董云峰:中国金融科技的数据红利还有多久?
面对这个大数据时代,个人信息需要适度保护,却不宜过度。当然,眼下的问题是保护严重缺失,我很担心市场主体的肆意妄为引发民怨沸腾与监管高压,最终走向过度保护。
面对这个大数据时代,个人信息需要适度保护,却不宜过度。当然,眼下的问题是保护严重缺失,我很担心市场主体的肆意妄为引发民怨沸腾与监管高压,最终走向过度保护。
年初的支付宝账单事件,令个人信息保护成为社会焦点,公众对此的关注上升到一个前所未有的高度。
本月早些时候,先是网信办针对上述事件约谈了支付宝公司和芝麻信用的有关负责人,之后是工信部就侵犯用户个人隐私的问题约谈了百度、蚂蚁金服与今日头条,要求三家企业立即进行整改。
2017年以来,针对个人信息保护的监管力度不断加强,在此背景下,中国金融科技的数据红利还有多久?
在新金融琅琊榜看来,如果不是可以近乎肆无忌惮地获取、使用和交易个人信息,中国金融科技很难在短短几年间高歌猛进、傲视全球。可以毫不夸张地说,从业者实实在在地享受着监管缺失之下的数据红利。
面对这个大数据时代,个人信息需要适度保护,却不宜过度。当然,眼下的问题是保护严重缺失,我很担心市场主体的肆意妄为引发民怨沸腾与监管高压,最终走向过度保护。
但愿最终的结局可以如央行副行长陈雨露所言,“让信息在安全、合规的前提下自由流动,充分释放信息流动所产生的红利。”
1
无隐私时代
你觉得你真的有隐私可言吗?
在回答这个问题之前。不妨想一想,除了有关部门,腾讯和阿里等互联网巨头对你的了解,是不是到了毛骨悚然的地步?
从通讯、网购、旅行、外卖、网约车、到扫码支付,这些年你在互联网上留下了多少个人信息?直观来说,你的微信数据占据了多少手机存储空间?你在淘宝、京东上的购物记录,你在滴滴上的打车记录,又有多少条?
你有没有遇到过:如果你在一家现金贷平台进行了手机注册,接下来几天里你很可能收到其他多家现金贷平台的骚扰短信?并且无论怎么发送“N”或“TD”都退订不了,隔一阵子就会来骚扰你。
你有没有遇到过:一些你早已卸载的社交APP或者生日提醒APP,突然有一天通过短信提醒你,又有好友给你发送私信或者送花,并且直接显示这些好友的姓名?
根据南都个人信息保护研究中心发布的《2017个人信息保护年度报告》,互联网平台隐私政策透明度的分布是陡峭的金字塔型,即透明度高的互联网平台极少,透明度低的占比超过80%;在互联网金融类平台和购物类平台中,低透明度的占比甚至超过90%。
这份报告还发现,有些重要条款在互联网平台中普遍缺失,这些条款内容无一例外都指向企业责任,条款的缺失便减轻了企业责任,最终可能侵害用户利益。同时,互联网平台的隐私政策普遍存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等弊病。
在实际中,还会碰到“霸王条款”,默认勾选使用协议,如果取消勾选就无法使用相关APP。这些协议普遍不对等,平台的权利远远多于和大于责任,可谓显失公平。
以前阵子闹得沸沸扬扬的《芝麻服务协议》为例,根据这份协议,用户授权芝麻信用采集信息,同时默认同意第三方查询非贷款类及其他非涉及商业秘密信息时,芝麻信用可以直接向第三方提供相关信息。
2
相关法律法规
金融是一个高度数据化的行业,在个人金融业务领域,需要大规模采集和使用个人信息,由此引出了个人信息保护。在我国,早前诸多法律法规均有涉及。
1995年5月制定、2003年12月修订的《商业银行法》在第三章“对存款人的保护”中规定:商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。这是我国首次以法律的形式建立了金融机构为存款人保密的法律原则。
2006年10月制定的《反洗钱法》要求,金融机构应当按照规定建立客户身份资料和交易记录保存制度,并对未按照规定保存客户身份资料和交易记录的或泄露有关信息的违法行为,规定了严格的惩处措施。
2013年3月15日起施行的《征信业管理条例》对信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动进行了全面规范,并对违法收集、查询、使用信用信息的行为规定了比较严厉的行政处罚。
除了上述法律法规,金融领域的个人信息保护,主要是由央行发布的各项部门规章,包括2005年8月施行的《个人信用信息基础数据库管理暂行办法》、2006年11月制定的《金融机构反洗钱规定》、2007年6月制定的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》和2010年6月制定的《非金融机构支付服务管理办法》。
上述法规规定了个人信用信息的报送整理、查询、异议处理、安全管理和行政处罚,具体规定了客户身份资料和交易记录保存的防护管理措施、技术措施和保存期限等具体问题。
值得一提的是,《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》,首次将从事汇兑业务、支付清算业务、基金销售业务的机构纳入金融信息保护的主体范围。
另外还有一些规范性文件,包括2011年1月的《关于银行业金融机构做好个人金融信息保护工作的通知》、2012年3月的《关于金融机构进一步做好客户个人金融信息保护工作的通知》以及2012年12月的《非金融机构支付服务管理办法实施细则》,均由央行制定。
3
监管滞后于现实
然而,到目前为止,还没有一部专门针对个人信息保护的法律出台,尤其在互联网金融发展如火如荼的这几年,个人信息保护问题日益突出,相关的法律法规并没有实质性突破。
上述监管制度,效力最强的是《商业银行法》和《反洗钱法》这两部法律,但出台时间都超过了10年,远远落后于时代。数量最多的是央行发布的部门规章,但只能算是行政性的业务说明,并不构成法律解释,
这使得监管部门虽有规定,但在实际中很难严格执行。目前个人征信牌照尚未下发,监管部门对市场主体的一些越界行为缺乏实质性约束。
举例来说,《征信业管理条例》明令禁止征信机构采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。然而打开支付宝-芝麻信用,你会发现芝麻信用一直诱导用户上传房产信息、车辆信息、公积金和信用卡账单等资料。
还有一个至关重要的问题是,涉及个人信息违法违规,监管制度对金融机构的处罚相对严厉,但对第三方支付等非金融机构的处罚明显偏于宽松,缺乏惩戒力。
《商业银行法》对违规对外提供金融信息的行为,比如非法查询行为,规定责令改正,有违法所得的,没收违法所得,违法所得五万元以上的,并处违法所得一倍以上五倍以下罚款;没有违法所得或者违法所得不足五万元的,处五万元以上五十万元以下罚款。
《非金融机构支付服务管理办法》对违规保存使用金融信息的行为,如:未按规定保管相关资料或保守客户商业秘密,责令其限期改正,并给予警告或处1万元以上3万元以下罚款。
与给予金融机构的行政处罚相比,针对非金融机构即支付机构的行政处罚,种类单一、额度较低,因此违规成本极低。这还导致在执法实践中,对于相同违法违规行为,金融机构和非金融机构之间无法做到一视同仁。
这种差别对待,很可能向第三方支付及新型互联网金融机构释放了一种宽松逾期,导致它们更加漠视对个人信息保护。
在新金融快速前进的当下,个人信息侵权违法犯罪活动采用的技术手段日益复杂,因此一方面迫切需要将新金融主体纳入监管范围,另一方面还需要充分利用监管科技,及时填补真空与漏洞。
4
个人信息保护新时代
2017年04月,在由央行征信管理局、世界银行集团国际金融公司、APEC工商理事会共同主办“个人信息保护与征信管理”国际研讨会上,中国互联网金融协会会长李东荣指出,从中国情况看,目前还没有专门的个人信息保护法,应考虑充分吸收借鉴国际经验和最新探索成果,尊重中国在发展阶段、立法程序等方面的现实国情,加快推动个人信息保护专门立法。
李东荣建议,按照“顶层设计”和“急用先行”相结合、“充分利用现行法律”和“及时弥补短板空白”相结合的方式,加强基本法律和配套规则的协同效应,尽快将个人信息保护全面纳入法制框架。
他还提出,要严格政府监管,从保障信息主体权益和强调机构责任出发,以个人信息采集和处理机构为主要监管对象,统一监管要求和处罚标准,从信息安全、隐私保护等方面实施严格监管,对于机构违法违规行为进行重罚。
实际上,个人信息保护,绝不仅仅是金融监管部门的职责。从最高法、网信办到工信部等部门,都在加快动作。
2017年5月,最高人民法院和最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》;6月1日,《网络安全法》正式实施。7月,国家网信办等四部委启动个人信息保护专项行动。在近期约谈百度、蚂蚁金服和今日头条的同时,据工信部披露,其已组织技术部门对相关手机应用软件是否存在侵犯用户个人隐私行为进行持续监测,并将加强对互联网服务信息收集使用规则告知、账号注销等环节的监督检查。一经发现违法违规行为,将严肃查处并向社会曝光。
与此同时,工信部要求各互联网企业严格遵守相关法律法规,遵循合法、正当、必要的原则收集使用个人信息,不得收集服务所必需以外的用户个人信息,不得将信息用于提供服务之外的目的,不得非法向他人出售或提供个人信息,同时进一步优化服务协议、用户隐私政策和手机权限调用说明,维护用户合法权益。
2018年1月4日,央行正式公示“信联“相关情况,这有望成为中国个人征信领域的里程碑。
信联是由央行牵头组建的国家级网络金融个人信用基础数据库,主要目的是把央行征信中心未能覆盖到的个人客户金融信用数据纳入,实现行业的信息共享,以有效降低风险成本。