经济观察网 记者 姜鑫 “住址是个人隐私还是敏感信息?区分隐私和个人敏感信息在个人信息保护上有什么意义?当他界定为隐私的时候,如果产业去保护肯定是强保护,但是个人信息当中的个人敏感信息是不是已经完全强保护,需要在立法过程中进一步明确。”
6月4日,中国社会科学院大学互联网法治研究中心执行主任刘晓春在由北大E法论坛主办、360金融协办的金融大数据及个人隐私保护研讨会上提出了上述疑问。
两会期间,个人信息保护法的制定、民法典进一步强化对隐私权和个人信息的保护成焦点话题。
智能营销、导航服务、智能驾驶、定位推送、个性推荐、猜测好友……互联网与用户生活紧密联系,科技服务与用户数据相连,个人数据搜集和应用更加广泛,大数据这把“双刃剑”带来了更智能便捷的科技创新,也带来用户隐私保护新命题。
那么,在用户信息保护上面临着哪些问题,信息泄露有哪些特点,金融机构又该如何防范?研讨会上对这些问题进行了讨论。
个人信息保护进入民法典新时代
《中华人民共和国民法典》将隐私权和个人信息保护提到前所未有的高度,首次将数据、网络虚拟财产纳入保护范围,从此,隐私权和个人信息保护进入民法典新时代。
研讨会上,北大法学院副院长薛军教授指出,当如今一切皆可数字化,作为重度依赖信息输入的行业,个人信息保护为金融科技行业的运行设定制度前提,要求从业者在个人信息保护的法律框架下开展活动。同时个人信息保护需要从互联网技术,科技平台的流程治理、行业生态、产业链监管,制度保障、法律共建治理体系,亟需行业生态、产业链监管和制度保障做后盾。
“5月28日刚刚颁布的《民法典》,其中《人格权编》有专门一章涉及到个人信息,已经正式生效,对于个人信息的定义也给出来了,《网络安全法》也有个人信息的定义,这对于个人信息保护模式给出了使用的基本原则。我们国家民事法官非常重视《民法典》,将来在法律适用上《民法典》中关于个人信息保护的规定是他们关注的重点和焦点,非常值得深入研究,”薛军表示,此外,这次两会期间还明确了以最快速度制定《个人信息保护法》,未来在个人信息保护问题如何做,《个人信息保护法》这个框架最关键,例如有可能针对不同的行业建立不同的监管体制,明确个人信息安全标准和企业的风控机制。
刘晓春表示,个人信息保护是数字经济的基石,民法典的颁布在我国具有划时代性的意义,为司法实践有序、有预期性和系统性地进行隐私权与个人信息保护划定了非常重要的规范基础。同时她也认为在互联网时代,技术的合理应用配以制度设计的对冲缓解,可以弥补完善法律层面对个人信息安全的保护。
四类金融信息易被泄露
“在公安部披露的十类典型侵犯个人隐私的案例中,有八类案例都是关于侵犯金融信息的案例,比如说去年6月在北京网络安全周429之后网络总队侦破的案件,在暗网侦破过程中找到犯罪嫌疑人高某,使用黑客手段,利用某网站漏洞窃取了四大行之一可个人客户信息”,中国人民公安大学警务信息工程与网络安全学院袁得嵛认为,金融信息价值密度比较高,所以说金融领域一直是个人信息泄露的重灾区。
在分享案例的同时,袁得嵛介绍称,由于网络黑产体系庞大,打击治理难度大,需要从法律法规、市场买卖、技术、企业管理等层面多方协同打击、共同整治。据统计2019年国内黑灰产从业人员高达约200万人,年产值达千亿级别。袁得嵛表示,总结起来现在数据泄露基本是两条途径:一是黑客利用金融APP的金融漏洞或者网站平台的漏洞窃取公民个人信息;二是内鬼,不仅在银行、保险等金融行业存在,在会计行业、社区、机动车登记以及入住酒店时也存在个人信息泄露情况。
袁得嵛称,在互联网+金融背景之下,尤其是人工智能、大数据、区块链、生物识别技术对金融行业助推的同时也展示了技术的两面性。“现在泄露的问题非常严重,地下黑灰产对公民信息泄露泛滥非常猖獗”,袁得嵛基本上可以分为四类:银行数据泄露,典型的是今年的池子事件;二是保险数据泄露;三是其他平台金融数据泄露,甚至是一些大的平台内部也存在内鬼;四是网贷业务及大数据风控乱象。
360金融信息安全专家吴业超表示,金融行业中个人金融信息由于其数据价值高,信息非法交易问题尤其严峻,暴露出第三方内控不严、信息系统出现安全漏洞,信息泄漏传输链条长,难追溯等问题。
个人数据安全如何做到行之有效的保护?
吴业超认为,用户信息的保护不仅需要金融科技企业等加强内控与管理,同时针对无法约束第三方机构数据管理等问题,需要行业与警方,法学界、高校、实验室全生态一同打造数据安全生态。
他以头部金融科技企业的实践分享了360金融应对信息安全挑战的经验。360金融在用户信息保护上建立了“一个中心,两个方向,三个重点” 数据治理理念。
一个中心是以数据为中心,无论是网站、系统、还是人员操作,最终都需要调取数据,常规的系统入侵、人员违规并不能必然导致核心数据遭到破坏或者窃取;两个方向即对内利用ATT&CK模型建立防御体系,严控黑客入侵和安全问题带来的数据泄露和威胁,对外以舆情信息为基础,第一时间获取互联网上的安全舆情、数据舆情,通过多部门的合作和自身安全攻防技术打击犯罪和数据风险问题。三个重点是以数据安全监控、数据生命周期的管控、数据隐私保护及管理制度为重点。
此外,除了做好自身的防护和对合作方的管控,360金融还与各地公安、司法机构合作,共同打击数据泄露相关的违法犯罪倡导通过共建、共享、共防的合作,打击非法数据泄露,保护用户数据安全,共建良好的数据保护生态圈。