明確個人信息處理規(guī)則 金科公司告別“霸王獲取”

11月1日起，《個人信息保護(hù)法》正式施行，對于消費者而言，這無疑是一大保護(hù)自身權(quán)益的法律利器，自此，過度收集個人信息、“大數(shù)據(jù)殺熟”等機(jī)構(gòu)行為將涉嫌違法;而對于數(shù)據(jù)違規(guī)重災(zāi)區(qū)的金融科技行業(yè)，無疑將面臨新的監(jiān)管挑戰(zhàn)，后續(xù)如何做好數(shù)據(jù)“攻守道”，將是每一家公司都要面臨的重要考題。

明確個人信息處理規(guī)則

從11月1日實施的《個人信息保護(hù)法》來看，其總計共8章74條，既明確了個人信息和敏感個人信息的處理規(guī)則，也完善了個人信息保護(hù)投訴、舉報工作機(jī)制，另從制度上加強(qiáng)了對侵害個人信息權(quán)益行為的預(yù)防和懲治，可謂是全方位保障消費者的信息安全。

具體來看，法律明確收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息;另對人臉信息等敏感個人信息，強(qiáng)調(diào)只有在具有特定的目的和充分的必要性并采取嚴(yán)格保護(hù)措施的情形下，方可處理生物識別、金融賬戶、行蹤軌跡等敏感個人信息。

此外在法律責(zé)任上，《個人信息保護(hù)法》強(qiáng)調(diào)，違反該法規(guī)定處理個人信息者，將由相關(guān)部門責(zé)令改正給予警告，并沒收違法所得，對違法處理個人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù)。

《個人信息保護(hù)法》的落地，可謂是恰逢其時。數(shù)字經(jīng)濟(jì)時代下，一些企業(yè)、機(jī)構(gòu)甚至個人為了謀求商業(yè)利益，隨意收集、違法獲取、過度使用甚至非法買賣個人信息，不少消費者直稱深受其害。在業(yè)內(nèi)看來，此次《個人信息保護(hù)法》的實施，不僅有助于用戶告別信息“霸王獲取”時代，也將保障隱私權(quán)、人格權(quán)等一系列法律權(quán)利，有效防止數(shù)據(jù)資源被不法分子利用造成損害。

“《個人信息保護(hù)法》將對互聯(lián)網(wǎng)平臺和數(shù)字經(jīng)濟(jì)帶來重大影響。其界定了個人信息隱私內(nèi)容涵蓋的范圍，同時也明確了個人信息的權(quán)屬權(quán)益。”中南財經(jīng)政法大學(xué)數(shù)字經(jīng)濟(jì)研究院執(zhí)行院長、教授盤和林在接受北京商報記者采訪時指出，“未來，互聯(lián)網(wǎng)平臺利用個人信息需要從用戶獲取授權(quán)，也將在使用、存儲過程中承擔(dān)更多信息保護(hù)的責(zé)任。”

盤和林進(jìn)一步稱，但總體上，《個人信息保護(hù)法》主要是為了促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展，明確數(shù)字信息使用的權(quán)利邊界，讓權(quán)屬權(quán)益更加清晰，通過清晰的界定，掃清數(shù)字經(jīng)濟(jì)前行的障礙。同時，《個人信息保護(hù)法》也推進(jìn)了數(shù)字產(chǎn)權(quán)的確定，而數(shù)字產(chǎn)權(quán)政策是推動數(shù)字經(jīng)濟(jì)發(fā)展的重要推動力。

已有違規(guī)平臺被判違法

《個人信息保護(hù)法》生效，加強(qiáng)用戶數(shù)據(jù)權(quán)保障的另一面，是一系列互聯(lián)網(wǎng)公司、金融科技平臺、支付公司、大數(shù)據(jù)公司以及銀行等金融機(jī)構(gòu)，將面臨更加嚴(yán)格和全面的監(jiān)管。

北京商報記者注意到，就在10月29日，杭州互聯(lián)網(wǎng)法院就對一大型電商平臺和支付機(jī)構(gòu)違法處理公民個人信息案作出判決。

根據(jù)披露，被告A公司是某電商平臺經(jīng)營者，被告B公司是該電商平臺內(nèi)置支付軟件的運營者，原告吳某是該電商平臺的注冊用戶。原告訴稱，該電商平臺在未經(jīng)其同意的情況下，將用戶真實身份信息傳輸給支付公司，上述行為已嚴(yán)重侵害原告?zhèn)€人信息權(quán)益等合法權(quán)益。

法院認(rèn)為，兩機(jī)構(gòu)在開發(fā)、設(shè)計產(chǎn)品之初，應(yīng)知其產(chǎn)品存在違法處理用戶個人信息的問題，為追求商業(yè)利益等，仍上線經(jīng)營，主觀過錯明顯。原告的敏感個人信息被違法處理，足以使原告在信任危機(jī)之下，產(chǎn)生相關(guān)信息可能被進(jìn)一步泄露或不法使用的風(fēng)險焦慮。

最后，法院認(rèn)定兩機(jī)構(gòu)的信息處理行為侵害原告?zhèn)€人信息權(quán)益，責(zé)令立即刪除原告?zhèn)€人信息，并以書面道歉信方式向原告賠禮道歉，并賠償原告合理維權(quán)損失2000元。

需要注意的是，類似這樣的信息處理侵權(quán)案例并不少見。北京商報記者就在多次測評中發(fā)現(xiàn)，不少助貸平臺甚至持牌金融機(jī)構(gòu)捆綁第三方一鍵獲取個人授權(quán)信息，霸王式永久保存使用用戶數(shù)據(jù);此外，在貸款過程中，用戶必須開啟通訊錄及位置權(quán)限，一鍵同意用戶注冊協(xié)議、個人信息查詢采集及使用授權(quán)書，否則便無法正常使用App;甚至還有一些互金公司，以提供貸款為由，誘導(dǎo)用戶一鍵同意授權(quán)數(shù)十份甚至幾十份個人信息授權(quán)書。

對此，一互金公司高管告訴北京商報記者，在金融業(yè)務(wù)開展過程中，機(jī)構(gòu)確實需要對申貸人的信用資質(zhì)進(jìn)行審查，其中難免會用到個人隱私信息，但需要按照最小化且必要的原則，即使是金融機(jī)構(gòu)本身，在獲取、留存以及向第三方問詢客戶數(shù)據(jù)時，也是需要非常謹(jǐn)慎的。

該人士告訴北京商報記者，需要警惕的是，目前市場上仍有部分大數(shù)據(jù)公司，既不是客戶信用數(shù)據(jù)的原始容器，也不是金融業(yè)務(wù)的實施者與責(zé)任人，但其在向金融機(jī)構(gòu)提供數(shù)據(jù)加工、決策引擎等服務(wù)時，在信息脫敏、跨企業(yè)互用等領(lǐng)域，涉及不少存在法律風(fēng)險的行為。在他看來，隨著新法規(guī)的執(zhí)行和監(jiān)管的加碼，后續(xù)這些公司的數(shù)據(jù)處理、功能服務(wù)，將在未來受到更大的限制。

聚焦多個執(zhí)法重點

隨著用戶個人信息安全及隱私保護(hù)走上新臺階，法律對從業(yè)機(jī)構(gòu)也提出了更高的要求。

“這是我國在信息化時代的重大戰(zhàn)略布局，包括銀行、征信機(jī)構(gòu)等，只有明確法律紅線，在規(guī)范之內(nèi)開展業(yè)務(wù)才是順應(yīng)時代所需、順應(yīng)人民所求的正確行為。”大成律師事務(wù)所合伙人肖颯指出，以銀行為例，根據(jù)《個人信息保護(hù)法》規(guī)定，“處理個人信息應(yīng)當(dāng)取得個人同意，只有同意是在個人充分知情的前提下自愿、明確作出，這個同意才能被認(rèn)定為個人的真實意思，從而認(rèn)定個人信息處理者基于該同意處理個人信息的行為是合法有效”。

肖颯認(rèn)為，這就要求銀行重視并設(shè)置同意前告知這一環(huán)節(jié)，在告知客戶的時候要安排專業(yè)人員一對一提供服務(wù)，做到使客戶充分知情，且自愿作出同意的意思表示和行為。

另對互聯(lián)網(wǎng)公司，盤和林認(rèn)為，隨著《個人信息保護(hù)法》生效，后續(xù)多個執(zhí)法重點值得關(guān)注。一是數(shù)據(jù)權(quán)屬方面，互聯(lián)網(wǎng)企業(yè)獲取個人信息權(quán)益需要經(jīng)過用戶授權(quán)，互聯(lián)網(wǎng)企業(yè)內(nèi)部信息保護(hù)需要推進(jìn)用戶知情權(quán)。二是數(shù)據(jù)使用方面，需要數(shù)據(jù)脫敏。三是數(shù)據(jù)安全防護(hù)措施，包括數(shù)據(jù)信息存儲軟硬件安全、數(shù)據(jù)傳輸安全。互聯(lián)網(wǎng)企業(yè)要設(shè)置信息保護(hù)部門和機(jī)制。此外，公司還要嚴(yán)打信息販賣，堵截非法信息跨境交易。

“數(shù)字經(jīng)濟(jì)的發(fā)展離不開信息數(shù)據(jù)的使用，在保護(hù)用戶信息權(quán)益的同時，也要保障企業(yè)對數(shù)據(jù)信息的合理合法使用權(quán)利。”盤和林補(bǔ)充道，后續(xù)對于互聯(lián)網(wǎng)企業(yè)，既要有具體細(xì)化的信息保護(hù)違規(guī)違法的處罰規(guī)則，也要公平保護(hù)互聯(lián)網(wǎng)企業(yè)合法的數(shù)據(jù)信息使用權(quán)利。對于信息保護(hù)執(zhí)法，關(guān)鍵核心是明確信息權(quán)益歸屬，后續(xù)或可推進(jìn)和公開通用、簡化的隱私政策，包括格式較為一致的信息授權(quán)使用協(xié)議，明確個人刪除信息的權(quán)利等。