2019大数据产业峰会|对外经济贸易大学许可:金融数据的二元性:破解安全与利用的悖论
|
为了深入落实国家大数据战略,推动大数据产业交流与合作,展示我国大数据产业最新发展成果,2019年6月4日至5日,由中国信息通信研究院、中国通信标准化协会主办,大数据技术标准推进委员会承办的2019大数据产业峰会在北京国际会议中心隆重开幕。6月5日,大数据安全论坛隆重举行。 金老师的演讲内容特别丰富 不仅为我们详细地解析了医疗行业个人信息保护自身的特点和应当关注的重点,也从基于健康医疗数据安全指南标准的内容为我们介绍了在医疗健康行业数据保护的措施和工具上的选择和应用。无独有偶,金融行业作为信息密集型和价值密集型行业,金融业领域的大数据安全保护同样引人关注,下面有请对外经济贸易大学数字经济与法律创新研究中心执行主任许可博士,他的演讲主题是“金融数据的二元性:破解安全与利用的悖论”,有请许博士。
对外经济贸易大学数字经济与法律创新研究中心执行主任 许可 感谢陈主任的介绍,也非常荣幸能有机会在这里和大家分享我们关于金融数据的想法。在开始演讲之前,我想稍微再多说两句,为什么以金融数据作为讨论的对象。我们都知道整个的数据研究和数据的立法,在传统来说都是大数据,都是Big Data,像欧盟的GDPR里讲的一般数据或者通用数据的保护。但是我们越来越发现,随着我们的研究和产业的发展,传统的将数据一揽子的保护或者同等的保护是不太适应现状的,我们发现数据必须遵循着它所使用的场景进行在不同场景下的保护。实际上我们看欧洲和美国的大数据发展产业,非常清楚地看到在欧洲试图建立一个一揽子的统一的数据保护框架,而在美国,它的数据的保护侧重于一些特殊的领域,比如说金融、医疗健康、通信,但是从后果来看,大一统地采取一部法律来管理所有的数据风险的这么一种做法并不是那么有助于整个数据行业的发展。刚才金老师谈到了数据的分级分类,在分级分类的基础之上再进一步的立法当中我一直倡导的观点是说能不能分级分类分行业?这个“行业”实际上就是金融行业、医疗行业,未来可能有更多的行业类型,但是无论如何,将数据进行一个统一的适用所有的数据类型显然是不符合现在产业发展的。 正因如此,我们要去深入到不同的应用场景之中去探讨数据的保护和数据利用这一对非常复杂的矛盾。谈到金融数据,首当其冲的一个问题是到底什么是金融数据,金融数据有几个界定,传统的界定来说,就像我们都知道中国金融监管是主体监管,或者简单说叫持牌机构,它是有金融监管部门——银保监、央行来去发的一些牌照,只有持有金融牌照的这些机构在开展业务时获取保存使用转移的个人数据和非个人数据才构成金融数据,这是传统的金融数据定义。实际上金融数据定义在美国也是这样,但是他们叫金融隐私。但是随着金融的泛化,尤其是互联网金融的兴起,我们发现越来越多的主体参与到了金融的服务之中,以至于现在的整个监管部门的思路已经从产生的主体监管,我只管那些持牌机构,慢慢向功能监管或者行为监管演进。里面的核心问题就是说尽管你不是金融机构,但是你从事的叫作金融性质的活动,你可能也会受到《金融法》和金融监管部门的监管。在现代的金融数据里面已经突破了持牌机构,不是只有持牌机构的数据才叫金融数据,那些非持牌机构或者叫类金融机构,比如现在各个地方金融局所监管的小贷公司、典当行,都有可能成为金融活动的主体,我们现在讨论金融数据的时候不太限于传统的金融机构,而是向类金融机构拓展,这是基本的界定。 谈论金融数据的时候有两个不同的类别,我们要分类,第一个类别是个人金融数据和个人有关的,还有非个人金融数据。实际上大家关注的焦点始终落在金融数据上,对于非个人金融数据,银保监,包括之前的银监会出台了很多关于金融数据的管理办法,更多的是从如何最大化地去管理金融数据的价值,保证它的安全出发。这里面现在说比较简单,但是在个人金融数据的领域非常复杂,因为涉及到很重要的一种利益,就是我们个人的隐私。所以在金融数据的讨论之中,在立法和学术的研究之中,非常重要的问题,最关键的问题不是金融非个人数据,而是个人金融数据或者叫金融个人数据。什么叫金融个人数据?一般来说它分成几种类型:首先是个人的身份信息,这个毫无疑问,我们去银行办理业务,他们要填一个表,申请一个信用卡要填表,这个表里把这些业务全部列出来了,个人财产信息,比如我们到银行申请贷款,就要提供你所有资产的证明,个人的账户信息,很简单,我们的银行开户,会有证券公司开户,我们就会有这些信息。信用信息,主要反映的是信用卡的还款情况,大家一定要注意这是非常狭义的信用信息,还有金融的交易信息,这里面进行了哪些金融的转账和第三方或者是和其他的卡相互之间的交易等等,最后还有衍生信息。 无论是哪些信息,有一点是肯定的,就是它必须是能够识别到特定的自然人或者与自然人相关联。这些信息林林总总,我们会看到它很重要的一个特征,它是一个敏感信息,在我国的《数据保护法》《网络安全法》类似的规定里面都有要求,数据包括一般信息或者一般数据或者敏感数据,所谓敏感数据是指一旦泄露滥用都会导致人身财产安全的威胁,极易引发个人名誉、身心健康遭到损坏或者歧视性待遇的个人信息,如果用刚才金老师所说的“三分法”,讲的是说敏感信息的泄露或者不当利用会导致你的安全造成损害,而不是简单保密性问题,所有数据三性问题之外如果产生泄露不仅仅伤害的是数据本身的三性,而且还有数据主体或者是整个社会的这么一种安全。所以在敏感数据和一般数据的分类中我们发现,金融数据基本上都属于敏感数据。《国家标准国家信息安全规范》里面谈到了银行的账号鉴别的信息、存款信息、房产信息、信贷信息、交易流水记录这些都属于个人的敏感信息,所以我们用这个界定反过头来去看刚才我们所说的个人金融数据的话,就发现几乎所有的金融数据都会落在敏感信息的这么一个场景下,其实好理解,我们每个人都不愿意告诉别人自己有多少钱、多少套房子,相对来说确实是比较敏感的。但是这种敏感除了出于个人隐私的考虑之外,更重要的是说我们担心这种信息一旦被泄露就会导致你的人身财产安全受到威胁。我们都知道山东非常悲惨的女孩的故事,徐玉玉为什么会被诈骗?很简单,因为她被黑客攻击数据库之后,发现国家会给她一个奖励,这个实际上就是财产信息,她就被黑客诈骗了。财产信息可能和你的财产是密切相关的,所以它确实属于一个个人的敏感信息。 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
