随着数字化浪潮的持续推进,个人金融信息在不同系统、产品、业务环节中快速流转,个人金融信息保护面临更多的风险与挑战。近一年来,国家有关监管部门针对个人信息保护,多次下发相关规定。中国银保监会官网日前披露的罚单显示,部分金融机构存在违规采集个人金融信息行为。
业内专家认为,针对违法违规乱象,监管机构需要加大整改和处罚力度,有关部门也应进一步完善个人信息保护立法,构建更加良好的信用共享、数据应用环境。
招联金融首席研究员董希淼建议,应尽快出台个人信息保护法,明确个人数据和信息权的法律地位、权利属性以及数据、信息的收集使用原则;在法规制度层面,在金融、通信、电子商务、教育、医疗卫生等重点领域制定个人信息保护的行政法规、部门规章;在行业自律层面,引导重点行业、领军企业在国家法律框架内建立个人数据、信息开发利用从业规则。
从金融机构的角度来说,在采集数据的过程中一定要合法,遵循“合法授权”的原则。北京金融控股集团有限公司董事长范文仲表示:“数据的采集者对个人数据的采集要告知客户主体,并明确采集的目的和范围,不能捆绑式、垄断式授权,或者用晦涩难懂的法律文书和停止服务的霸权条款来诱导、强迫客户签订授权协议。授权的范围一定要和服务功能相匹配,不应要求和业务功能无关的隐私数据。对个人生物特征和生活行为数据的采集和识别要特别审慎,必须要有法理的支持。”
金融机构在数据使用中,应尽量不提供与数据个人主体强关联的原始数据。范文仲说:“除了具有法律要求和少量专业持牌机构之外,数据应该经过脱敏处理,降低和个人身份的强耦合关联,尽量进行代码化、指标化处理,同时控制模型风险,保持数据标签使用的有效性和隐私保护的合理平衡。”
对于个人用户来说,联系信息、生物识别信息、金融资产信息、行为偏好、行踪轨迹等,均属于隐私数据范畴。针对个人应采取的保护措施,董希淼建议,个人应提高隐私泄露自我风险防范意识,增强个人信息保护意识和能力,不要轻易提供个人敏感信息,特别是在网络注册、实名验证时要谨慎填写个人相关信息,如身份证号、手机号码、账号密码、家庭住址等个人敏感信息切勿随意泄露。此外,对个人生物识别信息也要提高保护意识,不轻易将人脸、指纹等生物识别信息提供给物业、商场等第三方机构。