当前位置:
网站首页 > 研讨

“网络借贷与个人信息保护”研讨会

54日,由上海金融与法律研究院主办的“SIFL·网络借贷与个人信息保护”在浙江千岛湖举行。来自金融及法律领域的十多位专家学者与来自互联网金融企业代表如借贷宝、蚂蚁金服等,一同围绕“隐私保护和平台责任”这一大数据时代的重要议题同台论道,以期共同厘清互联网平台个人信息保护的相关内容,供企业镜鉴,助力普惠金融的健康发展。

对于“网络平台数据安全保障的法律责任”、“隐私和数据市场监管”、“如何取得网络信贷数据收集与个人信息保护的平衡”等这些普遍受关注的问题,与会的专家、学者们展开了激烈的讨论,并纷纷提供了自己的专业建议。

大数据时代个人信息保护模式需改变 管理与保护并重

上海交通大学凯源法学院副教授、博导黄韬对于“新时代下的个人金融信息保护问题”,他认为保护的客体不再是不希望为人所知的“秘密”,而是有商业价值的信息。个人金融信息的商业价值(社会价值)日益突出。提供何种程度的保护;以何种方式来进行保护;如何界定个人金融信息的产权才是最大化其价值的,本人还是信息的使用者?如何权衡隐私保护和信用开发的价值等是国家强制性立法需要考量的。

黄韬认为,个人金融信息的法律保护实质上是权利的定价问题。在契约关系场景中个人权利的放弃是为了获得更好的交易条件(科斯谈判),而在非契约场景中更需要考虑金融市场的特殊需要。

北京大学法学院薛军教授认为,平台经营者个人信息安全保障责任的第一个维度是确保其收集和掌握的个人信息不被第三方非法窃取。判断平台经营者是否有足够的技术能力来保护自己收集的个人信息不被非法窃取,需要建立相应的评估机制和技术标准;第二个维度是平台经营者确保其收集和掌握的个人信息不发生主动的泄露。为此需要采取技术与管理手段来防范内鬼以及采取责任倒逼机制,通过严格追究平台责任来促使平台采取更加严格的内部管理和内控约束机制。

薛军教授还建议对个人信息采取分类保护机制,尊重“以隐私换服务,以信息换便利”的可能性。在个人信息保护模式上采取更加具有灵活性的行为规制的路径而非排他性太强的先验赋权模式。结合具体情况,应该以行政监管为主导,考虑建立一站式的集中监管体制,减少企业个信保护合规成本。监管措施上应该更加具有回应性特征,强调协商机制的运用。

如何取得网络信贷数据与个人信息保护的平衡,中国人民大学金融科技与互联网安全研究中心副主任许可认为首先需要转变观念,从企业利益和个人权利的冲突,转变到个人对自身权利——个人信息权和信用权的取舍。个人信用和个人信息其实是相互替代的关系,个人信用权和个人信息权利也是此消彼长。

其次,信用权和个人信息权利需要取得动态的平衡。通过金融隐私指数跨国比较表明,美国的金融信息保护弱于欧盟,但美国的信贷获取比例高于欧盟各国。美国经济学分析表明:要用户明示同意才能共享信息的情形下,贷款违约率都上升了。

在论坛现场,北京大学法学院博士后余佳楠也分享了她的观点。她认为,数据已成为企业资产的重要组成部分,个人与企业以及社会之间围绕信息的提供、使用、挖掘、变价、跨境流动所形成的法律关系,需要在利益平衡的基础上进行综合分析。在强调个人信息保护的基础上,对于经营中所积累的用户数据,也应当尊重与认可企业的相关合理利益,在产业发展、数据价值实现与个人安全保护与生活安宁之间达成良性互动与平衡。

上海财经大学商学院教研部钟鸿钧主任认为,隐私保护应该具体问题具体分析,跟踪技术使得商家可以推测消费者偏好,更加容易实施差别定价。另外,消费者难以完整理解或预期个人信息被交易/保护的后果,个体有关隐私的决策也未必是理性的。而且,技术和社会变迁对监管的影响要远高于其他方面的监管。基于这几个原因,隐私监管要难以构建统一的监管框架,而适用个性化和微调的方法。

作为信息中介,网络借贷平台有没有审查义务?浙江大学光华法学院钟瑞庆副教授认为,“根据合同法,作为居间人的信息中介,并无审查义务,其仅承担故意责任。作为普通的居间,这个责任规定并无问题,但对于借贷合同,这显然是不够的;如果认定有审查义务,即意味着信息中介在信息错误而导致违约时承担连带责任。这又导致信息中介实质上介入了借贷合同之中。”

北京师范大学刑科院暨法学院副教授、中国互联网协会研究中心秘书长吴沈括分享了GDPR制度的落地影响。今年525日,商讨四年的欧盟一般数据保护条例GDPR(General Data Protection Regulation,简称GDPR)将正式施行,要求不论是政府或是民间组织,都有义务保护其所搜集、处理、利用的个人数据。一旦违反该条例,将被处以高额的行政罚款,违规行为还包括纯粹程序性的违规行为。其罚款范围是1000万到2000万欧元,或企业全球年营业额的2%4%,并且以较大数额为准。

欧盟这则最严厉的数据保护法,为大数据时代裸奔的大众穿上了衣服。吴沈括副教授认为可以预见,对个人隐私数据执行严厉的保护法案,也可能成为未来的趋势,预计类似GDPR的法案也会迅速波及欧盟以外的其他地区。

他同时强调,对动态变动的全球规则的研判能帮助我们清晰建构价值的顶层设计,基于行业的利益平衡规则,立足性质的差别规范设计可以是一种应对GDPR的方案。

作为企业,如何实现个人数据保护与隐私管理?

当前,隐私保护已经是一个全社会高度关注的热门话题,个人、企业和国家三方都认为应该完善和加强隐私保护。蚂蚁金服战略部高级总监齐新宇分析认为目前并没有形成同时满足个人、企业和国家三方需求的共识的原因在于:一方面,隐私的含义和外延因时、因人、因事而异;另一方面,技术进步、商业利益及其拓展、政策的未知和变化,极大地增加了隐私保护的难度。这种困境也给蚂蚁金服带来了现实的挑战。

齐新宇表示,中国是世界上数字经济发展最快的国家之一,但在数据安全和隐私保护方面的理论研究和法律都明显滞后于实践。限于不同讨论者的基本出发点、分析框架存在很大差异,所以关于隐私保护的讨论往往很难达成共识。目前迫切需要建立一个清晰的隐私保护框架,以便聚焦核心问题,提出有针对性、可持续性、可操作性的应对框架。用经济学的分析框架分析隐私保护问题有利于形成各方对隐私的共识,避免过度保护对数字经济的制约。

腾讯数据隐私合规资深专家赵冉冉也在会上分享了国外公共部门跨境调取数据的几个案例,希望能给国内的企业提供参考。

大数据征信和个人信息保护天然有冲突,网贷行业需要创新。借贷宝副总裁曾军认为,“行业要有底线意识,用户的知情同意是任何一家互联网金融机构都不容践踏的规则底线。”对于如何提高企业对于用户个人隐私的保护,曾军表示,网贷平台采集、使用用户信息(数据)之前,一定要用户知情同意,是底线,无论从法律还是伦理角度讲,都不容挑战,不能有任何含糊,各家企业要树立这一自觉性。

他强调,“进入互联网时代,个人信息保护变得重要、困难且复杂。严格守住‘知情同意’底线,宽容对待业务创新,我相信这样能多方共赢”。

曾军表示,借贷宝应该是采集个人信息最少的网贷平台,因为借贷宝的业务模式特别,判断借款人信用的,不是平台,而是出借人。“与借款人信用相关的信息,存在出借人脑子里,平台无法采集,也无需采集。平台只需要验证借贷双方是本人,以保证电子借条与纸质借条法律效力相同。鉴权还是通过银行,平台并不截留敏感数据”。

曾军介绍道,借贷宝采用的是一种强数据征信模式,主要记录用户借贷交易明细。他强调,“强数据征信”是一种低风险、高效率的征信模式。

据悉,南都个人信息保护研究中心和中国人民大学金融科技与互联网安全研究中心曾选取了公众使用最为频繁的200款移动金融交互类APP,从隐私政策、敏感权限获取、财产身份信息收集告知等3个角度,对个人信息保护水平进行了测评。并在今年315日联合发布了一份《移动金融用户个人信息安全测评报告》,其中,京东金融第一,支付宝第二,小米金融和借贷宝并列第三。

数据本身没有善恶对错之分,如何使用数据,是对企业的道德和生命力的严峻又长期的考验。在当今信息化时代,个人信息既不再是隐私权的客体,也不是人格权衍生出的财产权的组成部分,而成为国家、数据企业和个人共享的宝贵数据资源。因此,与会专家纷纷表示认同:关于个人信息的立法不应再狭隘地局限于个人利益或私权保护,应侧重规范信息资产合理开发中个人利益和社会公共利益的平衡,应更好地发挥个人信息在促进个人全面发展和推动社会进步中的公共产品作用。专家们认同这是大势所趋,也是我国法律适应大数据时代发展需求的必然选择。


  • 平台城市•城市峰会
  • SIFL年会2017
  • 【鸿儒论道】曹远征:从金融体制变革看中国改革开放四十年
  • 上海社会认知调查
  • 研究员评论