银行等金融机构的业务与个人信息息息相关,《个人信息保护法》(下称“个保法”)的正式实施将会对银行数据营销业务带来更多合规挑战。近日,在广州数字金融创新研究院、广东广悦律师事务所联合主办的“羊城数字金融沙龙”论坛第一期活动“金融行业数据安全治理”学术沙龙上,与会嘉宾指出,金融机构需遵循最小必要原则,审慎使用人脸识别技术;同时,金融行业数据营销、金融科技相关业务常用的使用自动化决策业务将受到重要合规挑战。在专家们看来,中央与地方、大型金融机构与中小型金融机构、类金融机构应做到相同的安全防护级别,并实现非必要不存储。
金融机构需遵循最小必要原则,审慎使用人脸识别技术
人脸识别技术在金融行业应用最为广泛,在个保法实施后会面临怎样的合规挑战?
广东广悦律师事务所高级合伙人杨杰认为,应用人脸识别时,不仅要考虑便利性,还要考虑安全性。现阶段人脸识别已逐渐取代人工成为金融机构最高级别的认证手段,并被广泛应用。例如,在违规性监控领域,为节约成本、提高便利性,人工监控已经被人脸识别监控替代。这是否符合个保法的最小必要原则值得讨论。
数字政府与数字经济法治研究中心主任马颜昕表示,人脸具有外部性,安全级别并不太高,其被广泛关注并非由于存在重大安全性隐患,而是由于其使用范围广、易被采集的特点。在第三方支付等小额支付领域,人脸识别更多是提供便利,在金融机构领域更多是提供个人身份确认功能。
针对个保法的最小必要原则,马颜昕提出,金融机构可通过提供线上人脸识别和线下办理的双选项方案以符合法律的要求。同时,他表示,相比最小必要原则,自动化决策的滥用和敏感个人信息的单独同意对金融行业带来的挑战更大。
中南财经政法大学数字经济研究院执行院长、教授盘和林则对人脸数据的安全性提出了不同看法。他表示,相较指纹等个人信息,人脸识别更容易与个人对应,这是人脸识别被广泛普遍关注的原因之一,也是个保法提高人脸识别管制的理由之一。金融机构和类金融机构应界定人脸识别的使用范围,在存在替代方案的情况下,金融机构仍需遵循最小必要原则,审慎使用人脸识别技术。
金融机构自动化决策将受到重要合规挑战
生活中自动化决策的应用范围已非常广泛,健康码、个税App等均使用自动化决策提供服务。马颜昕认为,相较于精准营销业务,金融机构依托自动化决策开展的金融科技业务受个保法的冲击更大。一方面,个保法的实施将影响金融机构使用金融科技手段进行自动化决策,进而影响贷款审批、逃税监管等业务的开展。另一方面,随着科技的快速发展和个人信用状态的模糊化,大量未持征信牌照的机构也开始利用自动化决策纷纷开展用户信用评估业务,如车险评估及其他各类评估、评分等。这是否符合征信业务开展的相关规定,未来又将如何调整,是他们面临的重要挑战。
“在人工智能、数字经济快速发展的现代社会,自动化决策不可避免。”盘和林认为,自动化决策的广泛应用会降低社会容忍度、压缩个人生存空间。因此,开展自动化决策时,不仅要考虑效率的提高,也要考虑人性的特征、个人隐私的边界以及弱势群体的生存等问题。政府与企业应厘清个人信息采集、自动化决策应用以及按章执法的边界,允许试错。
杨杰则表示,现阶段金融机构自动化决策业务往往涉及数据在集团内部流动的现象,在多数情况下,个人信息收集者并非数据的实际使用者。金融机构应按照个保法要求,解决好个人信息数据在集团内部流动时的“再次同意”问题。
个人信息存储与共享应统一安全级别
谈及个人信息的存储与共享,杨杰认为,中央与地方、大型金融机构与中小型金融机构、类金融机构应做到相同的安全防护级别,并实现非必要不存储。在技术层面,个人信息要第一时间进行去标识化处理;在管理层面,机构应当关注信息的保存期限以及隔离存储设置。
盘和林亦表示,同一类型的个人信息在各地、各企业的存储应达到统一的安全级别。此外,个保法仍需后续配套法律的支撑,使各地政府公职人员能有法可依、有标准可依,打通企业数据向政府流动的最后一公里。
“个人信息泄露在未来不是技术问题,而是管理问题。”马颜昕向沙龙参与者介绍了欧盟数据法律体系。他指出,2018年欧盟颁布《一般数据保护法案》(下称“GDPR”)后,近年来又发布数字市场法、数字服务法、数字治理法等一系列法律草案,计划形成全面的数据法律体系。当前,我国企业向政府提供数据信息时,面临向谁提供数据,谁负责数据安全以及多头重复向企业要数据等问题,政府应通过立法等机制,建立企业向政府共享数据的渠道。
采写:南都记者熊润淼
