1. 首页 > 网友投稿

信息保护法实施 机构补漏仍存实操难点

本报记者 李晖 北京报道

更新APP,重新勾选用户协议、隐私协议……随着11月1日《中华人民共和国个人信息保护法》(以下简称《个保法》)正式实施,近期大批互联网平台、金融机构的APP均迎来了一波更新潮,涉及用户个人信息的收集范围和授权流程出现了细微变化。

作为我国第一部个人信息保护方面的专门法律,《个保法》对共同处理、委托处理、个人信息转移、第三方共享、自动化决策、公共采集等六大场景中的个人信息处理做了细化规定。

叠加此前已经出台的《网络安全法》《数据安全法》以及《征信业务管理办法》,国内金融数据治理的核心监管规则正在逐步丰富完善。

“移动互联网崛起以来的数据盛宴已经落幕。”多位《中国经营报》记者采访的行业人士感叹。随着上位法篱笆筑牢,收集、分享和触达个人消费者信息的方式都受到不同程度约束,从互联网公司到金融机构,业务边界、实操流程、合规成本甚至商业模式正迎来新的冲击和挑战,也有一些层面问题仍就待解。

机构补漏隐私协议

“这半年,我们服务的这家银行已经开了多轮业务会,比照《个保法》和其他法律法规重新梳理涉及个人信息使用的业务场景做流程合规,直到现在也不能说彻底完成了。可以说,不少机构对于自己哪些业务场景和环节会触发个人信息授权是‘一团乱麻’。”一位第三方法律咨询人士向记者表示。

业内共识在于,《个保法》林林总总七十余条,核心精神即是对“告知-同意”的再强调——在个人信息主体具有知情权的情况下,进一步赋予了个人信息主体以决定权、查阅复制权、转移权等多项权利。特别是“单独同意”的授权规则,这也成为对行业影响最直接的一点。

在对外经贸大学数字经济与法律创新研究中心主任许可看来,《个保法》的第十三条实际是确立了一个多元的个人信息处理机制,这一条款亦是其法眼之所在。

与正处于内部征求意见阶段的《个人金融信息保护试行办法》等相比,《个保法》涉及到的个人信息处理情形更明确了,各种情形中金融机构的义务也更明确了。

就目前个人消费者端能感知层面而言,记者注意到,《个保法》生效前后,不少金融机构、平台企业都已经重新更新了个人隐私保护政策。记者随机查阅工行、招行、淘宝、微信、云闪付、度小满金融以及股份行、券商机构APP,多数机构从9月到10月底期间更新并生效了新的《个人隐私保护协议》,并将重点强调或添加部分用加粗字体、斜体进行标注。

数牍科技副总裁张迎春告诉记者:业务模式和业务流程方面,对个人信息主体“可见”的部分,主要是会有更多的知情权(被告知的事项和情形更多了,告知的内容更明确和具体了),以及更多的决定权(opt-out)。而“不可见”的部分,最重要的变化会体现在各方会更加明确在合作中的法律角色和义务,尤其是一些此前无明确法律可依的场景中,金融机构、科技公司等主体彼此的权责利会更加明确。

对于金融机构和平台方普遍更新的隐私保护协议,一些市场人士仍采取谨慎看法。比如在数据存储和使用上,一位北京地区资深数据服务行业人士向记者表示:目前大部分协议仍是一次授权,无限使用。数据使用方很难做到数据获得使用后及时删除,无法监督。

记者注意到,目前大部分隐私协议中甲方的存储期限会表达为:在法律要求的时间范围内存储,或者“实现本政策所处目的最短必要期限内保留”等。

一位一级市场投资人在记者所在的一个行业群中表示:如果无限期的数据租期(使用权)和无偿被包装在一个精妙设计的用户协议里,那么严格意义统称为“偷数据”。可以简单看GDPR(欧盟《通用数据保护条例》)下的一些政府应用,个人终端保存,政府会为临时数据使用设置24小时云端备份和删除机制,可验证、可查询。租期清晰,是否涉及向个人数据付费则在协议和业务界面清晰显示征信修复公司需要获得许可才能经营吗,这才应该叫个人数据保护下的业务模型。

征信修复公司需要获得许可才能经营吗

虽然目前对《个保法》的理解和执行力度市场认识不同,但已经为金融机构带来一大笔合规支出。金诚同达律师事务所高级合伙人彭凯向记者透露,金融机构目前在个人信息保护合规领域的预算正在加大,通常包括找咨询公司做合规的大框架,全面风险管理;结合《个保法》要求单独岗位设置,消保、客服甚至不排除单独设立个人信息保护部门;此外还包括产品改造,业务全新复盘;法律咨询和合规审计,一些大型公司不排除需要出具独立的社会责任报告等。

实操难点多

市场共识在于,《个保法》对于金融与科技结合最为深入的几大类业务——个人征信、信用风险管理、线上营销以及网点运营影响最大,但由于配套细化的法律法规尚未落地,也带来了不少实际操作的难点。

一个典型场景是助贷。在现有业务模式下,不少助贷机构都会在向金融机构推介客户时一并分享客户的个人信息,该行为可能被认定为对外提供客户的个人信息。

中伦律师事务所合伙人刘新宇告诉记者,在《个保法》框架下,助贷机构就需要告知客户接收方(金融机构)的名称、联系方式、处理目的、处理方式和所涉及的个人信息种类,且在没有其他合法性基础的情况下,还需要取得客户的单独同意。

一家上海国资数据服务机构业务会涉及帮助金融机构做一些精准营销方案,该公司一位高管告诉记者:单独授权在业务里比较难落实,每用一次消费者数据,都需要弹窗授权单独同意,一天可能几千次,对于体验是灾难性的,现在大部分不直接触达用户的机构,会采取把授权前置到金融机构合作伙伴的相关协议中,达成前置授权。

彭凯也倾向认为:单独同意是实操中比较集中的难点。“以普遍的助贷业务为例,助贷提供了第一道信息给银行,银行风控后进行信息回传,由于业务分润模式,信息必然是接收方和提供方共享,但银行本身并不直接触达用户,目前也只能将授权协议前置到助贷环节去勾选,但对此监管目前还没有明确态度。

而即使消费者在APP弹窗点击确认同意后,是否就可以认为是对应的自然人确认和同意了?张迎春认为:实操中也存在不同看法,比如如果机主本人主张该点击行为并非自己完成,不代表自己的意愿,或者告知的内容自己理解不清,造成表达了错误的意愿,这些情形如何处理?在个人信息处理的过程中,哪些材料、数据、日志是具备法律效力的?能在审计或发生纠纷时作为证据提交?

第二个典型场景则是金融集团、母子公司之间的数据共享。按照《个保法》规定:涉及向其他个人信息处理者提供个人信息的情形,一般需取得单独同意,接收方变更原先的处理目的、处理方式的征信修复公司需要获得许可才能经营吗,也应重新取得同意。这无疑将给诸如金融控股类公司,金融集团数据内部流通带来压力。

对此许可认为:母公司、子公司之间的个人信息共享,《个保法》并没有将其与一般的第三方共享相区分。我们也一直在呼吁,在金控集团内部能不能做一点突破。“因为金控集团本身受到了严格监管,并且其最大的优势就在于内部资源协同功能,个人数据作为重要资源的共享自然也是金控公司业务的重要一部分。”

此外,风控环节的个人标签算不算个人信息还存在争议。一些业者倾向认为标签已经是匿名化的信息,不应该作为个人信息加以限制。在刘新宇看来,虽然字段标签可能是风控机构利用模型运算得出的结果而非自然人的原始数据,但本质上依然是对已识别或可识别自然人的一种评价,应该仍属于与自然人有关的信息。

“需要注意的是,金融机构的风控决策对个人权益有重大影响的,个人有权要求金融机构进行说明,并有权拒绝金融机构仅通过自动化决策的方式进行风控决策。因此,金融机构也需要对此采取必要的应对措施以响应客户要求。”他表示。

据了解,今年以来,金融流量市场的获客途径比如短信营销、分销任务量、信息流等,特别是短信营销已经开始渐渐弱化。一位隐私计算公司高管告诉记者,目前营销业务都需要满足最终触达的用户必须由该用户所在的平台执行,这是用户归属权的原则。

该高管透露,《个保法》对营销和风控影响都比较大,目前还没有非常明确的应对方式,隐私计算技术也是个可能合适的技术,但是还没有明确监管背书。隐私计算的好处是可以避免数据滥用,而此轮《个保法》围绕的关键仍是如何得到用户授权以及最小化将数据仅用于授权内的个人业务。

在张迎春看来,个保法最大的难点就是合法合规中所谓“两点一线”的问题——两点分别是数据来源和数据去向的合规,一线就是个人信息处理过程性的合规问题。未来预计金融行业会配合《个保法》出台更多的管理办法,从实际监管和落地的角度提供更细滑的操作指南。

征信修复https://www.jycx.com/ (400-110-5592)信致诚企业服务有限公司是根据国务院《征信业务管理条例》第二十五条,和《信用中国》关于信用修复的政策解读,经市场监督管理局批准的正规经营机构。主要经营企业及个人信用服务、个人征信修复、企业征信修复、信用维护专业问题咨询,信用异议申诉咨询。并接受委托帮助客户向相关机构提交征信和信用申诉,达到永久性消除信用主体非恶意的信用不良情况。目前公司已有全国多家合作分支机构,具有成熟的管理团队和专业的技术团队,并拥有多年从事信用方面的资深专业营销及指导力量,帮助企业及个人解决信用隐患,对合作团队建立和运营进行全方面指导,是国内信用咨询服务行业的领军者。

本文由佚名发布,不代表新营销立场,转载联系作者并注明出处:http://www.newmarketingcn.com/HuiYi/17889.html

留言与评论(共有 0 条评论)
   
验证码: