互联网金融法律研究院

详情

“考”问大数据 隐私保护与大数据金融矛盾吗?

2019-09-25    来源:

考”问大数据 隐私保护与大数据金融矛盾吗?

专家表示,开发利用大数据与隐私保护之间可以平衡,但一定是在规则框架内进行



进入9月以来,中国的大数据行业似乎进入了一个前所未有的“整顿期”,据多家媒体报道,已有多家第三方大数据公司被纳入调查行列。

  “近来,客户越来越重视隐私保护和数据获取的合规性了,对照半年前,差距真的很大。”陈小阳(化名)是一位律师,大数据公司曾是她的主要客户,这是她近期最直接的感受。

  据记者了解,对于一般的大数据公司,数据获取来源主要分为三种:第三方机构授权、关联方或场景的数据以及爬虫业务。而关于数据爬取,理论上是有“红线”的,即要求在遵循一定协议和规则下,大数据公司才能实现自动获取网站站点的信息和数据。但现实中,规则往往被忽略或简化,个人信息隐私保护的问题,在大数据公司的发展过程中,被凸显出来。

  事实上,目前与此相关的法规、立法,已在完善。2017年6月,《中华人民共和国网络安全法》(下称“网络安全法”)正式实施,随后《中华人民共和国数据安全法》(下称“数据安全法”)、《数据安全管理办法(征求意见稿)》以及《网络安全审查办法(征求意见稿)》等相继出现“在路上”。

  目前,大数据在经历行业“高光”时刻后,未来如何发展备受关注。就此,新京报记者采访了中国政法大学互联网金融法律研究院院长李爱君,西南财经大学普惠金融与智能金融研究中心副主任陈文,北京大学金融智能研究中心主任助理、《征信与大数据》作者刘新海以及北京金诚同达(上海)律师事务所合伙人彭凯,共同探讨公众关注的大数据话题。

  1 大数据、爬虫为何受关注?

  爬虫业务易产生隐患,收集个人信息应按法律规定

  新京报:为何大数据行业近期会聚焦爬虫问题?

  彭凯:比较直接的原因是近期几起媒体报道的风险案例集中于大数据服务商,而且这类机构面向金融行业的输出产品都包括了爬虫服务或者基于爬虫技术而形成的标准化产品。

  到目前为止,尚未出现公安方面对此类调查公司的正式通告。风险案例本身的具体情形、案由、导火索等,难为外人所知,所以实际上爬虫在其中的地位,目前很难有一个明确的结论。

  李爱君:大数据风控公司爬虫业务的数据应是指向了特定的自然人,因此违反了我国的相关法律规定。

  刘新海:爬数据,有的是有授权的,有的不一定有授权。而且爬数据的大数据公司,其数据可能还存在留存、甚至贩卖的现象,会产生很多隐患。

  一些大数据公司,抓住了市场的需求,另外监管合规没有跟进,有利润他们就做。在我看来,这些大数据公司,他们在开始阶段,没有充分考虑合规性的问题。在国外,像这种个人敏感数据的爬虫行为,基本上都是明令禁止的。

  新京报:你认为大数据公司目前存在什么问题?

  李爱君:爬虫业务收集的个人信息和隐私数据应按我国法律规定的程序进行收集、存储、处理和转让,否则就是违法行为。

  彭凯:近期案例中的大数据服务商,都或多或少牵扯到现金贷行业,“红线”划定主要体现在三类法律法规中:第一,现金贷相关规范,典型如141号文中的“各类机构应当加强客户信息安全保护,不得以‘大数据’为名窃取、滥用客户隐私信息,不得非法买卖或泄露客户信息”。该类规范要求在56号文、P2P相关规范中也有所体现,呈现为“趋同”表述。第二,网络安全与数据合规、信息保护相关规范,主要围绕《网络安全法》展开。第三,刑法,主要涉及罪名有非法获取计算机系统数据罪、侵犯公民个人信息罪等。

  总结来看,“红线”主要在一头一尾,即“获取”和“输出”环节,也涉及获取后的“加工使用(二次利用)”。就目前看到的风险案例而言,如果网传信息、评价属实,大数据服务商可能是因合作方涉嫌套路贷犯罪而被牵连,或在套路贷案件中起到了不可忽视的“助推”作用。

  2 如何处理大数据开发和隐私保护的关系?

  数据脱敏,在不侵犯个人隐私下,挖掘数据的价值

  新京报:个人隐私保护与开发利用大数据,两者是否矛盾?

  李爱君:隐私保护与开发利用大数据的关系是辩证统一的关系。解决这一关系应根据隐私私权性质的特点来规定数据应用的行为,也就是说应赋予隐私主体对隐私数据的自决权来解决。GDPR(即欧盟《通用数据保护条例》)的自决权是可以借鉴的。

  陈文:关于开发利用大数据与隐私保护的关系,我认为两者之间是可以做到平衡的。因为大数据并不是完全说必须用你的实名,每个人必须确定每个人的实名信息之类。它可以在一个隐私保护前提下,把这些信息做先期脱敏处理,基于大数据样本,通过数据分析,我们可以得到一些有用的结果和判断。如果说做到脱敏的话,实际上,就不会侵犯个人隐私了,但目前国内这方面做得还不是太好。

  彭凯:个人觉得不矛盾,隐私保护和开发利用大数据并不是一定站在对立面的。个人层面,不同的人有不同的选择,部分人很在意隐私保护,就会有部分人愿意以隐私去换取更大的便利,其实都是选择的不同而已。立法层面要解决的是,防止借助于“发展”而滥用权力,这也是为什么我们现在的很多规则要强调“必要性原则”和“最少够用原则”,其实就是希望能够找到一条中间道路平衡发展和保护之间的关系。

  现在行业里面有几个不好的认知,包括“授权即合法”“技术中立无罪”或者“无禁止即可为”。第一,很多从业者误解了“授权”的具体内在含义和达成方法,所以我们看到了很多的一揽子授权条款和捆绑授权条款,这种例子说明,对规范本身存在误解;第二,错判了监管与刑事之间的“沟渠”,以为很宽阔,这是对刑事层面的误解。

  刘新海:隐私保护与大数据开发利用,两者之间是直接存在着矛盾的,且需要平衡。

  消费者一些属于个人基本、非常敏感的数据,是不能随便滥用的。另外,大数据开发的时候也要保护好这部分数据,防止泄露。此前,欧美国家也出现过某些大数据公司被处罚、被起诉的事情。他们的个人信息保护做得相对较好,也比较成熟,当然这与他们相关合规性监管开展得比较早,不无关系。

  新京报:如何处理好发展大数据开发应用和隐私保护的关系?

  李爱君:不保护客户隐私就没有大数据开发应用的持续发展,社会发展是以人为本的,为了人类的幸福而发展的,如果发展是牺牲人类的幸福,这样的发展是不可持续的。

  彭凯:“发展”与“保护”一直是个背靠背的命题。就好比经济发展与环境保护,以前我们讲“又快又好”,然后过渡到“又好又快”,其实是个侧重点的问题。互联网发展也一样,对比美国和欧洲,我们常说欧盟的GDPR史上最严,甚至探讨为什么欧盟的数据保护规则会这么严,对比美国来看,其实就是欧洲更崇尚互联网领域的个人权利保护,而美国崇尚互联网的发展,所以这种原旨的偏差反映到了立法层面。

  我认为,处理发展和保护的关系,要遵循“堵不如疏”“分域而治”的原则,部分行业的沙盒模式是可以探讨的,为未来留有空间;部分行业到了不得不重拳整治的时候也不可手软。

  陈文:未来,我认为还是应该由政府来牵头、主导,使数据通过合法合规的采集、脱敏之后,经过必要的防火墙机制、保护机制,让一些企业能够利用这些数据,做一些比较积极的尝试。在不侵犯个人隐私的基础上,把数据的价值挖掘到最大化。

  3 数据乱象应如何解决?

  “扭转”依靠立法,“疏导”依靠监管和自律,市场净化不是一蹴而就

  新京报:数据乱象的根源在哪?应如何解决?

  彭凯:商业层面的天然逐利性,规则立法的滞后性,以隐私换便利的现实,并不单纯是一方的责任。目前来看,单纯依靠市场自律很难,所以法律父爱主义要登场,根治不敢谈,但“扭转”要依靠立法,建立自上而下的法律和规则体系,“疏导”依靠监管和自律,市场的净化不是一蹴而就的,过程会漫长。

  我们类比了714高炮、55超级高炮这类变态的贷款形态,屡禁不绝。社会总归是由白、灰、黑组成的,好比刑法再严苛,犯罪率也不可能降至0。一个道理,建立规则体系和监管体系,愿景当然希望让灰色的变白色,让黑色的受到制裁。后续的持续整治、治理,就是要不断地净化灰色、消弭黑色,这会是个持久战,不止是大数据行业,任何有利可逐的行业都是如此。

  李爱君:中国大数据市场目前出现这些乱象的根源在于无视法律的存在,没有法治的意识。如此下去可能阻碍我国从数据大国向数据强国的实现,将在数字经济时代中失去应有的发展机会。

  刘新海:首先是存在市场驱动、带来需求,其次是监管的滞后,因此出现了这种混乱。同时,数据黑产、高利贷是两个恶性循环。高利贷需要大数据的风险决策,这也促进了大数据黑产的出现,大数据黑产又促进了高利贷进一步的变种。

  陈文:目前一方面是很多大数据公司的数据来源说不清;另一方面就在于数据的使用上。我们也看到了,现在被查的一些大数据公司很多是与所谓的714高炮、55超级高炮以及这种暴力催收扯上关系。事实上,只要这种利润存在,那么可能就会出现所谓的数据乱象。

  如果从政府的角度,搭建一个大数据的公共平台,把这些数据进行脱敏,然后对接一些商业机构,我认为能够起到非常好的规范市场的作用。

  我们也期待,经过这一轮清理整顿,央行出台金融科技相关的规范。我相信未来我们国家的金融科技,是建立在满足监管底线的要求之上、同时尊重个人隐私的一种高质量的成长。我觉得这才是中国所谓的金融科技真正的未来。

  新京报:当前出现问题的“数据爬取”与《网络安全法》等要求是否相背离?

  彭凯:爬虫本身是个程序,是个工具,是互联网行业中非常常用的东西,所以我们经常还会区分“善意爬虫”和“恶意爬虫”。但工具的使用不能突破网安法及其配套法规、规则的约束,所以,问题爬虫必然是违法违规。

  行业一直在等待的是明确、生效的配套规则和各行各业的国家标准、行业标准,希望能够看到较为明确、可实施、可指导实践的文件。现在法规陆续出现,监管图谱本身也在愈发明晰,如此高危易入刑的一个行业,自然对规范十分期待,对行业也是意义重大,大家最希望看到的是“边界在哪里”。

  《数据安全法》带来的改变将体现在消费者与行业两个层面。消费者、用户层面,权利得到强化,更加明确的选择权(隐含有拒绝权);行业层面,能够有更为明确的边界界定,短期来看像是约束,但其实是更好地为未来发展铺垫。

  李爱君:《网络安全法》第四十一条到四十四条的法条明文要求,当前出现问题的“数据爬取”行为,存在违规。

  《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

  网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

  第四十二条中,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

  网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

  第四十三条要求,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

  最后,第四十四条中明确规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

  刘新海:大数据立法的问题,这是一个非常基础的问题,立法、执法,还要有监管的部门。目前这方面国内还有欠缺。

  我国大数据产业发展迅速,但同时也需要有一些具有先行引导性的条例与之相匹配,把需要保护的地方加以明文保护;此外,欧美经验,是可以好好吸收的。我自己也做过这方面研究,发现监管和行业之间有鸿沟,监管方面都想“管得严一点”,但是行业方面发展的现状又是数据泛滥,而且业者具有“法不责众”心理,这种情况比较严重。

  4 大数据行业的未来如何?

  大数据行业未来可期,但是在规则框架内进行

  新京报:“能力输出”“远离数据”“服务于银行或其他持牌方”,是大数据公司转型方向吗?

  彭凯:金融领域只是大数据行业覆盖的小小领域之一,大数据的征程和战场是星辰大海。涉足金融领域的大数据服务商,短期策略会是“观望+专供持牌机构”思路,但长期来看,行业整顿出清疏导、立法规范落地实施、监管自律持续进行,大数据行业未来必然有新的业务点和增长点,但一定是在规则框架内进行,也会有越来越多的正规军涉足该领域。

  陈文:开始有观点提出大数据公司转型服务银行或者持牌方。但是其中有一个问题,在服务的过程中,大数据公司是不太可能完全远离数据的,因为你没有数据支持,目前看是没法有效服务机构的。但在一个相对明确的游戏规则下,大数据公司更好地去运用这些数据,才能提升自己对数据的挖掘能力以及对机构的服务价值。

  新京报:如何看待中国大数据行业的未来?

  陈文:随着社会生活线上化,这种所谓的数据留痕的价值会越来越大,大数据行业的未来可期。

  当下大数据行业其实是有原罪,尤其是在关于数据确权、数据隐私、数据交易等各方面都没有一个明确的游戏规则情况下,所谓的原罪很难避免。实践在往前走,学界也在跟踪研究大数据的隐私、确权,包括定价,交易机制。这样才能够有助于整个数据产业链游戏规则的最终成形。

  刘新海:大数据产业的发展阶段,经历了原始资本积累、野蛮生长,现在到了开启创新阶段新发展的时候。对照国外的大数据公司发展历程,我们国内目前大量的大数据公司,主要还是以数据买卖为主,深入的应用,还是比较薄弱的。

  未来真正的大数据公司,应该是具有创新的商业模式、场景应用、模型开发;大数据是需要与多样的场景应用、真实的商业需求具体结合起来的。目前的大数据公司往往还是千篇一律,过分聚焦于金融信贷领域。

  李爱君:从数据资源、数据应用的场景以及我国的文化习惯等方面而言,中国大数据公司是具有发展优势的。只要我国数据应用技术不落后于其他国家,在保证数据安全的情况下,公平有序的开发和应用就一定会发挥出大数据应有的优势。

  新京报记者 黄鑫宇