互联网金融中个人信息的保护研究
——对欧盟《GDPR条例》的解读
□李 畅 梁 潇
[长春理工大学 长春 130022]
[摘 要] 近年来互联网金融在我国发展势头正猛,但个人信息保护进程却十分迟缓,迄今为止我国没有建立一个完善的个人信息保护体系,这使得我们在享受互联网金融带来便利的同时,也承受着较大的个人信息安全风险。在互联网时代,公民的个人信息安全迫切需要法律和制度保障,而欧盟《GDPR条例》作为个人信息立法领域具有里程碑意义的法律,在个人信息保护的制度设计和框架建构上有许多可借鉴之处。研究深度剖析我国个人信息保护中存在的缺陷,结合《GDPR条例》的革新性内容,对我国建立互联网金融领域个人信息保护机制提出几点建议,以保障公民合法权益,促进互联网金融产业健康有序发展。
[关键词] 《GDPR条例》;互联网金融;个人信息保护
一、互联网金融中个人信息释义
(一)互联网金融中个人信息的概念
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等[1]。这是个人信息最基本的概念。但是互联网金融是一种不同于传统金融,以互联网技术为基础形成的全新金融模式,商业活动中使用和处理的个人信息,也兼具互联网和金融的特征,具有其独特性。结合中国人民银行《金融消费者保护实施办法》和《网络安全法》中的相关规定,可以将互联网金融中个人信息的概念定义为:互联网金融机构通过开展业务或者其他渠道获取、加工、保存的,以电子或其他方式记录的,能够单独或与其他信息结合识别自然人身份的各种信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息等。
(二)互联网金融中个人信息的范围
对于信息和隐私的保护,我国的法律如《民法总则》,以及学界主流观点都认同“二元制”的保护模式,即将隐私和信息加以区分后分别进行保护。但是个人隐私和个人信息之间并不是非此即彼的关系,两者之间有交叉的部分。因此有学者提出,对于隐私和信息的区分,应采取“三分法”的方式,即分为纯粹的个人隐私、隐私性信息、纯粹的个人信息。纯粹的个人隐私是指个人生活最私密、直接涉及到个人人格尊严与自由的部分,一旦侵入,会直接造成受害人的损害,特别是精神损害。隐私性信息,实际上就是隐私与个人信息交叉的部分,更接近于个人隐私,如医疗信息、存款信息等。纯粹的个人信息,就是《网络安全法》中所列举的个人信息[2]。但由于我国通常将“可识别性”作为判定是否构成个人信息的要件,因此互联网金融中的个人信息的范围,应当包括具有可识别性的隐私性信息和纯粹的个人信息。
(三)互联网金融中个人信息风险的归因
互联网金融企业往往掌握大量用户数据,且数据内容极为详细,一旦遭到泄露,后果不堪设想。近年来我国互联网金融产业蓬勃发展,但公民个人信息的案件也屡屡发生。2015年,网易邮箱数亿条用户数据记录被泄露;2016年,京东12G的用户数据被泄露;2017年,PPmoney百万借款人资料被泄露,且在社交渠道被直接叫卖。从此类个人信息泄露事件来看,导致信息泄露的原因主要有三点。一是我国个人信息保护法律制度不健全,个人信息保护的进程并没有跟上互联网金融的发展步伐。虽然学界对于个人信息保护立法的关注与互联网时代的到来基本同步,但进步迟缓,导致我国到目前为止都没有一部专门的个人信息保护法来保障个人信息安全,规范信息控制者的信息处理行为。在世界其他国家在不断调整完善个人信息保护框架,甚至是欧盟已经完成新一代的个人信息保护法的外部环境下,我国互联网金融企业的个人信息处理行为一直都是在没有既定标准和法律框架的背景下进行的,也导致现今我国的企业和民众都没有认识到保护个人信息安全的重要性。二是互联网技术自身缺点。由于互联网金融机构的信息技术系统需要定期维护,而大多数机构将维护工作外包给外部技术维护机构,这给了外部人员接触内部数据的途径,增加了用户个人信息流入社会的风险。同时互联网也是极易被攻击的,互联网金融信息系统数量多,系统的漏洞也多,链接系统的终端多,种植木马程序的机会也就多,所以备受攻击者青睐。很多职业黑客相中了互联网金融机构掌握的巨大数据量的财产性价值以及企业信息平台的管理漏洞,利用黑客技术非法入侵系统,窃取用户个人信息并贩卖。据国家互联网金融风险分析技术平台监测数据显示,全国有8000多家互联网金融网站遭遇过不同程度的网络攻击。三是企业内部管理不严格。虽然作为互联网金融主体,互联网金融企业保护信息安全而无旁贷,但我国互联网金融企业对于用户个人信息的保护力度和重视程度都远不及银行。互联网金融企业从业人员参差不齐,近年来发生的金融从业人员与专门从事信息贩卖的组织机构内外勾结的案件不在少数,而互联网金融企业内部任何一个环节出现问题,都有可能导致大面积的信息泄露。加上没有相关法律强制要求企业保护用户个人信息安全,当发生用户信息泄露事件时也没有严格的事后惩戒机制,并且对涉事企业的罚金数额与企业利润相比不值一提,并不能起到震慑作用,这更使企业怠于履行个人信息安全保障义务。互联网金融企业的信息安全得不到有效保护,不仅给用户带来极大风险,也会使用户对企业乃至整个行业失去信任,成为阻碍互联网金融行业发展进程的绊脚石。
水利水电工程建设具有投资大、个体差异大等区别,由于地理环境复杂不同水利水电工程所具有的特征也不尽相同,为了确保工程项目的顺利进行,对合同要求较为严格,合同各项条款、规范不仅要满足项目特点,还要严谨细致。但是在当前招投标与合同签订过程中,由于双方缺乏这方面的专业人员或相关经验,在合同签订上很难对存在的问题进行提前了解,合同条款不明确、不全面、职责划分不清等现象时有发生,有时候一些口头委托或政府指令给合同履行及管理埋下隐患,后期纠纷、扯皮现象层次不穷,特别是一些中小型水利水电工程。
二、对欧盟《通用数据保护条例》(简称《GDPR条例》)的考察
(一)欧盟《GDPR条例》的出台背景
在《GDPR条例》(以下简称“条例”)出台之前,欧盟成员国一直沿用1995年开始施行的《个人数据保护指令》,该指令推动了国际规则在欧盟成员国的法律化,规定了成员国制定国内个人数据保护相关法律的基本原则。但是由于指令只作为一个成员国共同遵守的法律基本框架,成员国依据本国国情和社会背景各自制定国内法并实施,这导致各国之间的法律规定不统一,增加了法律适用的不确定性,影响了数据保护的效果。因此欧盟需要一部框架建构更为细致的法律,来缩小欧盟成员国之间在立法和执法中显现出的差异。互联网技术愈发成熟,已逐渐渗透到民众的生活中,数量庞大的网民群体使得互联网企业掌握的数据量急剧增加,技术手段的升级使互联网企业在处理这些数据时能够掌握更多更准确的个人信息,数据使用和处理手段已经超出了指令的规制范围,更有可能对个人数据安全造成威胁,因此需要对指令的内容进行扩充。在全球化趋势的影响下,数据的跨区域流通和使用更加普遍,数据流通能够创造出巨大的经济价值,而指令对于数据跨境流通有许多硬性限制,导致数据资源不能被有效利用,阻碍了互联网新兴产业的发展。面对已经发生巨大变化的外界环境,指令已经不能很好地发挥个人数据保护的作用,因此欧盟需要重新建立个人数据保护的框架,调整95指令设定的基本原则,以顺应时代发展,更好地保护个人数据安全。
(二)欧盟《GDPR条例》的内容解析
1.个人信息风险评估机制
apoB作为LDL表面主要的蛋白质,对认知障碍同样有重要影响。一项研究发现,基线高载apoB水平能在脑卒中后3年预测发生痴呆的风险[41]。另有研究表明,VaD患者的apoB/LDL与认知筛查量表——简易精神状态量表(mini-metal state examination,MMSE)评分呈正相关(MMSE评分的高低代表认知功能是否存在异常)[42]。因此,评估apoB/LDL是否可作为VCI的一个可靠临床指标变得十分重要。
2.个人信息数据保护认证机制
数据保护认证机制就是指当数据处理者或控制者处理、交换或者存储一定数量的个人资料时,应将数据处理内容提交给专业的认证机构,通过正式的认证程序,获得认证机构颁发的数据保护印章或者标记,表明数据处理者或者控制者的处理行为具有合法性和合理性。条例第42条规定,数据保护认证是数据处理者或控制者的自愿行为,并不强制;认证的有效期最长为3年,符合条件的可以延长,不符合条件时可以撤回;公众可以知悉欧盟数据保护委员会所有登记过的验证机制、数据保护印章和标记,从而对数据处理者或控制者的处理行为是否违法违规有直观的认识。条例第43条是对认证机构的管理规定,首先认证机构的资质也需要被领导性监管机构或者符合要求的全国性认证机构的认可;其次需要具有专业性和独立性,制定完善的认证程序和流程,能够公正的完成认证工作;再次,认证机构的认证行为也应当受到有权监督机构的全程监管。
未来无限,你我同行!云图控股市场部总监张鉴启动了年度重大营销活动及新品发布仪式。“未来云图控股将专注高效种植农业服务,这也是大田作物区的未来,经济作物区则更加注重用肥效果。”他说,“唯有高效种植才是赢得未来竞争的利器。”云图控股将借助硝基肥引领市场,用大单品销量补充市场份额,以阶段肥、纯养肥引爆市场。他告诉经销商,云图控股目前已经形成高端系列、畅销系列、爆品系列及追肥系列的全线产品矩阵,未来将重点打造“根动力”及“桂冠”两个品牌。特别是本次经销商峰会还推出了通过全新的养分无损造粒技术及无辅料颗粒成型技术生产的“纯养肥”产品,开创肥料新品类。
所以合理设计输入驱动对于整个教学模式来说能够更清晰地分布整个课堂教学的任务,直观的表现可以更快地提高学习效率,也可以改变学生的学习心态,不再是课堂上一个接着一个提问,同学在下面战战兢兢,不积极的学习心态对于学习的效果一定是不好的,所以想要合理产出任务,一定要确保输出促成假设是合理的。因此,首先要合理设置课堂任务要求,分析学生在整个教学流程每个环节应该达到的程度,以及小组合作中任务要求,并对教学成果达成程度在个人和小组均有不同的体现。在任务初期输入驱动的设定既要符合教学要求,也必须具备一定的难度,这样输出促成假设才有多样的可能性,更多向地发展大学生英语素养的能力。
1.个人信息保护制度设计严谨周详
如同建筑物施工前需要做环境影响评估一样,数据控制者在对数据进行处理之前,也需要为处理进程对个人数据保护产生的影响作出评估,并依据评估结果决定后续保护措施的采用,同时评估也是落实“通过设计实现隐私保护”的一个必要步骤。条例第35条对数据保护影响评估作出了具体规定,主要有三点:第一点是说明需要做数据保护影响评估的情形,首先是高风险的数据处理活动应当事先进行评估,但条例中没有明确何为“高风险”活动。其次是规定了必须做数据保护影响评估的情形,包括对与自然人相关的个人因素进行系统性全面性评价时,以大规模处理的方式处理特定类型的数据时(法案第九条规定的特殊类型个人数据,如显示种族、民族背景、政治观念宗教信仰等的相关数据),以及以大规模的方式系统性地监控开放的空间时。第二点是说明了评估内容,包括对处理操作、处理目的、处理操作的必要性、对数据主体的影响的评估以及相应的风险应对措施。第三点说明了数据处理影响评估的例外,当处理是控制商履行法定义务必须的行为,或是因公共利益或基于官方权威履行任务而进行处理时,可以有条件的不进行数据处理影响评估。
(1)访问控制
因为条例制定的目的是为了对个人数据处理中的个人权利和自由给予充分尊重和保障,因此对于数据控制者和数据处理者的约束十分严格。条例第29条规定,未经控制者允许,数据处理者以及控制者、处理者的代表人均不得处理个人数据,避免数据处理者或代理人随意处理数据。第25条第二款规定,控制者有责任保障个人数据不能为不特定数量的自然人访问,只能由特定对象基于特定处理目的才能对必要的数据进行处理。
迄今为止我们国家并没有专门法律规范保障公民的个人信息安全。虽然早在2003年我国就已经开始了个人信息保护法的立法研究,中国社科院法学研究所在周汉华研究员的带领下,历时两年完成了《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。此后很多学者在个人信息保护立法方面都做过研究,如齐爱民教授2005年发表的《个人信息保护法示范草案学者建议稿》[4],2017年全国人大会议上,人大代表邵志清提出加快制定个人信息保护法的议案,并提交《个人信息保护法(草案)》,2018年全国两会上,陈力、张智富等多位人大代表都提出应加快个人信息保护立法进程,制定个人信息保护法的建议。但截至目前,个人信息保护法的制定并没有被提上立法日程,这与我国在社会主义建设关键阶段,互联网产业处于上升时期不无关系。我国针对个人信息保护的法律法规散见于多个部门法之中。首先,在公法层面,我国《刑法》及其司法解释规定了侵犯公民个人信息罪以及拒不履行信息网络安全管理义务罪。2012年《关于加强网络信息保护的决定》重点针对网络活动,加强个人信息保护、维护网络安全,规定了网络服务提供者和其他企事业单位在业务活动中收集、使用、保存公民个人信息的行为应当遵循的规则,以及网络服务提供者对信息监管的义务[5]。2016年《中华人民共和国网络安全法》对个人信息涵义进行界定,明确了提供互联网服务的企业具有保障信息安全的义务和用户的知情同意权。其他部门法中也有零散的个人信息保护的内容。但是,除了《刑法》中关于侵犯公民个人信息等犯罪的规定及其司法解释以外,其他的法律法规其实都是较为笼统和抽象的原则性规定,在互联网金融个人信息保护的司法实践中不能起到有效的保护或惩戒作用,可以说我国现行法律法规中,个人信息保护领域依旧是法律空白地带。
(2)安全控制
4.构建严厉的侵犯个人信息的惩罚机制
4.全方位的救济和严厉的惩罚机制
首先,数据主体可选择救济渠道,条例第77条规定,数据主体认为数据处理者或者控制者违反法案规定时,既可以向监管机构提出对信息控制者或处理者的申诉,也可以通过司法途径进行救济。其次,数据主体可对监管机构提起诉讼,条例第79条规定,数据主体如果对监管机构的决定不服,或者监管机构怠于处理申诉时,可以选择司法救济。第三,救济权利可委托。条例第80条规定,数据主体可以委托非盈利机构、实体或者协会代表数据主体行使救济权利。
条例规定了两档罚金数额:对于企业的一些较为轻微的违法行为,监管机构有权对企业处1000万欧元或者企业上一年度全球总营业额的2%的罚款,二者取其高;对于企业较为严重的违法行为,监管机构有权对企业处2000万欧元或者企业上一年度全球总营业额的4%的罚款,二者取其高[3]。
(三)对欧盟《GDPR条例》的评析
3.个人信息安全保障机制
《GDPR条例》对于个人信息保护的制度设计十分科学合理,具有很强的可操作性和前瞻性。虽然被称作是史上最严的个人信息保护法,但比起95指令,条例在保护个人信息安全的同时也促进了个人信息的跨境流通,减少了数据跨境流通的许多硬性限制,为贸易全球化和大数据经济的发展开辟空间。作为框架性法律,条例更多的是发挥指导性作用,在统一的框架之下,欧盟成员国可以指定本国的法律规范。然而条例的法律条款制定得十分细致详尽,已然全方面覆盖了个人信息保护,包括一般性原则、数据主体权利、控制者和处理者的行为规范、数据跨区域流通、监管、救济和惩罚等等,可以说是面面俱到,这也为其他国家保护个人信息安全提供了良好的范式。
2.个人信息安全保护防控措施到位
个人信息的保护认证制度的缺失,使社会公众不能直观地了解互联网金融企业的信息安全等级,甚至是不知道保护个人信息安全是信息处理者和控制者必须承担的责任。在选择互联网服务时,往往容易忽视对互联网服务提供者的信息安全保障能力的考量,这不利于民众树立个人信息保护意识。在经济全球化的趋势的影响下,国家间的经济交流和合作越来越密切,在很多发达国家,个人信息保护认证制度已经推行多年,互联网行业的大部分企业都选择进行保护认证,而认证印章和标记也使企业更容易获得合作伙伴和社会公众的信任。我国没有安全认证的互联网金融企业,在国际商业合作中便很难取得外国企业和外国消费者的信任,降低了国内企业的国际竞争力,也间接影响了中国经济“走出去”战略的实施。
3.侵犯个人信息的救济机制完善
陪同亲属从柳絮、杨絮纷飞的城市一路开车到达肿瘤医院,路上甚至得知亲人生病后很长时间都沉浸在担心与焦虑里,偶然抬头看到流苏花的那一刻,心里觉得松了一口气,之后留意到每个角落里都热烈生长的植物,心里也愉快了些,寻味到一种“人间四月芳菲尽,山寺桃花始盛开”的意境。再观看每一位穿梭在我身边的人,虽然行色匆匆不曾驻足,却也是面目如素,没有预设中的“悲戚”。在CT室外看到大家都在讨论显影水多么难喝时,我觉得自己此前“谈癌色变”的紧张都显得多余,紧张兮兮、一直面有难色的我在人群里才是最不正常的存在。
救济权利的设定是保障数据主体个人信息安全及其他权益的最后一道屏障。条例对于救济内容的设置发挥了监管机构在数据主体权利救济方面的作用,因此当数据主体需要寻求救济的时候,并不是只能选择走司法途径。数据主体选择司法途径解决矛盾争议必然耗费许多的时间和精力,并且由于诉讼周期长,往往不能及时得到救济。监管机构的介入不仅可以在一定程度上缓减司法压力,也能促使双方的矛盾纠纷得以及时地解决。同时,考虑到数据主体维权难的问题,条例允许让非盈利性机构组织代为行使权利,这也可以保障数据主体有效行使救济权。
为了保障数据处理过程中的数据安全,条例第25条规定控制者可以采取匿名化的方式或者采取数据最小化原则对数据进行处理。由于数据匿名化之后便不再具有可识别性,因此也就不属于数据保护的范畴,不再受法案约束,控制者可以自由地处理已经匿名化的数据,基本不会对数据的安全造成威胁。数据最小化原则是指控制者只收集并储存能够达到其目标的最少量的个人信息,庞大的数据量不仅使控制者会承担更多的资金投入,也使数据主体的信息安全面临更多的风险。除要求机构加强处理数据时数据安全保障,条例第32条还规定了数据控制者和处理者在受到攻击或者发生技术性事故时,应当对具有重新恢复数据的能力。
条例规定了监管机构对违反法律规定的数据处理者和控制者处以行政处罚的责任,要求对违法行为进行罚款或者制定其他的惩罚规则,并且保证施加惩罚是有效的、成比例的和劝诫性的。这样严格的惩罚机制能够发挥法律的威慑性,保障条例能够得到企业有效遵循,倒逼企业重视数据处理的方式的合法性,自觉遵守法律规定。条例明确设定的罚金数额,也给予企业很大的警示作用,一个小小的疏忽便可能给企业带来巨大的经济损失,因此企业在处理个人信息必须小心谨慎以避免出现疏漏。
三、我国互联网金融个人信息保护中存在的缺陷
(一)没有集中立法
为回应居民需求,推进标准化建设,重庆市婚管中心自2003以来开始探索特色婚姻家庭标准化服务实践模式,主要经历了三个阶段:前期探索与实践阶段(2003-2013)、专业服务引入与实践阶段(2013-2015)及完善标准构建体系阶段(2015至今)。
在当前我国经济发展新常态背景下,地方国有平台在发展过程中呈现出了诸多弊端,就当下而言,很多地方国有平台公司仍以政府行政作为公司发展的主导,存在组织结构不健全,人力资源管理粗放的问题,不利于平台公司的发展,难以有效激发公司的竞争力,同时人力资源粗放管理,公司内缺乏公平竞争的机制,会造成平台公司的人才流失,人力资源失衡,因此针对上述问题开展研究,是确保地方国有平台公司健康发展的重要途径。
(二)缺少互联网金融个人信息保护的风险评估机制
由于缺少个人信息保护的法律法规,我国到现在依旧没有建立起一套完整的个人信息保护框架,已经在其他国家和地区广泛使用的个人信息保护制度和规范,在我国并没有得到适用。个人信息保护风险评估机制的缺失,导致了监管机构对互联网金融机构的监管十分困难。不在处理数据信息之前进行风险评估,监管机构就很难事先了解企业的信息处理行为是否合法,是否具有安全隐患,是否会给用户带来信息安全风险,只有等到发生信息安全事故之后才能作出反应,采取措施。没有风险评估机制,企业对于自身信息处理行为的定性不了解,对于信息处理的后果也不清楚,更无法制定相应的风险预警机制和应急机制,导致企业事前防范不到位,事后应急不及时。
(三)没有互联网金融个人信息保护认证制度
条例对数据处理者和控制者在处理数据前、处理数据时和处理数据后都规定有安全保护防控措施的相关要求。数据处理前的风险评估机制使监管机构和控制者在着手数据处理之前发现处理内容存在哪些问题,能够有效防范可能产生的数据安全风险;数据处理时的数据匿名化和数据最小化原则等原则,能够及时保障处理过程中的数据安全;数据处理后,还要求数据控制者和处理者拥有数据恢复的能力,如果发生数据泄露事件,有一整套完善的应急机制,监管机构也会及时介入处理。
(四)个人信息安全保障机制的缺失
国外的个人信息安全保障制度贯穿了信息处理行为的全过程,为信息处理者和控制者提供全方位的行为指引,能在信息处理前、处理时、处理后的各个阶段有效防范安全风险。而我国没有建立个人信息安全保障机制,信息处理者在处理信息的过程中就没有行为准则和制度可以遵守,只有刑法对信息安全做了最低限度的保障。也就是说,信息处理者可以在刑法容忍的底线之上随心所欲地处理信息,现有的法规或者行业规范只是强调信息处理者和控制者有义务为数据主体的信息安全提供保障,却没有给信息处理者和控制者保护个人信息安全制定指引和规范的途径,因此信息处理者和控制者只会按照自己的理解对个人信息安全进行保护,或者根本不注重个人信息安全保障。
②外源性融资渠道狭窄。中小企业多采用债务融资方式。由于我国目前的金融管理体制仍比较严格,这种管制对金融机构主体资格做出了严格限制,并对各种业务准入实行审核批准制度,这些制度一定程度上抵挡了金融风险,但在一定程度上也挡住了大量资金进入融资领域限制了我国资本市场的正常发展,其后果就是资本供给不足、融资渠道单一。
(五)救济和惩罚机制不健全
因为救济机制不健全,救济渠道单一,所以当用户个人信息安全受到侵害的时候,只能自行选择诉讼方式维护权利。但在我国人格权和财产权区分的基本理论的影响下,个人信息安全受到侵害后,受害者只能选择人格权特有的救济方式,难以主张财产损害赔偿或精神损害赔偿。同时我国民事诉讼机制导致受害人可能承担举证不能的风险,因此诉讼结果往往不尽人意。如果用户没有专业知识或者聘请专业人员进行司法救济,也没有非盈利性机构可以帮助或代为行使权利,即使向消费者协会寻求帮助,也不能起到重要作用。惩罚机制不健全,没有明确监管机构的处罚责任,就容易造成部门之间责任推诿或是重复处罚,像互联网金融这样融合性新兴产业就可能成为监管盲区[6]。罚金数额普遍较低,与企业盈利不成比例,导致罚款不但不能起到惩罚和警示的作用,也削弱法律的威慑力。
四、我国互联网金融中个人信息保护的完善
(一)出台《个人信息保护法》
为保障个人信息在安全的环境下使用和流通,必须坚持立法先行,没法律体系的支撑,任何制度设计都寸步难行。我国制定个人信息保护法应当合理借鉴欧盟和美国的立法经验[7],以保护个人信息安全为主要目标的同时,也顺应大数据时代的发展趋势,促进信息有效流通。首先,个人信息法应当涵盖信息的处理、使用、转移、存储、跨境传输、销毁、查询、更正等个人信息处理的全过程,明确信息主体的权利,比如借鉴《GDPR条例》赋予信息主体反对权、被遗忘权、访问权、知情权等权利,提高信息主体保护个人信息安全的主动性,同时也能对企业形成监督,规范企业信息处理行为。其次,在设置硬性条款规制时,也要注意引导信息控制者的组织架构变革,帮助企业建立内部信息安全保护机制,这不但有利于促进互联网金融企业规范化管理[8],提高信息控制者主动保护用户信息安全的积极性,也有利于行业协会对互联网金融企业的管理,将信息安全保护机制作为行业惯例进行推广和普及。第三,明确监管机构的设置和责任,不论立法是选择整合现有的监管机构的权力分配,还是重新设置专门监管机构,最重要的都是避免监管机构的权力越位和责任推诿,虽然保护信息安全,依靠企业自觉要比强制性规范的效果更好,但商业主体的逐利性往往会导致企业在法律高压下为利益诱惑铤而走险,因此有效监管是保障个人信息安全的必要之举。
(7)合理的作业长度是保证综合处治土成型的必要条件,掺加水泥后到碾压成型宜不小于4h,一次碾压长度宜控制在100m以内。
(二)建立互联网金融个人信息的风险评估机制
建立个人信息风险评估机制,首先应当明确需要进行风险评估的处理类型。风险评估的目的是为了让企业明确了解信息处理行为可能带来的安全风险,因此不是所有处理行为都需要进行风险评估,以避免不合理地增加企业负担。因此,对于本身并不可能给用户信息安全造成威胁的处理行为,就不需要对信息处理行为进行评估,而区分处理行为是否可能给信息安全带来风险,就需要监管机构或者行业协会对处理行为进行分类并向企业公示。其次是划定评估内容,参照《GDPR条例》的规定,评估内容至少应当包括对处理行为、处理目和处理必要性的的描述、可能带来的信息安全风险的分析以及为减轻风险所采取的安全保障措施,当然也可以根据我国行业现状进行适当的调整。第三,应当支持监管机构对企业的风险评估提供必要的建议和帮助,在评估机制运行的前期或者新企业经营前期,一定会出现许多问题,而企业与监管机构合力解决是最高效的途径,在发现问题解决问题的过程中,风险评估机制会不断进行调整,越来越适应我国基本国情。合理、正确、适时地实施个人信息安全影响评估是预防信息处理活动对个人权益造成危害、推动企业个人信息处理行为持续规范的有效措施,同时也是从企业角度出发,提升个人信息保护能力水平的关键要素。
(三)设置互联网金融个人信息保护认证机制
对于企业的信息安全保障能力,需要有一个直观的表现,让民众一目了然。这需要借鉴外国的个人信息保护认证机制,美国的TRUSTe和BBB Oneline、日本的P-mark、欧盟的CE认证是目前最为大众熟悉的著名认证组织。在我国并不是没有个人信息保护认证组织,大连软件行业协会在2007年便开展了软件与信息服务业的个人信息保护评价认证工作,建立了PIPA认证,虽然适用范围相对狭窄,认证机制也比较简易,但也是我国个人信息保护认证的一次积极尝试[9]。建立适用范围更广的个人信息保护认证体系,应从三个方面入手:第一点,应当鼓励建立认证机构,并对认证机构的资历经行统一审查,监督机构在认证机构进行认证的过程中进行全方位监督,保证认证过程公正透明。第二点,对获得认证的企业也不能放松监管。在设置认证有效期的同时,也应当赋予监督部门或者认证机构撤回认证的权力。第三点,鼓励国内认证机构与国外认证机构互认,加强国内认证机构的认证含金量,促进国内互联网金融企业开展国际业务或与外国公司进行国际合作。
(四)救济和惩罚机制并重
在救济机制的设置中,需要发挥监督机构的作用,受理信息主体对信息处理者的控告,化解二者之间的矛盾纠纷,这样不但可以减少信息主体的维权成本和时间投入,较为温和的纠纷解决方式也更能为双方所接受。司法救济方面,应当加大民事责任的追究力度,减轻原告方的举证责任,解决公民民事维权成本高、收益低的问题[10],促使信息主体积极运用法律维护自身合法权益。惩罚机制的设置中,应当赋予监督机构行政处罚权,以确保监管的有效性[11]。利用新闻媒体的舆论监督作用,对严重违法的信息控制者进行曝光。要加大对疏于信息安全管理或侵犯公民个人信息的互联网金融机构的惩治力度,提高罚金数额,要让违法违规的互联网金融机构承担足以影响其正常经营活动的“冲击性惩罚”,倒逼企业加强用户信息安全保护力度,注重信息安全保护。
我国个人信息保护决不能走先发展后管控的路,不能为了新型产业的发展就忽视对个人信息安全的保护。欧盟在个人信息保护立法和制度设计上一直处于世界领先地位,有许多值得我们学习和借鉴的地方。在个人信息保护方面,我国落后发达国家很多,因此应当尽快着手制定相关的法律法规,对个人信息的处理进行有效的监管和规制。只有在一个良好有序的个人信息保护框架下,个人信息安全才有可靠的保障,互联网金融才能迸发真正的活力。
参考文献
[1] 陈际红.大数据应用中数据收集的合法性分析[J].汕头大学学报(人文社会科学版), 2017(5): 48-52.
[2] 李永军.论《民法总则》中个人隐私与信息的“二元制”保护及请求权基础[J].浙江工商大学学报, 2017(3):10-21.
[3] 王融.《欧盟数据保护通用条例》详解[J].大数据,2016(4): 93-101.
[4] 陈星.我国台湾地区个人资料保护法制研究[D].重庆: 重庆大学, 2011: 50-52.
[5] 《关于加强网络信息保护的决定》综合解读[J].中国防伪报导, 2013(8): 116-118.
[6] 闫璐.影子银行监管中的政府职能研究[D].呼和浩特: 内蒙古大学, 2015: 10-11.
[7] 刘几任.浅谈大数据时代个人信息保护问题[J].法制与社会, 2014(31): 187-188.
[8] 吴玲云.互联网金融消费者权益的法律保护[D].保定: 河北大学, 2016: 2-3.
[9] 邢轶男.个人信息保护认证管理机制研究[D].大连:东北财经大学, 2007: 34-35.
[10] 周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向[J].法学研究, 2018(2): 3-23.
[11] 刘通午.金融监管法知识讲座(之二)第二讲监管主体法: 对金融监管主体的定位[J].华北金融, 2001(2): 49-51.
编 辑 邓婧
Research on the Personal Information Protection in Internet Finance—Interpretation of the UN General Data Protection Regulation
LI Chang LIANG Xiao
(Changchun University of Science and Technology Changchun 130022 China)
Abstract In recent years, Internet finance has been developing rapidly in China, but the process of personal information protection is very slow.So far, our country has not established a perfect system of personal information protection, which makes us enjoy the convenience of Internet finance and also bear a large risk of personal information security.In the Internet age, the citizen’s personal information security urgently needs legal and institutional security, and the General Data Protection Regulation of the EU, as a landmark law in the field of personal information legislation, has many references in the system design and frame construction of personal information protection.This paper analyzes the defects in the protection of personal information in our country, and puts forward some suggestions on establishing the protection mechanism of personal information in the field of Internet finance in the light of the innovative content of the General Data Protection Regulation, in order to protect the legitimate rights and interests of the citizens and promote the healthy and orderly development of the Internet financial industry.
Key words General Data Protection Regulation;Internet finance;personal information protection
[中图分类号] D923
[文献标识码] A
[DOI] 10.14071/j.1008-8105(2018)-1111
[收稿日期] 2018 - 06 - 19
[作者简介] 李畅(1970- )男,法学博士,长春理工大学法学院副教授;梁潇(1995- )女,长春理工大学法学院硕士研究生.
标签:《GDPR条例》论文; 互联网金融论文; 个人信息保护论文; 长春理工大学论文;