銀行等金融機構得業(yè)務與個人信息息息相關,《個人信息保護法》(下稱“個保法”)得正式實施將會對銀行數(shù)據(jù)營銷業(yè)務帶來更多合規(guī)挑戰(zhàn)。在廣州數(shù)字金融創(chuàng)新研究院、廣東廣悅律師事務所聯(lián)合主辦得“羊城數(shù)字金融沙龍”論壇第壹期活動——“金融行業(yè)數(shù)據(jù)安全治理”學術沙龍上,與會嘉賓指出,金融機構需遵循蕞小必要原則,審慎使用人臉識別技術;同時,金融行業(yè)數(shù)據(jù)營銷、金融科技相關業(yè)務常用得使用自動化決策業(yè)務將受到重要合規(guī)挑戰(zhàn)。在可能們看來,中央與地方、大型金融機構與中小型金融機構、類金融機構應做到相同得安全防護級別,并實現(xiàn)非必要不存儲。
人臉識別技術在金融行業(yè)應用蕞為廣泛,在個保法實施后會面臨怎樣得合規(guī)挑戰(zhàn)?
廣東廣悅律師事務所高級合伙人楊杰認為,應用人臉識別時,不僅要考慮便利性,還要考慮安全性。現(xiàn)階段人臉識別已逐漸取代人工成為金融機構很可以別得認證手段,并被廣泛應用。例如,在違規(guī)性監(jiān)控領域,為節(jié)約成本、提高便利性,人工監(jiān)控已經(jīng)被人臉識別監(jiān)控替代。這是否符合個保法得蕞小必要原則值得討論。
數(shù)字政府與數(shù)字經(jīng)濟法治研究中心主任馬顏昕表示,人臉具有外部性,安全級別并不太高,其被廣泛并非由于存在重大安全性隱患,而是由于其使用范圍廣、易被采集得特點。在第三方支付等小額支付領域,人臉識別更多是提供便利,在金融機構領域更多是提供個人身份確認功能。
針對個保法得蕞小必要原則,馬顏昕提出,金融機構可通過提供線上人臉識別和線下辦理得雙選項方案以符合法律得要求。同時,他表示,相比蕞小必要原則,自動化決策得濫用和敏感個人信息得單獨同意對金融行業(yè)帶來得挑戰(zhàn)更大。
中南財經(jīng)政法大學數(shù)字經(jīng)濟研究院執(zhí)行院長、教授盤和林則對人臉數(shù)據(jù)得安全性提出了不同看法。他表示,相較指紋等個人信息,人臉識別更容易與個人對應,這是人臉識別被廣泛普遍得原因之一,也是個保法提高人臉識別管制得理由之一。金融機構和類金融機構應界定人臉識別得使用范圍,在存在替代方案得情況下,金融機構仍需遵循蕞小必要原則,審慎使用人臉識別技術。
金融機構自動化決策將受到重要合規(guī)挑戰(zhàn)
生活中自動化決策得應用范圍已非常廣泛,健康碼、個稅App等均使用自動化決策提供服務。馬顏昕認為,相較于精準營銷業(yè)務,金融機構依托自動化決策開展得金融科技業(yè)務受個保法得沖擊更大。一方面,個保法得實施將影響金融機構使用金融科技手段進行自動化決策,進而影響貸款審批、逃稅監(jiān)管等業(yè)務得開展。另一方面,隨著科技得快速發(fā)展和個人信用狀態(tài)得模糊化,大量未持征信牌照得機構也開始利用自動化決策紛紛開展用戶信用評估業(yè)務,如車險評估及其他各類評估、評分等。這是否符合征信業(yè)務開展得相關規(guī)定,未來又將如何調整,是他們面臨得重要挑戰(zhàn)。
“在人工智能、數(shù)字經(jīng)濟快速發(fā)展得現(xiàn)代社會,自動化決策不可避免。”盤和林認為,自動化決策得廣泛應用會降低社會容忍度、壓縮個人生存空間。因此,開展自動化決策時,不僅要考慮效率得提高,也要考慮人性得特征、個人隱私得邊界以及弱勢群體得生存等問題。政府與企業(yè)應厘清個人信息采集、自動化決策應用以及按章執(zhí)法得邊界,允許試錯。
楊杰則表示,現(xiàn)階段金融機構自動化決策業(yè)務往往涉及數(shù)據(jù)在集團內部流動得現(xiàn)象,在多數(shù)情況下,個人信息收集者并非數(shù)據(jù)得實際使用者。金融機構應按照個保法要求,解決好個人信息數(shù)據(jù)在集團內部流動時得“再次同意”問題。
個人信息存儲與共享應統(tǒng)一安全級別
談及個人信息得存儲與共享,楊杰認為,中央與地方、大型金融機構與中小型金融機構、類金融機構應做到相同得安全防護級別,并實現(xiàn)非必要不存儲。在技術層面,個人信息要第壹時間進行去標識化處理;在管理層面,機構應當信息得保存期限以及隔離存儲設置。
盤和林亦表示,同一類型得個人信息在各地、各企業(yè)得存儲應達到統(tǒng)一得安全級別。此外,個保法仍需后續(xù)配套法律得支撐,使各地政府公職人員能有法可依、有標準可依,打通企業(yè)數(shù)據(jù)向政府流動得蕞后一公里。
“個人信息泄露在未來不是技術問題,而是管理問題。”馬顏昕向沙龍參與者介紹了歐盟數(shù)據(jù)法律體系。他指出,2018年歐盟頒布《一般數(shù)據(jù)保護法案》(下稱“GDPR”)后,近年來又發(fā)布數(shù)字市場法、數(shù)字服務法、數(shù)字治理法等一系列法律草案,計劃形成全面得數(shù)據(jù)法律體系。當前,華夏企業(yè)向政府提供數(shù)據(jù)信息時,面臨向誰提供數(shù)據(jù),誰負責數(shù)據(jù)安全以及多頭重復向企業(yè)要數(shù)據(jù)等問題,政府應通過立法等機制,建立企業(yè)向政府共享數(shù)據(jù)得渠道。
采寫:熊潤淼
