“數(shù)據(jù)黑產(chǎn)”背后的個(gè)人信息保護(hù)合規(guī)問(wèn)題探析

數(shù)據(jù)黑產(chǎn) 信息保護(hù) 大數(shù)據(jù)

吳丹君周天一 | 2017-08-10 11:14

【數(shù)據(jù)猿導(dǎo)讀】大數(shù)據(jù)風(fēng)控企業(yè)數(shù)據(jù)來(lái)源分為平臺(tái)接入與技術(shù)搜集兩類(lèi)，而通過(guò)爬取、買(mǎi)入、交換、撞庫(kù)等灰色手段獲取的信息也更容易成為“數(shù)據(jù)黑產(chǎn)”

“數(shù)據(jù)黑產(chǎn)”背后的個(gè)人信息保護(hù)合規(guī)問(wèn)題探析

根據(jù)公安部最新披露的消息，從今年3月至今，公安部開(kāi)展了打擊整治黑客攻擊破壞和網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪的專(zhuān)項(xiàng)行動(dòng)，在全國(guó)范圍內(nèi)共偵破侵犯公民個(gè)人信息案件和黑客攻擊破壞案件1800余起，抓獲犯罪嫌疑人4800余名，查獲各類(lèi)公民個(gè)人信息500多億條。與此同時(shí)，涉案金額達(dá)5000萬(wàn)元以上，利用蘋(píng)果公司內(nèi)部系統(tǒng)平臺(tái)，非法查詢蘋(píng)果手機(jī)關(guān)聯(lián)的個(gè)人信息進(jìn)行售賣(mài)牟利的蘋(píng)果中國(guó)公司及外包公司員工買(mǎi)賣(mài)個(gè)人信息一案，也已于近日開(kāi)庭審理。顯然，“數(shù)據(jù)黑產(chǎn)”帶來(lái)的個(gè)人信息泄露問(wèn)題已不容忽視。

近年來(lái)，互聯(lián)網(wǎng)金融的十分火爆，各類(lèi)網(wǎng)貸平臺(tái)、消費(fèi)金融機(jī)構(gòu)在線獲客需求暴增，并倒逼傳統(tǒng)銀行轉(zhuǎn)型，更多借助互聯(lián)網(wǎng)拓展零售客戶。而鑒于互聯(lián)網(wǎng)金融平臺(tái)在擴(kuò)大規(guī)模的過(guò)程中多開(kāi)展現(xiàn)金貸業(yè)務(wù)，在精準(zhǔn)獲客的同時(shí)保證對(duì)客戶征信信息的有效獲取便催生了大數(shù)據(jù)風(fēng)控的興起。

大數(shù)據(jù)風(fēng)控企業(yè)數(shù)據(jù)來(lái)源分為平臺(tái)接入與技術(shù)搜集兩類(lèi)，而通過(guò)爬取、買(mǎi)入、交換、撞庫(kù)等灰色手段獲取的信息也更容易成為“數(shù)據(jù)黑產(chǎn)”。

數(shù)據(jù)信息來(lái)源合法合規(guī)亟待實(shí)現(xiàn)

大數(shù)據(jù)風(fēng)控企業(yè)應(yīng)當(dāng)合法收集主體信息

有鑒于此，維護(hù)數(shù)據(jù)信息來(lái)源的合法合規(guī)值得高度重視。2012年全國(guó)人大常委會(huì)發(fā)布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》就提出保護(hù)能夠識(shí)別個(gè)人身份和涉及隱私的電子信息，作為網(wǎng)絡(luò)服務(wù)提供者的大數(shù)據(jù)風(fēng)控企業(yè)在業(yè)務(wù)活動(dòng)中收集的公民個(gè)人電子信息必須嚴(yán)格保密。

2013年工信部聯(lián)合多家單位制定的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（下稱(chēng)《指南》），成為我國(guó)首部個(gè)人信息保護(hù)標(biāo)準(zhǔn)，《指南》雖未強(qiáng)制執(zhí)行，但其將個(gè)人信息分為一般信息和敏感信息（包括身份證號(hào)碼、手機(jī)號(hào)碼、種族、政治觀點(diǎn)、宗教信仰、基因、指紋等），規(guī)定了獲取上述不同類(lèi)別的個(gè)人信息的默示同意與明示同意的區(qū)別以及信息管理者的最少夠用原則，值得大數(shù)據(jù)風(fēng)控企業(yè)參考。需要注意的是，2013年9月實(shí)施的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第一次明確了互聯(lián)網(wǎng)信息服務(wù)提供者不得收集其提供服務(wù)所必需以外的用戶個(gè)人信息并將其用于提供服務(wù)之外的目的，顯然，大數(shù)據(jù)風(fēng)控企業(yè)所收集的主體信息應(yīng)僅為互聯(lián)網(wǎng)金融信貸平臺(tái)服務(wù)所需，不得另作他用。

互聯(lián)網(wǎng)金融平臺(tái)應(yīng)構(gòu)建內(nèi)部個(gè)人信息保護(hù)制度

早在央行2005年公布的《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫(kù)管理暫行辦法》中就明確了商業(yè)銀行對(duì)用戶信用信息調(diào)取的內(nèi)部授權(quán)制度和查詢管理程序，并強(qiáng)調(diào)商業(yè)銀行本身應(yīng)當(dāng)構(gòu)建的個(gè)人信用安全管理制度，互聯(lián)網(wǎng)金融平臺(tái)在收集用戶信用信息時(shí)所處地位與商業(yè)銀行本質(zhì)上無(wú)異，根據(jù)上述規(guī)定構(gòu)建相關(guān)制度更能有效減少信用信息泄露的可能性。此外，根據(jù)《征信業(yè)管理?xiàng)l例》第29條的規(guī)定，從事信貸業(yè)務(wù)的機(jī)構(gòu)向國(guó)家金融信用信息基礎(chǔ)數(shù)據(jù)庫(kù)或者其他主體提供信貸信息的，應(yīng)當(dāng)事先取得信息主體的書(shū)面同意，顯然，若互聯(lián)網(wǎng)金融平臺(tái)需要將主體信息交由大數(shù)據(jù)企業(yè)使用和分析，應(yīng)當(dāng)事先取得信息主體的書(shū)面同意，否則構(gòu)成違規(guī)。

違規(guī)截留個(gè)人信息應(yīng)當(dāng)禁止

我國(guó)現(xiàn)有的個(gè)人信息數(shù)據(jù)源頭的主要包括三個(gè)，即公安部下屬的全國(guó)公民身份證號(hào)碼查詢中心（下稱(chēng)身份證查詢中心）、三大移動(dòng)通信運(yùn)營(yíng)商以及各銀行。以身份證查詢中心為例，其對(duì)外正式授權(quán)身份核驗(yàn)服務(wù)的有八家代理商，實(shí)際經(jīng)營(yíng)中代理商多存在留存數(shù)據(jù)的情形，但身份證查詢中心并沒(méi)有技術(shù)手段去檢查代理商的數(shù)據(jù)二次留存情況，其中的法律風(fēng)險(xiǎn)可想而知。

此外，當(dāng)前無(wú)論是授權(quán)代理機(jī)構(gòu)，還是未經(jīng)授權(quán)的第三方支付機(jī)構(gòu)，只要通過(guò)API模式接入官方數(shù)據(jù)系統(tǒng)，都存在違規(guī)截留個(gè)人信息的現(xiàn)象。

就大數(shù)據(jù)風(fēng)控企業(yè)違規(guī)留存?zhèn)€人信息數(shù)據(jù)的問(wèn)題，除之前《指南》已提到的最少夠用原則外，《網(wǎng)絡(luò)安全法》第四章明確要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)依照與用戶的約定保存其個(gè)人信息，必要時(shí)進(jìn)行數(shù)據(jù)脫敏與模糊化處理，應(yīng)當(dāng)引起大數(shù)據(jù)風(fēng)控企業(yè)的重視。

兩高解釋降低泄露個(gè)人信息責(zé)任門(mén)檻

今年6月1日與《網(wǎng)絡(luò)安全法》同時(shí)實(shí)施的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（下稱(chēng)兩高解釋?zhuān)?，將《網(wǎng)絡(luò)安全法》對(duì)公民個(gè)人信息范圍的規(guī)定拓展為“反映特定自然人活動(dòng)情況的各種信息”，諸如行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息為重要信息，而住宿信息、通信記錄、健康生理信息、交易信息等為敏感信息，并首次明確了公民個(gè)人“財(cái)產(chǎn)信息”屬于最嚴(yán)格保護(hù)的范疇，而且指出財(cái)產(chǎn)信息既包括傳統(tǒng)銀行賬戶，也包括第三方支付結(jié)算賬戶。結(jié)合新實(shí)施的《測(cè)繪法》與之前《指南》的相關(guān)內(nèi)容，公民個(gè)人信息的保護(hù)力度得到了空前加強(qiáng)。

從大數(shù)據(jù)風(fēng)控企業(yè)的角度來(lái)看，兩高解釋第5條的10款規(guī)定可謂“招招致命”：包括違法所得5000元以上；非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息50條以上；非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息500條以上；非法獲取、出售或者提供以上兩項(xiàng)規(guī)定以外的公民個(gè)人信息5000條以上；將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息出售或者提供給他人，數(shù)量或者數(shù)額達(dá)到前述幾項(xiàng)規(guī)定標(biāo)準(zhǔn)一半以上等。從中可以看出兩高解釋的適用范圍已然擴(kuò)大，將以前模糊的、不太確定是否構(gòu)成犯罪或治安管理處罰、民事責(zé)任的行為，劃了很低門(mén)檻，諸如搜集通訊錄、搜集電商平臺(tái)如京東或淘寶的交易信息達(dá)500條即會(huì)受到刑事處罰。

此外，兩高解釋對(duì)于“情節(jié)特別嚴(yán)重”的量刑標(biāo)準(zhǔn)是，數(shù)量數(shù)額達(dá)到“情節(jié)嚴(yán)重”前述幾項(xiàng)標(biāo)準(zhǔn)的10倍以上，而5萬(wàn)條以上的信息非法獲取，對(duì)很多互聯(lián)網(wǎng)金融平臺(tái)和數(shù)據(jù)風(fēng)控企業(yè)來(lái)說(shuō)可能只是一天的業(yè)務(wù)量。

兩高解釋的出臺(tái)使得過(guò)去一次搜集無(wú)限制使用個(gè)人信息的日志一去不返，此后必須明示個(gè)人信息的用途和使用范圍，將對(duì)業(yè)內(nèi)產(chǎn)生較大影響，大數(shù)據(jù)企業(yè)尤其是風(fēng)控類(lèi)企業(yè)應(yīng)當(dāng)保持警醒，切不可越過(guò)法律的雷池。

注：

本文由 觀韜中茂（上海）律師事務(wù)所 投稿數(shù)據(jù)猿發(fā)布。

歡迎更多大數(shù)據(jù)企業(yè)、愛(ài)好者投稿數(shù)據(jù)猿，來(lái)稿請(qǐng)直接投遞至：tougao@datayuan.cn

來(lái)源：數(shù)據(jù)猿

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關(guān)內(nèi)容都會(huì)注明來(lái)源與作者；轉(zhuǎn)載我們?cè)瓌?chuàng)內(nèi)容時(shí)，也請(qǐng)務(wù)必注明“來(lái)源：數(shù)據(jù)猿”與作者名稱(chēng)，否則將會(huì)受到數(shù)據(jù)猿追責(zé)。