近期,个人信息保护法草案已提请十三届全国人大常委会第三十次会议三审,该草案是个人信息保护方面的专门法律,几经修改完善个人信息处理规则,尤其是严格限制APP过度收集个人信息,“大数据杀熟”等数据滥用乱象。
个人信息是互联网企业输出用户画像、制定营销策略以及识别风险的重要依据,部分企业为了商业价值最大化,过度挖掘和滥用个人数据,导致用户的隐私、财产被侵犯。在金融领域,数据的重要性更加突出,大数据公司和金融机构滥用数据的危害性也就更大。
早期,金融市场中的大数据风控服务商十分活跃,非法爬虫导致金融消费者的个人信息被盗取,监管出手整治后大数据风控乱象才得以消停。而后,金融机构和金融科技企业侵犯用户隐私现象屡禁不止,招联、分期乐、360借条等机构和产品均遭点名。
个人信息保护法即将出台,加之此前已出台的数据安全法,我国逐渐在个人信息保护和数据安全方面形成了由法律、行政法规、规范性文件在内的多层次法律规范体系。这也从根本上斩断数据滥用的产业链条,对数据杀熟、非法爬虫等违规采集和使用数据的行为精确定性量刑。
多部法律联合保障信息安全
在本次个人信息保护法审议前,全国人大常委会法制工作委员会举行记者会介绍关于《个人信息保护法》有关情况。个人信息保护法草案三次审议稿拟修改内容涉及对“利用个人信息进行自动化决策”的规范。
具体来看,就是部分应用产品,利用用户画像、算法推荐等技术,涉嫌信息骚扰、“大数据”杀熟。针对上述乱象,个人信息保护法完善个人信息处理规则,尤其限制过度收集个人信息和“大数据杀熟”。
根据个人信息保护法的定义,企业自动化决策的概念是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
值得注意的是,基于数据的自动化决策并没有被法律一棒子打死,而是采取合规的方式督促其健康发展。在法律层面,自动化决策应当遵守个人信息处理的一般规则,包括应遵循合法、正当、必要和诚信原则,目的明确和最小化处理原则,公开透明原则,信息质量原则,责任原则等。
同时,个人信息保护法也明令禁止企业的霸王服务协议。企业在自动化决策时,包括用户画像、算法推荐等,应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。
就金融领域的信息保护而言,除了个人信息保护法外,还包括数据安全法、征信业务管理办法以及个人金融信息保护相关法律法规。今年年初,央行就《征信业务管理办法(征求意见稿)》公开征求意见,《办法》指出征信机构采集信用信息,应当遵循“最少、必要”的原则,不得过度采集。
在实际的金融消费活动中,如果涉及助贷平台,个人信息采集和使用的环节就会增加,这自然也会导致消费者个人信息隐患增加。征信业务被整顿后,监管要求金融科技企业按照个人征信业务整改工作要求,不得将个人主动提交的信息、平台内产生的信息或从外部获取的信息以申请信息、身份信息、基础信息、个人画像评分信息等名义直接向金融机构提供。
另外,《数据安全法》已于今年6月份正式通过,将于2021年9月1日开始施行。《数据安全法》是我国第一部数据安全领域的专门法律,该法兼顾数据保护和数据应用,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
央行副行长陈雨露曾明确表示,加强个人征信信息保护、确保征信信息安全是征信工作的底线。从个人信息保护到征信、风控业务管理,金融市场中的数据安全将被全方位监督。
大数据违规牟利被封堵
从互联网企业涉及的大数据乱象可以看出,主要分为数据采集和使用两个层面。在数据采集上,金融市场曾出现非持牌机构与持牌机构均违规、过度获取用户信息,尤其部分大数据服务商,利用非法爬虫批量抓取用户数据,然后倒卖至信贷链条上的助贷平台、催收方等。
2019年,由于大数据风控行业存在涉众性隐患,警方介入,抓走了一大批大数据风控企业的高管,并迫使大数据风控在风口关头紧急刹车。那些涉案数据服务商与爬虫业务及侵犯公民个人信息有关。
除了警方介入,监管部门也加大大数据应用的风险排查。央行对银行及征信机构下发紧急通知,要求银行排查是否与第三方数据公司开展合作,排查的合作内容涉及数据采集、信用欺诈、信用评分、风控建模等方面。
在前几年,金融借贷类App读取用户通讯录的现象比较普遍,随着用户隐私意识加强和相关信息保护法规出台,强制读取通讯录事件减少。
个人数据被违规抓取、肆意泄露,在一定程度上源于当时缺乏数据安全和金融消费者个人信息保护相关的配套法律,消费者和企业的数据安全保护边界意识模糊。因此,早期个人信息保护主要由监管和警方引导。
相比违规采集个人信息,不规范使用个人信息能直接给消费者带来财产甚至人身伤害。部分金融企业未列明App收集使用个人信息的目的、方式和范围,在用户未使用相关功能时提前开启通讯录、定位、短信、录音、相机等权限。这些信息均关系到用户个人敏感信息,一旦被滥用,很可能流入黑灰产业,或者引发无休止的骚扰电话。
目前,金融领域的个人信息保护,不仅在立法层面得到保障,而且金融机构、行业协会、消费者都越来越重视,这为数据安全编织了一个稳固的网络。如果有机构踩红线侵犯用户个人信息,将面临史无前例的严惩。
借助金融数据,金融服务的触达能力得到延伸,金融机构可以根据数据的风险偏好特征为用户推送金融产品。即便如此,个人信息保护和数据安全始终是数据赋能的前提。