中外個人數(shù)據(jù)安全規(guī)范比較
——基于金融交易情景的個人數(shù)據(jù)保護分析

楊 光,宋 婧

(1.山西大學 圖書館,山西 太原 030006;2.山西大學 經(jīng)濟與管理學院,山西 太原 030006)

1 背景及相關(guān)概念

互聯(lián)網(wǎng)的出現(xiàn)更新了金融機構(gòu)的交易支付方式,金融機構(gòu)利用網(wǎng)絡(luò)技術(shù)擺脫了地理空間的阻礙,實現(xiàn)了沒有地域限制的線上交易。近年來,隨著淘寶和蘇寧易購等電商平臺的崛起,人們可以通過線上商店購買相對滿意的商品,這極大地促進了金融業(yè)的線上發(fā)展。線上金融在與人方便的同時,安全隱患也隨之而來。

1.1 相關(guān)定義

1.1.1 個人數(shù)據(jù)

目前,對于個人數(shù)據(jù)并沒有統(tǒng)一的定義,多數(shù)是引用相關(guān)法律法規(guī)中的定義。雖然表述不同,但學者們普遍認為個人數(shù)據(jù)相比其他數(shù)據(jù)最大的區(qū)別是可以通過個人數(shù)據(jù)精準定位到某個人,從而將其從人群中識別出來[1]。因此,綜合國內(nèi)外研究可以將個人數(shù)據(jù)定義為:可以識別出數(shù)據(jù)主體本人的數(shù)據(jù)。這種“識別說”也符合多國對個人數(shù)據(jù)的界定思路[2]。

1.1.2 金融數(shù)據(jù)

金融數(shù)據(jù)指在各項金融活動中產(chǎn)生的數(shù)據(jù),它除了擁有一般數(shù)據(jù)的特點之外,還具有真實性、可靠性、廣泛性和綜合性的特點。將其按照業(yè)務(wù)活動可分為銀行業(yè)務(wù)數(shù)據(jù)、證券業(yè)務(wù)數(shù)據(jù)、保險業(yè)務(wù)數(shù)據(jù)和信托咨詢等業(yè)務(wù)數(shù)據(jù)。從數(shù)據(jù)的來源和內(nèi)容上則可將其劃分為來自市場的數(shù)據(jù)和來自全社會的數(shù)據(jù)[3]。

1.1.3 金融交易

金融交易是在機構(gòu)單位中金融資產(chǎn)所有權(quán)變化的所有交易。金融交易的本質(zhì)就是資金流的交換[4]。

1.2 金融交易中的個人數(shù)據(jù)安全隱患

由于個人金融數(shù)據(jù)涉及個人財務(wù)情況,如果處理不當,將會給個人隱私和數(shù)據(jù)安全造成不堪設(shè)想的后果。個人金融數(shù)據(jù)涉及的數(shù)據(jù)主體、金融機構(gòu)和整個交易環(huán)節(jié)都處于具有安全隱患的環(huán)境中。

1.2.1 數(shù)據(jù)主體的安全意識淡薄

數(shù)據(jù)主體對于個人數(shù)據(jù)的安全防范意識不強,導(dǎo)致金融機構(gòu)超出其使用目的地收集相關(guān)個人數(shù)據(jù),還令竊取個人數(shù)據(jù)的不法分子有機可趁,例如:數(shù)據(jù)主體在網(wǎng)絡(luò)活動中無意留下的姓名、職業(yè)、手機聯(lián)系方式等一系列個人數(shù)據(jù)都會埋下被盜取、篡改的安全隱患;在使用各類APP時,用戶只有同意APP獲取用戶的位置、相冊、通訊錄等數(shù)據(jù)才可以繼續(xù)使用。多數(shù)用戶在使用應(yīng)用軟件時,對APP訪問個人數(shù)據(jù)并不在意,同樣為個人數(shù)據(jù)泄露造成風險。只有數(shù)據(jù)主體重視對其數(shù)據(jù)的保護,才能守好保護個人數(shù)據(jù)安全的第一道防線。

1.2.2 金融機構(gòu)缺乏嚴格管理和有效的保護技術(shù)

我國銀行、保險、證券等金融行業(yè)遵守各自的行業(yè)規(guī)范,缺乏統(tǒng)一的管理規(guī)范[5],需完善針對個人金融數(shù)據(jù)的監(jiān)管機制與法律制度建設(shè)。更值得關(guān)注的是金融機構(gòu)為了營銷和市場競爭而超出其數(shù)據(jù)使用目的的過度數(shù)據(jù)收集,造成數(shù)據(jù)主體的隱私泄露。例如:一些手機銀行軟件會獲取用戶的定位和語音權(quán)限以監(jiān)聽用戶。其次,由于金融機構(gòu)內(nèi)部管理不嚴格,個別金融機構(gòu)的工作人員,以工作之便為一己私利在未經(jīng)客戶授權(quán)或未告知客戶情況下,將用戶的個人數(shù)據(jù)非法售賣給第三方,造成數(shù)據(jù)泄露。生活中可以見到這樣的情況:當消費者購買汽車后,隨之而來的是一系列汽車保險公司的推銷電話和廣告信息。最后,由于整個金融業(yè)的數(shù)據(jù)安全保護技術(shù)不高,黑客等不法分子能夠輕易竊取用戶賬號密碼,篡改用戶交易數(shù)據(jù)進行網(wǎng)絡(luò)詐騙[6]。

1.2.3 網(wǎng)絡(luò)攻擊

個人數(shù)據(jù)在傳播過程中也存在風險。由于數(shù)據(jù)傳輸主要通過HTTP等協(xié)議來實現(xiàn),不法分子會利用這些協(xié)議編碼共同存在的不可避免的安全漏洞破壞和篡改數(shù)據(jù)或者利用各種欺詐手段,截獲或盜取金融交易中的數(shù)據(jù)造成用戶財產(chǎn)損失[7]。此外,網(wǎng)絡(luò)購物盛行,使得個人的購買偏好、財務(wù)情況和信用狀況都會在互聯(lián)網(wǎng)環(huán)境中留下印記,可能被未知的第三方所獲取,對用戶的個人數(shù)據(jù)和財產(chǎn)安全構(gòu)成威脅。

總體看來,網(wǎng)絡(luò)詐騙行為與傳統(tǒng)的詐騙相比,具有技術(shù)水平高、匿名性強和防御難度高的特點[8]。

2 各國對于個人金融數(shù)據(jù)的保護現(xiàn)狀及其必要性

2.1 各國對于個人金融數(shù)據(jù)的保護現(xiàn)狀

在美國,有兩部針對金融領(lǐng)域的專門法:《公平信用報告法》(1970年版,下文采用相同版本)和《金融服務(wù)現(xiàn)代化法》(1999年版,下文采用相同版本)。《公平信用報告法》旨在規(guī)范信用機構(gòu)在收集和獲取個人信用數(shù)據(jù)并生成信用報告時,遵循公平、準確并保護個人隱私的原則。為防止消費者因不真實的信用報告而遭受損失,該報告規(guī)定了報告使用人的義務(wù)、報告使用條件與范圍以及信用報告機構(gòu)的權(quán)利義務(wù)。《金融服務(wù)現(xiàn)代化法》的立法理念除了在于加強金融業(yè)良性競爭外,也強調(diào)保護個人非公開信息的重要性[5]。我國和日本規(guī)范金融機構(gòu)收集、處理和運用個人數(shù)據(jù)的法律可以分別參見我國的《網(wǎng)絡(luò)安全法》(2017年版,下文采用相同版本)和《信息安全技術(shù)個人信息安全規(guī)范》(2017年版,下文采用相同版本),以及日本的《個人信息保護法案》(2017年版,下文采用相同版本)。日本《個人信息保護法案》是目前日本政府針對個人信息處理的主要法案[9]。

此外,歐盟于2018年5月25日為保護個人數(shù)據(jù)出臺的《通用數(shù)據(jù)保護條例》(即《GDPR》)更加詳盡,可操作性更強。

2.2 金融個人數(shù)據(jù)保護的必要性

數(shù)據(jù)可以產(chǎn)生巨大商業(yè)價值,它和金融業(yè)的融合產(chǎn)生了新型的線上金融服務(wù)形式。由于金融個人數(shù)據(jù)具有財產(chǎn)屬性,電子銀行和移動支付等在線虛擬交易更容易造成數(shù)據(jù)篡改、交易信息泄露和網(wǎng)絡(luò)支付安全等問題[10]。金融交易中,金融消費者相比金融機構(gòu)而言對日益復(fù)雜的金融產(chǎn)品所掌握的信息不夠全面而處于弱勢地位,其個人數(shù)據(jù)更易受到泄露、濫用的威脅[11]。最后,由于金融業(yè)與網(wǎng)絡(luò)的融合使得消費者的個人數(shù)據(jù)在互聯(lián)網(wǎng)上更容易被不法分子盜取,嚴重危及金融消費者的財產(chǎn)安全?；ヂ?lián)網(wǎng)時代,金融消費者的個人數(shù)據(jù)正面臨著前所未有的威脅。我國現(xiàn)行的數(shù)據(jù)保護法律法規(guī)還不完善,給一些數(shù)據(jù)控制者和處理者以可乘之機[12]。因此必須采取立法等措施保護金融消費者的數(shù)據(jù)安全。

3 各國金融數(shù)據(jù)相關(guān)法律對個人數(shù)據(jù)保護的對比分析

數(shù)據(jù)利用以獲取為前提,做為數(shù)據(jù)主體是否知曉自己的數(shù)據(jù)被收集,而數(shù)據(jù)的收集者是否要在經(jīng)過數(shù)據(jù)主體同意情況下才能利用其數(shù)據(jù);當數(shù)據(jù)委托給第三方時,委托者和被委托者的工作也不同;專業(yè)的數(shù)據(jù)保護人員應(yīng)該具備哪些基本素養(yǎng),等等,都是需要探討和分析的問題。本章將從個人數(shù)據(jù)的獲取方、數(shù)據(jù)委托的情況、數(shù)據(jù)保護專業(yè)人員、數(shù)據(jù)控制者和數(shù)據(jù)監(jiān)管等角度進行對比分析。

3.1 適用范圍

不同法律適用的范圍不同。如前所述,《公平信用報告法》和《金融服務(wù)現(xiàn)代化法》是規(guī)范金融行業(yè)的專門法?！峨[私權(quán)法》和《個人信息保護法》則重在規(guī)范政府行政部門行為。歐盟的《GDPR》則是規(guī)范整個歐盟成員國的個人數(shù)據(jù)安全的法律。本節(jié)將從法律規(guī)范所涉及的不同范圍進行比較。

3.1.1 行業(yè)適用范圍

《公平信用報告法》主要針對信用報告機構(gòu)進行行為規(guī)范,還適用于對出售、借貸和租賃歷史記錄的銀行、信用合作社和代理機構(gòu)進行行為規(guī)范,以及對任何基于信用報告信息進行招聘的企業(yè)進行行為規(guī)范。主要體現(xiàn)了信用信息公開、負面信息修復(fù)和個人隱私權(quán)的保護的思想。目的是維護消費者權(quán)益和金融市場公平競爭,為征信行業(yè)的規(guī)范操作提供法律依據(jù)?！督鹑诜?wù)現(xiàn)代化法》涉及了銀行、證券和保險三大金融行業(yè),并對其具體的運作流程做了具有可行性的規(guī)定和指導(dǎo)。旨在促進銀行、證券和保險等行業(yè)之間聯(lián)合經(jīng)營,加強金融機構(gòu)的競爭力[13]。其中,第五章明確規(guī)定了一種強制性和持續(xù)性的義務(wù):金融機構(gòu)必須謹慎處理個人非公開信息,尊重顧客的隱私權(quán)。

3.1.2 政府適用范圍

《隱私權(quán)法》是美國用以規(guī)范行政部門、軍事部門等聯(lián)邦政府機構(gòu)收集、使用和公開個人數(shù)據(jù)的法律,還對個人數(shù)據(jù)的保密問題做了詳細規(guī)定。

日本的《個人信息保護法》總體包含六章,前三章于2003年頒布實施,規(guī)定了國家及地方公共團體的義務(wù)等,屬于基本法部分。2015年,日本《個人信息保護法》修正案增加了第五章“個人信息保護委員會”,新增章節(jié)規(guī)定了個人信息保護委員會的設(shè)置、所屬、任務(wù)、管轄事務(wù)、委員身份保障或任期、義務(wù)等事項。此外,在適用中并沒有包含媒體、宗教團體、政治團體和研究教育機構(gòu)等,但也要求其制定自律性規(guī)定[14]。

我國《網(wǎng)絡(luò)安全法》第八條規(guī)定:我國的網(wǎng)絡(luò)安全工作及其相關(guān)監(jiān)督管理是由國家網(wǎng)信部門負責的?？h級以上人民政府有關(guān)部門的網(wǎng)絡(luò)安全保護和監(jiān)督管理職責,按照國家有關(guān)規(guī)定確定。

3.1.3 地域適用范圍

首先,經(jīng)合組織和歐盟的成員國,都分別適用《關(guān)于隱私保護與個人資料跨國流通的指針的建議》(以下簡稱《建議》)和《GDPR》這兩部法律規(guī)范。并且經(jīng)合組織的《建議》適用于規(guī)范公共領(lǐng)域和私人領(lǐng)域的個人數(shù)據(jù)保護行為[15]。

其次,歐盟的《GDPR》的適用范圍廣泛。在歐盟內(nèi)設(shè)立的控制者或處理者在處理個人數(shù)據(jù)時,無論其處理行為是否發(fā)生在歐盟境內(nèi)都適用《GDPR》。即使處理者或控制者沒有設(shè)立在歐盟境內(nèi),但其處理的數(shù)據(jù)主體在歐盟境內(nèi),也適用《GDPR》[16]?？傊?與數(shù)據(jù)處理相關(guān)的數(shù)據(jù)主體、控制者或處理者只要有一類歸屬歐盟境內(nèi)都適用《GDPR》。

我國《網(wǎng)絡(luò)安全法》和日本的《個人信息保護法》都適用于各自國家境內(nèi),沒有強調(diào)與境外銜接的部分。

3.1.4 公共適用范圍

日本的《個人信息保護法》后三章于2005年實施,是對企業(yè)法人等民間部門中的個人信息獲得者的義務(wù)的規(guī)定,屬于一般法部分[14]。我國《信息安全技術(shù)個人信息安全規(guī)范》指明:對個人信息和個人數(shù)據(jù)處理活動的監(jiān)督、管理和評估不僅適用于各類組織,也適用于各監(jiān)督部門和第三方評估機構(gòu)。

對各國法律是否涉及以上范圍總結(jié)如表1所示。

表1 各國金融數(shù)據(jù)相關(guān)法律適用范圍

3.2 個人數(shù)據(jù)獲取及知悉情況

3.2.1 個人數(shù)據(jù)獲取

絕大部分個人數(shù)據(jù)保護相關(guān)法律在個人數(shù)據(jù)收集和使用環(huán)節(jié)中都賦予數(shù)據(jù)主體“同意權(quán)”。各國的法律法規(guī)各有特色。日本于2017年施行了新版的《個人信息保護法》,采用了“選擇進入”(opt-in)和“選擇退出”(opt-out)兩個規(guī)則[17]?！斑x擇進入”指數(shù)據(jù)的持有者需要取得數(shù)據(jù)主體同意后才能向第三方傳輸個人數(shù)據(jù),并且數(shù)據(jù)主體有權(quán)拒絕?！斑x擇退出”則相反,持有數(shù)據(jù)者默認數(shù)據(jù)主體同意其獲得數(shù)據(jù),不需要征得數(shù)據(jù)主體同意便可以向第三方傳輸個人數(shù)據(jù),但數(shù)據(jù)主體有權(quán)要求停止這一操作。在本文提到的其他法律法規(guī)中,多數(shù)遵循“選擇退出”的原則?！禛DPR》的“同意權(quán)”不同于其他法律中“不反對即為同意”的條款規(guī)定,這里的“同意”是指數(shù)據(jù)主體自愿做出的具體、清晰、明確地對其相關(guān)的個人數(shù)據(jù)處理的意思表示。同樣,我國《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)運營者收集用戶數(shù)據(jù)時應(yīng)當向用戶明示并取得同意。日本《個人信息保護法》只規(guī)定“需注意的個人數(shù)據(jù)”必須事先取得用戶同意,對于一般的個人數(shù)據(jù)則限制濫用,本質(zhì)上屬于默認同意的范疇。

對于個人數(shù)據(jù)的收集,各國安全規(guī)范都要求遵循目的明確和數(shù)據(jù)最小化原則,即:收集前要有明確的目的,且收集的個人數(shù)據(jù)范圍不能超出初始使用目的或不能利用個人數(shù)據(jù)獲得其他利益。此外,還要將利用目的及其收集的數(shù)據(jù)類型和內(nèi)容告知數(shù)據(jù)主體,并采取適當合理的措施保護其收集到的個人數(shù)據(jù)。

美國《公平信用報告法》規(guī)定:除了數(shù)據(jù)主體和列入可許可訪問名單上的機構(gòu)外,其他人沒有法律授權(quán)不可獲得數(shù)據(jù)主體的信用報告。報告使用者要證明自己的身份以及所采取的合理合法程序來確保數(shù)據(jù)的收集和使用目的合法。若使用者無法提供上述證明,征信機構(gòu)有權(quán)拒絕向使用者提供數(shù)據(jù)。信用報告影響著一個人信用業(yè)務(wù)的辦理,征信機構(gòu)僅僅收集制作信用報告并不協(xié)助報告使用者對消費者信用業(yè)務(wù)做出決定[18]?！豆叫庞脠蟾娣ā芬?guī)定報告中若含有不利于消費者行為的信息時,報告使用者應(yīng)將做出的不利行為告知消費者,并告知提供該報告的機構(gòu)名稱、地址和電話。同時告知消費者這一不利行為并不是報告機構(gòu)做出的,消費者有權(quán)提出異議。該法律既要維護征信行業(yè)公平有序,又要尊重數(shù)據(jù)主體的數(shù)據(jù)安全。相比之下,數(shù)據(jù)安全的重視度較低,因為該法律沒有對敏感數(shù)據(jù)進行界定,也沒有設(shè)置禁止收集和使用敏感數(shù)據(jù)的相關(guān)條款。但對于信用報告的使用者的義務(wù)做了詳細的規(guī)定。

不同于其他安全規(guī)范,我國《信息安全技術(shù)個人信息安全規(guī)范》對“收集頻率”做出規(guī)定:為了實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能,所收集的必需的個人數(shù)據(jù)的頻率應(yīng)是最低頻率。此外,當個人數(shù)據(jù)控制者目的達成后,應(yīng)根據(jù)約定刪除個人數(shù)據(jù)。

當數(shù)據(jù)的獲取不是直接來自數(shù)據(jù)主體時,我國《信息安全技術(shù)個人信息安全規(guī)范》規(guī)定間接獲取個人信息的數(shù)量應(yīng)是實現(xiàn)其使用目的所必需的最少數(shù)量,并且對被授權(quán)訪問個人信息的內(nèi)部數(shù)據(jù)操作人員,應(yīng)按照最小授權(quán)的原則。被授權(quán)訪問的數(shù)據(jù)操作人員所訪問到的數(shù)據(jù)范圍僅限于完成其職責所必需的最小范圍。類似地,《GDPR》第4條規(guī)定:當控制者從第三方獲得數(shù)據(jù)主體的個人數(shù)據(jù)時,應(yīng)當向數(shù)據(jù)主體說明獲得其數(shù)據(jù)的具體類型與內(nèi)容。第9條和第10條又進一步對特殊種類個人數(shù)據(jù)的處理和有關(guān)刑事定罪的罪犯的個人數(shù)據(jù)如何處理做了規(guī)定[19]。《公平信用報告法》提到報告的使用者是基于從征信機構(gòu)以外的第三方得到的信用報告之外的(信用地位和一般聲譽等)信息而否定了數(shù)據(jù)主體信用業(yè)務(wù)申請決定時,應(yīng)清晰準確地告知當事人該信息的性質(zhì)[20]?！督鹑诜?wù)現(xiàn)代化法》也對第三方的轉(zhuǎn)送做了規(guī)定,一個公司向非分支機構(gòu)第三方傳送數(shù)據(jù)后,第三方不得將該數(shù)據(jù)轉(zhuǎn)給他人[21]。這一規(guī)定有效地遏制了數(shù)據(jù)的轉(zhuǎn)移,使按照規(guī)定不直接獲取數(shù)據(jù)的公司也不能通過第三方間接獲取。該法律的缺陷在于,僅僅監(jiān)管向第三方的數(shù)據(jù)轉(zhuǎn)送,并沒有規(guī)制關(guān)聯(lián)機構(gòu)之間數(shù)據(jù)的轉(zhuǎn)送行為。

對于兒童數(shù)據(jù)的收集,《GDPR》和我國《信息安全技術(shù)個人信息安全規(guī)范》分別對未滿16周歲和未滿14周歲的兒童數(shù)據(jù)的獲取同意做了類似規(guī)定,即:都要征得其父母或監(jiān)護人的明示同意才能獲取。

3.2.2 知悉情況

雖然各國法律規(guī)范都規(guī)定數(shù)據(jù)主體有權(quán)知道自己數(shù)據(jù)的被利用情況,例如:具體的數(shù)據(jù)類型、被利用的目的和范圍等,但是美國對于這種知悉情況做了更詳細的規(guī)定。

美國的三部法律都詳細規(guī)定數(shù)據(jù)主體有權(quán)得到其數(shù)據(jù)記錄的復(fù)制品。其中《公平信用報告法》和《金融服務(wù)現(xiàn)代化法》都對時間范圍的知悉情況做了詳細規(guī)定?！豆叫庞脠蟾娣ā返?04節(jié)指出,數(shù)據(jù)主體有權(quán)憑借身份證明免費獲得其信用報告的副本,并對報告內(nèi)的錯誤數(shù)據(jù)提出異議。消費者還有權(quán)知道其信用報告在上一年度被哪些機構(gòu)申請或申請了哪些數(shù)據(jù)等申請情況。

因為通知義務(wù)不同,《金融服務(wù)現(xiàn)代化法》還對客戶和消費者作了區(qū)分[22]。要求金融機構(gòu)在披露消費者的個人非公開數(shù)據(jù)前,要向個人發(fā)出“選擇退出”和隱私政策等初始通知。一旦消費者經(jīng)過交易成為客戶后,金融機構(gòu)必須每年提供其隱私政策的年度書面通知。初始通知的時間比較有彈性,凡在金融機構(gòu)建立客戶關(guān)系后的合理時間段內(nèi)皆可,并且同一客戶持續(xù)取得金融服務(wù)時,除非隱私政策有變,否則不用重復(fù)通知。而年度通知則規(guī)定金融機構(gòu)在客戶關(guān)系存續(xù)期間,每年都要告知客戶隱私政策及其執(zhí)行情況。對于告知的內(nèi)容,必須是可以合理理解和足以引起客戶注意的信息。

《隱私權(quán)法》第四部分除了指出數(shù)據(jù)主體有權(quán)向行政機關(guān)得到其數(shù)據(jù)記錄的復(fù)制品,還規(guī)定政府在收集數(shù)據(jù)和建立數(shù)據(jù)庫時要發(fā)布公告。關(guān)于個人數(shù)據(jù)獲取整里如表2所示。

表2 個人數(shù)據(jù)獲取

3.3 數(shù)據(jù)委托

數(shù)據(jù)委托是指個人數(shù)據(jù)獲得者把個人數(shù)據(jù)的全部或部分委托給委托方。當數(shù)據(jù)被委托處理時,我國、日本和歐盟都做了詳細規(guī)定。我國《信息安全技術(shù)個人信息安全規(guī)范》規(guī)定:委托處理個人信息時,個人信息控制者不得超出信息主體授權(quán)同意使用的范圍,為保證受委托者具有足夠的能力處理和保護數(shù)據(jù),要對委托行為進行評估。當然,受委托者也要嚴格按照個人信息控制者的要求處理個人信息。

日本《個人信息保護法》第22條規(guī)定:當個人信息獲得者實行委托行為時,要安全管理委托出去的個人信息并對委托方進行監(jiān)督。當個人信息獲得者是從其他的信息獲得者那繼承實業(yè)而獲得個人信息時,在事先沒有取得本人同意情況下,超過了在繼承前達成取得該個人信息必要范圍的,不能取得該個人信息[14]。

《GDPR》第27條規(guī)定:當數(shù)據(jù)處理者沒有設(shè)立在歐盟境內(nèi),處理者應(yīng)當以書面形式在歐盟內(nèi)指定其代理人。并且代理人應(yīng)被控制者、監(jiān)管機構(gòu)和數(shù)據(jù)主體授權(quán)來處理所有相關(guān)問題。

各國法律的數(shù)據(jù)委托情況如表3所示。

表3 數(shù)據(jù)委托

3.4 數(shù)據(jù)保護人員的設(shè)立

在不同國家的安全規(guī)范中對數(shù)據(jù)保護人員的稱呼不同,但就其職責來說,都是為了保護個人數(shù)據(jù)隱私,且有著舉足輕重的地位。

《GDPR》對數(shù)據(jù)保護官(DPO)做了規(guī)定,在第37條、第38條和第39條中不僅規(guī)定了需要指派數(shù)據(jù)保護人員的情況還指明數(shù)據(jù)保護人員的地位和任務(wù)。并根據(jù)DPO是否屬于數(shù)據(jù)控制者的員工將其分為內(nèi)部DPO和外部DPO[23]。內(nèi)部DPO是數(shù)據(jù)控制者的員工,對數(shù)據(jù)控制者內(nèi)部的基本操作比較熟悉,但數(shù)據(jù)保護的知識和經(jīng)驗不足。外部DPO專業(yè)性強,基于合同向數(shù)據(jù)控制者履行職責。GDPR第37條規(guī)定,DPO不僅要掌握《GDPR》,還要掌握其他與數(shù)據(jù)保護相關(guān)的歐盟法規(guī)和成員國法律。此外,DPO作為數(shù)據(jù)控制者與數(shù)據(jù)主體、數(shù)據(jù)保護監(jiān)管機構(gòu)的溝通媒介也要具備強大的語言表達能力和人際交往能力[24]。

日本于2015年頒布實施《個人信息保護法》修正案,增加了第五章《個人信息保護委員會》。增加的第五章規(guī)定了個人信息保護委員會的設(shè)置、所屬、任務(wù)、管轄事務(wù)、委員身份保障或任期、義務(wù)等內(nèi)容。2016年,日本設(shè)立了個人信息保護委員會,該委員會是為確保個人信息有用性、妥善處理個人信息而設(shè)立的具有高度獨立性的機關(guān),并且該委員會直屬日本內(nèi)閣總理大臣管轄,獨立行使職權(quán),地位相當高[8]。

我國《信息安全技術(shù)個人信息安全規(guī)范》指出:對個人信息安全負全面領(lǐng)導(dǎo)責任的保護人員的職責包括為個人信息安全工作提供人力、財力和物力保障等。應(yīng)任命個人信息保護的專門負責人和個人信息保護的專門工作機構(gòu)。同樣也對設(shè)立專職的個人信息保護負責人的情況做了描述。類似地,《網(wǎng)絡(luò)安全法》中的安全管理負責人也有類似職能。該法指出關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還應(yīng)當履行下列安全保護義務(wù):設(shè)置專門安全管理機構(gòu)和安全管理負責人,并確保管理負責人的背景審查達到標準;定期對從業(yè)人員進行相關(guān)技術(shù)培訓和技能考核;對重要系統(tǒng)和數(shù)據(jù)庫進行備份;為抵御突發(fā)網(wǎng)絡(luò)安全事件制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。美國的兩部法律具有較強針對性,對數(shù)據(jù)保護人員的規(guī)定并未在這兩部法律中提及,所以本文不用以與其他國法律對比。

關(guān)于數(shù)據(jù)保護人員的設(shè)立,總結(jié)如表4所示。

表4 數(shù)據(jù)保護官

3.5 數(shù)據(jù)控制者的基本義務(wù)

數(shù)據(jù)控制者確定個人數(shù)據(jù)處理的方式和目的,包括收集什么數(shù)據(jù)、誰可以收集、以及數(shù)據(jù)保存時間等[25]。采取適當合理的措施保護個人數(shù)據(jù)是各數(shù)據(jù)控制者的基本義務(wù),但在細節(jié)上略有不同。美國的征信機構(gòu)負責控制信用報告管理,防止被濫用?！豆叫庞脠蟾娣ā芬?guī)定:所有征信機構(gòu)在為用戶制作信用報告前,要盡力證實自身身份及說明數(shù)據(jù)使用目的,并將使用人的名稱、使用時間和使用目的等信息記錄在報告中[20]?！峨[私權(quán)法》要求行政機關(guān)必須在《聯(lián)邦登記》上公布其建立或修改的個人數(shù)據(jù)系統(tǒng)的名稱和存放地點,以及收集了哪些數(shù)據(jù)主體的信息、數(shù)據(jù)主體的哪類信息和使用目的等。行政機關(guān)所保有的個人數(shù)據(jù)只限于完成其必要的職責所需的范圍。并且,所保有個人數(shù)據(jù)應(yīng)該是實時、準確和完整的。日本《個人信息保護法》第21條規(guī)定:個人數(shù)據(jù)獲得者在允許相關(guān)從業(yè)者獲取個人數(shù)據(jù)時,為了實現(xiàn)對該個人數(shù)據(jù)的安全管理,應(yīng)該對該從業(yè)者進行合適且必要的監(jiān)督[14]。

我國的《網(wǎng)絡(luò)安全法》除了要求網(wǎng)絡(luò)運營者采取安全措施外,第21條(三)中還規(guī)定了以下義務(wù):采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個月。第25條規(guī)定:網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風險。第34條的規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還要設(shè)置專門安全管理機構(gòu)和安全管理負責人。定期對負責人和關(guān)鍵崗位的人員進行技術(shù)培訓和技術(shù)考核。

我國《信息安全技術(shù)個人信息安全規(guī)范》要求個人數(shù)據(jù)控制者制訂隱私政策,并要求將隱私政策一一投遞給個人信息主體。

《GDPR》中強調(diào)數(shù)據(jù)控制者同時決定數(shù)據(jù)處理目的和方式。數(shù)據(jù)控制者不需要決定數(shù)據(jù)處理活動的每一個環(huán)節(jié)[22]。如果數(shù)據(jù)控制者不在歐盟境內(nèi),而數(shù)據(jù)主體在歐盟境內(nèi),該數(shù)據(jù)控制者應(yīng)以書面形式在歐盟境內(nèi)指定代理人來處理境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)。數(shù)據(jù)控制者還要指定數(shù)據(jù)保護官,公開其聯(lián)系方式并確保數(shù)據(jù)保護官可以及時充分地參與數(shù)據(jù)保護事務(wù)。

《GDPR》和我國《信息安全技術(shù)個人信息安全規(guī)范》都提到了不止一個控制者的情況。在《GDPR》中稱之為聯(lián)合控制者,《信息安全技術(shù)個人信息安全規(guī)范》稱為共同信息控制者。兩部法律都規(guī)定,當出現(xiàn)不止一個控制者時,要明確區(qū)分出各自的責任和義務(wù)。信息安全技術(shù)個人信息安全規(guī)范》還規(guī)定要將這種具體分工告知信息主體。

總結(jié)來說,關(guān)于數(shù)據(jù)控制者的基本義務(wù)如表5所示。

表5 數(shù)據(jù)控制者的基本義務(wù)

3.6 數(shù)據(jù)監(jiān)管

《GDPR》規(guī)定了歐盟內(nèi)各成員國要至少設(shè)立一個獨立的用以監(jiān)控本法案施行的機構(gòu)。如果有成員國設(shè)立多個機構(gòu)的情況,需指定其中一個監(jiān)督機構(gòu)人員作為代表參加理事會[25]。同時,被委任的機構(gòu)人員要具備所需的經(jīng)驗和技能等職業(yè)資格,并對自己的工作絕對保密。各監(jiān)督機構(gòu)按規(guī)定執(zhí)行任務(wù)時,應(yīng)完全獨立行動且不受任何外來影響和指示。美國的《公平信用報告法》本就是對征信業(yè)務(wù)的監(jiān)管,包括信用信息公開、負面信息修復(fù)與個人隱私報告的合理生成與管理。所監(jiān)管的對象是消費者信用報告機構(gòu)和報告使用者[18]?！督鹑诜?wù)現(xiàn)代化法》則對監(jiān)管部門提出要求:要制定技術(shù)和物理上的保護措施以消除可能存在的風險,防止任何人未經(jīng)授權(quán)而竊取客戶的金融數(shù)據(jù)而導(dǎo)致客戶受到損害。各監(jiān)管機構(gòu)還須制定相應(yīng)的行政規(guī)章使得本法案能夠具體落實。

為了順利實施《個人信息保護法案》,日本在監(jiān)督機制上設(shè)有主務(wù)大臣一職。主務(wù)大臣是由內(nèi)閣總理大臣從國家公安委員會中選定的。主務(wù)大臣有權(quán)要求經(jīng)營者在允許的范圍內(nèi)向其報告?zhèn)€人數(shù)據(jù)的使用情況并給予必要的建議。如果經(jīng)營者違反本法案,主務(wù)大臣可給予經(jīng)營者改正、中止該違法行為并采取相應(yīng)措施的勸告。如果數(shù)據(jù)主體的權(quán)益受到迫害,主務(wù)大臣可命令該經(jīng)營者采取解決措施。主務(wù)大臣還可以要求相關(guān)法人處理經(jīng)營者依法提出的投訴,為其提供便利以確保其恰當利用個人數(shù)據(jù)。目前中國沒有另外設(shè)立專門的監(jiān)督機構(gòu)。其中,《網(wǎng)絡(luò)安全法》規(guī)定:國家網(wǎng)絡(luò)部門應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風險進行抽查,定期組織網(wǎng)絡(luò)安全應(yīng)急演練。網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品須滿足國家標準的強制性要求,由具備資格的機構(gòu)安全認證或安全檢測,符合要求方可提供服務(wù)。

是否對數(shù)據(jù)監(jiān)管做出規(guī)范的總結(jié)如表6所示。

4 不足與建議

4.1 不足

相比美國,我國目前尚未制定完整的金融個人數(shù)據(jù)保護的專門法。雖然我國《網(wǎng)絡(luò)安全法》對信息安全和個人信息保護表現(xiàn)出極高的關(guān)注,《信息安全技術(shù)個人信息安全規(guī)范》也對數(shù)據(jù)控制者行為做了規(guī)范,《刑法修正案(九)》對侵犯個人信息犯罪做了懲戒規(guī)定。但其適用范圍相對狹窄,對于金融領(lǐng)域來說不能完全適用,缺乏可操作性[26]。此外,關(guān)于個人數(shù)據(jù)保護的法律法規(guī)也比較分散,沒有形成完整的體系。

表6 數(shù)據(jù)監(jiān)管

數(shù)據(jù)主體也缺乏數(shù)據(jù)保護意識。在我國,很多數(shù)據(jù)主體在沒有造成一定程度的損失時,不太在意數(shù)據(jù)泄露情況。例如支付寶的“年度賬單”活動吸引了廣大用戶參與?！澳甓荣~單”的生成需要訪問個人消費數(shù)據(jù),當用戶不假思索地點擊“同意”時就賦予了支付寶APP訪問個人金融數(shù)據(jù)的權(quán)限?？梢?我國公民在互聯(lián)網(wǎng)上留下的足跡積少成多就有可能泄露個人隱私,給自己帶來危害。

4.2 建議

4.2.1 立法的加強及監(jiān)管機構(gòu)的設(shè)立

金融個人數(shù)據(jù)的保護除了要有針對性地加強立法外,還應(yīng)該強調(diào)金融機構(gòu)、金融監(jiān)管機構(gòu)和技術(shù)服務(wù)機構(gòu)保護金融消費者個人數(shù)據(jù)的義務(wù)。

首先,金融機構(gòu)要嚴格規(guī)范和管理金融消費者個人數(shù)據(jù)的收集、處理和使用行為。同時加強對金融機構(gòu)內(nèi)部工作人員的管理,明確不同部門不同及級別的職責和任務(wù),并對工作人員進行專業(yè)培訓以提高員工的責任意識和保密意識。

其次,金融監(jiān)管機構(gòu)應(yīng)為金融消費者創(chuàng)造一個安全的金融交易環(huán)境,定期對金融機構(gòu)進行檢查,加強對金融機構(gòu)的監(jiān)督管理。此外,相關(guān)的技術(shù)服務(wù)機構(gòu)也有保護金融消費者個人數(shù)據(jù)的義務(wù)。監(jiān)管機構(gòu)也應(yīng)對技術(shù)服務(wù)機構(gòu)進行監(jiān)管,令技術(shù)服務(wù)機構(gòu)制定明確的技術(shù)水平標準,簽訂技術(shù)服務(wù)保密協(xié)議,防止技術(shù)操作過程中對金融個人數(shù)據(jù)的安全造成威脅[27]。

4.2.2 提高金融消費者自我保護意識

作為數(shù)據(jù)主體的金融消費者在金融交易中是基礎(chǔ)而重要的環(huán)節(jié)。盡管互聯(lián)網(wǎng)的發(fā)展給人們的生活帶來了便利,但在互聯(lián)網(wǎng)上的一個無意的行為就可能造成個人數(shù)據(jù)泄露的情況。因此,在信息時代下,提高公民自我保護意識是最基本的保護措施。同時,公民的個人數(shù)據(jù)保護意識也應(yīng)隨著瞬息萬變的信息時代而不斷變化。