2015年6月,工行快捷支付被曝存在严重漏洞,多位北京地区的工行储户遭遇存款被盗事件,犯罪分子借助非法途径截获短信验证码,轻而易举盗窃存款。
2015年10月,支付宝用户的实名认证信息下多出了5个未知账户,而且用户没收到任何形式的确认或是告知信息,不论是短信、邮件,或者是登陆后的站内信息都没有。此种类型的个人数据信息泄露的事件不胜枚举。拥有巨量个人数据信息的金融行业是数据泄露的重灾区。
2016年9月23日,雅虎至少5亿用户账户信息被黑客盗取除了电邮、出生日期等常规信息外,密保问题的答案,乃至一些个人专门开设的、毫无规律可循的二次加密密码也被盗取。
2016年4月,土耳其爆发重大数据泄露事件,直接导致近5000万土耳其公民的个人信息遭到威胁,其中包括姓名、身份证号、父母名字、住址等敏感信息。这些数据之后被黑客打包放在芬兰某IP地址下,人们可通过P2P任意下载他们感兴趣的数据。
D 建议:健全法规 加强监管
健全完善的隐私权保护法律体系
隐私权作为一项民事权利,对其保护的基本方法有两种,即预防和救济。预防来自于立法保护,救济来自于司法保护。
从立法保护来看,除了散见于《宪法》《刑法》等法律规定中的原则性规定外,2017年6月1日起施行的《网络安全法》是我国网络领域的基础性法律,明确了加强对个人信息保护。《网络安全法》规定,网络运营者应当建立健全用户信息保护制度;应遵循公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;不得泄露、窜改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;不得非法出售或者非法向他人提供个人信息。
《网络安全法》的实施是个人信息安全保护的一个巨大进步,但是,从保护隐私权的角度来看还是不够的。对于隐私权的界定、隐私权的使用和处置、隐私权的救济方式等内容,还应当制定专门的法律如《隐私权保护法》等进行规定。对个人隐私权的保护,应当形成以《宪法》《网络安全法》《隐私权保护法》为基础,以《刑法》及其他单行法律为支撑的完整的法律保障体系。
从司法保护来看,在当前很多司法案件中,公民的合法隐私权益屡被侵犯,并被媒体或网络无限放大,但由于互联网的开放性、全球性、不完善性,以及隐私权侵权案件在侦查、起诉、取证、审判等方面存在诸多客观困难,导致隐私权通过司法救济的难度非常大。在司法保护方面,针对侵犯个人隐私案件取证难、举证难的问题,可适用过错推定原则,由数据控制者承担证明其自身不存在过错的责任。数据控制者本身在处理、使用数据时就须履行必要的注意义务,且其在取证、举证方面拥有技术与资金的支持,相较个人而言更具可执行性。
加强对金融大数据运用的监管
加强对大数据运用的监管,一方面要加强行政监管,另一方面要加强行业自律管理。
加强行政监管是指主管金融机构的行政监督管理部门,应为金融大数据的运用和客户隐私信息的保护提供行政监管保障,一方面,通过规定,明确金融机构获取客户信息的告知、采集客户信息的范围,对客户信息的保密、客户信息使用的范围,以及金融机构承担的责任等做出明确规定。另一方面,将客户隐私信息保护明确作为金融机构风险管理的重点内容。同时,监管部门应通过监管检查等多种方式对金融机构落实保护客户隐私信息进行监督。
2017年5月,中国人民银行成立金融科技(FinTech)委员会,旨在加强金融科技工作的研究规划和统筹协调。通过该举措,可以看到监管部门一方面更加强化监管科技(RegTech)的应用实践,积极利用大数据、人工智能、云计算等技术丰富金融监管手段,提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。另一方面在强化金融科技创新管理机制的同时,也充分考虑到处理安全与发展的关系。
同时,还应加强行业自律管理。行业自律管理组织可以根据监管部门的行政规定,因地制宜,因时制宜,结合行业特征,制定行业关于大数据运用及客户隐私信息保护的指引,建立《隐私权保护公约》,提供隐私权声明等文本,以充分发挥行业自律管理的作用,推动行业大数据运用的标准化,以及隐私权保护的有效性。
提高经营机构及个人的隐私权保护意识