《个人信息安全规范》生效在即,金融科技从业人员应了解这些事
时逢技术新旧迭代、商业模式转型和监管政策收紧的“三期叠加”,产业发展对多元数据的渴求和社会各界对信息安全的关注空前高涨,加之现行法律规范因个人信息保护顶层设计和专门法律付之阙如而客观呈现的碎片、模糊和失位等弊病,人们在困惑与焦躁中迎来了《安全规范》问世。基于上述背景,研究分析《安全规范》对金融科技业务开展无疑具有较强的现实指导意义。
如火如荼的信息保护规范体系建设而今再下一城。2017年12月29日,全国信息安全标准化技术委员会正式发布《信息安全技术个人信息安全规范》(GB/T 35273-2017,以下简称《安全规范》),2018年1月24日在“国家标准全文公开系统”上线供公众阅览并计划于5月1日正式实施。时逢技术新旧迭代、商业模式转型和监管政策收紧的“三期叠加”,产业发展对多元数据的渴求和社会各界对信息安全的关注空前高涨,加之现行法律规范因个人信息保护顶层设计和专门法律付之阙如而客观呈现的碎片、模糊和失位等弊病,人们在困惑与焦躁中迎来了《安全规范》问世。基于上述背景,研究分析《安全规范》对金融科技业务开展无疑具有较强的现实指导意义。
效力:《安全规范》的能与不能
首先从内容上看,《安全规范》呼应了业内痛点,凝聚政、商、学三界专业力量对现实中争议较大的一系列概念如“敏感信息”、“用户画像”和“匿名化”等的内涵和外延进行了清晰界定,并对收集、保存、使用、转让等信息处理环节的工作提出了明确意见,有利于企业合规政策的拟定和个人信息安全的保护。
不过需要明确的是,《安全规范》虽是由国家质量监督检验检疫总局和国家标准化管理委员会发布,但并不是国家认可具有法律效力的规范性文件,对政府、企业和公民均不具有强制约束力;即使从标准本身来说,《安全规范》也只是定位于“推荐性标准”(GB/T,有别于“强制性标准”),主要通过经济手段、市场调节而非行政强制来推动相关主体自愿采用。
然而这种“软法”(Soft Law)的定位并不意味着《安全规范》的无足轻重。事实上,规范本身在第一条就开宗明义,直接指出作用范围包括“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估”,国家互联网信息办公室有关官员也指出其作为个人信息保护工作的“基础性标准”奠定了相关法律立法执法基础并对官方和准官方开展工作提供“指导和依据”。另外从现实中我们也看到,在沸沸扬扬的某宝账单事件出现后,网信办用来和相关企业“说事”的主要依据正是这部《个人信息安全规范》。
定义与范围:越来越清晰、越来越严格
可能让金融科技从业人员揪心的是,从《网络安全法》到最高法院、最高检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《司法解释》,再到此次的《安全规范》,我们既看到了管理思路的一脉相承,也看到了愈收愈紧的规范之网。
定义方面,《安全规范》采用“识别”或“关联”满足一项均可的复合路径,规定“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。该定义严于《网络安全法》(后者单采“识别”定义方法无“或者”之后内容)而与“两高”《司法解释》保持一致,《司法解释》适用于刑事领域而《安全规范》基本作用于民事领域,其严厉程度不仅规定上举世罕见(高于美国单采的“关联”标准和欧盟单采的“识别”标准)且效果上恐也可能一厢情愿。
分类和范围上,一方面,《安全规范》在《网络安全法》和《司法解释》规定的身份信息、通讯住址信息、财产信息、行为轨迹信息、生物识别信息之外,梳理了十三大类近百种信息,大大拓展了范围边界,另一方面,《安全规范》舍弃了《司法解释》的敏感信息、重要信息、普通信息“三分法”,采用了敏感信息、普通信息“两分法”且将除个人基本信息和常用设备信息等之外包括身份信息、财产信息、生物识别信息、网络身份识别信息和健康生理信息等等在内的几乎全部信息类别划为敏感类别并在相关内容中课以特别责任。对市场主体来说,有据可依固是幸事,但随之带来的合规成本上升恐怕也会对企业尤其是中小企业业务开展产生明显的消极影响。
信息采集:产品设计分层实现
信息采集既是金融科技产品面向客户最初始也是最频繁的功能,更是其赖以运行和优化的基础。在安全、体验和效率的价值撕扯中,传统的“知情-同意”架构在公众对企业收集信息范围、强度、频次不断增大的质疑和企业对规则不断收紧阻碍信息流转乃至产业发展的抱怨中饱受冲击,落实到具体实现方式上,利用协议概括授权与具体功能逐一授权两种方式一直见仁见智、争论不休:前者对于企业来说效率最高、成本最低、风险最小,但对于个人则有“格式合同”侵夺权利之嫌而被司法认定为“格式合同”还可能产生无效风险,除此之外,“yes or no”的武断授权方式导致用户在拒绝某一授权时直接无法使用产品,反之为了使用产品又不得不放弃本不愿意给予的授权,个人在此模式下只能收获些许的体验“快感”;后者虽能关照用户对授权“失控”的焦虑,但一方面产品、功能、场景日趋复杂可能导致这种授权方式无法完整实现,另一方面如果完整实现在交易特别是在高频交易中又会带来成本高昂、流程繁琐等问题,也直接影响客户的使用体验。
上述争议在《安全规范》出台后有望告一段落。在继续坚持“知情-同意”架构并匹配合法性和最小化要求后,《安全规范》对信息收集进行了分层规定:首先,根据产品或服务提供商是否访问个人信息判断行为是否属于“收集”,这意味着金融科技某些仅在本地实现而非利用网络或回传的功能即使获取了客户信息,也不被认为是“收集”,无需客户授权;其次,区分产品或服务的核心功能和附加功能,前者使用《隐私政策》等协议概括获取授权,后者则可采用逐一授权模式;最后,区分信息是否属于敏感信息,如属于则需要用户做出书面声明或主动进行“肯定性动作”,在产品设计上,考虑到核心功能必然涉及敏感信息且使用协议概括授权模式,这一层次的区分的现实意义主要集中在附加功能逐一授权的确认上是否采用“明示同意”抑或“默示同意”,一定程度上减少了用户的授权之“累”,提升了产品体验。
对金融科技企业来说,这里需要进一步考虑“核心功能”和“附加功能”的区分问题,从现实来看,“核心-附加”的区分标准较为主观,兼之技术和商业模式发展迅速,今天的所谓“附加”功能可能就是明天的“核心”功能。对于金融科技来说,专业的互金平台自不用说,另外一方面是传统金融机构原来业务的线上渠道部署和线上展示,还有一方面是某互联网产品或电商平台的某一个或某一组产品功能,这些看似非“核心”、非“主流”的业务从流量和利润来说又规模可观,这样究竟应被认为是“核心功能”还是“附加功能”?业内虽有行业惯例+用户感受的判断方法,但还失之主观,很难达成一致,在法律、标准和行规都存在空白的前提下,企业有必要未雨绸缪,提前做出制度-协议安排以有效控制风险。
保存与使用:拿来也不是你的
虽然没有正面规定个人信息不同环节、不同场景的权利归属,但从制度设计来看,个人信息从始至终,虽然可能有后期企业的加工处理,但仍然归属个人所有,这是企业使用、保持个人信息工作的出发点。从此出发,《安全规范》对使用与保持环节的顶层设计是识别上的去标识化以及在必要基础上授权方面的最小化、内容方面的最少化和时间方面的最短化。落实到具体层面,主要包括内部人员控制和个人权利保护两个实现机制:
内部人员控制层面,主要采用设置角色分离、限制访问个人信息人员范围权限、制定作业标准等工具。
个人权利保护层面,主要赋予个人信息权利主体访问、更正、删除、撤回同意、注销账户以及获取副本的权利,并要求企业对个人信息权利主体请求设置常规化的响应机制。
使用环节未来在理论和实践层面可能引发争议的是对企业基于个人信息自动决策的相关制度设计。在大数据和人工智能技术的助推下,金融科技自动决策的使用场景愈来愈多,尤以信用审批、精准营销、智能风控最为突出。一方面,自动决策作为企业内部事项,是其提供产品服务外收集个人信息的最重要应用领域,同时与产业发展趋势相适应,也是企业未来智能进化的生命线,其相关权利理应而且确实受到法律保护,但另一方面,决策结果对个人权利实现以及物质、精神利益也存在影响,这不仅体现在技术未成熟时误判带来的危害,也体现在成熟后对客户分级带来的歧视风险以及对个人精神安宁的干扰,更深层次则是将人“拟物化”处理的担忧。《安全规范》赋予了个人对自动决策结果进行申诉的权利,但在双方具体权利边界、落地方式、申诉效果等着墨不多,企业需要在于个人的协议中进一步细化约定。
信息转让:成本是否过于高昂
对金融科技业界来说,《安全规范》对信息转让的规定可谓“喜忧参半”,喜的是虽然“原则上不得共享、转让”,但还是给出了转让的方法指引,忧的则是转让方法涉及方面众多、成本过于高昂:
首先是同意,转让的前提是个人的事先同意,涉及敏感信息的,还要有告知其信息类型、第三方身份、安全能力等进一步要求,从现实来看,可能不只一次授权,而是分主体、场景、业务的多次授权。
其次是评估,要求个人信息提供方在对受让企业的安全能力评估基础上,确定是否能够转让、转让的内容范围及需要采取的保护措施等。
另外还要记录,具体涉及转让共享的数据信息与具体情况等。
最后,个人信息提供方还需要承担因转让个人造成损害的系列责任并协助个人了解受让企业对个人数据的保存、使用情况。
转让成本高昂,受让也价格不菲:作为信息收集(直接获取、间接获取、公开收集)的三种方式之一,受让定位于间接获取个人信息,除承担一般责任外,受让企业还要要求个人信息提供方说明来源、了解提供方授权范围和收集行为是否履行必要程序、主动而非依赖提供方审查信息的合法性,在超出个人对提供方授权范围进行操作时还需要再次获取其明示同意。
信息移转过于高昂的成本对相关业务开展当然具有消极影响,但成本痛感相对较低的大型企业尚能承受,小微企业尤其是创业企业可能会因此遭遇合规门槛而缺少数据驱动,这对金融科技产业创新发展和市场结构均具有消极影响,对个人信息主体长远利益的影响也难说正面。如官方因信息安全、个人权利等价值追求确实需要严格转让路径,金融科技企业未来则需要推动搭建信息分享的行业公共机制(如由行业协会牵头建立分享平台)并推动新的、能对个人权利完整保护又不影响分享效率的技术(如区块链等)及早商用。
管理机制:不仅是IT部门的事
不管是作为企业治理健全的应有之义还是事件发生后对外抗辩的重要事由,优化企业内部个人信息管理机制均具有重要意义。作为《网络安全法》相关要求的具体细化,《安全规范》在个人保护的制度建设、部门和岗位设置、人员培训、访问控制机制、安全评估和审计制度以及安全事件处置机制等都做出了细化的指引,较之以前的规范制度,其理念上的最大突破是将信息管理机制从IT部门决策提升到企业整体战略决策的高度,这对公司治理体制提出了更高要求。
值得注意的是,当前金融科技企业尤其是头部企业越来越多地致力于业务的平台化,与合作伙伴共同打造商业生态,不仅表现为平台+商户模式的大行其道,也表现为企业在彼此平台上合作部署业务,这意味着企业间共同收集、保存和使用个人信息的情况也越来越普遍——考虑到《安全规范》生效后对中小企业信息成本的增加,上述趋势会更加明显。《安全规范》为此专门设计了“共同控制者”的相关制度,要求平台和企业应在协议专门约定其保护个人信息安全的义务承担和责任划分,这也将会是平台们所面临的新合规问题,反过来也会推动合规成为平台吸引合作伙伴的新能力的趋势。
制度简评:现实之子能否应对未来挑战
出生于2017年12月的监管严冬,《安全规范》当然具有浓厚的时代烙印。不过,严厉的制度也好过没有制度,它毕竟带来了明确的制度预期,各权利相关方的博弈也在更加法制化的轨道上进行。尤其值得称道的是,《安全规范》没有回避实践争议热点,在谨慎之余也给出了可以落地的解决方案。除此之外,基础概念和具体环节的细化还为企业乃至产业的规范化发展指明了方向,其积极意义当然不能低估。
不过,《安全规范》的不足之处也需正视:现实层面,其更多是对个人信息保护具体工作进行指引,没有完全回应更为基础的权利建构尤其是企业在信息领域权利建构的课题,在安全与效率、保护与发展、个人与企业等多重价值的判断取向也过于单一,一些具体概念、要求表述稍显学理化而与现实脱节;未来层面,制度设计更多是对过去争论的答复,较少针对未来的开放性设计,其设计初衷更多是对存量蛋糕的权利分割,而没有太多考虑促进增量业务成长,愈保护于发展之中。
正是在这个意义上我们说,《安全规范》只是这个时代关于个人信息保护和利用的阶段总结和崭新起点,它不是也不应该是探索和讨论的结束。站立在其臂膀之上,我们既要筑牢现实工作根基,也要眺望远方美好风景。
(车宁,央行观察专栏作家)
责任编辑:陈近梅