中国金融科技的数据红利还有多久？

本篇文章3882字，读完约10分钟

面对这个大数据时代，个人信息需要适度保护，但不应过度。当然，目前的问题是严重缺乏保护。我担心市场参与者的鲁莽行为会导致民怨沸腾和监管压力过大，最终导致过度保护。

面对这个大数据时代，个人信息需要适度保护，但不应过度。当然，目前的问题是严重缺乏保护。我担心市场参与者的鲁莽行为会导致民怨沸腾和监管压力过大，最终导致过度保护。

文字|董云峰

年初的支付宝账单事件使个人信息保护成为社会关注的焦点，公众对它的关注上升到前所未有的高度。

本月早些时候，互联网信息办公室针对上述事件采访了支付宝和芝麻信用的负责人，随后工业和信息化部就侵犯用户个人隐私问题采访了百度、蚂蚁金服和今天的头条，并要求这三家企业立即整改。

自2017年以来，个人信息保护监管不断加强。在这种背景下，中国金融技术的数据红利还能持续多久？

在火中的新金融天堂(New Financial涅磐)看来，如果不可能几乎不择手段地获取、使用和交易个人信息，中国的金融技术很难在短短几年内取得长足进步，并在世界上处于领先地位。可以毫不夸张地说，在缺乏监管的情况下，从业者确实享受到了数据红利。

面对这个大数据时代，个人信息需要适度保护，但不应过度。当然，目前的问题是严重缺乏保护。我担心市场参与者的鲁莽行为会导致民怨沸腾和监管压力过大，最终导致过度保护。

我希望最终的结果能够如央行副行长陈所说，“让信息在安全合规的前提下自由流动，充分释放信息流动所产生的红利。”

1

没有隐私的时代

你认为你真的有隐私吗？

在回答这个问题之前。想想看，除了相关部门，腾讯、阿里等互联网巨头对你的了解，是不是令人毛骨悚然？

这些年来，你在互联网上留下了多少个人信息，从交流、网上购物、旅行、外卖、网上租车，到代码扫描支付？凭直觉来说，你的微信数据占用了多少手机存储空空间？你在淘宝和京东有多少购物记录，在滴滴有多少出租车记录？

你有没有遇到过这样的情况:如果你在现金贷款平台上注册了手机，在接下来的几天里，你可能会收到来自其他现金贷款平台的骚扰短信？无论你如何发送“n”或“td”，你都不能取消订阅，而且你偶尔会被骚扰。

你有没有遇到过:一些你已经卸载的社交应用或生日提醒应用，有一天突然用短信提醒你，朋友给你发私人信息或鲜花，并直接显示这些朋友的名字？

根据杜南个人信息保护研究中心发布的《2017年个人信息保护年度报告》，互联网平台隐私政策透明度分布呈陡峭的金字塔形，即透明度高的互联网平台很少，透明度低的比例超过80%；在互联网金融平台和购物平台中，低透明度的比例甚至超过90%。

报告还发现，一些重要条款在互联网平台上普遍缺失，这些条款的内容无一例外都指向企业责任。条款的缺乏降低了公司的责任，最终可能会侵犯用户的利益。同时，互联网平台的隐私政策也存在很多不足，如缺少用户权利条款、文本相似、更新缓慢、隐藏格式条款等。

在实践中，会遇到“霸王条款”，默认情况下会检查使用协议。如果未选中，相关应用程序将无法使用。这些协议通常是不平等的，平台的权利远远超过责任，这可以说是明显不公平的。

例如，过去闹得很大的《芝麻服务协议》，根据该协议，当用户授权芝麻信贷收集信息，同时默许第三方查询非贷款等非商业秘密信息时，芝麻信贷可以直接向第三方提供相关信息。

2

相关法律法规

金融是一个高度基于数据的行业。在个人金融业务领域，需要大规模收集和使用个人信息，这导致了个人信息的保护。在中国，许多早期的法律法规都涉及到了。

1995年5月颁布、2003年12月修订的《商业银行法》第三章“保护存款人”规定，商业银行办理个人储蓄存款业务，应遵循存款自愿、取款自由、存款计息和存款人保密的原则。这是中国首次以法律的形式确立金融机构对存款人保密的法律原则。

2006年10月颁布的《反洗钱法》要求金融机构建立按规定保存客户身份数据和交易记录的制度，并对未按规定保存客户身份数据和交易记录或披露相关信息的违法行为规定严格的处罚措施。

2013年3月15日生效的《信用信息产业管理条例》全面规范了信用信息的收集、整理、保存和处理活动，并向信息使用者提供信用信息，对非法收集、查询和使用信用信息的行为给予了严厉的行政处罚。

除上述法律法规外，金融领域的个人信息保护主要是中央银行发布的部门规章，包括2005年8月实施的《个人信用信息基础数据库管理暂行办法》、2006年11月制定的《金融机构反洗钱规定》、2007年6月制定的《金融机构客户身份识别和客户身份数据及交易记录管理办法》、2010年6月制定的《非金融机构支付服务》

上述法律法规规定了个人信用信息的提交、整理、查询、异议处理、安全管理和行政处罚，并规定了客户身份数据和交易记录的保护管理措施、技术措施和保存期限。

值得一提的是，《金融机构客户身份识别、客户身份数据和交易记录保存管理办法》首次将从事汇兑业务、支付清算业务和基金销售业务的机构纳入金融信息保护的主要范围。

此外，还有一些规范性文件，包括2011年1月《银行业金融机构关于个人金融信息保护的通知》、2012年3月《金融机构关于进一步保护客户个人金融信息的通知》和2012年12月《非金融机构支付服务管理办法实施细则》，均由央行制定。

3

监督落后于现实

然而，到目前为止，还没有一部专门的个人信息保护法，尤其是近年来互联网金融如火如荼的时候，个人信息保护问题日益突出，相关法律法规也没有实质性的突破。

在上述监管体系中，《商业银行法》和《反洗钱法》是最有效的法律，但它们颁布已有10多年，远远落后于时代。央行发布的部门规章最多只能被视为行政业务说明，不构成法律解释。

这使得监管当局难以在实践中严格执行这些规定。目前，个人信用许可证尚未发放，监管部门对市场主体的一些跨境行为缺乏实质性约束。

例如，《信用信息产业管理条例》明确禁止征信机构收集个人收入、存款、证券、商业保险、房地产和纳税金额等信息。然而，如果你打开支付宝-芝麻信用，你会发现芝麻信用总是诱导用户上传财产信息，车辆信息，公积金和信用卡账单。

另一个关键问题是，金融机构因违反个人信息受到监管系统的严厉处罚，但对第三方支付等非金融机构的处罚明显较轻，缺乏惩戒力度。

《商业银行法》规定，违反规定向外界提供金融信息的行为，如非法查询等，应当责令改正。有违法所得的，没收违法所得。违法所得在五万元以上的，处以违法所得一倍以上五倍以下的罚款；没有违法所得或者违法所得不足五万元的，处以五万元以上五十万元以下的罚款。

《非金融机构支付服务管理办法》对不按规定保存相关信息、保守客户商业秘密等非法保存和使用金融信息的，责令限期改正，给予警告或者处以1万元以上3万元以下的罚款。

与对金融机构的行政处罚相比，对非金融机构即支付机构的行政处罚种类单一，数额较低，因此违规成本极低。这也导致这样一个事实，即在执法实践中，金融机构和非金融机构不能平等对待同样的违法行为。

这种差别待遇很可能会给第三方支付和新的互联网金融机构释放一种宽松的过期信息，从而导致它们更加重视对个人信息的保护。

随着新金融的快速发展，个人信息侵权违法犯罪活动中使用的技术手段日益复杂。因此，一方面，迫切需要将新的金融主体纳入监管范围，另一方面，要充分利用监管技术，及时填补真正的空和漏洞。

4

个人信息保护新时代

2017年4月，在由中央银行信贷管理局、世界银行集团国际金融公司和亚太经合组织工商理事会联合举办的“个人信息保护与信用管理”国际研讨会上，中国互联网金融协会会长李东荣指出，目前中国没有专门的个人信息保护法，应充分吸收和借鉴国际经验和最新探索成果，在发展阶段和立法程序上尊重中国的实际国情，加快推进个人信息保护专项立法。

李东荣建议，按照“顶层设计”与“迫切需要优先”、“充分利用现有法律”和“及时弥补空白”相结合的原则，加强基本法与配套法规的协同作用，尽快将个人信息保护全面纳入法律框架。

他还提出严格政府监管，从保护信息主体权益和强调机构责任入手，以个人信息采集处理机构为重点，统一监管要求和处罚标准，从信息安全、隐私保护等方面实施严格监管，对机构违法违规行为进行重罚。

事实上，保护个人信息不仅仅是金融监管部门的责任。从最高法、互联网信息办公室到工业和信息化部等部门，他们都在加快行动。

2017年5月，最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》；6月1日，《网络安全法》正式实施。7月，国家网络信息办公室和其他四个部委发起了一项保护个人信息的特别行动。

工信部近日在采访百度、蚂蚁金服和今日头条时透露，工信部已组织技术部门持续监控相关手机应用中是否存在侵犯用户个人隐私的情况，并将加强对互联网服务信息采集、使用规则和销户环节的监督检查。一旦发现违反法律法规的行为，将进行严肃调查并向公众公布。

同时，工业和信息化部要求所有互联网公司严格遵守相关法律法规，遵循合法性、合法性和必要性的原则，收集和使用用户的个人信息，但不包括服务所需的信息，将信息用于服务以外的目的，以及非法出售或向他人提供个人信息。同时，进一步优化服务协议、用户隐私政策和手机接入指令，维护用户合法权益。

2018年1月4日，央行正式公布了“信用社”的相关信息，这有望成为中国个人征信领域的一个里程碑。

新联是由中央银行牵头的全国网上金融个人信用基础数据库。其主要目的是纳入央行信用信息中心无法覆盖的个人客户的金融信用数据，实现行业间的信息共享，有效降低风险成本。