孫華榮

摘? ?要：隨著移動支付等非現(xiàn)金支付方式日益普及，支付交易與生產(chǎn)生活場景深度融合，支付數(shù)字化、信息化、移動化趨勢日趨明顯，支付服務(wù)提供商采集的支付信息數(shù)據(jù)呈指數(shù)級增長，已經(jīng)成為支付服務(wù)提供商的重要資產(chǎn)。但同時，個人支付信息數(shù)據(jù)保護問題日益突出，法律法規(guī)對個人支付信息數(shù)據(jù)保護力度不足、支付服務(wù)提供商獲取信息沖動強烈且對信息數(shù)據(jù)風(fēng)險管理不力、公眾信息保護意識不強，給不法分子非法獲取和利用信息帶來可乘之機。結(jié)合我國支付市場實際，應(yīng)從健全支付信息數(shù)據(jù)保護的法規(guī)制度體系、優(yōu)化監(jiān)管資源配置和使用、推進行業(yè)自律規(guī)范、提高公民個人信息數(shù)據(jù)保護意識等方面提出政策建議。

關(guān)鍵詞：個人支付信息數(shù)據(jù)保護;演化博弈;支付監(jiān)管

中圖分類號：F830? 文獻標(biāo)識碼：B? 文章編號：1674-2265（2020）08-0044-04

DOI：10.19647/j.cnki.37-1462/f.2020.08.007

一、引言

支付交易中涉及大量敏感個人信息的存儲、傳輸和使用。隨著移動支付等非現(xiàn)金支付方式日益普及，支付交易與生產(chǎn)生活場景深度融合，支付數(shù)字化、信息化、移動化趨勢日趨明顯，支付服務(wù)提供商采集的支付信息數(shù)據(jù)呈指數(shù)級增長，已經(jīng)成為支付服務(wù)提供商的重要資產(chǎn)。在發(fā)揮大數(shù)據(jù)技術(shù)優(yōu)勢的同時，個人支付信息數(shù)據(jù)保護問題也日益突出，法律法規(guī)對個人支付信息數(shù)據(jù)保護力度不足、支付服務(wù)提供商獲取支付信息數(shù)據(jù)沖動強烈且對信息數(shù)據(jù)風(fēng)險管理不力、公眾個人支付信息數(shù)據(jù)保護意識不強，給不法分子非法獲取和利用個人支付信息數(shù)據(jù)帶來可乘之機。在這一背景下，本文立足于個人支付信息保護現(xiàn)實問題，研究在支付數(shù)據(jù)資產(chǎn)化的利益驅(qū)動下，如何防范支付信息數(shù)據(jù)泄露和濫用、提升數(shù)據(jù)保護水平、規(guī)范數(shù)據(jù)保護規(guī)則，旨在為平衡大數(shù)據(jù)應(yīng)用與信息保護的關(guān)系、推動支付數(shù)據(jù)的安全有效運用、促進支付行業(yè)創(chuàng)新發(fā)展提供政策參考。

二、文獻綜述

（一）個人支付信息數(shù)據(jù)的界定

盛婧婧（2018）[1]采用歸納法，認為個人支付信息數(shù)據(jù)是指在支付結(jié)算過程中，涉及能夠識別個人信息的資料，且這些數(shù)據(jù)資料通常與個人利益相關(guān)，表現(xiàn)為可交換、可存儲的數(shù)據(jù)資料。陳麗（2019）[2]采用列舉法，認為用戶在支付過程中提供的基本信息屬于個人支付信息數(shù)據(jù)，如姓名、身份證號、住址、聯(lián)系電話、銀行卡號等信息。參考已有研究，本文將個人支付信息數(shù)據(jù)的概念定義如下：個人支付信息包括所有基于支付活動產(chǎn)生的信息，主要涉及兩個方面：個人信息和支付交易信息。個人支付信息主要包括發(fā)起支付業(yè)務(wù)的數(shù)據(jù)，如銀行卡密碼、信用卡到期日、安全碼等傳統(tǒng)信息和面部特征、指紋、聲音等生物信息，還有身份證號、銀行賬戶、支付賬戶、手機號碼、通信地址等身份核驗信息。交易信息，包括交易金額、交易時間、交易地點、交易渠道、交易頻率、購買商品或服務(wù)類別等。

（二）個人支付信息數(shù)據(jù)利用的立法研究

楊淵（2014）[3]認為我國應(yīng)該加快完善個人信息保護立法。馬永保（2014）[4]認為應(yīng)該正確定位消費者與第三方支付企業(yè)在消費者個人信息處分上的權(quán)限，限制第三方支付平臺信息收集的范圍，完善民事責(zé)任機制。謝迎春（2017）[5]認為，應(yīng)當(dāng)綜合借鑒美國和韓國的支付機構(gòu)信息保護立法內(nèi)容，結(jié)合中國實際，將支付機構(gòu)信息保護的立法定義為綜合性信息保護法規(guī)，或?qū)⑵渥鳛橐徽录{入《個人信息保護法》。姬蕾蕾（2017）[6]認為我國個人信息保護立法應(yīng)該立足于具體場景風(fēng)險管理，個人信息保護監(jiān)管機構(gòu)應(yīng)獨立于政府，采取差異化救濟賠償模式。

（三）個人支付信息數(shù)據(jù)利用的實證分析

學(xué)者們主要采取兩種模型對個人支付信息數(shù)據(jù)保護進行實證分析。第一，使用統(tǒng)計相關(guān)模型發(fā)現(xiàn)支付業(yè)務(wù)風(fēng)險點并制定相應(yīng)的措施。陳麗莉（2013）[7]、李二亮（2014）[8]等學(xué)者利用威脅樹風(fēng)險評估模型尋找支付系統(tǒng)的威脅路徑和風(fēng)險點，為支付服務(wù)提供商系統(tǒng)安全的改進和用戶選擇提供參考。李松濤等（2018）[9]基于德爾菲法，設(shè)計了針對支付機構(gòu)和監(jiān)管機構(gòu)以及個人的調(diào)查問卷，并對調(diào)查結(jié)果使用結(jié)構(gòu)方程模型進行了多元化數(shù)據(jù)分析，給出了支付市場信息安全監(jiān)管的原則、目標(biāo)、對策及建議。第二，博弈論模型主要用來分析對個人支付信息數(shù)據(jù)保護的監(jiān)管力度和監(jiān)管方法。賈楠（2017）[10]利用博弈論分析了個人支付信息數(shù)據(jù)保護制度的形成原因、現(xiàn)狀和未來發(fā)展，得出了全面監(jiān)管的結(jié)論。危懷安等（2018）[11]基于我國第三方網(wǎng)上支付信息安全監(jiān)管涉及的第三方支付機構(gòu)、行業(yè)主管部門等影響因素及決策分析角度，使用靜態(tài)博弈方法討論了監(jiān)管部門對第三方支付機構(gòu)監(jiān)管的必要性和對策，為制定和完善信息安全監(jiān)管及措施提供了理論支持。

本文基于上述研究，對我國支付數(shù)據(jù)信息保護存在的問題進行分析，對如何構(gòu)建有效的個人支付信息數(shù)據(jù)保護制度框架進行探討。

三、我國個人支付信息數(shù)據(jù)利用存在的問題

（一）個人支付信息數(shù)據(jù)保護法律體系不完善

一是法律法規(guī)層級不高。當(dāng)前我國《個人信息保護法》尚未出臺，有關(guān)個人支付信息數(shù)據(jù)保護的規(guī)定和要求散落在多個法律、行政法規(guī)、部門規(guī)章、規(guī)范性文件和行業(yè)自律規(guī)定中，針對個人金融信息，特別是個人支付信息保護的法律法規(guī)，系統(tǒng)性不足，適用性復(fù)雜。二是法律法規(guī)內(nèi)容較為籠統(tǒng)，可操作性不強。大部分相關(guān)法律法規(guī)僅作出了原則性規(guī)定，未具體明確覆蓋個人支付信息收集、傳輸、銷毀全生命周期的策略，以及對訪問控制等配套保障措施的硬性要求。如《網(wǎng)絡(luò)安全法》第四十一條規(guī)定，“網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開使用、收集原則”;《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》規(guī)定，“銀行業(yè)金融機構(gòu)應(yīng)當(dāng)采取有效措施加強對個人金融信息保護，確保信息安全，防止信息泄露和濫用”;《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》第二十條規(guī)定，“支付機構(gòu)應(yīng)當(dāng)以‘最小化原則采集、使用、存儲和傳輸客戶信息，并告知客戶相關(guān)信息的使用目的和范圍”。三是責(zé)任追究機制亟待完善。侵犯個人支付信息數(shù)據(jù)安全的責(zé)任主要體現(xiàn)在刑事和行政責(zé)任方面，民事立法等相關(guān)法規(guī)中涉及違法違規(guī)企業(yè)與個人的處罰條款較少。

（二）個人支付信息數(shù)據(jù)治理面臨困難

經(jīng)濟社會各領(lǐng)域中數(shù)字技術(shù)的不斷發(fā)展，更好地治理海量的個人支付信息是支付行業(yè)未來發(fā)展的重點。目前個人支付信息數(shù)據(jù)治理面臨困難，主要表現(xiàn)在：一是存在信息孤島，多數(shù)機構(gòu)不愿共享，將數(shù)據(jù)作為戰(zhàn)略性資源，且個人支付數(shù)據(jù)具有一定敏感性，涉及用戶個人隱私，共享可能存在法律風(fēng)險，客觀上給機構(gòu)間共享數(shù)據(jù)帶來障礙;此外各機構(gòu)數(shù)據(jù)接口不統(tǒng)一，數(shù)據(jù)難以互聯(lián)互通，嚴重阻礙數(shù)據(jù)開放共享。二是數(shù)據(jù)質(zhì)量不高，由于缺乏統(tǒng)一的數(shù)據(jù)治理體系，支付機構(gòu)在數(shù)據(jù)采集、存儲、處理等環(huán)節(jié)可能存在不科學(xué)、不規(guī)范等問題，無法確保數(shù)據(jù)的完整性和準(zhǔn)確性;支付業(yè)務(wù)條線繁雜、業(yè)務(wù)種類多樣，數(shù)據(jù)采集標(biāo)準(zhǔn)不一、統(tǒng)計口徑各異，數(shù)據(jù)一致性難以保障。三是融合應(yīng)用困難，部分金融機構(gòu)利用海量支付數(shù)據(jù)建模分析解決實際問題的能力有待提高，支付數(shù)據(jù)資源沒有得到充分利用。

（三）支付服務(wù)提供商個人支付信息管理不規(guī)范問題較為突出

隨著支付數(shù)據(jù)資產(chǎn)化趨勢的不斷深化，支付服務(wù)提供商最大限度采集、利用消費者信息的驅(qū)動力不斷增強，但信息保護力度較弱。從近年來人民銀行對支付服務(wù)領(lǐng)域金融消費權(quán)益保護監(jiān)督檢查情況看，支付消費者信息安全管理不規(guī)范的問題比較突出。主要表現(xiàn)在：一是過度收集或不當(dāng)收集消費者個人信息。支付服務(wù)提供商收集消費者個人支付信息未遵循最少、必需原則，收集信息范圍過大，存在以概括授權(quán)的方式索取與支付產(chǎn)品和服務(wù)無關(guān)的消費者個人信息使用授權(quán)的情形，甚至存在未經(jīng)授權(quán)收集其個人支付信息或采用技術(shù)手段不當(dāng)獲取個人支付信息授權(quán)的情形。二是個人支付信息保管不規(guī)范。如支付服務(wù)提供商對支付信息無訪問控制策略，未明確員工或外包服務(wù)商對個人支付信息的保密責(zé)任，通過外包協(xié)議約定轉(zhuǎn)移信息保護風(fēng)險責(zé)任等。三是個人支付信息的使用管理不規(guī)范。如智能POS機能夠直接顯示持卡人的敏感信息，交易處理過程中敏感信息未加密傳輸，以金融集團模式開展經(jīng)營的機構(gòu)，與集團旗下其他公司共享、使用個人金融信息超出合理范圍等。

（四）消費者個人支付信息保護意識不強

一是對個人支付信息安全權(quán)利的整體重視程度不足，比如在注冊支付賬戶時不會仔細閱讀隱私條款，在啟用App時不關(guān)注隱私權(quán)限的獲取等，不僅使得用戶端對支付服務(wù)提供商采集、利用個人支付信息的必要監(jiān)督缺失，也為不法分子泄露、濫用個人支付信息提供了可乘之機。二是主動維權(quán)意愿不強。當(dāng)個人支付信息被泄露或出售給不法分子時，若未造成經(jīng)濟損失，當(dāng)事人往往受制于投訴、訴訟等維權(quán)手段環(huán)節(jié)多、追溯難、舉證難、耗時久等原因主動放棄維權(quán)。

（五）監(jiān)管合作機制有待建立和完善

當(dāng)前支付業(yè)務(wù)與電商、社交、信貸等業(yè)務(wù)高度融合，支付信息數(shù)據(jù)的采集應(yīng)用已經(jīng)不僅僅局限于支付服務(wù)提供商，還涉及電商平臺、社交平臺等各類市場主體，因此支付信息數(shù)據(jù)監(jiān)管涉及中國人民銀行、銀保監(jiān)、商務(wù)、工信、網(wǎng)信、公安、市場監(jiān)管等多個專業(yè)主管部門。但現(xiàn)階段對個人支付信息數(shù)據(jù)采集應(yīng)用的監(jiān)管職責(zé)劃分尚不明確，可能導(dǎo)致監(jiān)管重疊或監(jiān)管空白;從監(jiān)管模式看，監(jiān)管部門間信息共享和監(jiān)管協(xié)作不夠，也在一定程度上弱化了監(jiān)管效果。

四、政策建議

（一）完善個人信息數(shù)據(jù)的立法保護體系

一是加快推動個人支付信息保護專門立法，出臺配套法規(guī)，細化隱私條款設(shè)置，明確信息采集主體、采集方式，理清各當(dāng)事人的法律關(guān)系和權(quán)利義務(wù)。結(jié)合實際，重點強化對人臉、指紋等生物特征信息保護，對濫用壟斷優(yōu)勢等強行收集和共享信息數(shù)據(jù)行為做出嚴格的禁止性規(guī)定，對于消費者的數(shù)據(jù)刪除權(quán)等給予充分保障。二是對現(xiàn)有涉及個人信息保護的規(guī)章制度進行細化，明確覆蓋個人支付信息收集、存儲、傳輸、銷毀全生命周期的管理策略和配套保障措施，增強其可操作性。三是完善侵權(quán)責(zé)任追究制度和賠償機制，采取舉證責(zé)任倒置方式，強化民事賠償責(zé)任，暢通救濟渠道，為消費者獲得合理賠償提供保障。四是建立科學(xué)的違規(guī)懲戒制度體系，將懲戒措施與違規(guī)規(guī)模、違規(guī)收益相掛鉤，保障制度威懾力，防止出現(xiàn)“大而不能管”的情況。

（二）優(yōu)化個人信息數(shù)據(jù)的監(jiān)管資源配置

一是平衡好個人支付信息數(shù)據(jù)共享與保護的“蹺蹺板”，在保證數(shù)據(jù)安全的前提下，允許適度的數(shù)據(jù)共享，鼓勵支付服務(wù)提供商將支付信息數(shù)據(jù)這一核心資產(chǎn)管好、用好，促進數(shù)據(jù)資產(chǎn)流動和增值，借助金融科技力量實現(xiàn)支付業(yè)務(wù)創(chuàng)新、產(chǎn)品創(chuàng)新和服務(wù)創(chuàng)新。二是創(chuàng)新監(jiān)管手段。探索建立基于大數(shù)據(jù)、人工智能、區(qū)塊鏈等技術(shù)的個人支付信息采集和使用監(jiān)管系統(tǒng)，精準(zhǔn)描繪每個監(jiān)管對象的“機構(gòu)畫像”，全面提升非現(xiàn)場監(jiān)測能力;運用監(jiān)管沙箱方式管控創(chuàng)新業(yè)務(wù)風(fēng)險，探索持續(xù)性監(jiān)管措施。三是實施分類監(jiān)管和重點監(jiān)管。根據(jù)不同支付服務(wù)提供商的規(guī)模、個人信息使用情況等，分層次確定監(jiān)管重點，強化分類監(jiān)管和重點監(jiān)管。四是加強各監(jiān)管部門溝通合作，建議構(gòu)建由中國人民銀行牽頭，銀保監(jiān)、商務(wù)、工信、網(wǎng)信、公安、市場監(jiān)管等多個相關(guān)部門協(xié)同配合的多層次個人支付信息數(shù)據(jù)安全監(jiān)督管理體系，明確各部門職責(zé)分工，不斷深化監(jiān)管信息共享，暢通線索移交處置渠道，形成監(jiān)管合力。

（三）制定個人信息數(shù)據(jù)保護的行業(yè)自律規(guī)范

注重發(fā)揮行業(yè)自律組織柔性監(jiān)管作用，將個人支付信息數(shù)據(jù)保護納入支付行業(yè)自律范圍。一是針對支付信息數(shù)據(jù)保護，建立專項行業(yè)自律規(guī)范和相關(guān)評價指標(biāo)體系，定期開展自律管理評價;完善行業(yè)內(nèi)部互相監(jiān)督和外部舉報獎勵機制，將用戶支付數(shù)據(jù)保護納入舉報獎勵范圍。二是鼓勵行業(yè)自律組織立足于支付行業(yè)發(fā)展，凝聚行業(yè)力量，研究支付信息數(shù)據(jù)保護機制，推動形成行業(yè)標(biāo)準(zhǔn)化。三是強化培訓(xùn)，引導(dǎo)支付服務(wù)提供商以及下游市場主體增強支付信息數(shù)據(jù)保護意識。

（四）強化個人支付信息數(shù)據(jù)治理

從制度建設(shè)、業(yè)務(wù)實施、技術(shù)保障等方面，提高支付服務(wù)提供商對個人支付信息數(shù)據(jù)管理的精細化水平。一是健全個人支付信息數(shù)據(jù)治理體系，建立全局數(shù)據(jù)模型和科學(xué)合理的數(shù)據(jù)架構(gòu)，實現(xiàn)對支付數(shù)據(jù)的全面梳理和有效管控;綜合國家安全、公眾權(quán)益、個人隱私和企業(yè)合法利益等因素做好數(shù)據(jù)分級管理，實現(xiàn)支付數(shù)據(jù)精細化管理;規(guī)范數(shù)據(jù)共享流程，確保數(shù)據(jù)使用方在依法合規(guī)、保障安全前提下，根據(jù)業(yè)務(wù)需要申請使用數(shù)據(jù)。二是加強安全管控，遵循“用戶授權(quán)、最小夠用、全程防護”原則，充分評估潛在風(fēng)險，把好安全關(guān)口，加強數(shù)據(jù)全生命周期安全管理，嚴防用戶數(shù)據(jù)的泄露、篡改和濫用;嚴格履行信息披露和告知義務(wù)，主動對專業(yè)性強或關(guān)系消費者切身利益的條款、事項進行充分解釋說明;加大信息安全技術(shù)投入，充分運用網(wǎng)絡(luò)安全和信息技術(shù)安全等手段，完善支付信息安全保障措施，及時堵塞平臺系統(tǒng)漏洞，提升系統(tǒng)安全防護能力，嚴控個人金融信息泄露風(fēng)險。三是強化數(shù)據(jù)應(yīng)用技術(shù)，在算力、算法、存儲、網(wǎng)絡(luò)等方面加強技術(shù)支撐，利用云計算、深度學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)等方法切實增強數(shù)據(jù)應(yīng)用能力。

（五）增強社會公眾個人信息數(shù)據(jù)保護的意識

數(shù)據(jù)的所有權(quán)屬于消費者，應(yīng)當(dāng)是消費者決定支付數(shù)據(jù)的使用范圍和使用領(lǐng)域。一是監(jiān)管部門、行業(yè)協(xié)會、支付服務(wù)提供商應(yīng)該加強支付信息數(shù)據(jù)保護的宣傳教育，普及數(shù)據(jù)權(quán)利意識，幫助廣大消費者形成良好的支付數(shù)據(jù)保護習(xí)慣、發(fā)生泄漏時應(yīng)當(dāng)及時運用法律手段維護自身利益。二是支付服務(wù)提供商在采集個人支付信息數(shù)據(jù)時，應(yīng)以顯著方式提示客戶數(shù)據(jù)采集和應(yīng)用的范圍，以及客戶刪除數(shù)據(jù)的途徑。三是消費者自身應(yīng)當(dāng)增強數(shù)據(jù)權(quán)利意識，重視個人支付信息數(shù)據(jù)的使用范圍，注冊用戶時應(yīng)當(dāng)仔細閱讀隱私條款，使用服務(wù)完畢時及時注銷用戶，防止自身信息泄露。

參考文獻：

[1]盛婧婧.支付結(jié)算領(lǐng)域的個人信息安全保護 [J].時代金融，2018，（14）.

[2]陳麗.移動支付領(lǐng)域中的個人金融信息保護研究[J].商業(yè)經(jīng)濟，2019，（1）.

[3]楊淵.大數(shù)據(jù)背景下個人隱私保護和信息應(yīng)用研究 [J].征信，2014，32（8）.

[4]馬永保.第三方支付行業(yè)消費者個人信息權(quán)保護探討 [J].甘肅金融，2014，（4）.

[5]謝迎春.發(fā)達國家第三方支付信息安全監(jiān)管的主要做法及啟示 [J].財經(jīng)界（學(xué)術(shù)版），2017，（22）.

[6]姬蕾蕾.個人信息保護立法路徑比較研究 [J].圖書館建設(shè)，2017，（9）.

[7]陳麗莉.基于威脅樹的第三方支付信息安全風(fēng)險評估 [J].信息安全與技術(shù)，2013，4（8）.

[8]李二亮.第三方支付系統(tǒng)威脅樹信息安全評估研究 [J].計算機應(yīng)用研究，2014，31（4）.

[9]李松濤，危懷安.第三方支付信息安全監(jiān)管的多元化調(diào)查分析 [J].統(tǒng)計與決策，2018，34（4）.

[10]賈楠.中國互聯(lián)網(wǎng)金融風(fēng)險度量、監(jiān)管博弈與監(jiān)管效率研究 [C].吉林大學(xué)，2017.

[11]危懷安，李松濤.第三方支付信息安全監(jiān)管影響因素及決策分析 [J].統(tǒng)計與決策，2018，（8）.