楊 光,宋 婧

(1.山西大學(xué) 圖書館,山西 太原 030006;2.山西大學(xué) 經(jīng)濟(jì)與管理學(xué)院,山西 太原 030006)

1 背景及相關(guān)概念

互聯(lián)網(wǎng)的出現(xiàn)更新了金融機(jī)構(gòu)的交易支付方式,金融機(jī)構(gòu)利用網(wǎng)絡(luò)技術(shù)擺脫了地理空間的阻礙,實(shí)現(xiàn)了沒(méi)有地域限制的線上交易。近年來(lái),隨著淘寶和蘇寧易購(gòu)等電商平臺(tái)的崛起,人們可以通過(guò)線上商店購(gòu)買相對(duì)滿意的商品,這極大地促進(jìn)了金融業(yè)的線上發(fā)展。線上金融在與人方便的同時(shí),安全隱患也隨之而來(lái)。

1.1 相關(guān)定義

1.1.1 個(gè)人數(shù)據(jù)

目前,對(duì)于個(gè)人數(shù)據(jù)并沒(méi)有統(tǒng)一的定義,多數(shù)是引用相關(guān)法律法規(guī)中的定義。雖然表述不同,但學(xué)者們普遍認(rèn)為個(gè)人數(shù)據(jù)相比其他數(shù)據(jù)最大的區(qū)別是可以通過(guò)個(gè)人數(shù)據(jù)精準(zhǔn)定位到某個(gè)人,從而將其從人群中識(shí)別出來(lái)[1]。因此,綜合國(guó)內(nèi)外研究可以將個(gè)人數(shù)據(jù)定義為:可以識(shí)別出數(shù)據(jù)主體本人的數(shù)據(jù)。這種“識(shí)別說(shuō)”也符合多國(guó)對(duì)個(gè)人數(shù)據(jù)的界定思路[2]。

1.1.2 金融數(shù)據(jù)

金融數(shù)據(jù)指在各項(xiàng)金融活動(dòng)中產(chǎn)生的數(shù)據(jù),它除了擁有一般數(shù)據(jù)的特點(diǎn)之外,還具有真實(shí)性、可靠性、廣泛性和綜合性的特點(diǎn)。將其按照業(yè)務(wù)活動(dòng)可分為銀行業(yè)務(wù)數(shù)據(jù)、證券業(yè)務(wù)數(shù)據(jù)、保險(xiǎn)業(yè)務(wù)數(shù)據(jù)和信托咨詢等業(yè)務(wù)數(shù)據(jù)。從數(shù)據(jù)的來(lái)源和內(nèi)容上則可將其劃分為來(lái)自市場(chǎng)的數(shù)據(jù)和來(lái)自全社會(huì)的數(shù)據(jù)[3]。

1.1.3 金融交易

金融交易是在機(jī)構(gòu)單位中金融資產(chǎn)所有權(quán)變化的所有交易。金融交易的本質(zhì)就是資金流的交換[4]。

1.2 金融交易中的個(gè)人數(shù)據(jù)安全隱患

由于個(gè)人金融數(shù)據(jù)涉及個(gè)人財(cái)務(wù)情況,如果處理不當(dāng),將會(huì)給個(gè)人隱私和數(shù)據(jù)安全造成不堪設(shè)想的后果。個(gè)人金融數(shù)據(jù)涉及的數(shù)據(jù)主體、金融機(jī)構(gòu)和整個(gè)交易環(huán)節(jié)都處于具有安全隱患的環(huán)境中。

1.2.1 數(shù)據(jù)主體的安全意識(shí)淡薄

數(shù)據(jù)主體對(duì)于個(gè)人數(shù)據(jù)的安全防范意識(shí)不強(qiáng),導(dǎo)致金融機(jī)構(gòu)超出其使用目的地收集相關(guān)個(gè)人數(shù)據(jù),還令竊取個(gè)人數(shù)據(jù)的不法分子有機(jī)可趁,例如:數(shù)據(jù)主體在網(wǎng)絡(luò)活動(dòng)中無(wú)意留下的姓名、職業(yè)、手機(jī)聯(lián)系方式等一系列個(gè)人數(shù)據(jù)都會(huì)埋下被盜取、篡改的安全隱患;在使用各類APP時(shí),用戶只有同意APP獲取用戶的位置、相冊(cè)、通訊錄等數(shù)據(jù)才可以繼續(xù)使用。多數(shù)用戶在使用應(yīng)用軟件時(shí),對(duì)APP訪問(wèn)個(gè)人數(shù)據(jù)并不在意,同樣為個(gè)人數(shù)據(jù)泄露造成風(fēng)險(xiǎn)。只有數(shù)據(jù)主體重視對(duì)其數(shù)據(jù)的保護(hù),才能守好保護(hù)個(gè)人數(shù)據(jù)安全的第一道防線。

1.2.2 金融機(jī)構(gòu)缺乏嚴(yán)格管理和有效的保護(hù)技術(shù)

我國(guó)銀行、保險(xiǎn)、證券等金融行業(yè)遵守各自的行業(yè)規(guī)范,缺乏統(tǒng)一的管理規(guī)范[5],需完善針對(duì)個(gè)人金融數(shù)據(jù)的監(jiān)管機(jī)制與法律制度建設(shè)。更值得關(guān)注的是金融機(jī)構(gòu)為了營(yíng)銷和市場(chǎng)競(jìng)爭(zhēng)而超出其數(shù)據(jù)使用目的的過(guò)度數(shù)據(jù)收集,造成數(shù)據(jù)主體的隱私泄露。例如:一些手機(jī)銀行軟件會(huì)獲取用戶的定位和語(yǔ)音權(quán)限以監(jiān)聽(tīng)用戶。其次,由于金融機(jī)構(gòu)內(nèi)部管理不嚴(yán)格,個(gè)別金融機(jī)構(gòu)的工作人員,以工作之便為一己私利在未經(jīng)客戶授權(quán)或未告知客戶情況下,將用戶的個(gè)人數(shù)據(jù)非法售賣給第三方,造成數(shù)據(jù)泄露。生活中可以見(jiàn)到這樣的情況:當(dāng)消費(fèi)者購(gòu)買汽車后,隨之而來(lái)的是一系列汽車保險(xiǎn)公司的推銷電話和廣告信息。最后,由于整個(gè)金融業(yè)的數(shù)據(jù)安全保護(hù)技術(shù)不高,黑客等不法分子能夠輕易竊取用戶賬號(hào)密碼,篡改用戶交易數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)詐騙[6]。

1.2.3 網(wǎng)絡(luò)攻擊

個(gè)人數(shù)據(jù)在傳播過(guò)程中也存在風(fēng)險(xiǎn)。由于數(shù)據(jù)傳輸主要通過(guò)HTTP等協(xié)議來(lái)實(shí)現(xiàn),不法分子會(huì)利用這些協(xié)議編碼共同存在的不可避免的安全漏洞破壞和篡改數(shù)據(jù)或者利用各種欺詐手段,截獲或盜取金融交易中的數(shù)據(jù)造成用戶財(cái)產(chǎn)損失[7]。此外,網(wǎng)絡(luò)購(gòu)物盛行,使得個(gè)人的購(gòu)買偏好、財(cái)務(wù)情況和信用狀況都會(huì)在互聯(lián)網(wǎng)環(huán)境中留下印記,可能被未知的第三方所獲取,對(duì)用戶的個(gè)人數(shù)據(jù)和財(cái)產(chǎn)安全構(gòu)成威脅。

總體看來(lái),網(wǎng)絡(luò)詐騙行為與傳統(tǒng)的詐騙相比,具有技術(shù)水平高、匿名性強(qiáng)和防御難度高的特點(diǎn)[8]。

2 各國(guó)對(duì)于個(gè)人金融數(shù)據(jù)的保護(hù)現(xiàn)狀及其必要性

2.1 各國(guó)對(duì)于個(gè)人金融數(shù)據(jù)的保護(hù)現(xiàn)狀

在美國(guó),有兩部針對(duì)金融領(lǐng)域的專門法:《公平信用報(bào)告法》(1970年版,下文采用相同版本)和《金融服務(wù)現(xiàn)代化法》(1999年版,下文采用相同版本)?！豆叫庞脠?bào)告法》旨在規(guī)范信用機(jī)構(gòu)在收集和獲取個(gè)人信用數(shù)據(jù)并生成信用報(bào)告時(shí),遵循公平、準(zhǔn)確并保護(hù)個(gè)人隱私的原則。為防止消費(fèi)者因不真實(shí)的信用報(bào)告而遭受損失,該報(bào)告規(guī)定了報(bào)告使用人的義務(wù)、報(bào)告使用條件與范圍以及信用報(bào)告機(jī)構(gòu)的權(quán)利義務(wù)?！督鹑诜?wù)現(xiàn)代化法》的立法理念除了在于加強(qiáng)金融業(yè)良性競(jìng)爭(zhēng)外,也強(qiáng)調(diào)保護(hù)個(gè)人非公開(kāi)信息的重要性[5]。我國(guó)和日本規(guī)范金融機(jī)構(gòu)收集、處理和運(yùn)用個(gè)人數(shù)據(jù)的法律可以分別參見(jiàn)我國(guó)的《網(wǎng)絡(luò)安全法》(2017年版,下文采用相同版本)和《信息安全技術(shù)個(gè)人信息安全規(guī)范》(2017年版,下文采用相同版本),以及日本的《個(gè)人信息保護(hù)法案》(2017年版,下文采用相同版本)。日本《個(gè)人信息保護(hù)法案》是目前日本政府針對(duì)個(gè)人信息處理的主要法案[9]。

此外,歐盟于2018年5月25日為保護(hù)個(gè)人數(shù)據(jù)出臺(tái)的《通用數(shù)據(jù)保護(hù)條例》(即《GDPR》)更加詳盡,可操作性更強(qiáng)。

2.2 金融個(gè)人數(shù)據(jù)保護(hù)的必要性

數(shù)據(jù)可以產(chǎn)生巨大商業(yè)價(jià)值,它和金融業(yè)的融合產(chǎn)生了新型的線上金融服務(wù)形式。由于金融個(gè)人數(shù)據(jù)具有財(cái)產(chǎn)屬性,電子銀行和移動(dòng)支付等在線虛擬交易更容易造成數(shù)據(jù)篡改、交易信息泄露和網(wǎng)絡(luò)支付安全等問(wèn)題[10]。金融交易中,金融消費(fèi)者相比金融機(jī)構(gòu)而言對(duì)日益復(fù)雜的金融產(chǎn)品所掌握的信息不夠全面而處于弱勢(shì)地位,其個(gè)人數(shù)據(jù)更易受到泄露、濫用的威脅[11]。最后,由于金融業(yè)與網(wǎng)絡(luò)的融合使得消費(fèi)者的個(gè)人數(shù)據(jù)在互聯(lián)網(wǎng)上更容易被不法分子盜取,嚴(yán)重危及金融消費(fèi)者的財(cái)產(chǎn)安全?；ヂ?lián)網(wǎng)時(shí)代,金融消費(fèi)者的個(gè)人數(shù)據(jù)正面臨著前所未有的威脅。我國(guó)現(xiàn)行的數(shù)據(jù)保護(hù)法律法規(guī)還不完善,給一些數(shù)據(jù)控制者和處理者以可乘之機(jī)[12]。因此必須采取立法等措施保護(hù)金融消費(fèi)者的數(shù)據(jù)安全。

3 各國(guó)金融數(shù)據(jù)相關(guān)法律對(duì)個(gè)人數(shù)據(jù)保護(hù)的對(duì)比分析

數(shù)據(jù)利用以獲取為前提,做為數(shù)據(jù)主體是否知曉自己的數(shù)據(jù)被收集,而數(shù)據(jù)的收集者是否要在經(jīng)過(guò)數(shù)據(jù)主體同意情況下才能利用其數(shù)據(jù);當(dāng)數(shù)據(jù)委托給第三方時(shí),委托者和被委托者的工作也不同;專業(yè)的數(shù)據(jù)保護(hù)人員應(yīng)該具備哪些基本素養(yǎng),等等,都是需要探討和分析的問(wèn)題。本章將從個(gè)人數(shù)據(jù)的獲取方、數(shù)據(jù)委托的情況、數(shù)據(jù)保護(hù)專業(yè)人員、數(shù)據(jù)控制者和數(shù)據(jù)監(jiān)管等角度進(jìn)行對(duì)比分析。

3.1 適用范圍

不同法律適用的范圍不同。如前所述,《公平信用報(bào)告法》和《金融服務(wù)現(xiàn)代化法》是規(guī)范金融行業(yè)的專門法?！峨[私權(quán)法》和《個(gè)人信息保護(hù)法》則重在規(guī)范政府行政部門行為。歐盟的《GDPR》則是規(guī)范整個(gè)歐盟成員國(guó)的個(gè)人數(shù)據(jù)安全的法律。本節(jié)將從法律規(guī)范所涉及的不同范圍進(jìn)行比較。

3.1.1 行業(yè)適用范圍

《公平信用報(bào)告法》主要針對(duì)信用報(bào)告機(jī)構(gòu)進(jìn)行行為規(guī)范,還適用于對(duì)出售、借貸和租賃歷史記錄的銀行、信用合作社和代理機(jī)構(gòu)進(jìn)行行為規(guī)范,以及對(duì)任何基于信用報(bào)告信息進(jìn)行招聘的企業(yè)進(jìn)行行為規(guī)范。主要體現(xiàn)了信用信息公開(kāi)、負(fù)面信息修復(fù)和個(gè)人隱私權(quán)的保護(hù)的思想。目的是維護(hù)消費(fèi)者權(quán)益和金融市場(chǎng)公平競(jìng)爭(zhēng),為征信行業(yè)的規(guī)范操作提供法律依據(jù)?！督鹑诜?wù)現(xiàn)代化法》涉及了銀行、證券和保險(xiǎn)三大金融行業(yè),并對(duì)其具體的運(yùn)作流程做了具有可行性的規(guī)定和指導(dǎo)。旨在促進(jìn)銀行、證券和保險(xiǎn)等行業(yè)之間聯(lián)合經(jīng)營(yíng),加強(qiáng)金融機(jī)構(gòu)的競(jìng)爭(zhēng)力[13]。其中,第五章明確規(guī)定了一種強(qiáng)制性和持續(xù)性的義務(wù):金融機(jī)構(gòu)必須謹(jǐn)慎處理個(gè)人非公開(kāi)信息,尊重顧客的隱私權(quán)。

3.1.2 政府適用范圍

《隱私權(quán)法》是美國(guó)用以規(guī)范行政部門、軍事部門等聯(lián)邦政府機(jī)構(gòu)收集、使用和公開(kāi)個(gè)人數(shù)據(jù)的法律,還對(duì)個(gè)人數(shù)據(jù)的保密問(wèn)題做了詳細(xì)規(guī)定。

日本的《個(gè)人信息保護(hù)法》總體包含六章,前三章于2003年頒布實(shí)施,規(guī)定了國(guó)家及地方公共團(tuán)體的義務(wù)等,屬于基本法部分。2015年,日本《個(gè)人信息保護(hù)法》修正案增加了第五章“個(gè)人信息保護(hù)委員會(huì)”,新增章節(jié)規(guī)定了個(gè)人信息保護(hù)委員會(huì)的設(shè)置、所屬、任務(wù)、管轄事務(wù)、委員身份保障或任期、義務(wù)等事項(xiàng)。此外,在適用中并沒(méi)有包含媒體、宗教團(tuán)體、政治團(tuán)體和研究教育機(jī)構(gòu)等,但也要求其制定自律性規(guī)定[14]。

我國(guó)《網(wǎng)絡(luò)安全法》第八條規(guī)定:我國(guó)的網(wǎng)絡(luò)安全工作及其相關(guān)監(jiān)督管理是由國(guó)家網(wǎng)信部門負(fù)責(zé)的?？h級(jí)以上人民政府有關(guān)部門的網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理職責(zé),按照國(guó)家有關(guān)規(guī)定確定。

3.1.3 地域適用范圍

首先,經(jīng)合組織和歐盟的成員國(guó),都分別適用《關(guān)于隱私保護(hù)與個(gè)人資料跨國(guó)流通的指針的建議》(以下簡(jiǎn)稱《建議》)和《GDPR》這兩部法律規(guī)范。并且經(jīng)合組織的《建議》適用于規(guī)范公共領(lǐng)域和私人領(lǐng)域的個(gè)人數(shù)據(jù)保護(hù)行為[15]。

其次,歐盟的《GDPR》的適用范圍廣泛。在歐盟內(nèi)設(shè)立的控制者或處理者在處理個(gè)人數(shù)據(jù)時(shí),無(wú)論其處理行為是否發(fā)生在歐盟境內(nèi)都適用《GDPR》。即使處理者或控制者沒(méi)有設(shè)立在歐盟境內(nèi),但其處理的數(shù)據(jù)主體在歐盟境內(nèi),也適用《GDPR》[16]?？傊?與數(shù)據(jù)處理相關(guān)的數(shù)據(jù)主體、控制者或處理者只要有一類歸屬歐盟境內(nèi)都適用《GDPR》。

我國(guó)《網(wǎng)絡(luò)安全法》和日本的《個(gè)人信息保護(hù)法》都適用于各自國(guó)家境內(nèi),沒(méi)有強(qiáng)調(diào)與境外銜接的部分。

3.1.4 公共適用范圍

日本的《個(gè)人信息保護(hù)法》后三章于2005年實(shí)施,是對(duì)企業(yè)法人等民間部門中的個(gè)人信息獲得者的義務(wù)的規(guī)定,屬于一般法部分[14]。我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》指明:對(duì)個(gè)人信息和個(gè)人數(shù)據(jù)處理活動(dòng)的監(jiān)督、管理和評(píng)估不僅適用于各類組織,也適用于各監(jiān)督部門和第三方評(píng)估機(jī)構(gòu)。

對(duì)各國(guó)法律是否涉及以上范圍總結(jié)如表1所示。

表1 各國(guó)金融數(shù)據(jù)相關(guān)法律適用范圍

3.2 個(gè)人數(shù)據(jù)獲取及知悉情況

3.2.1 個(gè)人數(shù)據(jù)獲取

絕大部分個(gè)人數(shù)據(jù)保護(hù)相關(guān)法律在個(gè)人數(shù)據(jù)收集和使用環(huán)節(jié)中都賦予數(shù)據(jù)主體“同意權(quán)”。各國(guó)的法律法規(guī)各有特色。日本于2017年施行了新版的《個(gè)人信息保護(hù)法》,采用了“選擇進(jìn)入”(opt-in)和“選擇退出”(opt-out)兩個(gè)規(guī)則[17]?！斑x擇進(jìn)入”指數(shù)據(jù)的持有者需要取得數(shù)據(jù)主體同意后才能向第三方傳輸個(gè)人數(shù)據(jù),并且數(shù)據(jù)主體有權(quán)拒絕?！斑x擇退出”則相反,持有數(shù)據(jù)者默認(rèn)數(shù)據(jù)主體同意其獲得數(shù)據(jù),不需要征得數(shù)據(jù)主體同意便可以向第三方傳輸個(gè)人數(shù)據(jù),但數(shù)據(jù)主體有權(quán)要求停止這一操作。在本文提到的其他法律法規(guī)中,多數(shù)遵循“選擇退出”的原則?！禛DPR》的“同意權(quán)”不同于其他法律中“不反對(duì)即為同意”的條款規(guī)定,這里的“同意”是指數(shù)據(jù)主體自愿做出的具體、清晰、明確地對(duì)其相關(guān)的個(gè)人數(shù)據(jù)處理的意思表示。同樣,我國(guó)《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者收集用戶數(shù)據(jù)時(shí)應(yīng)當(dāng)向用戶明示并取得同意。日本《個(gè)人信息保護(hù)法》只規(guī)定“需注意的個(gè)人數(shù)據(jù)”必須事先取得用戶同意,對(duì)于一般的個(gè)人數(shù)據(jù)則限制濫用,本質(zhì)上屬于默認(rèn)同意的范疇。

對(duì)于個(gè)人數(shù)據(jù)的收集,各國(guó)安全規(guī)范都要求遵循目的明確和數(shù)據(jù)最小化原則,即:收集前要有明確的目的,且收集的個(gè)人數(shù)據(jù)范圍不能超出初始使用目的或不能利用個(gè)人數(shù)據(jù)獲得其他利益。此外,還要將利用目的及其收集的數(shù)據(jù)類型和內(nèi)容告知數(shù)據(jù)主體,并采取適當(dāng)合理的措施保護(hù)其收集到的個(gè)人數(shù)據(jù)。

美國(guó)《公平信用報(bào)告法》規(guī)定:除了數(shù)據(jù)主體和列入可許可訪問(wèn)名單上的機(jī)構(gòu)外,其他人沒(méi)有法律授權(quán)不可獲得數(shù)據(jù)主體的信用報(bào)告。報(bào)告使用者要證明自己的身份以及所采取的合理合法程序來(lái)確保數(shù)據(jù)的收集和使用目的合法。若使用者無(wú)法提供上述證明,征信機(jī)構(gòu)有權(quán)拒絕向使用者提供數(shù)據(jù)。信用報(bào)告影響著一個(gè)人信用業(yè)務(wù)的辦理,征信機(jī)構(gòu)僅僅收集制作信用報(bào)告并不協(xié)助報(bào)告使用者對(duì)消費(fèi)者信用業(yè)務(wù)做出決定[18]?！豆叫庞脠?bào)告法》規(guī)定報(bào)告中若含有不利于消費(fèi)者行為的信息時(shí),報(bào)告使用者應(yīng)將做出的不利行為告知消費(fèi)者,并告知提供該報(bào)告的機(jī)構(gòu)名稱、地址和電話。同時(shí)告知消費(fèi)者這一不利行為并不是報(bào)告機(jī)構(gòu)做出的,消費(fèi)者有權(quán)提出異議。該法律既要維護(hù)征信行業(yè)公平有序,又要尊重?cái)?shù)據(jù)主體的數(shù)據(jù)安全。相比之下,數(shù)據(jù)安全的重視度較低,因?yàn)樵摲蓻](méi)有對(duì)敏感數(shù)據(jù)進(jìn)行界定,也沒(méi)有設(shè)置禁止收集和使用敏感數(shù)據(jù)的相關(guān)條款。但對(duì)于信用報(bào)告的使用者的義務(wù)做了詳細(xì)的規(guī)定。

不同于其他安全規(guī)范,我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》對(duì)“收集頻率”做出規(guī)定:為了實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能,所收集的必需的個(gè)人數(shù)據(jù)的頻率應(yīng)是最低頻率。此外,當(dāng)個(gè)人數(shù)據(jù)控制者目的達(dá)成后,應(yīng)根據(jù)約定刪除個(gè)人數(shù)據(jù)。

當(dāng)數(shù)據(jù)的獲取不是直接來(lái)自數(shù)據(jù)主體時(shí),我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》規(guī)定間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)其使用目的所必需的最少數(shù)量,并且對(duì)被授權(quán)訪問(wèn)個(gè)人信息的內(nèi)部數(shù)據(jù)操作人員,應(yīng)按照最小授權(quán)的原則。被授權(quán)訪問(wèn)的數(shù)據(jù)操作人員所訪問(wèn)到的數(shù)據(jù)范圍僅限于完成其職責(zé)所必需的最小范圍。類似地,《GDPR》第4條規(guī)定:當(dāng)控制者從第三方獲得數(shù)據(jù)主體的個(gè)人數(shù)據(jù)時(shí),應(yīng)當(dāng)向數(shù)據(jù)主體說(shuō)明獲得其數(shù)據(jù)的具體類型與內(nèi)容。第9條和第10條又進(jìn)一步對(duì)特殊種類個(gè)人數(shù)據(jù)的處理和有關(guān)刑事定罪的罪犯的個(gè)人數(shù)據(jù)如何處理做了規(guī)定[19]。《公平信用報(bào)告法》提到報(bào)告的使用者是基于從征信機(jī)構(gòu)以外的第三方得到的信用報(bào)告之外的(信用地位和一般聲譽(yù)等)信息而否定了數(shù)據(jù)主體信用業(yè)務(wù)申請(qǐng)決定時(shí),應(yīng)清晰準(zhǔn)確地告知當(dāng)事人該信息的性質(zhì)[20]?！督鹑诜?wù)現(xiàn)代化法》也對(duì)第三方的轉(zhuǎn)送做了規(guī)定,一個(gè)公司向非分支機(jī)構(gòu)第三方傳送數(shù)據(jù)后,第三方不得將該數(shù)據(jù)轉(zhuǎn)給他人[21]。這一規(guī)定有效地遏制了數(shù)據(jù)的轉(zhuǎn)移,使按照規(guī)定不直接獲取數(shù)據(jù)的公司也不能通過(guò)第三方間接獲取。該法律的缺陷在于,僅僅監(jiān)管向第三方的數(shù)據(jù)轉(zhuǎn)送,并沒(méi)有規(guī)制關(guān)聯(lián)機(jī)構(gòu)之間數(shù)據(jù)的轉(zhuǎn)送行為。

對(duì)于兒童數(shù)據(jù)的收集,《GDPR》和我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》分別對(duì)未滿16周歲和未滿14周歲的兒童數(shù)據(jù)的獲取同意做了類似規(guī)定,即:都要征得其父母或監(jiān)護(hù)人的明示同意才能獲取。

3.2.2 知悉情況

雖然各國(guó)法律規(guī)范都規(guī)定數(shù)據(jù)主體有權(quán)知道自己數(shù)據(jù)的被利用情況,例如:具體的數(shù)據(jù)類型、被利用的目的和范圍等,但是美國(guó)對(duì)于這種知悉情況做了更詳細(xì)的規(guī)定。

美國(guó)的三部法律都詳細(xì)規(guī)定數(shù)據(jù)主體有權(quán)得到其數(shù)據(jù)記錄的復(fù)制品。其中《公平信用報(bào)告法》和《金融服務(wù)現(xiàn)代化法》都對(duì)時(shí)間范圍的知悉情況做了詳細(xì)規(guī)定?！豆叫庞脠?bào)告法》第604節(jié)指出,數(shù)據(jù)主體有權(quán)憑借身份證明免費(fèi)獲得其信用報(bào)告的副本,并對(duì)報(bào)告內(nèi)的錯(cuò)誤數(shù)據(jù)提出異議。消費(fèi)者還有權(quán)知道其信用報(bào)告在上一年度被哪些機(jī)構(gòu)申請(qǐng)或申請(qǐng)了哪些數(shù)據(jù)等申請(qǐng)情況。

因?yàn)橥ㄖx務(wù)不同,《金融服務(wù)現(xiàn)代化法》還對(duì)客戶和消費(fèi)者作了區(qū)分[22]。要求金融機(jī)構(gòu)在披露消費(fèi)者的個(gè)人非公開(kāi)數(shù)據(jù)前,要向個(gè)人發(fā)出“選擇退出”和隱私政策等初始通知。一旦消費(fèi)者經(jīng)過(guò)交易成為客戶后,金融機(jī)構(gòu)必須每年提供其隱私政策的年度書面通知。初始通知的時(shí)間比較有彈性,凡在金融機(jī)構(gòu)建立客戶關(guān)系后的合理時(shí)間段內(nèi)皆可,并且同一客戶持續(xù)取得金融服務(wù)時(shí),除非隱私政策有變,否則不用重復(fù)通知。而年度通知?jiǎng)t規(guī)定金融機(jī)構(gòu)在客戶關(guān)系存續(xù)期間,每年都要告知客戶隱私政策及其執(zhí)行情況。對(duì)于告知的內(nèi)容,必須是可以合理理解和足以引起客戶注意的信息。

《隱私權(quán)法》第四部分除了指出數(shù)據(jù)主體有權(quán)向行政機(jī)關(guān)得到其數(shù)據(jù)記錄的復(fù)制品,還規(guī)定政府在收集數(shù)據(jù)和建立數(shù)據(jù)庫(kù)時(shí)要發(fā)布公告。關(guān)于個(gè)人數(shù)據(jù)獲取整里如表2所示。

表2 個(gè)人數(shù)據(jù)獲取

3.3 數(shù)據(jù)委托

數(shù)據(jù)委托是指?jìng)€(gè)人數(shù)據(jù)獲得者把個(gè)人數(shù)據(jù)的全部或部分委托給委托方。當(dāng)數(shù)據(jù)被委托處理時(shí),我國(guó)、日本和歐盟都做了詳細(xì)規(guī)定。我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》規(guī)定:委托處理個(gè)人信息時(shí),個(gè)人信息控制者不得超出信息主體授權(quán)同意使用的范圍,為保證受委托者具有足夠的能力處理和保護(hù)數(shù)據(jù),要對(duì)委托行為進(jìn)行評(píng)估。當(dāng)然,受委托者也要嚴(yán)格按照個(gè)人信息控制者的要求處理個(gè)人信息。

日本《個(gè)人信息保護(hù)法》第22條規(guī)定:當(dāng)個(gè)人信息獲得者實(shí)行委托行為時(shí),要安全管理委托出去的個(gè)人信息并對(duì)委托方進(jìn)行監(jiān)督。當(dāng)個(gè)人信息獲得者是從其他的信息獲得者那繼承實(shí)業(yè)而獲得個(gè)人信息時(shí),在事先沒(méi)有取得本人同意情況下,超過(guò)了在繼承前達(dá)成取得該個(gè)人信息必要范圍的,不能取得該個(gè)人信息[14]。

《GDPR》第27條規(guī)定:當(dāng)數(shù)據(jù)處理者沒(méi)有設(shè)立在歐盟境內(nèi),處理者應(yīng)當(dāng)以書面形式在歐盟內(nèi)指定其代理人。并且代理人應(yīng)被控制者、監(jiān)管機(jī)構(gòu)和數(shù)據(jù)主體授權(quán)來(lái)處理所有相關(guān)問(wèn)題。

各國(guó)法律的數(shù)據(jù)委托情況如表3所示。

表3 數(shù)據(jù)委托

3.4 數(shù)據(jù)保護(hù)人員的設(shè)立

在不同國(guó)家的安全規(guī)范中對(duì)數(shù)據(jù)保護(hù)人員的稱呼不同,但就其職責(zé)來(lái)說(shuō),都是為了保護(hù)個(gè)人數(shù)據(jù)隱私,且有著舉足輕重的地位。

《GDPR》對(duì)數(shù)據(jù)保護(hù)官(DPO)做了規(guī)定,在第37條、第38條和第39條中不僅規(guī)定了需要指派數(shù)據(jù)保護(hù)人員的情況還指明數(shù)據(jù)保護(hù)人員的地位和任務(wù)。并根據(jù)DPO是否屬于數(shù)據(jù)控制者的員工將其分為內(nèi)部DPO和外部DPO[23]。內(nèi)部DPO是數(shù)據(jù)控制者的員工,對(duì)數(shù)據(jù)控制者內(nèi)部的基本操作比較熟悉,但數(shù)據(jù)保護(hù)的知識(shí)和經(jīng)驗(yàn)不足。外部DPO專業(yè)性強(qiáng),基于合同向數(shù)據(jù)控制者履行職責(zé)。GDPR第37條規(guī)定,DPO不僅要掌握《GDPR》,還要掌握其他與數(shù)據(jù)保護(hù)相關(guān)的歐盟法規(guī)和成員國(guó)法律。此外,DPO作為數(shù)據(jù)控制者與數(shù)據(jù)主體、數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的溝通媒介也要具備強(qiáng)大的語(yǔ)言表達(dá)能力和人際交往能力[24]。

日本于2015年頒布實(shí)施《個(gè)人信息保護(hù)法》修正案,增加了第五章《個(gè)人信息保護(hù)委員會(huì)》。增加的第五章規(guī)定了個(gè)人信息保護(hù)委員會(huì)的設(shè)置、所屬、任務(wù)、管轄事務(wù)、委員身份保障或任期、義務(wù)等內(nèi)容。2016年,日本設(shè)立了個(gè)人信息保護(hù)委員會(huì),該委員會(huì)是為確保個(gè)人信息有用性、妥善處理個(gè)人信息而設(shè)立的具有高度獨(dú)立性的機(jī)關(guān),并且該委員會(huì)直屬日本內(nèi)閣總理大臣管轄,獨(dú)立行使職權(quán),地位相當(dāng)高[8]。

我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》指出:對(duì)個(gè)人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任的保護(hù)人員的職責(zé)包括為個(gè)人信息安全工作提供人力、財(cái)力和物力保障等。應(yīng)任命個(gè)人信息保護(hù)的專門負(fù)責(zé)人和個(gè)人信息保護(hù)的專門工作機(jī)構(gòu)。同樣也對(duì)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人的情況做了描述。類似地,《網(wǎng)絡(luò)安全法》中的安全管理負(fù)責(zé)人也有類似職能。該法指出關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人,并確保管理負(fù)責(zé)人的背景審查達(dá)到標(biāo)準(zhǔn);定期對(duì)從業(yè)人員進(jìn)行相關(guān)技術(shù)培訓(xùn)和技能考核;對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行備份;為抵御突發(fā)網(wǎng)絡(luò)安全事件制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。美國(guó)的兩部法律具有較強(qiáng)針對(duì)性,對(duì)數(shù)據(jù)保護(hù)人員的規(guī)定并未在這兩部法律中提及,所以本文不用以與其他國(guó)法律對(duì)比。

關(guān)于數(shù)據(jù)保護(hù)人員的設(shè)立,總結(jié)如表4所示。

表4 數(shù)據(jù)保護(hù)官

3.5 數(shù)據(jù)控制者的基本義務(wù)

數(shù)據(jù)控制者確定個(gè)人數(shù)據(jù)處理的方式和目的,包括收集什么數(shù)據(jù)、誰(shuí)可以收集、以及數(shù)據(jù)保存時(shí)間等[25]。采取適當(dāng)合理的措施保護(hù)個(gè)人數(shù)據(jù)是各數(shù)據(jù)控制者的基本義務(wù),但在細(xì)節(jié)上略有不同。美國(guó)的征信機(jī)構(gòu)負(fù)責(zé)控制信用報(bào)告管理,防止被濫用。《公平信用報(bào)告法》規(guī)定:所有征信機(jī)構(gòu)在為用戶制作信用報(bào)告前,要盡力證實(shí)自身身份及說(shuō)明數(shù)據(jù)使用目的,并將使用人的名稱、使用時(shí)間和使用目的等信息記錄在報(bào)告中[20]?！峨[私權(quán)法》要求行政機(jī)關(guān)必須在《聯(lián)邦登記》上公布其建立或修改的個(gè)人數(shù)據(jù)系統(tǒng)的名稱和存放地點(diǎn),以及收集了哪些數(shù)據(jù)主體的信息、數(shù)據(jù)主體的哪類信息和使用目的等。行政機(jī)關(guān)所保有的個(gè)人數(shù)據(jù)只限于完成其必要的職責(zé)所需的范圍。并且,所保有個(gè)人數(shù)據(jù)應(yīng)該是實(shí)時(shí)、準(zhǔn)確和完整的。日本《個(gè)人信息保護(hù)法》第21條規(guī)定:個(gè)人數(shù)據(jù)獲得者在允許相關(guān)從業(yè)者獲取個(gè)人數(shù)據(jù)時(shí),為了實(shí)現(xiàn)對(duì)該個(gè)人數(shù)據(jù)的安全管理,應(yīng)該對(duì)該從業(yè)者進(jìn)行合適且必要的監(jiān)督[14]。

我國(guó)的《網(wǎng)絡(luò)安全法》除了要求網(wǎng)絡(luò)運(yùn)營(yíng)者采取安全措施外,第21條(三)中還規(guī)定了以下義務(wù):采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月。第25條規(guī)定:網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)。第34條的規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還要設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人。定期對(duì)負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行技術(shù)培訓(xùn)和技術(shù)考核。

我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》要求個(gè)人數(shù)據(jù)控制者制訂隱私政策,并要求將隱私政策一一投遞給個(gè)人信息主體。

《GDPR》中強(qiáng)調(diào)數(shù)據(jù)控制者同時(shí)決定數(shù)據(jù)處理目的和方式。數(shù)據(jù)控制者不需要決定數(shù)據(jù)處理活動(dòng)的每一個(gè)環(huán)節(jié)[22]。如果數(shù)據(jù)控制者不在歐盟境內(nèi),而數(shù)據(jù)主體在歐盟境內(nèi),該數(shù)據(jù)控制者應(yīng)以書面形式在歐盟境內(nèi)指定代理人來(lái)處理境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)。數(shù)據(jù)控制者還要指定數(shù)據(jù)保護(hù)官,公開(kāi)其聯(lián)系方式并確保數(shù)據(jù)保護(hù)官可以及時(shí)充分地參與數(shù)據(jù)保護(hù)事務(wù)。

《GDPR》和我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》都提到了不止一個(gè)控制者的情況。在《GDPR》中稱之為聯(lián)合控制者,《信息安全技術(shù)個(gè)人信息安全規(guī)范》稱為共同信息控制者。兩部法律都規(guī)定,當(dāng)出現(xiàn)不止一個(gè)控制者時(shí),要明確區(qū)分出各自的責(zé)任和義務(wù)。信息安全技術(shù)個(gè)人信息安全規(guī)范》還規(guī)定要將這種具體分工告知信息主體。

總結(jié)來(lái)說(shuō),關(guān)于數(shù)據(jù)控制者的基本義務(wù)如表5所示。

表5 數(shù)據(jù)控制者的基本義務(wù)

3.6 數(shù)據(jù)監(jiān)管

《GDPR》規(guī)定了歐盟內(nèi)各成員國(guó)要至少設(shè)立一個(gè)獨(dú)立的用以監(jiān)控本法案施行的機(jī)構(gòu)。如果有成員國(guó)設(shè)立多個(gè)機(jī)構(gòu)的情況,需指定其中一個(gè)監(jiān)督機(jī)構(gòu)人員作為代表參加理事會(huì)[25]。同時(shí),被委任的機(jī)構(gòu)人員要具備所需的經(jīng)驗(yàn)和技能等職業(yè)資格,并對(duì)自己的工作絕對(duì)保密。各監(jiān)督機(jī)構(gòu)按規(guī)定執(zhí)行任務(wù)時(shí),應(yīng)完全獨(dú)立行動(dòng)且不受任何外來(lái)影響和指示。美國(guó)的《公平信用報(bào)告法》本就是對(duì)征信業(yè)務(wù)的監(jiān)管,包括信用信息公開(kāi)、負(fù)面信息修復(fù)與個(gè)人隱私報(bào)告的合理生成與管理。所監(jiān)管的對(duì)象是消費(fèi)者信用報(bào)告機(jī)構(gòu)和報(bào)告使用者[18]?！督鹑诜?wù)現(xiàn)代化法》則對(duì)監(jiān)管部門提出要求:要制定技術(shù)和物理上的保護(hù)措施以消除可能存在的風(fēng)險(xiǎn),防止任何人未經(jīng)授權(quán)而竊取客戶的金融數(shù)據(jù)而導(dǎo)致客戶受到損害。各監(jiān)管機(jī)構(gòu)還須制定相應(yīng)的行政規(guī)章使得本法案能夠具體落實(shí)。

為了順利實(shí)施《個(gè)人信息保護(hù)法案》,日本在監(jiān)督機(jī)制上設(shè)有主務(wù)大臣一職。主務(wù)大臣是由內(nèi)閣總理大臣從國(guó)家公安委員會(huì)中選定的。主務(wù)大臣有權(quán)要求經(jīng)營(yíng)者在允許的范圍內(nèi)向其報(bào)告?zhèn)€人數(shù)據(jù)的使用情況并給予必要的建議。如果經(jīng)營(yíng)者違反本法案,主務(wù)大臣可給予經(jīng)營(yíng)者改正、中止該違法行為并采取相應(yīng)措施的勸告。如果數(shù)據(jù)主體的權(quán)益受到迫害,主務(wù)大臣可命令該經(jīng)營(yíng)者采取解決措施。主務(wù)大臣還可以要求相關(guān)法人處理經(jīng)營(yíng)者依法提出的投訴,為其提供便利以確保其恰當(dāng)利用個(gè)人數(shù)據(jù)。目前中國(guó)沒(méi)有另外設(shè)立專門的監(jiān)督機(jī)構(gòu)。其中,《網(wǎng)絡(luò)安全法》規(guī)定:國(guó)家網(wǎng)絡(luò)部門應(yīng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查,定期組織網(wǎng)絡(luò)安全應(yīng)急演練。網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品須滿足國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證或安全檢測(cè),符合要求方可提供服務(wù)。

是否對(duì)數(shù)據(jù)監(jiān)管做出規(guī)范的總結(jié)如表6所示。

4 不足與建議

4.1 不足

相比美國(guó),我國(guó)目前尚未制定完整的金融個(gè)人數(shù)據(jù)保護(hù)的專門法。雖然我國(guó)《網(wǎng)絡(luò)安全法》對(duì)信息安全和個(gè)人信息保護(hù)表現(xiàn)出極高的關(guān)注,《信息安全技術(shù)個(gè)人信息安全規(guī)范》也對(duì)數(shù)據(jù)控制者行為做了規(guī)范,《刑法修正案(九)》對(duì)侵犯?jìng)€(gè)人信息犯罪做了懲戒規(guī)定。但其適用范圍相對(duì)狹窄,對(duì)于金融領(lǐng)域來(lái)說(shuō)不能完全適用,缺乏可操作性[26]。此外,關(guān)于個(gè)人數(shù)據(jù)保護(hù)的法律法規(guī)也比較分散,沒(méi)有形成完整的體系。

表6 數(shù)據(jù)監(jiān)管

數(shù)據(jù)主體也缺乏數(shù)據(jù)保護(hù)意識(shí)。在我國(guó),很多數(shù)據(jù)主體在沒(méi)有造成一定程度的損失時(shí),不太在意數(shù)據(jù)泄露情況。例如支付寶的“年度賬單”活動(dòng)吸引了廣大用戶參與?！澳甓荣~單”的生成需要訪問(wèn)個(gè)人消費(fèi)數(shù)據(jù),當(dāng)用戶不假思索地點(diǎn)擊“同意”時(shí)就賦予了支付寶APP訪問(wèn)個(gè)人金融數(shù)據(jù)的權(quán)限?？梢?jiàn),我國(guó)公民在互聯(lián)網(wǎng)上留下的足跡積少成多就有可能泄露個(gè)人隱私,給自己帶來(lái)危害。

4.2 建議

4.2.1 立法的加強(qiáng)及監(jiān)管機(jī)構(gòu)的設(shè)立

金融個(gè)人數(shù)據(jù)的保護(hù)除了要有針對(duì)性地加強(qiáng)立法外,還應(yīng)該強(qiáng)調(diào)金融機(jī)構(gòu)、金融監(jiān)管機(jī)構(gòu)和技術(shù)服務(wù)機(jī)構(gòu)保護(hù)金融消費(fèi)者個(gè)人數(shù)據(jù)的義務(wù)。

首先,金融機(jī)構(gòu)要嚴(yán)格規(guī)范和管理金融消費(fèi)者個(gè)人數(shù)據(jù)的收集、處理和使用行為。同時(shí)加強(qiáng)對(duì)金融機(jī)構(gòu)內(nèi)部工作人員的管理,明確不同部門不同及級(jí)別的職責(zé)和任務(wù),并對(duì)工作人員進(jìn)行專業(yè)培訓(xùn)以提高員工的責(zé)任意識(shí)和保密意識(shí)。

其次,金融監(jiān)管機(jī)構(gòu)應(yīng)為金融消費(fèi)者創(chuàng)造一個(gè)安全的金融交易環(huán)境,定期對(duì)金融機(jī)構(gòu)進(jìn)行檢查,加強(qiáng)對(duì)金融機(jī)構(gòu)的監(jiān)督管理。此外,相關(guān)的技術(shù)服務(wù)機(jī)構(gòu)也有保護(hù)金融消費(fèi)者個(gè)人數(shù)據(jù)的義務(wù)。監(jiān)管機(jī)構(gòu)也應(yīng)對(duì)技術(shù)服務(wù)機(jī)構(gòu)進(jìn)行監(jiān)管,令技術(shù)服務(wù)機(jī)構(gòu)制定明確的技術(shù)水平標(biāo)準(zhǔn),簽訂技術(shù)服務(wù)保密協(xié)議,防止技術(shù)操作過(guò)程中對(duì)金融個(gè)人數(shù)據(jù)的安全造成威脅[27]。

4.2.2 提高金融消費(fèi)者自我保護(hù)意識(shí)

作為數(shù)據(jù)主體的金融消費(fèi)者在金融交易中是基礎(chǔ)而重要的環(huán)節(jié)。盡管互聯(lián)網(wǎng)的發(fā)展給人們的生活帶來(lái)了便利,但在互聯(lián)網(wǎng)上的一個(gè)無(wú)意的行為就可能造成個(gè)人數(shù)據(jù)泄露的情況。因此,在信息時(shí)代下,提高公民自我保護(hù)意識(shí)是最基本的保護(hù)措施。同時(shí),公民的個(gè)人數(shù)據(jù)保護(hù)意識(shí)也應(yīng)隨著瞬息萬(wàn)變的信息時(shí)代而不斷變化。