特许全球金融科技师

特许全球金融科技师学术委员会主席李峰:个人信息已成优质资产,如何防范非法变现?

日期:2020-11-17

当前,中国数字经济正飞速发展,已成为中国经济增长的新引擎,深刻改变着人类的生产和消费行为。但在数字经济时代,个人信息保护该如何进行?如何防范非法变现?


对此,上海交通大学上海高级金融学院会计学教授、中国金融研究院副院长、上海高金金融研究院联席院长、特许全球金融科技师CGFT学术委员会主席李峰、上海交通大学中国金融研究院研究员赵玲玲合作撰稿分享观点。


数字经济时代个人信息的资产属性


随着以人工智能、大数据、云计算、物联网和区块链等代表的新型基础设施的推进,我国数字经济正飞速发展,已成为我国经济增长的新引擎,深刻改变着人类的生产和消费行为。据报道,2019年中国数字经济规模达到31.3万亿元,占GDP的34.8%。数字经济以“新基建”为基石,数字化的个人信息和数据在其中扮演着越来越重要的角色。无论是规模庞大的电商平台、社交媒体平台,还是日渐茁壮的旅游出行平台和教育医疗平台,都牢牢抓住了大量用户并以各种方式获取了海量个人信息。显然,个人信息除了与人身安全相关,还涉及个人财产方面的利益,因为它能被通过各种途径变现。因此,个人信息具备资产属性,是优质的数据资产。个人信息泄露往往给当事人带来财产损失,有时甚至让其背上大额债务。


互联网浪潮汹涌至今,个人信息使用已是泥沙俱下。第45次《中国互联网络发展状况统计报告》显示,截至2020年3月,我国互联网网站超过400万个,应用程序数量超过300万个,对应的我国网民规模已达9.04亿,网民使用手机上网的比例高达99.3%。不可否认,各个应用程序提供商业服务,要求人们注册并登记适当的个人信息有其必然性和合理性,随着人民群众生活越来越依赖于网站、移动终端和智能App,个人信息已泛滥网络。


但是,当前无论是企业还是个人,在个人信息保护方面的实际投入,都远不能与我国数字经济发展水平相匹配。或是贪些许便利手机号码随处留,或是隐私意识薄弱快递单据随手扔,甚至多个App或网站都采用相同账号,用户名和密码“全网通”,这些都给了犯罪分子可趁之机。数字化经济时代,早已有多方黑手伸向了这块“资产”。商业机构精心搜集以谋取商业利益最大化,黑产组织盗买倒卖努力薅羊毛,网络垃圾防不胜防,网络诈骗屡禁不绝。由于我国法律体系不完备,公民意识不足,监管发展滞后等因素,个人信息受到侵犯很少能得到知情权、异议权和索赔权等权利方面的切实保障。


个人信息资产变现的两大方式


第一种是科技公司信息搜集从量变到质变式的垄断谋利。我们在各大网店里购物,通过招聘网站求职,利用社交程序联系亲友,点点鼠标敲敲键盘的背后,衍生了海量的个人相关信息……我们的买卖偏好、浏览足迹、社交通讯录等,事无巨细都被科技公司的平台一一记录存储。


大数据和人工智能时代,科技公司凭借由此获取的海量数据,以及各关联平台间错综复杂的交互关系,创造了全新的信息竞争关系和信用评估体系。互为竞争对手的科技公司之间互相封锁,几乎不存在信息交换和共享,从而形成了若干具备一定垄断能力的数字寡头。无数个人信息汇聚而成的全民大数据,成为了科技公司最重要的数字资产。客户们因此被贴上各种面值的标签,明码标价竞拍给第三方,成为了被卖的商品。


第二种是网络黑产通过盗用倒卖个人信息以非法手段谋利。有些不法分子锁定目标后,伪装成相关机构的从业人员,针对具体情况进行角色扮演,例如扮成司法机构办案员和互联网平台客服等,从宣传引导到电话交流,步步精心,循循善诱,令网络另一端的潜在受害者真假难辨,禁不住压力或诱惑主动给对方账户汇款。亦有不法之徒利用互联网信息管理不完善的漏洞,非法盗取他人个人信息,以他人向多个机构打白条大额消费,或直接申请贷款纳入自己腰包。


而永远滞后一步的受害者报案、挂失和举证等步骤,也远没有无障碍通道可选,无形之中也为犯罪分子抹去作案踪迹提供了掩护,难以为受害者挽回损失。


欧洲个人信息保护经验


欧洲一直位于世界个人信息保护法发展前列。其个人信息保护起源于个人的住宅等传统隐私信息的保护,属于公民的基本权利之一。自20世纪60年代开始,IT技术推广使得个人信息收集电子化,个人数据的资产属性通过名目繁多的数据匹配、分析和使用逐渐凸显,欧洲各成员国开始推动个人信息的保护。


《1981年个人信息保护公约》,确立了延用至今的个人信息保护法范围,并对个人信息的概念、保护原则和跨国传输等作了初步规定。《1995年个人信息保护指令》的出台,把个人信息保护上升到“工作机构和职责的专门化”高度。随着数字经济的大发展,个人信息成为许多公司掌握的最有价值的资产之一。


2018年正式实施《通用数据保护条例》(GDPR),其核心目的在于数据保护与发展数字经济。条例明确要求,政府和机构均有义务保护因为业务需要,所搜集和处理的个人数据,且只要涉及欧盟公民的个人数据,无论是否发生在欧盟境内,都适用GDPR。GDPR还要求企业设立数据保护官,对企业及员工提供相关培训,并配备了空前严厉的惩罚措施,即如发现严重违规,最高可罚2000万欧元或企业上一财年全球营业总额的4%,以较高者为准。


欧洲个人信息保护法一贯的“个人权利为本”和“强调预防为主”思想,深刻体现了对较之企业巨头而言明显弱势的普通群体保护,而“天价罚单”对相关企业和产业的越权行为起到了有效震慑作用,使之不得不付出高昂的合规成本来应对监管要求。


借鉴欧洲经验,探索符合国家层面的数据主权安全要求,重视个人层面的基本权利保护诉求,兼顾产业层面的数字经济创新发展需求,使之良性发展而不是彼此削弱,是《个人信息保护法(草案)》要切中的命题;构建具备积极建设性意义的基础框架,推动我国个人信息在数字经济领域的合理流动和合法利用,也是这部法律的应有之义。而对于我国普通人群而言,“临渊羡鱼不如退而结网”,积极发挥自身主观能动性,如何避免自己各种行为背后的大数据被各种平台App与商家记录、挖掘和利用,也是个亟待解决的问题。


保护个人信息的建议措施


首先,重视个人信息,重中之重是用户本人做好保密工作,从源头防范和避免信息泄露。例如前面提到的及时设置SIM卡密码,在丢失手机后应第一时间挂失,强化安全风险意识。此外,身份证,护照,居住证,银行卡,社保卡,驾驶证等妥善保管,避免在手机中保存证件照片。在开通人脸识别等支付功能时谨慎为上,或者购买对应的账户防盗保险对冲风险。不要轻信各类电话、短信和微信等各种形势的通告,不管是“天降馅饼”还是“飞来横祸”,只要涉及个人钱包有关资金支出,务必亮起红灯提高警惕。


其次,业界应完善网络平台用户认证机制,及时查补漏洞。目前,大部分网络平台都已支持或要求用户手机号绑定身份认证,“手机号”注册方式大行其道,用户忘记密码也只需要获取手机验证码即可修改密码,一旦手机遗失后果不堪设想。最近,《一部手机失窃引发的惊心动魄的战争》火遍网络,作者提到不法分子偷盗个人手机后,在某政务App窃取用户个人信息,进而造成用户财产损失,一时引发了公众担忧,纷纷为自己手机设置SIM卡密码。平台认证的手机号账号体系存在先天缺陷,实属不争的事实。如何确保用户访问的真实性,增加异常操作通知提醒,拒绝高风险账号操作,增加验证信息等问题,不仅业界合规部门和产品经理需要思考,国家监管部门也应当予以重视。


再次,有关部门应积极着手相关敏感信息和数据的加密处理,致力化解行业垄断。电信供应商在解挂失和密码重置等涉及用户身份的环节上,更要强化安全防护,除了对一线客服加强风险防控意识培训之外,更要以客户至上之心聚焦业务流程优化,探寻更多途径为用户安全把关。金融机构和类金融机构在为客户提供服务时,更要严格履行KYC(了解你的客户)义务,在业务流程和内控机制方面查漏补缺,积极向行业内头部机构的风控实务水平看齐。


同时,建议有关部门和机构按照“最小必要”原则搜集和保存用户的个人信息,对平台已有的用户个人信息施行分级分类管理,完善个人信息跨境和刑事活动领域的特殊保护规则。全民信用大数据和个人极度隐私信息的搜集分析权应该由国家公共机构掌控,保存在国家公共机构管理的数据库中。科技公司宜专注于模式创新,取消网络服务公司和手机端App的留痕功能和部分监控机制,允许保留对商业发展有利的匿名化信息,并建议从国家公共机构获取有利于商业活动的脱敏数据,按规定付费。这些做法的目的是避免个人隐私和关键客户画像信息落入利益集团手中,打破此类利益集团形成的事实垄断,同时给新兴的中小微科技企业留出孵育、成长和壮大的空间。


最后,加大司法打击和犯罪惩罚力度,强调对被害者的民事赔偿权。公安部“净网2020”专项行动展开至今,有力打击了“网络水军”和侵害公民个人信息违法犯罪。司法部门为网络环境保驾护航,依法处罚违法者,并适度补偿受害者是营造安全有序的网络氛围不可或缺的。监管部门对于互联网企业产品特别是各类App和小程序的发展,要把握好平衡尺度,发挥良性监督作用,使“免费午餐”造福社会群体的同时强调用户个人信息防护、避免野蛮生长。此外,还要考虑今后技术推陈出新产品更新换代带来的用户知情权更新,法律法规对于新兴技术的用途局限性应做出具体的规定并根据情势变化适时修正。


内容来源 | 澎湃商学院