征信宝官网来源:《中国征信》杂志2015年第5期
个人信息与征信
王晓蕾(以下简称“蕾”):王融,您好,当前,金融机构收集和利用个人信息保护问题日益突出,特别是随着互联网金融的发展,对个人征信的需求更加旺盛,相应地,如何合理地使用、保护数据的问题更加迫切。我们了解到您在个人信息保护方面有较长时间的研究,今天我们很荣幸的拜访您,请您先介绍一下我国消费者信息保护的现状和存在的问题。
王融(以下简称“融”):非常荣幸能够为您介绍有关个人信息保护的相关情况。2014年起,我院(中国信息通信研究院)通过计算机辅助电话访问系统(CATI)及互联网用户调查平台,就互联网用户个人信息保护状况进行持续性的用户调查。从我院调查情况看,互联网用户个人信息保护现状堪忧,问题突出。
一是消费者对互联网行业个人信息安全感知评分低。调查显示,用户对个人信息安全感知评分仅为3.2分(调查采用5分制评分,分值越高,说明安全性越高)。超过30%的用户认为使用互联网服务是最主要的个人信息泄露途径。二是个人信息泄露严重影响用户生活。调查显示,近80%的用户认为隐私泄漏严重,防不胜防。其中,七成以上用户因为个人信息泄漏而遭遇过短信或者电话等诈骗骚扰,15%的用户甚至因为个人信息泄漏遭受财产损失。三是用户认为“非法买卖”问题严重。调查显示,25%的用户认为非法买卖是最主要的个人信息安全问题;扩大范围使用、系统存在漏洞、未经同意将用户信息提供给第三方等问题提及率也较高。四是用户对政府保护需求高,呼吁强化监管。调查显示,七成用户认为监管跟不上发展是导致目前信息泄露日趋严重的重要原因,呼吁政府通过完善立法、严格执法等方式加大对个人信息的保护力度。
蕾:这样看来,我国消费者个人信息保护状况不容乐观。是什么原因造成了这种状况呢?
融:我认为一是立法保障不足。首先,我国没有专门的个人信息保护法。相关的法律规定非常分散,作为普通消费者,很难对用户个人信息保护法律制度有比较系统的了解。其次,现有的法律规定也非常原则,易规避。二是司法保护还未形成有效的补充。我国并没有隐私保护的传统,隐私权也是在2009年才首次明确写入《侵权责任法》,正式作为公民享有的民事权益。三是行政保护的效果尚未彰显。我国并没有专门的个人信息保护机构,而是由各行业主管机构进行监督管理。由于缺乏上位法的授权,各行业主管部门在用户信息保护领域的行政监督管理工作缺乏力度。
因此,立法、司法以及行政执法方面的不足,加剧了我国当前用户个人信息保护令人堪忧的现实状况,侵权违法成本低,信息收集者缺乏对用户基本权利的尊重,个人信息保护主要是依赖于自律。
蕾:我非常赞同您的分析。从目前我国分散的法规看,您认为体现出的个人数据保护的一般原则是什么?对此,您是怎么看的呢?
融:仅从我国一般性的个人信息保护立法来看,特别是依据《全国人大关于加强网络信息保护的决定》(该《决定》适用于网络服务提供者、企业事业单位收集和使用个人电子信息的行为),如金融机构收集、使用能够识别客户身份的信息以及涉及用户隐私的电子信息,应当遵循以下原则,承担以下义务:
首先应具备合法、正当、必要原则。合法原则是指收集、使用用户个人电子信息,应当符合法律、法规的规定或者双方的约定,用于合法用途。目的正当,即收集、使用的目的、方式要正当。必要原则是指收集的信息收集和使用等行为方式、范围均与最初告知消费者的目的保持一致,仅限于业务使用,收集、使用目的范围等发生变化的,应有法律授权或经信息本人同意。
其次,要承担以下业务:一是征得用户同意的义务。以金融机构为例,即相关机构应当明示收集、使用信息的目的、方式和范围,使得用户充分知情,并经被收集者同意;二是公开收集、使用规则的义务。即金融机构应当公开其收集、使用用户个人信息的规则,公开可以是指在营业场所的公开,也可以是在网络上的公开,即应当为用户公众所知晓的方式公开;三是保护数据安全的义务,金融机构对于业务活动中收集的公民个人电子信息必须严格保密,并应当采取技术措施和其他必要措施,确保信息安全。
各类机构在遵守了上述原则、履行了上述义务的前提下,对于其依法收集的信息,享有依照法律规定或者与用户约定的方式进行合法使用的权利。从立法目的看,个人信息保护法不仅仅是为了维护用户个人的权益,也要促进信息的合理使用与流通。
蕾:您刚才谈了一些基本原则和义务,如果发生个人信息的违法和不当使用怎么办?
融:从当前国际上个人信息保护立法趋势来看,各国越来越重视个人信息泄露后的补救措施。因为,从当前日益严峻的信息安全挑战和威胁看,保证数据的绝对安全,或者在事前充分保证数据安全已经非常困难,更为实际的做法是在泄露事件发生后,能够将相关损失降低到最小。近年来,许多国家纷纷在立法中引入数据泄露通知制度(Data Breach Notification)。
从国外的经验看,数据泄露通知制度包含以下几个要素:一是适用的对象,即哪些行业的数据控制者需要适用该制度;二是通知的对象,国外立法一般会包括用户本人以及政府机构两大类。实际上,从防止用户损害最小化,提升通知效果来看,应当通知用户本人,以便于用户及时采取安全防范措施,将可能的损失降低到最小。我注意到《征信业管理条例》中就有此类制度设计。条例第三十四条规定:“经营个人征信业务的征信机构、金融信用信息基础数据库、向金融信用信息基础数据库提供或者查询信息的机构发生重大信息泄露等事件的,国务院征信业监督管理部门可以采取临时接管相关信息系统等必要措施,避免损害扩大。” 监管机构采取措施的前提是知晓了信息泄露事件的发生。因此,信息泄露通知制度在帮助相关个人及监管机构在尽可能及时了解事件,以及其严重程度方面,会发挥积极作用。
蕾:您刚才介绍了我国立法体现出了个人数据保护原则,不知是否与国际原则接轨,国外有什么经验可以借鉴?请谈谈国外在消费者信息保护方面有哪些值得借鉴的经验和做法。
融:消费者个人信息保护应当是一个系统工程,需要发挥立法、司法、行政、市场(包括技术与自律)等各方面的积极作用,为此我们可以借鉴国外的经验:
一是形成较为完善的立法制度,明确个人信息保护的法律框架,为个人、为企业,为参与个人信息收集、使用活动的各个主体提供明确的行为指南,使得各主体对于自己的行为活动有明确的法律预期。二是发挥行政监督管理的积极作用。行政监督管理是指政府监管部门依据法律法规,对个人信息的收集、使用活动进行监督管理。在个人信息保护领域,行政监督监管扮演着十分重要的角色。它有利于推动国家个人信息保护法律的实际落地,提升整个国家的个人数据保护水平,有利于为消费者(用户)建立维权申诉的一站式服务。欧盟在个人信息保护中一贯强调监管机构的作用,欧盟各成员国都有专门的个人信息保护主管机构,在欧盟层面,根据95年《个人数据保护机构》的相关规定而成立的“第29条工作组”,在推进个人信息保护法律规则的实际落地方面发挥了积极作用。三是充分发挥市场的积极作用。一方面鼓励市场、行业形成独立、第三方的用户个人信息保护组织,以行业自律的方式推动用户个人信息保护。在国外,有许多代表消费者权益的民间机构在用户个人信息保护领域也发挥了积极作用。另一方面,鼓励用户不断研发信息保护的技术和产品。
蕾:大数据时代为个人数据保护带来了很多新挑战,我想就几个具体问题向您请教。首先是关于“最少够用”原则,在今天的社会如何明确和落实该原则?
融:我国目前现有立法中并没有明确提出“最少够用”原则,而是确立了“必要原则”(见《人大决定》)。“最少够用”原则实际上是在我国国家标准中被正式提出来。在2013年2月1日起实施的国家非强制性标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)将“最少够用”原则作为基本原则之一。该《指南》适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构开展信息系统中的个人信息保护工作。其对于“最少够用”的解释为只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。按照这个解释,可以将“最小够用”看作是“必要原则”的高标准版本。
从保护用户个人权益的角度出发,“最小够用”是一个理想的原则,但从平衡用户个人权益和技术业务发展的角度而言,我更倾向于“必要”原则。理由有两点:第一,在信息时代背景下,各类服务的提供和优化都更加有赖于数据。以征信服务来说,征信机构掌握的关联的、有价值的数据越多,其提供的征信服务将更加准确和更加个性化。因此“必要原则”比“最小原则”更具有弹性和可行性。第二,在数据时代下,对数据的收集活动做出限制是很重要,但更重要的是加强数据处理活动的透明性。
蕾:谢谢,第二个问题是,在互联网时代,网上朋友圈、网上转账记录等算不算个人隐私?一旦隐私泄露,应怎样维权?
融:隐私的核心特征是不愿为公众所知,这是判断是否为隐私的关键标准之一。因此对于这一问题,也要结合不同的实际情形给出判断,而不是一刀切的结论。以朋友圈信息为例,如果该信息内容具有身份可识别性,并且仅向该用户特定的有限的朋友公开信息,倘若用户不希望为公众所知晓,那么该信息则具有隐私属性。相反如果不能满足上述条件,则隐私属性有待商榷。
如果朋友圈中的隐私信息泄露,作为消费者可以采取以下几种维权渠道:
如果是由朋友圈中朋友,或者服务提供者故意或过失泄露,可以以提起民事诉讼的方式维护权利。如果隐私侵害造成的后果非常严重,也可以选择向公安机关报案。再者,也可以向相应的行政监管机构进行举报或投诉。
蕾:第三个问题是关于统一监管的问题。2015年3月中消协发布《2014年度消费者个人信息网络安全报告》,建议在全国范围内设立专门个人信息保护行政机构,明确具有主导地位的政府部门,对电信行业、互联网企业、个人信息使用集中的行业进行重点监管。对此,您有何看法和建议呢?
融:我国目前还未建立专门统一的个人数据保护机构,各部门是在原传统的监管职责中延伸管理各自行业、部门的个人信息保护问题。
因此,加强行政机构在个人信息保护中的监督管理作用,尤为紧迫的制定个人信息保护法,在法律中是明确专门统一的保护机构也好,还是采取分行业监管的模式也好,核心是将监管机构在个人信息保护领域的监督管理职责予以具体化。
蕾:近期先后成立了几家个人数据交易中心,您如何看待个人数据的交易问题?
融:我国现有法律严格禁止个人信息的出售行为。但从未来的技术业务发展趋势看,包括个人信息在内的数据交易并不可避免。对交易行为的合法化,目前来看有两个途径:一是“用户个人信息在出售或者以其他有偿方式进行交换、交易的,应当对数据进行匿名化处理,并评估交易后带来的隐私与个人信息泄露的风险”。二是将决定权交给用户,随着隐私观念的逐渐改变,不排除部分用户愿意让渡个人隐私或者个人信息方面的相关权利来获取收益。因此在经用户充分知情并明确同意的基础上,可以允许非敏感数据的交易行为。
蕾:最后一个问题是,当前,互联网新技术正前所未有的改变着个人信息的收集和使用方式,互联网金融、大数据运用、云计算技术风起云涌,您怎样看这些对个人信息保护的挑战?我国个人信息保护工作未来的发展方向是怎样的?
融:云计算让个人信息远离个人终端,用户对于个人信息的控制能力大大降低,个人甚至并不清楚其个人数据的存储位置;移动互联网让信息收集变得无处不在,且所收集的信息高度个人化。在新的形势下,我国未来的个人信息保护工作可聚焦在以下几个方面:
一是推动出台统一专门的《个人信息保护法》。当前,很多地方以及行业在个人信息保护立法领域进行了有益的探索,一定程度上推动了抽象法律原则的实际落地。但由于缺乏上位法的明确指引,这种自下而上的立法实践对国家整体的个人信息法律保护水平的提升作用有限。
二是进一步发挥行政监管机构在个人信息保护领域的积极作用。这一点在上面已经多次提到,不再赘述。
三是依托个人信息保护基本法,针对云计算、移动互联网、以及新兴的互联网金融业务、基于网络数据的个人征信业务等,制定更具有针对性的个人信息保护细则。这有利于澄清和明确特定业务的个人信息保护问题,促进技术业务的发展,提升用户对于新技术业务的安全信心。
蕾:感谢您在百忙中接受采访。
征信宝网站:zhengxinbao.com
微信公众号: ixinyong ——这里有关于一切的信用和信用的一切。
