威尼斯赌场,威尼斯赌场官网

威尼斯赌场

当前位置: 网站首页 > 投资者教育

互联网金融行业个人信息的保护

发布日期:2018年10月22日 11:01:14 访问人数:465

互联网为信息通信技术和人类生产生活交汇融合提供了可能,海量数据的集聚与利用成为互联网的基本运作模式。互联网金融也是依托大数据和云计算在开放的互联网平台上形成的功能化金融业态及其服务体系,因而在互联网上进行的资金融通、支付、投资和信息中介服务,都需要采集和利用大量信息,尤其是个人信息。随着互联网金融行业中个人信息采集和利用的广度和深度不断拓展,个人信息流动日益突破地域和行业的原有界限,个人信息保护面临的风险随之大幅增加。

个人嘻嘻保护.jpg

近年来,国家持续加大对个人信息的保护力度,比如:《网络借贷信息中介机构业务活动管理暂行办法》第27条规定,网络借贷信息中介机构应当加强出借人与借款人信息管理,确保出借人与借款人信息采集、处理及使用的合法性和安全性。网络借贷信息中介机构及其资金存管机构、其他各类外包服务机构等应当为业务开展过程中收集的出借人与借款人信息保密,未经出借人与借款人同意,不得将出借人与借款人提供的信息用于所提供服务之外的目的。在中国境内收集的出借人与借款人信息的储存、处理和分析应当在中国境内进行。除法律法规另有规定外,网络借贷信息中介机构不得向境外提供境内出借人和借款人信息。

在P2P网络借贷机构合规检查工作中,监管部门的“问题清单”更是针对“未能合法、安全地采集、处理及使用出借人、借款人信息”提出了5项合规要求。因此,有必要对互联网金融行业个人信息保护给予必要梳理和审视。

一、个人信息的界定

如要保护个人信息,就需要首先对个人信息进行界定。实践中,个人信息与个人隐私、个人数据混淆,造成误解。

根据《电信和互联网用户个人信息保护规定》(2013年9月1日施行)第4条的规定,个人信息是指姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息,以及用户使用服务的时间、地点等信息。

根据《中国人民银行金融消费者权益保护实施办法》(2016年12月14日施行)第27条的规定,个人金融信息,是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。

根据《网络安全法》(2017年6月1日施行)第76条(五)的规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

根据《信息安全技术个人信息安全规范》(2018年5月1日施行)第3条3.1的规定,个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

可见,个人信息与个人隐私、个人数据存在一定差别。首先,个人隐私,是个人生活领域内的事情不为他人知悉,与公共利益、群体利益无关,禁止他人干涉的纯个人私事。个人隐私是个人生活最私密、直接涉及到个人尊严与自由的部分,一旦侵入,就会造成受害人的直接损害,特别是会受到精神损害。因此,他人无论怎样使用个人隐私,都会对当事人造成损害,而个人信息在正常使用时不会对当事人构成侵犯。当然,个人隐私与个人信息存在一定的重叠,一些个人信息可能属于个人隐私范畴。其次,个人数据,是个人在互联网载体上对客观事物进行阐述的记录。《民法总则》第111条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。而《民法总则》第127条则规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。可见,《民法总则》对这两个不同的法律概念进行了区分。实际上,个人信息体现的是人格权属性,而个人数据体现的作为网络虚拟财产的产权属性。

因此,个人信息最核心的法律特征是具有身份识别性,即能够直接或者与其他信息关联识别个人身份。也就是说,个人信息可以同特定的个体产生联系并且能够表现出个人特点,是具有一定可识别性的信息集合体,具有客观存在性、可识别性、无形性、兼有人身与财产属性。当然,也有人认为,在互联网金融中,金融消费者在互联网上留下的不仅仅是一些静态的个人信息,更是涉及到大量动态的数据,包括行为数据与互动数据,这些数据对于金融产品的开发设计营销具有重要的意义与价值。这些数据与金融消费者相关,并能体现金融消费者的各项特征,可用于间接或者直接识别金融消费者的身份,因此,互联网金融消费者个人信息还应包括这些动态的个人数据。

二、互联网金融行业侵害个人信息的原因和后果

在互联网金融中,资金供求双方可以通过网络平台自行完成信息甄别、匹配、定价和交易,金融消费者可以在开放透明的平台上快速找到适合自己的金融产品,削弱了信息不对称程度,成本低且较为便捷。而且,整个互联网金融业务主要由计算机处理,操作流程标准化,业务处理速度快,用户体验好,反映了互联网金融的高效率。

然而,正是这种开放和交互以及全程互联网的处理,在为金融消费者带来方便的同时,也给金融消费者的个人信息安全带来了潜在的威胁。一方面,网络的开放性使得不同网络间互联互通,实现了资源共享,但金融消费者的个人信息,特别是一些个人的敏感信息,没有被屏蔽或脱敏处理就被放置在互联网上,容易导致个人信息的泄漏。另一方面,互联网金融机构普遍存在信息安全管理不健全的情形。由于互联网金融机构对于个人信息具有绝对的主导权,而其对于个人信息随意收集、使用和处置的做法,使得个人信息被侵害现象较为严重。而且,互联网金融机构的网络安全性不强,导致非法搜集、非法利用、非法存储、非法加工或非法倒卖个人信息等个人信息被侵害的现象愈加严重。以P2P网络借贷为例。P2P网络借贷就是一个信息收集、数据分析和处理的过程,用户首先需要在平台上进行个人信息的注册和审核,包括身份、职业、家庭、财产和健康状况等,然后系统会根据使用对象的不同来设置信息的公开程度,以帮助出借人做出是否出借资金的决策。一些不法分子为了获取用户个人信息,利用P2P网络借贷平台的网络信息技术漏洞,借助木马病毒或者第三方插件进行恶意攻击,进而盗取用户的账户、密码等关键信息,导致个人信息泄露。

在互联网金融行业中,个人信息被侵害会造成严重后果。根据叶名怡教授的总结,侵害个人信息的后果主要有:第一,数据泄露。即个人数据被破坏、窃取或擅自访问,导致数据的保密性或完整性遭到破坏。第二,导致或促成下游犯罪发生。即信息侵害作为下游犯罪的预备条件,下游犯罪包括但不限于网络攻击、诈骗、身份盗窃、敲诈勒索、跟踪杀人等等。第三,社会分选和歧视。所谓社会分选,是指收集个人数据,再依据多种标准(年龄、经济实力等)将人群分类,并决定谁应当有何种待遇。社会分选可能带来不当歧视。数据泄露或买卖使得分类筛选与歧视得以秘密化和便利化,受害人既无从知晓,也无法摆脱。第四,数据监控下的不安与自我审查。个人自治空间和隐私空间被大幅压缩,私生活受到侵害。第五,消费操纵和关系控制。数据画像使得定向广告无比精准地在特定时间和场景到达目标用户,诱发冲动消费。

三、互联网金融行业个人信息权利的设置

目前,我国已在“知情、同意、授权”的架构上初步搭建了个人信息保护规则体系,涉及《民法总则》、《刑法》、《侵权责任法》、《消费者权益保护法》、《网络安全法》以及全国人大、国务院、威尼斯赌场官网:、最高人民检察院、相关部委、人民银行及监管机构的相关决定、指导意见、部门规章等规范性文件和非强制性的国家标准。例如,2015年,《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围。2017年,《威尼斯赌场官网:、最高人民检察院威尼斯赌场:办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了侵犯公民个人信息罪的具体定罪量刑标准,刑事打击侵害公民个人信息行为的力度更大。而且,随着我国正在加快制定《个人信息保护法》,未来将从信息决定权、信息保密权、信息访问权、信息更正权、信息可携权、信息封锁权、信息删除权等多方面对个人信息进行全面保护。

对个人信息进行保护,需要确立个人信息权。这一权利应当包括个人对信息被收集、利用等的知情权,以及自己利用或者授权他人利用的决定权,即便对于可以公开且必须公开的个人信息,个人也应当有一定的控制权。具体如下:

第一,信息决定权。即个人对于其信息是否被收集、处理、利用享有控制和支配的权利。《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意。对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。

第二,信息更正权。即个人对于其信息享有自主更新的权利,以保证个人信息的准确。《网络安全法》第42条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息。

第三,信息可携权。即信息主体有权就其被收集处理的个人信息获得对应的副本,并可以在技术可行时直接要求信息控制者将这些个人信息传输给另一控制者。《网络安全法》第42条规定,未经被收集者同意,网络运营者不得向他人提供个人信息。

第四,信息封锁权。即个人对于其信息存在被侵害可能时,可以要求暂时冻结其信息,以保证个人信息的安全。

第五,信息保密权。即个人可以请求保证其信息的隐秘性的权利。《网络安全法》规定,网络运营者应当承担严格的保密责任(包括必要的保密措施、补救措施及泄露后的通知义务),未经信息主体的同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。例如,第三方支付平台有义务在未经许可的情况下,不得将用户的账户名称、姓名、身份证号、地区、财产余额等信息进行外泄或者公开,应当严格维持其保密状态。

第六,信息访问权。即个人对于其个人信息以及相关的处理情况进行查询、访问并得到信息控制者的相应答复的权利。

第七,信息删除权。即个人可以请求信息处理主体无条件地删除其个人相关信息的权利。《网络安全法》规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)规定,在达成个人信息使用目的之后应删除个人信息。

第八,信息去隐私化权。即采取数据脱敏处理,对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。常见的敏感数据有姓名、身份证号码、地址、电话号码、银行账号、邮箱地址、所属城市、邮编、密码类(如账户查询密码、取款密码、登录密码等)银行帐号、交易日期、交易金额等个人信息,都需要进行数据脱敏。

来源:威尼斯赌场法律服务中心  奚桢、周小龙(原创)