与你有关！个人信息保护入法 保护数据安全还需要做什么？

　　2020年4月，中央 国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》首次明确将数据纳入生产要素，强调推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全保护。

　　“数据已经成为我们日常生活的重要组成部分，成为非常重要的现代生产要素。数据的生成、收集、存储、传输、利用也几乎遍布各个行业。数据改变了我们的生活，也给我们带来了极大的便利。” 吉贝克信息技术（北京）有限公司董事长、中国科学院大学金融科技研究中心主任刘世平在《清华金融评论》撰文指出，我们每个人每天都在生产着诸多数据，同时我们的很多数据也在被利用。数据在改变着我们的生活，数据也在改善着我们的生活水平，给我们带来了极大的便利。数据已经是名副其实的资产，是重要的生产要素，与资本、劳动力、土地、技术等一并列为重要的生存要素。

　　实际上，数据除了固有的商业价值外，挖掘数据也存在着巨大的商业价值。就金融层面而言，金融数据的要素化，也是金融业数字化变革的重要特征。

　　中国银行原行长李礼辉在《清华金融评论》（点击订阅）2月刊撰文表示，金融机构广泛应用数据，深度依赖数据。高效配置数据要素、将数据资源转化为有价值的数据资产是数字化转型和数字经济发展的关键。

　　华夏银行行长华在《清华金融评论》（点击订阅）2月刊撰文表示，近年来商业银行在数字化转型过程中，充分运用内外部大数据和金融科技手段创新业务模式、提升服务水平，特别在零售金融板块广泛使用个人信息数据发展线上业务。

　　伴随数据发展而来的还有数据滥用。数据是一把“双刃剑”，在其为用户带来便利，为企业创新业务模式的同时，个人信息数据也面临着过度采集与滥用等问题，甚至还滋生了利用其精准的骗局。

　　笔者了解到，近年来由于个人数据泄露引发的事件频频发生。很多人的生活都因数据泄露遭受接二连三的骚扰。很多机构都或多或少存在违规收集与使用个人信息等情况。比如，过多收集用户行为数据等。国家网信办就曾多次通报违规收集或使用个人信息应用程序（Application，简称App），其中包括多款金融类App。

　　更令人惊讶的是，在数据滥用的背后，一条以贩卖数据为生的黑色产业链悄然生成，大量个人信息在黑市不停转手。这些现象的背后，早已形成一条充满恶意的数据交易产业链。据笔者了解，在这条黑色产业链的上游，既有专业的黑客利用拖库与撞库等手段盗取数据，也存在一些公司或其员工通过倒卖用户数据获利的情况。

　　与此同时，这条数据交易产业链的下游也拥有大量买家。需注意的是，购买数据的买家，不只有机构，还有很多急于拓展业务的公司或个人在求购数据。而这样的数据买卖是一场极为隐蔽的交易。卖家与买家都是通过社群、网站等网络平台进行交易，交易不仅用特定的行业黑话，还会选择使用虚拟货币等方式交易。曾有多位知情人士向笔者感慨，用户数据一旦进入数据买卖的江湖，只有两种命运：要么第一次被贩卖，要么被无数次贩卖。

　　“网络黑产已出现产业化、集团化和专业化趋势。它们的犯罪链条向着分工精细、组织灵活、资金快速流转的方向发展，隐蔽性更强，风险对抗升级，为全链条打击带来更大困难。”网联清算有限公司董事长、总裁董俊峰在《清华金融评论》（点击订阅）2月刊撰文直言数据使用乱象。

　　“数据无害，但是数据的使用未必无害。” 中科院金融中心主任刘世平在《清华金融评论》（点击订阅）2月刊撰文表示。正如其所言，大数据时代，如何发挥好数据的价值，如何防范数据的不正当使用等变得尤为重要。

　　中国金融电子化公司副总经理、北京金融科技产业联盟秘书长潘润红也在《清华金融评论》撰文指出，伴随着金融和科技的深度融合，数据要素价值凸显，部分机构或因利益驱动，或因对个人信息保护意识薄弱、或因技防能力欠缺，在创新业态中采集了大量个人金融信息，并进行过度应用或随意共享，对金融消费者信息安全和个益造成威胁和侵害。

　　此次《个人信息保》在有关法律基础上，进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则，明确个人信息处理活动中的权利义务边界，健全个人信息保护工作体制机制。其中，《个人信息保》规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。针对过度收集信息、大数据杀熟的问题，《个人信息保》明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个益影响最小的方式；个人信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

　　实际上，从2012年至2021年的十年间，监管层面相继出台了多份文件，不断规范数据应用与个人信息保护。譬如， 2021年1月1日实施的《民法典》，确定隐私的定义，明确个人信息的定义及处理个人信息应遵循的原则和条件。中国人民银行于2019年9月6日印发的《金融科技（FinTech）发展规划（2019—2021年）》（银发〔2019〕209号），明确加大金融信息保护力度，提出建立金融信息安全风险防控长效机制、加强金融信息安全防护及强化金融信息保护内部控制管理要求。

　　“虽然我国法律法规、标准规范、技术应用在个人金融信息保护方面初步形成体系，取得一定效果，但在法规精准聚焦、监管机构联动协同、技术措施全面防范、机构和个人意识等方面的不足，使得个人金融信息有效保护仍然面临挑战。” 董俊峰表示。

　　潘润红表示，目前我国个人金融信息保护仍面临着新业态下信息保护难度加大；技术防护措施仍然存在短板；机构内部数据治理有待加强；个人信息防护意识有待提升等挑战。

　　在董俊峰看来，数据行业应构建形成执法监督机构、行业自律组织、市场主体的三层治理架构，这有助于在合法合规基础上有效监督规范个人信息处理行为，促进个人信息合理利用，保护个人信息权益。

　　李礼辉认为，我们迫切需要更新安全定义、安全技术、安全制度，构建一个全新的数字安全体系，切实保护数据资源的安全。例如，智慧城市管理平台必须支持多终端、多场景使用，必须构建用户相互信任、信息真实对称的技术环境。李礼辉建议，我们必须高度关注数据资源安全问题。我国是人口大国和数据资源大国，数据资源是个人的财富，是集体的财富，更是国家的财富。

　　国家网络安全审查持续升级 董俊峰：浅析网络支付安全“三大支柱”的现状与挑战｜封面专题国家网络安全审查持续升级 潘润红：完善数据治理体系 为金融科技良性可持续发展奠定基础封面专题金融3·15 李礼辉：保护个人数据隐私制度与技术创新并重封面专题