支振鋒

中國社會科學院法學研究所《網(wǎng)絡法治藍皮書》項目組的最新研究發(fā)現(xiàn)，各單位的財務系統(tǒng)有可能成為個人信息和數(shù)據(jù)安全保護新的風險點。在不該收集個人信息的場合進行信息收集，收集個人信息時擅自擴大范圍，收集很多不必要的個人信息，再加上網(wǎng)絡安全觀念淡薄、數(shù)據(jù)安全保護制度和措施缺位，是當前我國各類單位財務系統(tǒng)較為普遍的狀況。

個人信息是網(wǎng)絡數(shù)據(jù)的主要來源。無論是涉及國家社會安全的數(shù)據(jù)，還是關于經(jīng)濟社會生活的數(shù)據(jù)，往往可以還原為個人數(shù)據(jù)。特別是以ABCDE（人工智能、區(qū)塊鏈、云計算、數(shù)據(jù)科技和邊緣計算）為代表的新型信息技術(shù)與經(jīng)濟社會生活深度融合，不僅產(chǎn)生了海量數(shù)據(jù)，還形成了以數(shù)據(jù)為驅(qū)動的新業(yè)態(tài)新模式新經(jīng)濟。圍繞個人信息，既形成了一系列關于開發(fā)利用的技術(shù)、標準和規(guī)制體系，也導致了個人數(shù)據(jù)非法售賣、網(wǎng)絡黑灰產(chǎn)、網(wǎng)絡詐騙、侵犯個人隱私等大量網(wǎng)絡違法犯罪情況的產(chǎn)生。

個人信息在數(shù)據(jù)活動的各個環(huán)節(jié)都可能被泄露，但作為“入口”的搜集環(huán)節(jié)極其關鍵。隨著稅務、工商、金融等方面法治不斷完善，強化要求，近年來，我國單位財務制度有顯著變化，在信息化、規(guī)范化和網(wǎng)絡化上有很大進步，單位財務與銀行、稅務系統(tǒng)等在很大程度上能夠?qū)崿F(xiàn)實時的數(shù)據(jù)交換。但問題在于，信息化的財務制度在很大程度既依賴于網(wǎng)絡設施，也依賴于個人信息的廣泛收集。除了本單位員工的工資發(fā)放、財務報銷之外，向外單位購買商品和服務一般也都要進行銀行轉(zhuǎn)賬。召開論證會后支付專家費、請外部計算機技術(shù)人員編寫一段代碼或程序，甚至某些時候雇用臨時工，在支付專家費或勞務費時，一般都需要搜集對方身份、賬號等信息。這中間，只要做好信息儲存和保護，有些信息的收集是必要的。但許多單位財務為了“嚴謹”和“規(guī)范”，還要搜集對方工作單位、職務、職級甚至身份證和銀行卡的正反面掃描件與照片等信息，就不僅涉嫌違法，還導致巨大的數(shù)據(jù)安全風險。

一方提供商品或勞務，另一方支付費用，法律關系原本很簡單。稅務、工商等部門合法、合理劃定收集個人信息的范圍，如果各級單位的財務在上述范圍之外收集個人信息，則主要出于自身的財務風險防控。但問題在于，過度的個人信息收集，一方面等于將自身財務風險防控的負擔不適當?shù)剞D(zhuǎn)嫁給他人；另一方面，實際上增加了本單位網(wǎng)絡安全和數(shù)據(jù)安全風險防控的義務，將本單位置于高度法律風險之中。

隨著《數(shù)據(jù)安全法（草案）》上月在全國人大常委會初次提請審議，社會各界對互聯(lián)網(wǎng)信息時代數(shù)據(jù)安全的重要性又有了新的認識。人們期待，在《網(wǎng)絡安全法》之后，《數(shù)據(jù)安全法》和《個人信息保護法》能盡快出臺，從而以總體國家安全觀為指導，盡快形成個人信息與重要數(shù)據(jù)保護的“高壓線”和“護城河”?！?/p>

（作者為中國社會科學院法學研究所研究員）