21世纪经济报道记者 家俊辉 广州报道11月1日,《中华人民共和国个人信息保护法》(下称“个保法”)正式施行。
个保法明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等,充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。而银行等金融机构的业务与个人信息息息相关,个保法的正式实施将会对金融机构带来怎样的合规挑战?
比如,当前在金融行业应用颇为广泛的人脸识别技术,在给行业和客户带来便利的同时,也有潜在的信息泄露风险。
“应用人脸识别时,不仅要考虑便利性,还要考虑安全性。”日前,在广州数字金融创新研究院、广东广悦律师事务所联合主办的 “羊城数字金融沙龙”论坛第一期活动——“金融行业数据安全治理”学术沙龙上,广东广悦律师事务所高级合伙人杨杰表示,现阶段人脸识别已逐渐取代人工成为金融机构最高级别的认证手段,并被广泛应用。例如,在违规性监控领域,为节约成本、提高便利性,人工监控已经被人脸识别监控替代,但是否符合个保法的最小必要原则值得讨论。
对此,中南财经政法大学数字经济研究院执行院长、教授盘和林表示,相较指纹等个人信息,人脸识别更容易与个人对应,这是人脸识别被广泛普遍关注的原因之一,也是个保法提高人脸识别管制的理由之一。“金融机构和类金融机构应界定人脸识别的使用范围,在存在替代方案的情况下,金融机构仍需遵循最小必要原则,审慎使用人脸识别技术。”
所谓“最小必要”,指的是处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。
华南师范大学法学院研究员、数字政府与数字经济法治研究中心主任马颜昕则认为,人脸具有外部性,安全级别并不太高,其被广泛关注并非由于存在重大安全性隐患,而是由于其使用范围广、易被采集的特点。“在第三方支付等小额支付领域,人脸识别更多是提供便利,在金融机构领域更多是提供个人身份确认功能。”
针对个保法的最小必要原则,马颜昕提出,金融机构可通过提供线上人脸识别和线下办理的双选项方案以符合法律的要求。
同时,他表示,相比最小必要原则,自动化决策的滥用和敏感个人信息的单独同意对金融行业带来的挑战更大。
马颜昕认为,相较精准营销业务,金融机构依托自动化决策开展的金融科技业务受个保法的冲击更大。一方面,个保法的实施将影响金融机构使用金融科技手段进行自动化决策,进而影响贷款审批、逃税监管等业务的开展。另一方面,随着科技的快速发展和个人信用状态的模糊化,大量未持征信牌照的类金融机构也开始利用自动化决策纷纷开展用户信用评估业务,如车险评估及其他各类评估评分等。“这是否符合征信业务开展的相关规定,未来又将如何调整,是类金融机构面临的重要挑战。”
不过,盘和林表示,在人工智能、数字经济快速发展的现代社会,自动化决策不可避免。但他同时也指出,自动化决策的广泛应用会降低社会容忍度、压缩个人生存空间。“因此,开展自动化决策时,不仅要考虑效率的提高,也要考虑人性的特征、个人隐私的边界以及的生存等问题。政府与企业应厘清个人信息采集、自动化决策应用以及按章执法的边界,允许试错。”
对此,杨杰表示赞同。他进一步指出,现阶段,金融机构自动化决策业务往往涉及数据在集团内部流动的现象,在多数情况下,个人信息收集者并非数据的实际使用者。“金融机构应按照个保法要求,解决好个人信息数据在集团内部流动时的‘再次同意’问题。”
而对于个人信息的存储,杨杰认为,中央与地方、大型金融机构与中小型金融机构、类金融机构应做到相同的安全防护级别,并实现非必要不存储。“在技术层面,个人信息要第一时间进行去标识化处理;在管理层面,机构应当关注信息的保存期限以及隔离存储设置。”
盘和林也表示,同一类型的个人信息在各地、各企业的存储应达到统一的安全级别。此外,个保法仍需后续配套法律的支撑,使各地政府公职人员能有法可依、有标准可依,打通企业数据向政府流动的最后一公里。
“个人信息泄露在未来不是技术问题,而是管理问题。2018年欧盟颁布《一般数据保护法案》后,近年来又发布数字市场法、数字服务法、数字治理法等一系列法律草案,计划形成全面的数据法律体系。”马颜昕以欧盟数据法律体系为例指出,当前我国企业向政府提供数据信息时,面临向谁提供数据,谁负责数据安全以及多头重复向企业要数据等问题,政府应通过立法等机制,建立企业向政府共享数据的渠道。