型，稱為間接用戶畫像，間接用戶畫像的信息無法識別某一特定自然人。

除為達(dá)到個人信息主體授權(quán)同意的使用目的所必需外，使用個人信息時應(yīng)消除明確身份指向性，避免精確定位到特定個人。例如，為準(zhǔn)確評價個人信用狀況，可使用直接用戶畫像，而用于推送商業(yè)廣告目的時，則宜使用間接用戶畫像。

2019年1月30日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會對《信息安全技術(shù) 個人信息安全規(guī)范》進(jìn)行了修訂， 并向社會各界發(fā)起意見征詢，新草案的主要變化是增加“個性化展示及推出”和“第三方接入管理”兩大內(nèi)容，進(jìn)一步保障了個人信息主體對個人信息使用的主動權(quán)。

全國人大常委會在2019年兩會上表示，已將制定個人信息保護(hù)法列入本屆立法規(guī)劃。從兩次發(fā)布《信息安全技術(shù) 個人信息安全規(guī)范》來看，我國對個人信息安全監(jiān)管的態(tài)度漸近趨嚴(yán)。

2、 歐盟保護(hù)個人信息安全的相關(guān)政策

工信部發(fā)布的《2018年大數(shù)據(jù)白皮書》中指出， ePD 指令與GDPR 共同構(gòu)成了歐盟數(shù)據(jù)保護(hù)法律框架的兩大支柱，賦予數(shù)據(jù)主體包括訪問權(quán)、糾錯權(quán)、被遺忘權(quán)、限制處理權(quán)、反對權(quán)、拒絕權(quán)和自決權(quán)等權(quán)利，為歐盟各國的個人信息隱私權(quán)保護(hù)提供了法律依據(jù)。

2019年1月21日，谷歌被曝因違反GDPR被法國國家數(shù)據(jù)保護(hù)委員會處以5000萬歐元的罰款。這并不是GDPR開出的第一張罰單，早在歐盟剛剛發(fā)布GDPR時就宣布，只有3%的企業(yè)符合該條例，F(xiàn)acebook、谷歌、蘋果等巨頭都被納入重點監(jiān)管的名單。

埃森哲形容GDPR為“近二十年來數(shù)據(jù)隱私規(guī)則領(lǐng)域發(fā)生的最重要變化”。其指出，在過去，只有收集和使用數(shù)據(jù)的數(shù)據(jù)擁有者需要對數(shù)據(jù)保護(hù)負(fù)責(zé)。 如今，GDPR史無前例地規(guī)定了數(shù)據(jù)處理者也需要直接承擔(dān)合規(guī)風(fēng)險和義務(wù)。在數(shù)據(jù)保護(hù)上，數(shù)據(jù)供應(yīng)鏈自上而下的各方都會被問責(zé)。埃森哲指出，GDPR大大增加了數(shù)據(jù)保護(hù)的強(qiáng)制性和責(zé)任性，對違規(guī)的處罰金額提高到2000萬歐元或企業(yè)全球年營業(yè)額的4%，二者取較高值。

作為與GDPR相輔相承的補(bǔ)充，ePD指令主要針對的是通信領(lǐng)域的數(shù)據(jù)保護(hù)，其針對的主體既包括傳統(tǒng)電信業(yè)務(wù)，也包括新興電信服務(wù)提供者，如WhatsAPP、Facebook Messenger、Skype等。ePD指令規(guī)定了電信業(yè)務(wù)中數(shù)據(jù)業(yè)務(wù)的開展邊界、元數(shù)據(jù)和用戶通信內(nèi)容的處理、cookies的使用規(guī)則、垃圾函件，如騷擾電話、營銷短信等的規(guī)定，并明確了GDPR的實施部門為各國數(shù)據(jù)保護(hù)機(jī)構(gòu)。

3、 美國保護(hù)個人信息安全的相關(guān)政策

早在1974年，美國聯(lián)邦就制定了《隱私法》，后續(xù)有關(guān)個人信息安全的法律規(guī)范都是在這一法律前提下進(jìn)行立法。2015年10月，美國聯(lián)邦通過《網(wǎng)絡(luò)安全信息共享法》進(jìn)一步規(guī)定了個人隱私、自由等私權(quán)利的保護(hù)。

美國的法律體系與歐盟大不相同，主要以行業(yè)作為劃分，針對金融、醫(yī)療、電信、教育、娛樂、消費者保護(hù)和兒童隱私保護(hù)等領(lǐng)域制定了有關(guān)個人信息安全保護(hù)的細(xì)則。相比于歐盟而言，美國聯(lián)邦顯然更加關(guān)注數(shù)據(jù)產(chǎn)業(yè)所帶來的經(jīng)濟(jì)效益，因此給個人信息使用者們提供了更為寬松的環(huán)境，但隨著GDPR的推行，留住用戶的心，還是留住企業(yè)的心也許是美國聯(lián)邦政府需要重新考量的問題。

此外，在聯(lián)邦法的基礎(chǔ)上，各州也推出了自己的信息安全保護(hù)政策。其中， 加州于2018年7月通過的《2018加州消費者隱私法案》借鑒了多條GDPR的核心內(nèi)容，被稱為美國迄今“最嚴(yán)厲、最全面”的個人數(shù)據(jù)隱私保護(hù)法案。不過，這法案2020年1月1日才會正式實施。

世界各國都在加快探索個人數(shù)據(jù)使用邊界的進(jìn)程：在GDPR的基礎(chǔ)上，歐洲各國紛紛開始完善個人信息保護(hù)法，如 2019年3月14日，荷蘭發(fā)布GDPR懲罰細(xì)則，對罰款金額進(jìn)行了具體分類 ；美國如德州、加州等發(fā)出了加強(qiáng)個人信息保護(hù)立法的聲音，蘋果CEO庫克亦提議制定聯(lián)邦法，向歐盟GDPR靠攏；澳大利亞近年來一直致力于修改聯(lián)邦法案，增加對個人信息隱私權(quán)保護(hù)； 2018年7月，印度政府關(guān)于《個人數(shù)據(jù)保護(hù)法案》草案的研究也提上了日程……

針對個人信息安全保護(hù)的立法是數(shù)字經(jīng)濟(jì)發(fā)展到一定階段的必然產(chǎn)物，而在保護(hù)個人信息安全和保護(hù)合規(guī)企業(yè)的競爭力，引導(dǎo)市場“良幣戰(zhàn)勝劣幣”的權(quán)衡上，我國顯然更為謹(jǐn)慎。

---

銀行與金融科技融合的理想境界是什么？是銀行即服務(wù)。

2019年6月14日，億歐智庫研究院將在“2019丨全球新經(jīng)濟(jì)年會·金融科技峰會”上發(fā)布《 2019開放銀行與金融科技發(fā)展研究報告 》，深度解讀金融科技賦能開放銀行的融合與落地應(yīng)用——上海·虹橋·世貿(mào)展館邀您見證！搶票鏈接： https://www.iyiou.com/post/ad/id/792

版權(quán)聲明

本文來源億歐，經(jīng)億歐授權(quán)發(fā)布，版權(quán)歸原作者所有。轉(zhuǎn)載或內(nèi)容合作請點擊轉(zhuǎn)載說明，違規(guī)轉(zhuǎn)載法律必究。