個人信息保護法草案三審,大數據殺熟、非法爬蟲徹底涼了
近期,個人信息保護法草案已提請十三屆全國人大常委會第三十次會議三審,該草案是個人信息保護方面的專門法律,幾經修改完善個人信息處理規則,尤其是嚴格限制APP過度收集個人信息,“大數據殺熟”等數據濫用亂象。
個人信息是互聯網企業輸出用戶畫像、制定營銷策略以及識別風險的重要依據,部分企業為了商業價值最大化,過度挖掘和濫用個人數據,導致用戶的隱私、財產被侵犯。在金融領域,數據的重要性更加突出,大數據公司和金融機構濫用數據的危害性也就更大。
早期,金融市場中的大數據風控服務商十分活躍,非法爬蟲導致金融消費者的個人信息被盜取,監管出手整治后大數據風控亂象才得以消停。而后,金融機構和金融科技企業侵犯用戶隱私現象屢禁不止,招聯、分期樂、360借條等機構和產品均遭點名。
個人信息保護法即將出臺,加之此前已出臺的數據安全法,我國逐漸在個人信息保護和數據安全方面形成了由法律、行政法規、規范性文件在內的多層次法律規范體系。這也從根本上斬斷數據濫用的產業鏈條,對數據殺熟、非法爬蟲等違規采集和使用數據的行為精確定性量刑。
多部法律聯合保障信息安全
在本次個人信息保護法審議前,全國人大常委會法制工作委員會舉行記者會介紹關于《個人信息保護法》有關情況。個人信息保護法草案三次審議稿擬修改內容涉及對“利用個人信息進行自動化決策”的規范。
具體來看,就是部分應用產品,利用用戶畫像、算法推薦等技術,涉嫌信息騷擾、“大數據”殺熟。針對上述亂象,個人信息保護法完善個人信息處理規則,尤其限制過度收集個人信息和“大數據殺熟”。
根據個人信息保護法的定義,企業自動化決策的概念是指通過程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。
值得注意的是,基于數據的自動化決策并沒有被法律一棒子打死,而是采取合規的方式督促其健康發展。在法律層面,自動化決策應當遵守個人信息處理的一般規則,包括應遵循合法、正當、必要和誠信原則,目的明確和最小化處理原則,公開透明原則,信息質量原則,責任原則等。
同時,個人信息保護法也明令禁止企業的霸王服務協議。企業在自動化決策時,包括用戶畫像、算法推薦等,應當在充分告知個人信息處理相關事項的前提下取得個人同意,不得以個人不同意為由拒絕提供產品或者服務。
就金融領域的信息保護而言,除了個人信息保護法外,還包括數據安全法、征信業務管理辦法以及個人金融信息保護相關法律法規。今年年初,央行就《征信業務管理辦法(征求意見稿)》公開征求意見,《辦法》指出征信機構采集信用信息,應當遵循“最少、必要”的原則,不得過度采集。
在實際的金融消費活動中,如果涉及助貸平臺,個人信息采集和使用的環節就會增加,這自然也會導致消費者個人信息隱患增加。征信業務被整頓后,監管要求金融科技企業按照個人征信業務整改工作要求,不得將個人主動提交的信息、平臺內產生的信息或從外部獲取的信息以申請信息、身份信息、基礎信息、個人畫像評分信息等名義直接向金融機構提供。
另外,《數據安全法》已于今年6月份正式通過,將于2021年9月1日開始施行。《數據安全法》是我國第一部數據安全領域的專門法律,該法兼顧數據保護和數據應用,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
央行副行長陳雨露曾明確表示,加強個人征信信息保護、確保征信信息安全是征信工作的底線。從個人信息保護到征信、風控業務管理,金融市場中的數據安全將被全方位監督。
大數據違規牟利被封堵
從互聯網企業涉及的大數據亂象可以看出,主要分為數據采集和使用兩個層面。在數據采集上,金融市場曾出現非持牌機構與持牌機構均違規、過度獲取用戶信息,尤其部分大數據服務商,利用非法爬蟲批量抓取用戶數據,然后倒賣至信貸鏈條上的助貸平臺、催收方等。
2019年,由于大數據風控行業存在涉眾性隱患,警方介入,抓走了一大批大數據風控企業的高管,并迫使大數據風控在風口關頭緊急剎車。那些涉案數據服務商與爬蟲業務及侵犯公民個人信息有關。
除了警方介入,監管部門也加大大數據應用的風險排查。央行對銀行及征信機構下發緊急通知,要求銀行排查是否與第三方數據公司開展合作,排查的合作內容涉及數據采集、信用欺詐、信用評分、風控建模等方面。
在前幾年,金融借貸類App讀取用戶通訊錄的現象比較普遍,隨著用戶隱私意識加強和相關信息保護法規出臺,強制讀取通訊錄事件減少。
個人數據被違規抓取、肆意泄露,在一定程度上源于當時缺乏數據安全和金融消費者個人信息保護相關的配套法律,消費者和企業的數據安全保護邊界意識模糊。因此,早期個人信息保護主要由監管和警方引導。
相比違規采集個人信息,不規范使用個人信息能直接給消費者帶來財產甚至人身傷害。部分金融企業未列明App收集使用個人信息的目的、方式和范圍,在用戶未使用相關功能時提前開啟通訊錄、定位、短信、錄音、相機等權限。這些信息均關系到用戶個人敏感信息,一旦被濫用,很可能流入黑灰產業,或者引發無休止的騷擾電話。
目前,金融領域的個人信息保護,不僅在立法層面得到保障,而且金融機構、行業協會、消費者都越來越重視,這為數據安全編織了一個穩固的網絡。如果有機構踩紅線侵犯用戶個人信息,將面臨史無前例的嚴懲。
借助金融數據,金融服務的觸達能力得到延伸,金融機構可以根據數據的風險偏好特征為用戶推送金融產品。即便如此,個人信息保護和數據安全始終是數據賦能的前提。
