【原】金融消费者个人信息保护：规则体系、要求及对策

与大多传统权利不同，个人信息保护的边界在技术、商业和观念的发展中不断变化，也在个人、企业和国家利益的博弈中动态平衡。

车宁，中国农业银行网络金融部高级经济，央行观察专栏作家

春节期间，正当人们沉浸在各种P图神器带来的开心快乐时，一则“剪刀手”可能泄露指纹信息的网文也不胫而走，再次引爆人们对个人信息保护的担忧。事实上，商业模式和科技的进步在快速提升人们生活品质的同时，也对个人隐私和国家信息安全带来全新挑战，在时代洪流的裹挟下，人们不断刷新着自己的人身、财产权利意识，不断在便利与安全间动态取舍。有鉴于此，如何在合规策略层面平衡商业、技术创新与国家、个人信息安全，兼顾企业对数据价值的追求和个人对隐私保护的顾虑，就成为业界不得不面对的公共话题。

一、 规则体系：历史、现状与趋势

一般认为，我国法律权利保护体系素有“重财产、轻人身”的传统，只是随着改革开放后经济社会发展和中西文化交流，才逐步确立了人身权 - 隐私权的权属内容和救济措施，而个人信息保护则更是近年来随着大数据、移动互联网等技术快速落地而带来的新概念。截止目前，我国已在“知情同意”架构上初步搭建了个人信息保护规则体系，涉及《民法通则》、《刑法》、《侵权责任法》、《消费者权益保护法》、《网络安全法》以及全国人大、国务院、最高法院、相关部委、人民银行及监管机构相关决定、指导意见、部门规章等20余项规范性文件，并出台了3个非强制性的国家标准。

毋庸讳言，我国个人信息保护规则目前存在专门立法缺失、利益衡量粗放、规则表达模糊、可操作性较低等问题，参考业务发展实际需要和域外先进立法经验，预计未来立法将从以下四个方面取得改进：

一是统一的《个人信息保护法》及实施细则可能出台，同时行业自律将获鼓励以协调法律与制度的明确性与灵活性，调动多方主体积极性，提升法律实施效果。

二是个人信息界定的可操作性将得到提升，保护的适用范围也可能扩大到所有造成隐私风险的大规模信息处理行为。

三是用户同意的路径依赖将被削弱，以具体应用场景的风险评估为基础的分类保护策略将得到提倡，在此基础上，用户控制与透明度的要求也将提升。

四是扩大责任主体范围，作为个人信息后续处理者和数据中间商的第三方地位预计会突出强调，个人侵犯他人信息的行为也会予以规制。

二、信息保护：定义、责任和难点

个人信息的定义在多项规范性法律文件中都有涉及，其共性是将“可识别”作为判定构成个人信息的关键要件。根据目前最新和效力层级最高的《网络安全法》规定，“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”，这个定义顺应金融科技发展趋势，首次在国家法律层面使用了“个人生物识别信息”这一概念，另外，人民银行《金融消费者权益保护实施办法》也对“个人金融信息”做出了定义，是指“金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息”。

根据人民银行《金融消费者权益保护实施办法》等相关规定，金融机构在个人信息保护方面的责任主要集中在收集、使用、转移、存储等方面，重点是同意+必要原则，同时切实履行个人信息存储、处理和分析的本地化要求，涉及关键信息基础设施运营的，还要履行《网络安全法》等课以的人员审查、培训，数据灾备，应急演练等义务。另外，根据全国人大常委会《关于加强网络信息保护的决定》规定，当发生或可能发生个人信息泄漏时，金融机构要及时履行补救、报告和通知等义务。

需要特别指出的是，如金融机构经营范围涉及电信和互联网渠道、电子商务等领域，则还要遵守工信部《电信和互联网用户个人信息保护规定》和工商总局《网络交易管理办法》等部门规章，并在经营活动中参照《电信和互联网服务用户个人信息保护定义及分类》和《电信和互联网服务用户个人信息保护分级指南》两项国家标准安排个人信息保护措施。

与大多传统权利不同，个人信息保护的边界在技术、商业和观念的发展中不断变化，也在个人、企业和国家利益的博弈中动态平衡，其特色或曰难点表现为：

一是数据挖掘和分析技术的进步大大提升了数据使用效能，信息的个人化和去个人化双向操作平滑快捷，数据匿名化、模糊化处理难度更高，这一方面提高了个人信息保护难度，另一方面也给金融机构的保护工作增加了负担。

二是信息虽来源于个人，但对其加工处理并赋予商业价值的则是各专业机构，个人固然可以主张自己的人身权，但机构也能以“谁生产、谁所有”的原则主张财产权，个人能否单纯以人身权为基础主张“遗忘权”、“可携带权”，要求机构删除、移交数据，也值得探讨。

三是移动互联网的普及和应用场景的丰富已经使得个人信息的采集随时随地进行，未来随着区块链分布式记账技术的发展，对个人信息保护的控制、监管将更加困难，诉讼管辖地的确定也更加模糊。

三、策略安排：从怎么看到怎么办

一是规则先行，着眼控制个人信息的利用环节，以场景 - 风险导向为核心构建用户控制与透明机制，用户控制方面要根据具体场景中评估出的隐私风险等级设计层级化保护手段，透明机制方面应聚焦场景构成要素，着重针对引发高隐私风险的因素进行披露。

二是系统入手，从设计开发之初就引入“设计保护隐私（Privacy by Design）”原则，将个人信息保护理念植入技术架构设计，避免程序自动采集不必要的客户信息，并将信息收集、使用、存储等授权请求无缝、友好地嵌入前端展示，帮助提升透明度及用户体验。

三是转移风险，金融机构应按照“目的限定”原则明晰数据使用范围，根据需要可委托第三方代为收集、存储、加工和处理个人信息或直接向其购买大数据，注意做好事先调查和筛选工作，通过协议安排转移、降低风险，并确保接收的数据有合法来源或者已经进行了必要的匿名化处理。

四是落实要求，梳理涉及自身经营范围的相关法律法规，在内部管理规则和外部协议中将其一一落地，另外，对于规定不清晰、不科学、不具可操作性以及因技术发展而带来的制度空白，要加强与相关方面的交流沟通。

五是加强公关，深度参与个人信息保护立法和行业自治规范的起草工作，同时注意与客户的互动宣传，既可掌握其权利意识的边界，动态调整保护策略，也可为业务开展争取良好外部环境。