财新传媒
位置:博客 > 中国人民大学中国普惠金融研究院 > 硬币的两面?个人金融信息的保护与共享

硬币的两面?个人金融信息的保护与共享

大数据时代,我们的隐私可谓无处藏身。

繁杂的数据世界中,与金融相关的数据隐私可能是最为敏感的。涉及账户、身份、交易、财产、借贷等等反映特定个人情况的信息,如若泄漏,不仅威胁财产安全,甚至也威胁人身安全。

目前,我国对于金融数据以及个人金融信息的保护框架尚在成型中。虽然已经有《中国人民银行金融消费者权益保护实施办法》《银行业金融机构数据治理指引》《个人金融信息(数据)保护试行办法》《个人金融信息保护技术规范》,最新出台的《征信业务管理办法》征求意见稿,以及范围更广的《网络安全法》《数据安全法》《民法典》,和还在草案阶段的《个人信息保护法》。

但在实际执行中,我们还存在基本概念不清、执行宽严不一、形式重于实质等问题。一方面是大量持牌、非持牌机构过度收集信息,另一方面数据孤岛无法打通,数据价值无法得到充分发挥。如何做好保护个人金融隐私与利用金融数据价值之间的平衡,是当下一个重要课题。

1
如何保护——监管框架亟待完善

目前,我国对于金融数据和信息的监管可以说是“九龙治水”。除了央行、银保监会等金融监管部门,工信部、发改委、工商部门等也牵涉其中,各个层面的法律、办法、通知等尚未能形成统一有序的框架,给人以“眼花缭乱”之感。

《网络安全法》将个人信息定义为“以电子或其他方式记录的,能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。而对于数据,《数据安全法》将数据定义为“电子或非电子形式对信息的记录”。

从一般意义上来说,可以认为信息和数据分别属于信息本体和媒介范畴,但在很多法律文件中经常是混用的,在实际使用中也可能出现无法严格对二者进行区分,数据和信息一体化的倾向,难以相互分离。

而对于金融数据/信息,虽然根据央行发布的《个人金融信息保护技术规范》,个人金融信息指的是“金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。但《规范》毕竟只是一个推荐性的技术说明,并非法律文件。

2020年9月颁布的《金融消费者权益保护实施办法》部分就意在解决法律效力层级的问题。《办法》中的“消费者金融信息”,是“指银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息”。在答记者问中,央行有关人士指出,原规范性文件效力层级较低,结合新“三定”方案提升《办法》的法律效力层级将更有利于人民银行金融消费者权益保护工作的开展。

可以说,对于个人金融信息,目前仍缺少一部专门法律。2020年12月,中国央行副行长陈雨露表示,未来将及时推出《个人金融信息保护暂行办法》,这是继2019年传出《个人金融信息(数据)保护试行办法》正在向各行征求意见以后,监管部门又一次对个人金融信息保护领域的办法公开发声。这一办法要如何明确个人金融信息保护中的一些基本因素,与个人信息保护法进行衔接与协调,构建个人金融信息保护长效机制,将非常值得关注。

2
如何共享——数据要素市场化

数据需要保护,但也需要共享。根据2020年4月国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》,数据首次作为一种新型生产要素被写入中央文件中。

具体到金融业数据要素的融合,首先仍然是要考虑法律法规的边界,其次是在合规的基础上积极推动政务信息与金融信息互联互通、银税互动、银企对接、金融统计数据交流共享和金融控股集团内部数据共享等。在注重个人信息和隐私保护、落实数据主体同意等方面已经形成了基本共识,但是如何界定个人信息和敏感信息、在实践中如何落实数据主体的同意形式,仍有诸多分歧。

而在推进数据要素市场化方面,数据确权、数据定价、数据流通机制都面临很多不确定性。技术可以有部分助力,例如目前被给予高度关注的“可用不可见”的隐私计算技术,包括数学证明上较为完备的多方安全计算技术,以及其他如联邦学习、差分隐私等技术,理论上有助于实现密文数据的流通,但在实际应用中,对技术的资金投入、技术本身的易用性、对算力的要求、与现有体系的匹配、相关规范制度的完善,都可能成为政府部门和金融机构观望的理由。

从更实际的层面来说,目前大量有价值的数据或沉淀于政府部门,或掌握于少数互联网企业手中,如何采用严监管、市场化加持技术的手段促进这部分数据的有效合规流通,让个人、企业、社会都可以从中共享收益,需要各方面形成合力,而不仅仅成为少数企业、部门牟利的工具。



推荐 2