孫華榮
摘? ?要:隨著移動支付等非現(xiàn)金支付方式日益普及,支付交易與生產(chǎn)生活場景深度融合,支付數(shù)字化、信息化、移動化趨勢日趨明顯,支付服務(wù)提供商采集的支付信息數(shù)據(jù)呈指數(shù)級增長,已經(jīng)成為支付服務(wù)提供商的重要資產(chǎn)。但同時,個人支付信息數(shù)據(jù)保護問題日益突出,法律法規(guī)對個人支付信息數(shù)據(jù)保護力度不足、支付服務(wù)提供商獲取信息沖動強烈且對信息數(shù)據(jù)風(fēng)險管理不力、公眾信息保護意識不強,給不法分子非法獲取和利用信息帶來可乘之機。結(jié)合我國支付市場實際,應(yīng)從健全支付信息數(shù)據(jù)保護的法規(guī)制度體系、優(yōu)化監(jiān)管資源配置和使用、推進行業(yè)自律規(guī)范、提高公民個人信息數(shù)據(jù)保護意識等方面提出政策建議。
關(guān)鍵詞:個人支付信息數(shù)據(jù)保護;演化博弈;支付監(jiān)管
中圖分類號:F830? 文獻標(biāo)識碼:B? 文章編號:1674-2265(2020)08-0044-04
DOI:10.19647/j.cnki.37-1462/f.2020.08.007
一、引言
支付交易中涉及大量敏感個人信息的存儲、傳輸和使用。隨著移動支付等非現(xiàn)金支付方式日益普及,支付交易與生產(chǎn)生活場景深度融合,支付數(shù)字化、信息化、移動化趨勢日趨明顯,支付服務(wù)提供商采集的支付信息數(shù)據(jù)呈指數(shù)級增長,已經(jīng)成為支付服務(wù)提供商的重要資產(chǎn)。在發(fā)揮大數(shù)據(jù)技術(shù)優(yōu)勢的同時,個人支付信息數(shù)據(jù)保護問題也日益突出,法律法規(guī)對個人支付信息數(shù)據(jù)保護力度不足、支付服務(wù)提供商獲取支付信息數(shù)據(jù)沖動強烈且對信息數(shù)據(jù)風(fēng)險管理不力、公眾個人支付信息數(shù)據(jù)保護意識不強,給不法分子非法獲取和利用個人支付信息數(shù)據(jù)帶來可乘之機。在這一背景下,本文立足于個人支付信息保護現(xiàn)實問題,研究在支付數(shù)據(jù)資產(chǎn)化的利益驅(qū)動下,如何防范支付信息數(shù)據(jù)泄露和濫用、提升數(shù)據(jù)保護水平、規(guī)范數(shù)據(jù)保護規(guī)則,旨在為平衡大數(shù)據(jù)應(yīng)用與信息保護的關(guān)系、推動支付數(shù)據(jù)的安全有效運用、促進支付行業(yè)創(chuàng)新發(fā)展提供政策參考。
二、文獻綜述
(一)個人支付信息數(shù)據(jù)的界定
盛婧婧(2018)[1]采用歸納法,認為個人支付信息數(shù)據(jù)是指在支付結(jié)算過程中,涉及能夠識別個人信息的資料,且這些數(shù)據(jù)資料通常與個人利益相關(guān),表現(xiàn)為可交換、可存儲的數(shù)據(jù)資料。陳麗(2019)[2]采用列舉法,認為用戶在支付過程中提供的基本信息屬于個人支付信息數(shù)據(jù),如姓名、身份證號、住址、聯(lián)系電話、銀行卡號等信息。參考已有研究,本文將個人支付信息數(shù)據(jù)的概念定義如下:個人支付信息包括所有基于支付活動產(chǎn)生的信息,主要涉及兩個方面:個人信息和支付交易信息。個人支付信息主要包括發(fā)起支付業(yè)務(wù)的數(shù)據(jù),如銀行卡密碼、信用卡到期日、安全碼等傳統(tǒng)信息和面部特征、指紋、聲音等生物信息,還有身份證號、銀行賬戶、支付賬戶、手機號碼、通信地址等身份核驗信息。交易信息,包括交易金額、交易時間、交易地點、交易渠道、交易頻率、購買商品或服務(wù)類別等。
(二)個人支付信息數(shù)據(jù)利用的立法研究
楊淵(2014)[3]認為我國應(yīng)該加快完善個人信息保護立法。馬永保(2014)[4]認為應(yīng)該正確定位消費者與第三方支付企業(yè)在消費者個人信息處分上的權(quán)限,限制第三方支付平臺信息收集的范圍,完善民事責(zé)任機制。謝迎春(2017)[5]認為,應(yīng)當(dāng)綜合借鑒美國和韓國的支付機構(gòu)信息保護立法內(nèi)容,結(jié)合中國實際,將支付機構(gòu)信息保護的立法定義為綜合性信息保護法規(guī),或?qū)⑵渥鳛橐徽录{入《個人信息保護法》。姬蕾蕾(2017)[6]認為我國個人信息保護立法應(yīng)該立足于具體場景風(fēng)險管理,個人信息保護監(jiān)管機構(gòu)應(yīng)獨立于政府,采取差異化救濟賠償模式。
(三)個人支付信息數(shù)據(jù)利用的實證分析
學(xué)者們主要采取兩種模型對個人支付信息數(shù)據(jù)保護進行實證分析。第一,使用統(tǒng)計相關(guān)模型發(fā)現(xiàn)支付業(yè)務(wù)風(fēng)險點并制定相應(yīng)的措施。陳麗莉(2013)[7]、李二亮(2014)[8]等學(xué)者利用威脅樹風(fēng)險評估模型尋找支付系統(tǒng)的威脅路徑和風(fēng)險點,為支付服務(wù)提供商系統(tǒng)安全的改進和用戶選擇提供參考。李松濤等(2018)[9]基于德爾菲法,設(shè)計了針對支付機構(gòu)和監(jiān)管機構(gòu)以及個人的調(diào)查問卷,并對調(diào)查結(jié)果使用結(jié)構(gòu)方程模型進行了多元化數(shù)據(jù)分析,給出了支付市場信息安全監(jiān)管的原則、目標(biāo)、對策及建議。第二,博弈論模型主要用來分析對個人支付信息數(shù)據(jù)保護的監(jiān)管力度和監(jiān)管方法。賈楠(2017)[10]利用博弈論分析了個人支付信息數(shù)據(jù)保護制度的形成原因、現(xiàn)狀和未來發(fā)展,得出了全面監(jiān)管的結(jié)論。危懷安等(2018)[11]基于我國第三方網(wǎng)上支付信息安全監(jiān)管涉及的第三方支付機構(gòu)、行業(yè)主管部門等影響因素及決策分析角度,使用靜態(tài)博弈方法討論了監(jiān)管部門對第三方支付機構(gòu)監(jiān)管的必要性和對策,為制定和完善信息安全監(jiān)管及措施提供了理論支持。
本文基于上述研究,對我國支付數(shù)據(jù)信息保護存在的問題進行分析,對如何構(gòu)建有效的個人支付信息數(shù)據(jù)保護制度框架進行探討。
三、我國個人支付信息數(shù)據(jù)利用存在的問題
(一)個人支付信息數(shù)據(jù)保護法律體系不完善
一是法律法規(guī)層級不高。當(dāng)前我國《個人信息保護法》尚未出臺,有關(guān)個人支付信息數(shù)據(jù)保護的規(guī)定和要求散落在多個法律、行政法規(guī)、部門規(guī)章、規(guī)范性文件和行業(yè)自律規(guī)定中,針對個人金融信息,特別是個人支付信息保護的法律法規(guī),系統(tǒng)性不足,適用性復(fù)雜。二是法律法規(guī)內(nèi)容較為籠統(tǒng),可操作性不強。大部分相關(guān)法律法規(guī)僅作出了原則性規(guī)定,未具體明確覆蓋個人支付信息收集、傳輸、銷毀全生命周期的策略,以及對訪問控制等配套保障措施的硬性要求。如《網(wǎng)絡(luò)安全法》第四十一條規(guī)定,“網(wǎng)絡(luò)運營者收集、使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開使用、收集原則”;《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》規(guī)定,“銀行業(yè)金融機構(gòu)應(yīng)當(dāng)采取有效措施加強對個人金融信息保護,確保信息安全,防止信息泄露和濫用”;《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》第二十條規(guī)定,“支付機構(gòu)應(yīng)當(dāng)以‘最小化原則采集、使用、存儲和傳輸客戶信息,并告知客戶相關(guān)信息的使用目的和范圍”。三是責(zé)任追究機制亟待完善。侵犯個人支付信息數(shù)據(jù)安全的責(zé)任主要體現(xiàn)在刑事和行政責(zé)任方面,民事立法等相關(guān)法規(guī)中涉及違法違規(guī)企業(yè)與個人的處罰條款較少。
(二)個人支付信息數(shù)據(jù)治理面臨困難
經(jīng)濟社會各領(lǐng)域中數(shù)字技術(shù)的不斷發(fā)展,更好地治理海量的個人支付信息是支付行業(yè)未來發(fā)展的重點。目前個人支付信息數(shù)據(jù)治理面臨困難,主要表現(xiàn)在:一是存在信息孤島,多數(shù)機構(gòu)不愿共享,將數(shù)據(jù)作為戰(zhàn)略性資源,且個人支付數(shù)據(jù)具有一定敏感性,涉及用戶個人隱私,共享可能存在法律風(fēng)險,客觀上給機構(gòu)間共享數(shù)據(jù)帶來障礙;此外各機構(gòu)數(shù)據(jù)接口不統(tǒng)一,數(shù)據(jù)難以互聯(lián)互通,嚴重阻礙數(shù)據(jù)開放共享。二是數(shù)據(jù)質(zhì)量不高,由于缺乏統(tǒng)一的數(shù)據(jù)治理體系,支付機構(gòu)在數(shù)據(jù)采集、存儲、處理等環(huán)節(jié)可能存在不科學(xué)、不規(guī)范等問題,無法確保數(shù)據(jù)的完整性和準(zhǔn)確性;支付業(yè)務(wù)條線繁雜、業(yè)務(wù)種類多樣,數(shù)據(jù)采集標(biāo)準(zhǔn)不一、統(tǒng)計口徑各異,數(shù)據(jù)一致性難以保障。三是融合應(yīng)用困難,部分金融機構(gòu)利用海量支付數(shù)據(jù)建模分析解決實際問題的能力有待提高,支付數(shù)據(jù)資源沒有得到充分利用。
(三)支付服務(wù)提供商個人支付信息管理不規(guī)范問題較為突出
隨著支付數(shù)據(jù)資產(chǎn)化趨勢的不斷深化,支付服務(wù)提供商最大限度采集、利用消費者信息的驅(qū)動力不斷增強,但信息保護力度較弱。從近年來人民銀行對支付服務(wù)領(lǐng)域金融消費權(quán)益保護監(jiān)督檢查情況看,支付消費者信息安全管理不規(guī)范的問題比較突出。主要表現(xiàn)在:一是過度收集或不當(dāng)收集消費者個人信息。支付服務(wù)提供商收集消費者個人支付信息未遵循最少、必需原則,收集信息范圍過大,存在以概括授權(quán)的方式索取與支付產(chǎn)品和服務(wù)無關(guān)的消費者個人信息使用授權(quán)的情形,甚至存在未經(jīng)授權(quán)收集其個人支付信息或采用技術(shù)手段不當(dāng)獲取個人支付信息授權(quán)的情形。二是個人支付信息保管不規(guī)范。如支付服務(wù)提供商對支付信息無訪問控制策略,未明確員工或外包服務(wù)商對個人支付信息的保密責(zé)任,通過外包協(xié)議約定轉(zhuǎn)移信息保護風(fēng)險責(zé)任等。三是個人支付信息的使用管理不規(guī)范。如智能POS機能夠直接顯示持卡人的敏感信息,交易處理過程中敏感信息未加密傳輸,以金融集團模式開展經(jīng)營的機構(gòu),與集團旗下其他公司共享、使用個人金融信息超出合理范圍等。
(四)消費者個人支付信息保護意識不強
一是對個人支付信息安全權(quán)利的整體重視程度不足,比如在注冊支付賬戶時不會仔細閱讀隱私條款,在啟用App時不關(guān)注隱私權(quán)限的獲取等,不僅使得用戶端對支付服務(wù)提供商采集、利用個人支付信息的必要監(jiān)督缺失,也為不法分子泄露、濫用個人支付信息提供了可乘之機。二是主動維權(quán)意愿不強。當(dāng)個人支付信息被泄露或出售給不法分子時,若未造成經(jīng)濟損失,當(dāng)事人往往受制于投訴、訴訟等維權(quán)手段環(huán)節(jié)多、追溯難、舉證難、耗時久等原因主動放棄維權(quán)。
(五)監(jiān)管合作機制有待建立和完善
當(dāng)前支付業(yè)務(wù)與電商、社交、信貸等業(yè)務(wù)高度融合,支付信息數(shù)據(jù)的采集應(yīng)用已經(jīng)不僅僅局限于支付服務(wù)提供商,還涉及電商平臺、社交平臺等各類市場主體,因此支付信息數(shù)據(jù)監(jiān)管涉及中國人民銀行、銀保監(jiān)、商務(wù)、工信、網(wǎng)信、公安、市場監(jiān)管等多個專業(yè)主管部門。但現(xiàn)階段對個人支付信息數(shù)據(jù)采集應(yīng)用的監(jiān)管職責(zé)劃分尚不明確,可能導(dǎo)致監(jiān)管重疊或監(jiān)管空白;從監(jiān)管模式看,監(jiān)管部門間信息共享和監(jiān)管協(xié)作不夠,也在一定程度上弱化了監(jiān)管效果。
四、政策建議
(一)完善個人信息數(shù)據(jù)的立法保護體系
一是加快推動個人支付信息保護專門立法,出臺配套法規(guī),細化隱私條款設(shè)置,明確信息采集主體、采集方式,理清各當(dāng)事人的法律關(guān)系和權(quán)利義務(wù)。結(jié)合實際,重點強化對人臉、指紋等生物特征信息保護,對濫用壟斷優(yōu)勢等強行收集和共享信息數(shù)據(jù)行為做出嚴格的禁止性規(guī)定,對于消費者的數(shù)據(jù)刪除權(quán)等給予充分保障。二是對現(xiàn)有涉及個人信息保護的規(guī)章制度進行細化,明確覆蓋個人支付信息收集、存儲、傳輸、銷毀全生命周期的管理策略和配套保障措施,增強其可操作性。三是完善侵權(quán)責(zé)任追究制度和賠償機制,采取舉證責(zé)任倒置方式,強化民事賠償責(zé)任,暢通救濟渠道,為消費者獲得合理賠償提供保障。四是建立科學(xué)的違規(guī)懲戒制度體系,將懲戒措施與違規(guī)規(guī)模、違規(guī)收益相掛鉤,保障制度威懾力,防止出現(xiàn)“大而不能管”的情況。
(二)優(yōu)化個人信息數(shù)據(jù)的監(jiān)管資源配置
一是平衡好個人支付信息數(shù)據(jù)共享與保護的“蹺蹺板”,在保證數(shù)據(jù)安全的前提下,允許適度的數(shù)據(jù)共享,鼓勵支付服務(wù)提供商將支付信息數(shù)據(jù)這一核心資產(chǎn)管好、用好,促進數(shù)據(jù)資產(chǎn)流動和增值,借助金融科技力量實現(xiàn)支付業(yè)務(wù)創(chuàng)新、產(chǎn)品創(chuàng)新和服務(wù)創(chuàng)新。二是創(chuàng)新監(jiān)管手段。探索建立基于大數(shù)據(jù)、人工智能、區(qū)塊鏈等技術(shù)的個人支付信息采集和使用監(jiān)管系統(tǒng),精準(zhǔn)描繪每個監(jiān)管對象的“機構(gòu)畫像”,全面提升非現(xiàn)場監(jiān)測能力;運用監(jiān)管沙箱方式管控創(chuàng)新業(yè)務(wù)風(fēng)險,探索持續(xù)性監(jiān)管措施。三是實施分類監(jiān)管和重點監(jiān)管。根據(jù)不同支付服務(wù)提供商的規(guī)模、個人信息使用情況等,分層次確定監(jiān)管重點,強化分類監(jiān)管和重點監(jiān)管。四是加強各監(jiān)管部門溝通合作,建議構(gòu)建由中國人民銀行牽頭,銀保監(jiān)、商務(wù)、工信、網(wǎng)信、公安、市場監(jiān)管等多個相關(guān)部門協(xié)同配合的多層次個人支付信息數(shù)據(jù)安全監(jiān)督管理體系,明確各部門職責(zé)分工,不斷深化監(jiān)管信息共享,暢通線索移交處置渠道,形成監(jiān)管合力。
(三)制定個人信息數(shù)據(jù)保護的行業(yè)自律規(guī)范
注重發(fā)揮行業(yè)自律組織柔性監(jiān)管作用,將個人支付信息數(shù)據(jù)保護納入支付行業(yè)自律范圍。一是針對支付信息數(shù)據(jù)保護,建立專項行業(yè)自律規(guī)范和相關(guān)評價指標(biāo)體系,定期開展自律管理評價;完善行業(yè)內(nèi)部互相監(jiān)督和外部舉報獎勵機制,將用戶支付數(shù)據(jù)保護納入舉報獎勵范圍。二是鼓勵行業(yè)自律組織立足于支付行業(yè)發(fā)展,凝聚行業(yè)力量,研究支付信息數(shù)據(jù)保護機制,推動形成行業(yè)標(biāo)準(zhǔn)化。三是強化培訓(xùn),引導(dǎo)支付服務(wù)提供商以及下游市場主體增強支付信息數(shù)據(jù)保護意識。
(四)強化個人支付信息數(shù)據(jù)治理
從制度建設(shè)、業(yè)務(wù)實施、技術(shù)保障等方面,提高支付服務(wù)提供商對個人支付信息數(shù)據(jù)管理的精細化水平。一是健全個人支付信息數(shù)據(jù)治理體系,建立全局數(shù)據(jù)模型和科學(xué)合理的數(shù)據(jù)架構(gòu),實現(xiàn)對支付數(shù)據(jù)的全面梳理和有效管控;綜合國家安全、公眾權(quán)益、個人隱私和企業(yè)合法利益等因素做好數(shù)據(jù)分級管理,實現(xiàn)支付數(shù)據(jù)精細化管理;規(guī)范數(shù)據(jù)共享流程,確保數(shù)據(jù)使用方在依法合規(guī)、保障安全前提下,根據(jù)業(yè)務(wù)需要申請使用數(shù)據(jù)。二是加強安全管控,遵循“用戶授權(quán)、最小夠用、全程防護”原則,充分評估潛在風(fēng)險,把好安全關(guān)口,加強數(shù)據(jù)全生命周期安全管理,嚴防用戶數(shù)據(jù)的泄露、篡改和濫用;嚴格履行信息披露和告知義務(wù),主動對專業(yè)性強或關(guān)系消費者切身利益的條款、事項進行充分解釋說明;加大信息安全技術(shù)投入,充分運用網(wǎng)絡(luò)安全和信息技術(shù)安全等手段,完善支付信息安全保障措施,及時堵塞平臺系統(tǒng)漏洞,提升系統(tǒng)安全防護能力,嚴控個人金融信息泄露風(fēng)險。三是強化數(shù)據(jù)應(yīng)用技術(shù),在算力、算法、存儲、網(wǎng)絡(luò)等方面加強技術(shù)支撐,利用云計算、深度學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)等方法切實增強數(shù)據(jù)應(yīng)用能力。
(五)增強社會公眾個人信息數(shù)據(jù)保護的意識
數(shù)據(jù)的所有權(quán)屬于消費者,應(yīng)當(dāng)是消費者決定支付數(shù)據(jù)的使用范圍和使用領(lǐng)域。一是監(jiān)管部門、行業(yè)協(xié)會、支付服務(wù)提供商應(yīng)該加強支付信息數(shù)據(jù)保護的宣傳教育,普及數(shù)據(jù)權(quán)利意識,幫助廣大消費者形成良好的支付數(shù)據(jù)保護習(xí)慣、發(fā)生泄漏時應(yīng)當(dāng)及時運用法律手段維護自身利益。二是支付服務(wù)提供商在采集個人支付信息數(shù)據(jù)時,應(yīng)以顯著方式提示客戶數(shù)據(jù)采集和應(yīng)用的范圍,以及客戶刪除數(shù)據(jù)的途徑。三是消費者自身應(yīng)當(dāng)增強數(shù)據(jù)權(quán)利意識,重視個人支付信息數(shù)據(jù)的使用范圍,注冊用戶時應(yīng)當(dāng)仔細閱讀隱私條款,使用服務(wù)完畢時及時注銷用戶,防止自身信息泄露。
參考文獻:
[1]盛婧婧.支付結(jié)算領(lǐng)域的個人信息安全保護 [J].時代金融,2018,(14).
[2]陳麗.移動支付領(lǐng)域中的個人金融信息保護研究[J].商業(yè)經(jīng)濟,2019,(1).
[3]楊淵.大數(shù)據(jù)背景下個人隱私保護和信息應(yīng)用研究 [J].征信,2014,32(8).
[4]馬永保.第三方支付行業(yè)消費者個人信息權(quán)保護探討 [J].甘肅金融,2014,(4).
[5]謝迎春.發(fā)達國家第三方支付信息安全監(jiān)管的主要做法及啟示 [J].財經(jīng)界(學(xué)術(shù)版),2017,(22).
[6]姬蕾蕾.個人信息保護立法路徑比較研究 [J].圖書館建設(shè),2017,(9).
[7]陳麗莉.基于威脅樹的第三方支付信息安全風(fēng)險評估 [J].信息安全與技術(shù),2013,4(8).
[8]李二亮.第三方支付系統(tǒng)威脅樹信息安全評估研究 [J].計算機應(yīng)用研究,2014,31(4).
[9]李松濤,危懷安.第三方支付信息安全監(jiān)管的多元化調(diào)查分析 [J].統(tǒng)計與決策,2018,34(4).
[10]賈楠.中國互聯(lián)網(wǎng)金融風(fēng)險度量、監(jiān)管博弈與監(jiān)管效率研究 [C].吉林大學(xué),2017.
[11]危懷安,李松濤.第三方支付信息安全監(jiān)管影響因素及決策分析 [J].統(tǒng)計與決策,2018,(8).