金融科技规定研究系列:有关网络安全、大数据、个人信息保护的小结
2019-07-26
金融科技英译为Fintech,是Financial Technology的缩写,可以简单理解成为Finance(金融)+Technology(科技),金融科技主要是指由大数据、区块链、云计算、人工智能等新兴前沿技术带动,对金融市场以及金融服务业务供给产生重大影响的新兴业务模式、新技术应用、新产品服务等。大数据与金融科技相结合,有助于金融企业不断提升效率和服务能力。大数据的发展促进了数据本身价值的提升,所面临的网络空间安全问题也日益剧增。个人信息作为一种大数据,直接涉及到个人的权利及安全,对相关数据的保护提出了更高的要求。网络安全、大数据、个人信息保护三者不可分割,相互交织,紧密相连。
目前,我国在网络安全、大数据、个人信息保护三个领域的法律法规均不完善,在实践中出现了一些新问题、新现象,立法缺失的弊端日益突显。为及时解决相关问题,明确方向,促进金融科技与保护个人权利同步发展,我国相关主管部门于近期先后出台了一系列与之相关的法规规定的征求意见稿,正逐步完善相关立法。为从整体上把握网络安全、大数据、个人信息保护的立法趋势,更好的服务客户,笔者将目前的法律法规(包括处于草案及征求意见稿阶段的法律法规)予以小结,以期抛砖引玉。本文共分为四个部分,分别为:与网络安全、数据安全、个人信息保护相关的法律法规、网络安全部分、数据安全部分及个人信息保护部分。
一、与网络安全、数据安全、个人信息保护相关的法律法规
二、网络安全部分
据资料显示,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全的主要特征体现为:保密性、完整性、可用性、可控性和可审查性。
现阶段我国有关网络安全的立法并不完善。目前我国确定的已经生效的或列入立法日程的有关网络安全的法律或法规主要包括:《中华人民共和国网络安全法》、《网络安全审查办法》、《网络安全漏洞管理规定》、《网络关键设备安全检测实施办法》。其中,已经颁布实施的只有《中华人民共和国网络安全法》,其他法规尚处于公开征求意见阶段。
(一)《中华人民共和国网络安全法》
简析
《中华人民共和国网络安全法》从网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等几方面对网络安全问题予以了规范,其中,在实务中遇到较多的情况包括:(1)网络运营者在处理个人数据信息时如果把握尺寸的问题。上表格中4.3明确了具体的判断原则,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”也可以理解为,原则上未经个人同意,网络运营者不得直接提供个人信息,但如将个人信息予以处理变成“产品”,以至于无法识别特定个人信息且不能复原的情形除外。如直接出售或使用个人的私人信息(手机号、身份证信息),是违法的,但如将该等信息制作为“产品”,如通过收集信息的处理,判断某个地区某类产品畅销、消费群体等信息,不再直接体现为私人信息,则是允许的。
(二)《网络安全审查办法(征求意见稿)》
为提高关键信息基础设施安全可控水平,维护国家安全,国家互联网信息办公室于2019年5月21日发布了《网络安全审查办法(征求意见稿)》,向社会公开征求意见。该办法主要规范的是关键信息基础设施运营者(以下简称运营者)采购可能影响或可能影响国家安全的网络产品和服务的行为。运营者采购网络产品和服务时,应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告。对于包括可能导致关键信息基础设施整体停止运转或主要功能不能正常运行及大量个人信息和重要数据泄露、丢失、毁损或出境等行为的,需网络安全审查办公室申报网络安全审查。
三、数据安全部分
据资料显示,大数据(bigdata)指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。大数据技术的战略意义不在于掌握庞大的数据信息,而在于对这些含有意义的数据进行专业化处理。换而言之,如果把大数据比作一种产业,那么这种产业实现盈利的关键,在于提高对数据的“加工能力”,通过“加工”实现数据的“增值”。随着云时代的来临,大数据也吸引了越来越多的关注。
大数据的应用离不开相关数据安全的保护,但目前我国有关数据安全的立法并不完善,更谈不上相关法律法规的执行。当前我国确定的列入立法日程的有关大数据保护的法律或法规主要包括:《数据安全法》及《数据安全管理办法》,前者已被列入“条件比较成熟、拟提请审议”草案阶段,后者目前正在征求意见阶段。
(一)《数据安全管理办法》(征求意见稿)
为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,国家互联网信息办公室于2019年5月28日发布了《数据安全管理办法(征求意见稿)》。
简析
通过整理《数据安全管理办法》(征求意见稿),我们发现,该规定与我们日常生活息息相关,如我们日常使用APP经常遇到的“定向推送”广告,强制“一揽子授权”等现象,在该办法中均有相应的规范。当该办法生效后,前述现象将受到规范与约束。
四、个人信息保护部分
隐私权为个人民事权利中的人身权利的一种,依法受法律保护。个人信息受法律保护,任何组织和个人不得非法收集、使用、加工、传输、非法买卖、提供或者公开他人个人信息。同时,隐私权列为民事权益的一种,侵害民事权益,应当依法承担侵权责任;被侵权人有权请求侵权人承担侵权责任。隐私权及个人信息的保护主要体现在《民法总则》及《侵权责任法》中。
附:相关条款
《侵权责任法》第二条 侵害民事权益,应当依照本法承担侵权责任。
本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。
被侵权人有权请求侵权人承担侵权责任。
《民法总则》第一百零九条 自然人的人身自由、人格尊严受法律保护。
第一百一十条 自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。
第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
而随着网络、大数据的发展,个人隐私、个人信息的保护受到了巨大的挑战。目前我国有关个人信息保护的法律法规并不完善,当前我国确定的列入立法日程的有关个人信息保护的法律或法规主要包括:《个人信息保护法》、《儿童个人信息网络保护规定》、《个人信息出境安全评估办法》。前者处于草案阶段;后两者处于公开征求意见阶段。
(一)《儿童个人信息网络保护规定》(征求意见稿)
为了保护儿童(此处指不满十四周岁的未成年人)个人信息安全,促进儿童健康成长,2019年5月,国家互联网信息办公室发布《儿童个人信息网络保护规定》征求意见稿。该意见稿共28条,规定更为严格,其中,特别规定:设立设立个人信息保护专员、征得儿童监护人的明示同意、最小授权等方面。具体体现为:
(二)《个人信息出境安全评估办法》(征求意见稿)
为保障数据跨境流动中的个人信息安全,国家互联网信息办公室于2019年6月13日发布了《关于<个人信息出境安全评估办法(征求意见稿)>公开征求意见的通知》,对《个人信息出境安全评估办法(征求意见稿)》公开征求意见。该征求意见稿全文共22条,重点强调了个人信息出境申报评估、申报材料、个人信息出境记录、出境合同内容及权利义务要求、分析报告内容要求等内容:
(三)《App违法违规收集使用个人信息行为认定方法》(征求意见稿)
App专项治理工作组于2019年5月5日发布了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》,向社会公开征求意见。该办法将违法违规收集使用个人信息行为分为七大类,在每一类里又具体列举了几类情形。这七类情形主要包括:(1)没有公开收集使用规则的情形;(2)没有明示收集使用个人信息的目的、方式和范围的情形;(3)未经同意收集使用个人信息的情形;(4)违反必要性原则,收集与其提供的服务无关的个人信息的情形;(5)未经同意向他人提供个人信息的情形;(6)未按法律规定提供删除或更正个人信息功能的情形;(7)侵犯未成年人在网络空间合法权益的情形。
本文作者:
声明:
本文由k8凯发天生赢家·一触即发律师事务所律师原创,仅代表作者本人观点,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。