個人數據都被這類企業(yè)控制？侵犯個人金融信息罰單181件 銀行竟是大戶

　　原標題：個人數據都被這類企業(yè)控制著？侵犯“個人金融信息”罰單181件 銀行竟是“大戶”

　　數字經濟時代，銀行難掩“數據”之渴�！般y行正在失去獲客的陣地，金融不再發(fā)生在我們的網點，金融發(fā)生在場景中。” 一位金融科技從業(yè)者如是說。

　　與頭部互聯(lián)網平臺、政府機構合作將成為銀行重要的破局方式。“建立合作的目的不僅僅是共建合作場景，更關鍵的通過場景來獲得客戶和數據。”上述人士坦言。但在數據安全與個人信息保護被提上立法議程的情況下，各家金融機構從合作平臺和用戶處獲取數據或將被監(jiān)管高度關注，合規(guī)難度可能增加。

　　國家金融與發(fā)展實驗室副主任曾剛向券商中國記者指出，未來對數據權屬的明確，或將對整個金融體系的數據中后臺建設帶來根本性的影響，金融機構的數字化路徑可能發(fā)生改變。

　　不同立場之間的博弈

　　傳統(tǒng)業(yè)務模式中，銀行主要依靠客戶自身主動提供和上門訪談獲取信息。步入數字經濟時代，銀行的業(yè)務模式已經逐步轉向圍繞數據展開�！坝辛藬祿�之后，就可以精細用戶畫像，業(yè)務更能夠實現(xiàn)精準營銷，也就是獲客�！庇秀y行從業(yè)人員表示，現(xiàn)在最重要的就是獲取數據，然后通過數據找到客戶、識別客戶。

　　然而，隨著數據重要性不斷提高，想盡辦法獲取數據的銀行也被部分用戶指責“過度收集個人信息”。深度科技研究院院長張孝榮也質疑，有些銀行App的登錄設計很微妙，不光要指紋識別，有的還需要人臉識別。“這么做據稱是為了安全，難道以前不刷指紋與人臉的時候就不安全了嗎？”張孝榮表示，有些銀行肆無忌憚的收集用戶信息、LBS通信錄，甚至調用攝像頭相冊，“這些權限涉嫌侵犯用戶隱私，必須予以糾正”。

　　與此同時，涉嫌侵犯個人信息的合規(guī)性風險也在增加。據移動支付網發(fā)布的《中國個人金融信息保護執(zhí)法白皮書2020》不完全統(tǒng)計，央行在今年開出的行政處罰罰單中，案由涉及“個人金融信息”的共181張，涉罰金額合超1.8億元人民幣，處罰對象包括銀行、證券公司、支付機構、消費金融公司等。

　　從監(jiān)管處罰的情況來看，無論是處罰金額還是頻次上，銀行都是涉罰“大戶”。從銀行類型來看，涉及“個人金融信息”的相關處罰包括國有大行、股份行、城商行、村鎮(zhèn)銀行以及信用社等。也就是說，銀行在這類相關違規(guī)問題上具有普遍性，并非某一類銀行的問題。

　　部分業(yè)內人士認為，這是市場在便捷性和信息保護之間進行博弈后的選擇，而用戶作為個人信息的擁有者，也是促成這一結果的“合謀者”之一�！爱斍�，我國民眾之所以能夠享受高度便利的金融支付服務，很大程度上都是用自身信息安全換來的。”有行業(yè)研究人士直言，“也可以理解成，在大勢之下，國人也習慣了用一定隱私的暴露來換取生活上的方便”。

　　用戶到底是愿意讓渡隱私，還是缺少選擇權？有法律人士告訴券商中國記者，用戶犧牲個人的一些隱私去換取可享受的消費服務或是便利的電商服務，可能多半是被迫的。“自然人并沒有主動愿意犧牲個人隱私去換取享受的便利，很多時候是被動的�！�

　　這位法律人士進一步表示，這也是立法導向的結果�！皬牧⒎ń嵌榷�言，目前國內的法律體系在保護個人隱私方面不夠完善、力度不夠大”。

　　隨著數據安全和個人信息保護制度的不斷完善，這個博弈過程還在繼續(xù)，但也將變得更加公平。全聯(lián)并購公會信用管理專業(yè)委員常務副主任劉新海表示，從企業(yè)的角度來看，數據也是寶貴的資產�！皵祿�信息是不是企業(yè)應該開發(fā)？從消費者角度看，不涉及個人隱私的信息是不是還能交換？”

　　劉新海補充說，但作為監(jiān)管部門，有義務劃定底線，做出一個最基本的保護，例如一些特別敏感的數據如何采集、保存和使用，還有涉及兒童等弱勢群體的信息保護問題等。

　　數據權屬待明確

　　從某種程度上來看，不同立場之間博弈的，其實是對于數據權屬的爭奪。

　　“目前，各國法律似乎還沒有準確界定數據財產權益的歸屬，大型科技公司實際上擁有數據的控制權�！便y保監(jiān)會主席郭樹清日前發(fā)表演講時表示，中國政府已明確將數據列為與勞動、資本、技術并列的生產要素，數據確權是數據市場化配置及報酬定價的基礎性問題�！靶枰�盡快明確各方數據權益，推動完善數據流轉和價格形成機制，充分并公平合理地利用數據價值，依法保護各交易主體利益”。

　　對數據權屬的討論由來已久。浙江大學光華法學院互聯(lián)網法律研究中心主任高艷東近日撰文直言，郭樹清恰好點中了當前數字經濟的命門：權屬未定，產業(yè)迷茫。

　　有律師向券商中國記者指出，目前數據權屬遲遲無法明確的主要爭議在于：經過企業(yè)處理形成的個人數據歸誰所有？“企業(yè)認為，針對用戶的個人畫像是凝聚了一定投入成本的產出物，所有權應該在企業(yè)。但如果這個數據指向用戶個人，被用于向用戶精準營銷，用戶是否有權要求企業(yè)刪除該數據呢？”

　　上述律師提到，從國內目前推出的幾部征求意見稿來看，其實也顯露出與歐盟GDPR趨同的傾向，即“數據所有權仍然歸屬個人，企業(yè)僅擁有控制權，個人可以要求企業(yè)停止處理、刪除個人數據”。

　　數據權屬問題也受到金融行業(yè)的高度關注，尤其對于正在數字化道路上探索的金融機構而言，明確其權利歸屬所產生的影響或許更加深遠而重大。曾剛指出，未來對數據權屬的明確，或將對整個金融體系的數據中后臺建設帶來根本性的影響，金融機構的數字化路徑可能發(fā)生改變。

　　例如，數據權屬的明確將對數據使用權進行界定，或將決定金融機構的數據使用范圍。曾剛對券商中國記者表示，在當前數據使用權尚未明確的背景下，數據的實際控制權在大型科技公司手上，這導致了金融機構朝著這些壟斷流量、壟斷數據的頭部場景靠攏，數據資源也進一步向它們集中。

　　“這是因為目前對數據的使用是沒有限制的，也就是企業(yè)實際掌握數據的控制權。”曾剛進一步解釋，在這樣的前提條件下，各行各業(yè)的數字化轉型基本上圍繞這些掌握數據的企業(yè)展開�！皳Q句話說，由它們去為金融行業(yè)賦能，實際上就是基于它們所掌握的龐大數據量，說是技術賦能，但技術誰都有，數據才是最核心的”。

　　有某持牌消費金融公司人士也向記者表示，金融機構應該注意到，隨著個人信息保護相關政策法規(guī)的逐步完善，強監(jiān)管環(huán)境下越來越強調企業(yè)相關資質的重要性，個人信息處理的持牌化，也將是必然趨勢。

　　“有一種潛在可能是，監(jiān)管后續(xù)或將對不同持牌機構的數據使用權作出不同規(guī)定，也就是說，首先要持有牌照，才能拿到數據在某些領域的使用權，如果沒有，就無法使用�！痹鴦偼茰y，當前圍繞頭部場景展開的數字化路徑可能就會被打破，繼而更多的機構可能會更加重視自建場景和數據獲取渠道。

　　外部合作數據引關注

　　據了解，銀行業(yè)的數據可以籠統(tǒng)分為來自內部體系和外部接入的數據，得益于銀行較為規(guī)范的內控體系，內部數據的保管較為嚴謹，接入外部數據這一合作模式則受到更多的關注。

　　有大行資深從業(yè)人員告訴記者，銀行內部對個人信息的保管制度已經較為完善。具體而言，在客戶資料的保管上，客戶經理必須要設置密碼對其進行保管�！斑@方面管理很嚴，也會定時檢查與抽查，甚至搞突襲檢查�！�

　　此外，銀行內部也規(guī)定了員工不能在內部單獨查詢客戶信息，如果需要查詢必須在說明理由后由主管授權。同時，主管不能操作柜員的系統(tǒng)。

　　一些內控方面的規(guī)定也進一步降低了信息通過內部人員流出的可能性。“近期，也有不允許員工對著系統(tǒng)屏幕拍照的通知下達�！比�商中國記者從某大行人士處了解到，大型銀行在內控上十分重視保密工作，對于客戶資料只能在內部傳遞，要求不允許外傳。

　　不過，寧人律師事務所金融與科技委員會副主任馬軍指出，銀行這方面的內控僅側重信息保管方面，而對個人信息數據的使用仍缺乏完善的制度體系。他介紹，銀行需要滿足網絡安全等級保護測評的要求，俗稱“等保測評”，“但這個測評側重于技術層面，對法律合規(guī)性層面缺乏要求”。

　　但隨著法律法規(guī)的完善，銀行業(yè)在外部合作的數據獲取和使用方面，可能會獲得監(jiān)管更高的關注。曾剛告訴記者，“未來如何強化對合作方的管理以及滿足外部數據合規(guī)性審查等，也可能是未來銀行需要重點考慮的問題”。

　　“近年來，銀行在互聯(lián)網端的業(yè)務發(fā)展迅速，內部數據很難完全滿足展業(yè)需求，因此銀行一直在拓展場景、接入外部數據。目前，銀行通過自建場景獲取的數據還比較少，更多的還是與主流的頭部互聯(lián)網平臺進行對接以獲取數據�！彼�舉例介紹，比如現(xiàn)在廣泛討論的“開放銀行”，在與場景方對接的過程中，如果外部接入的數據提供方無法滿足數據安全和保護方面的合規(guī)要求，就可能將合規(guī)風險傳導到銀行。

　　“所以，強化合作的外部數據提供方可能是銀行下一步要去重點關注的�！痹鴦偨ㄗh，銀行在選取合作方時，可通過建立白名單等方式嚴格準入要求，同時在使用數據時也要緊緊圍繞監(jiān)管要求來展業(yè)。

　　中小銀行或面臨更大挑戰(zhàn)

　　“一些中小銀行受限于自主研發(fā)能力，也在尋求其他利潤合作聯(lián)盟的方式和與金融科技企業(yè)合作，利用第三方的資源�！�12月11日，國務院參事、銀保監(jiān)會原副主席王兆星在“第四屆中國數字銀行論壇”上指出，這可能是下一步中小商業(yè)銀行選擇之一，但也蘊含很多不確定因素和風險。

　　曾剛也坦言，相比大行來說，中小銀行數據治理能力相對較差，在合規(guī)使用外部數據方面問題較多，加上在合作關系中不如大行強勢，可能存在更多的風險�！昂芏鄧�有銀行、股份制行的數據治理很多年前就開始了。”

　　曾剛指出，數字化的核心是要把數據打通，過去銀行數據是“煙囪式”的，數據匯集在各個部門，但各個部門之間沒有一個共同的平臺將數據以標準的格式統(tǒng)一�！斑@也就導致很多銀行有大量的數據，但卻沒法用”。也即是說，大型銀行梳理和構建數據基礎的行動比中小銀行早得多，也走得相對更遠。

　　未來，中小銀行也應參考大銀行的一些標準，逐步建立起涉及外部合作準入的一些要求�！皣�家在數據安全方面也可能會出臺一些政策，去積極構建與之相應的一些風險管理要求，也能夠及時的把在外部數據對接方面出現(xiàn)的風險進行有效防控�！痹鴦偙硎�。

　　“很多中小銀行的數字化做不起來，除了人才團隊、業(yè)務意識和技術因素外，還有一個原因就是數據不過關。”亦有城商行人士表示，但銀行的數字化建設知易行難，就以數據治理為例，不僅需要漫長的工作積累，還需要內部協(xié)同。

　　“從根本上來說，中小銀行還是要提高自主意識，在個人信息保護的方面加強技術與合規(guī)團隊的建設。”馬軍表示，一些地方性中小銀行“技術靠別人、咨詢也靠別人，自主意識特別弱”。此外，銀行體系內部常常“法務部門不管技術部門，技術部門不管法務部門”，他指出，“必須有兩部門的統(tǒng)一協(xié)調，銀行才能建立起較為完善的個人信息保護制度”。

　　法律制度尚待細化

　　當談到行業(yè)規(guī)范會不會對銀行的數字化轉型進展產生影響時，多位業(yè)內人士向記者表示，合規(guī)是使行業(yè)變得有序的過程，能夠促使企業(yè)在有法可依的范圍內更好、更安全地使用數據，與發(fā)展是相互促進的良性循環(huán)。

　　一位支付機構人士表示，實際上，對于頭部企業(yè)來說，信息泄露事件對品牌和口碑都有負面影響。所以，“它們其實很愿意提高合規(guī)能力”。亦有律師指出，“過去野蠻生長的狀態(tài)下，金融機構也非常擔心被罰，特別是一罰就是上千萬的頂格處罰”，如果法律法規(guī)層面逐漸完善，雖然會增加金融機構的合規(guī)成本，但其違法成本也會降低，“因為行業(yè)終于‘有法可依’了”。

　　但目前，監(jiān)管層面還缺乏更細化的規(guī)章和明確的分工。有法律人士表示，雖然《數據安全法(草案)》中提到，由行業(yè)主管部門來進行數據安全的監(jiān)管，但不同部門可能出現(xiàn)監(jiān)管的交叉重疊，例如由于目前頒布的相關草案較為籠統(tǒng)，行政機關和執(zhí)法機關如何分工等尚未明確，所以不排除有可能會多頭交叉監(jiān)管。他補充，這點也還需要按進一步的部門規(guī)章如何細化。

　　馬軍也認為，從監(jiān)管現(xiàn)狀來看，確實存在各部門管轄權界定不清，造成一些部門“各處插手”，結果“九龍治水”的問題。但馬軍指出，多頭監(jiān)管也不一定是問題所在，而是趨勢所向，因為個人信息保護制度的建立必然需要各部門分工合作。

　　劉新海表示，因為中國幅員遼闊，在一個基本的法律框架下，不同地區(qū)、不同行業(yè)對數據的積累程度和需求情況各有不同�！敖洕�發(fā)達地區(qū)，有些監(jiān)管需要更加嚴格，經濟不發(fā)達地區(qū)可以寬松一點，支持其發(fā)展，每個行業(yè)也有各自特性，對數據敏感程度不一。因此各部門、各地方政府后續(xù)結合各自特征再推出細化的規(guī)章制度或許是更符合現(xiàn)實的考量�！�

　　此外，劉新海還提到，除了法律規(guī)章外，要完善個人信息保護制度還需“軟硬兼施”。他指出，很多信息泄露事件是發(fā)端于快遞員、電商平臺小商家等環(huán)節(jié)，對于這類情況很難僅通過上層法律設計進行約束，而需要建立起職業(yè)道德教育、監(jiān)督懲罰機制等配套設施�！昂喍�言之，個人要教育、平臺要約束、司法要跟進，這個過程需要慢慢完成，相信未來也會慢慢完善�！�

　�。ㄎ恼聛碓矗喝�商中國）