新华财经北京10月22日电 “个人金融信息是个人信息在金融领域的拓展和延伸。”10月21日,北京字节跳动科技有限公司互联网法律研究中心主任丁道勤在2021年金融街论坛年会——“数字经济与金融科技”分论坛上如此表示。丁道勤称,个人金融信息可归为三大类:金融账务信息;个人金融活动信息,包括交易及相应活动;个人金融分析挖掘出的信息内容。
丁道勤表示,个人金融信息数据的挖掘对银行、金融决策服务是非常好的支撑,因为金融核心是风控,风控是以数据为导向,大数据应用水平成为企业竞争力的核心要素,数据挖掘会涉及到数据库的数据提取、数据预处理、数据知识提取、知识评估,前两个遵守相应个人信息保护的情况。
在个人信息的搜集环节,丁道勤举例称,如大家熟知的人脸识别技术在金融领域广泛应用,比如身份验证、刷脸支付等作为生物识别信息也需有严格的规范,特别是在人脸深度伪造会造成相应财产损害的情况下,显示出收集环节应该要遵守更加严格的要求。
丁道勤称,个人信息共享也涉及到金融科技的发展,数据只有安全流动起来才有相应的价值,也避免数据孤岛和垄断的情况,这个过程中也要遵守数据共享和委托要求。
以下为丁道勤讲话核心内容:
各位领导、专家:
大家下午好!
非常荣幸来参加这个论坛,我今天想汇报一下我个人金融信息保护的思考。以下仅代表个人观点。
我今天汇报有以下三方面内容。一是监管现状。二是个人金融信息监管的主要制度。三是个人对金融信息监管的粗浅建议与思考。
第一,为提升交易效率,金融交易中很多情况涉及金融科技。第二,处理不当时,金融科技是否会存在滥用情形。第三,信息泄露,特别是在数据挖掘过程中可能会产生侵犯隐私权的情况,另外,一些传统金融机构在信息化转移过程中也会遇到相应的难题。
我梳理一下金融专门的法规体系,主要包括以下几个方面:
第一,个人金融信息分类分级。包括个人金融信息有哪些内容、有什么内涵和外延。
第二,收集各方面同意的规则。
第三,金融信息的共享和委托。一般针对大数据的挖掘利用和金融信息的跨境流动。
第四,个人金融信息分类分级。
欧盟GDPR对个人金融信息的定义并没有像中国《个人信息保护法》那样列示,敏感类信息是作为特殊信息进行总体保护,它的规范更加严格。在美国金融服务类现代法案没有对金融消费者非公开个人信息的NPI规定有一个明确的界定。而在我国的两部法律中,个人信息保护法直接将金融账户信息列入敏感信息。另外,个人金融信息是作为重要数据来保护的,甚至还有涉及到国家的核心数据,这会遵守一系列的数据安全保护要求。
总体而言,我认为个人金融信息是个人信息在金融领域的拓展和延伸。归类来看,包括三大类:第一是金融账务信息;第二是个人金融活动信息,包括交易还有相应的活动;第三是个人金融分析挖掘的信息内容。
收集同意规则上,《个人信息保护法》是以知情同意原则加上处理者为中心的监管体系,把它列入金融账户信息、列入敏感信息,要遵守一系列敏感信息的监管方案要求,比如说你要符合特定的目的和必要性,要采取严格的措施,还要取得个人同意,并且向个人告知处理的必要性以及对权益的影响。另外,我们可以看到在个人金融信息不光是知情同意,知情同意还有一些例外的情形,订立合同、人力资源管理、履行法律义务以及紧急情况下的财产安全、合理范围的监督等。
另外,个人公开的信息处理。在个人金融信息的搜集环节,如大家熟知的人脸识别技术在金融领域广泛应用,比如身份验证、刷脸支付,它作为生物识别信息也需有严格的规范,特别是在人脸深度伪造也会造成相应财产损害,这是收集环节应该要遵守更加严格的要求。
第二,个人金融信息共享、委托的情况,前不久范行长谈到在数据共享要求坚持最小必要和专事专用的原则,而且是在保障原始数据不出域的前提下来规范开展数据共享。另外一个要建立全生命周期保护来进行匿名查询,去标识化。
17号文通过外包开展业务,要进行充分审查来评估外包供应商的能力。在共享过程中,也涉及到金融科技的发展,数据只有流动起来,在安全流动起来才有相应的价值,也避免数据孤岛和垄断的情况,我们看到企业在很多情况下也在开放NPI接口和SDK的情况进行数据互连,这个过程中也要遵守数据共享和委托的要求。
下一个,在很多情况下特别是在随着金融科技技术的发展,个人金融信息数据的挖掘,实际上在很多对银行、金融决策服务是非常好的支撑,因为金融核心是风控,风控是以数据为导向,大数据应用水平是成为企业竞争力的核心要素,数据挖掘会涉及到数据库的数据提取、数据预处理、数据知识提取、知识评估,前两个遵守相应个人信息保护的情况,后面做了一个信息匿名化包括加密无污染环境,自由人可以在法律规则条件下进行浏览出来,也要按照法律规定向消费者说明他处理的情况,满足法律监管要求。
个人金融信息的技术规范,对汇集、聚合数据,在原有处理范围之下做一些相应的要求,聚合形成的信息如果可以识别出个人,还要再取得个人民事的同意,根据使用目的还要进行安全评估,这是对聚合信息进行挖掘在此使用的要求。
最后谈一下完善个人金融信息保护个人的思考。金融行业是信息导向非常明确的行业,建议在采取综合基本法在行业专门立法的基础上出台,做一个专门规章,形成一个立体性的保护体系。第二,要采取个人金融信息结果导向和全程可追溯的情况。还有一个很重要的一点,金融从业主体不光是金融机构,应该符合强化自觉的合规意识,要符合和目的性、受限性的收集以及风险评估管理,做好全链条内控制度。最后金融消费者,要提高自己的保护意识,充分了解相应的权利内容,在监管机构包括金融机构教育培训基础之上来提高自己的防范意识。
编辑:史可
声明:新华财经为新华社承建的国家金融信息平台。任何情况下,本平台所发布的信息均不构成投资建议。