□董希淼 廉婧
早在 1980 年,未来学家阿尔温·托夫勒在《第三次浪潮》一书中,就提出了“大数据”(Big Data)的概念。随着新一轮科技革命发展,以大数据为代表的信息资源向生产要素形态演进。数据要素和其他要素一起融入到社会生产过程中,成为全球发展数字经济的战略性资源。与此同时,“大数据杀熟”等问题如影随形,愈演愈烈。
“大数据杀熟”
有了法律约束
“大数据杀熟”相对集中在网约车、网上购物、旅游票务平台等领域。如一些不法商家用大数据、物联网、人工智能等新技术作为“万能钥匙”,企图利用个人信息,将用户画像、算法推荐等自动化决策服务于资本牟利,严重侵害了消费者权益,也使数字经济发展蒙上阴影。
随着时代发展,“杀熟”被搬上互联网渠道如手机应用程序(APP)。尽管“大数据杀熟”的伎俩早已被消费者察觉,却因为线上消费的隐蔽性和复杂性,往往很难通过法律途径举证维权。
2020年10月1日,文化和旅游部出台我国第一部针对“大数据杀熟”的规定——《在线旅游经营服务管理暂行规定》,明确提出:“滥用大数据分析等技术手段对旅游者消费记录、旅游偏好等设置不公平交易条件的行为将被禁止”,并对违反规定的责任主体进行责令限期整改,没收违法所得,并处相应罚款。此后, 各地政府纷纷出台其他领域反“大数据杀熟”相关法规和办法。如深圳市率先出台国内首部数据领域综合性地方立法—《深圳经济特区数据条例》,对“大数据杀熟”等问题进行规制。部分城市还制定大数据发展规划、实施城市首席数据官制度,对包括“大数据杀熟”等问题进行整治,进一步规范数字经济发展。
更重要的是,国家开始从立法层面,着力规范数据处理活动,“大数据杀熟”的末日终将到来。2021年6月10日,十三届全国人大常委会第二十九次会议通过《中华人民共和国数据安全法》(以下简称《数据安全法》),明确要求:开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。两个月后,2021年8月20日,十三届全国人大常委会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),禁止“大数据杀熟”,明确:利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。同时还规定,个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。针对未成年人个人信息安全问题,明确将未成年人个人信息作为敏感个人信息予以严格保护。我国在短时间内,相继制定《个人信息保护法》与《数据安全法》,这将成为整治互联网时代经济秩序的铁腕手段。让数据向善,服务于民,这才是数字经济应有的态度。
保证数据安全
是金融业的重要课题
金融是数字经济的重点领域。属于数据密集型的金融行业,对数据依赖性极强,如何守护好个人信息,更好地做到数据向善,保证数据安全,是金融业必须面对的重要课题。
如今计算机存储亿级数据,海量数据储存和处理技术的发展使得数据的价值进一步凸显。金融机构正是基于海量客户数据进行用户画像,预测用户需求,推出具有市场竞争力的产品,结合场景进行智能化推荐,分析商业决策并通过时时风险管理和控制进而提升盈利能力,高质量的数据服务助力构建完善的金融生态体系。大数据至关重要,这使某些手机应用程序(APP)存在强制授权、过度索权、超范围手机个人信息等越界行为,强制对用户进行画像,过度收集个人信息造成的信息泄露可能使其他市场主体非法获利。实际上,大数据带来的问题远不止于此,某些算法可能触及侵犯公共利益。随着数字经济的发展,有效监管和法规约束是十分必要的。只有配套法律法规和监管制度实施以后,各市场主体才能够更好地享受大数据带来的便利。
对金融机构而言,下一步应从三个方面加以努力:
第一,在思想上,要高度重视客户信息保护。这既是维护金融消费者合法权益的重要内容,也是金融机构取信于社会和客户的基本义务和基础工作。应将保护个人信息的理念内化于金融机构血液中,以最严格的标准和最严密的措施确保客户信息安全。
第二,在管理上,金融机构应建立个人信息数据库分级授权管理制度。根据个人信息的重要程度、业务需要、敏感程度等,实行分级管理。例如,对未满十八周岁未成年人的个人信息,作为敏感个人信息予以更严格保护;对需要向境外提供的个人信息,应当通过国家相关部门的安全评估。在个人信息处理过程中,应在技术上对客户信息复制、查询有硬约束,比如建立分级审批、双人控制等要求。
第三,在机制上,加强个人金融信息安全保护的宣传教育。一方面,金融机构应开展员工内部培训,在工作中强化对用户个人信息的保护意识;另一方面,金融机构应当未雨绸缪,将加强信息保护等融入消费者教育内容,提高消费者金融素养和自我保护能力。
资本扩张进化愈快,就容易做到对每个人不同标价,但大数据并不是原罪,我们需要抵制的是将大数据作为利器,盗取消费者隐私的不良商家,利用收入层次、消费偏好和兴趣爱好“杀熟”客户,非法牟取不属于自己的利益。历史上无数的经验告诉我们,“杀熟”只是一时之计而不是长久之规,只有真正赢得消费者的信任才能永续发展。
(董希淼系招联金融首席研究员;廉婧系招联金融研究员)
相关链接
《网络安全法》 2013年10月列入十二届全国人大常委会立法规划;2016年11月7日,十二届全国人大常委会第二十四次会议通过;2017年6月1日正式施行。
《数据安全法》 2018年,十三届全国人大常委会公布立法规划;2021年6月10日,十三届全国人大常委会第二十九次会议通过,自2021年9月1日起施行。
《个人信息保护法》 2003年开始起草;2020年,《个人信息保护法(草案)》在十三届全国人大常委会第二十二次会议上进行初次审议;2021年两会再次被提起;2021年8月17日,十三届全国人大常委会第三十次会议审议的《个人信息保护法(草案)》三审稿进一步完善了个人信息处理规则;2021年8月20日,十三届全国人大常委会第三十次会议表决通过,自2021年11月1日起施行。
□董希淼 廉婧
早在 1980 年,未来学家阿尔温·托夫勒在《第三次浪潮》一书中,就提出了“大数据”(Big Data)的概念。随着新一轮科技革命发展,以大数据为代表的信息资源向生产要素形态演进。数据要素和其他要素一起融入到社会生产过程中,成为全球发展数字经济的战略性资源。与此同时,“大数据杀熟”等问题如影随形,愈演愈烈。
“大数据杀熟”
有了法律约束
“大数据杀熟”相对集中在网约车、网上购物、旅游票务平台等领域。如一些不法商家用大数据、物联网、人工智能等新技术作为“万能钥匙”,企图利用个人信息,将用户画像、算法推荐等自动化决策服务于资本牟利,严重侵害了消费者权益,也使数字经济发展蒙上阴影。
随着时代发展,“杀熟”被搬上互联网渠道如手机应用程序(APP)。尽管“大数据杀熟”的伎俩早已被消费者察觉,却因为线上消费的隐蔽性和复杂性,往往很难通过法律途径举证维权。
2020年10月1日,文化和旅游部出台我国第一部针对“大数据杀熟”的规定——《在线旅游经营服务管理暂行规定》,明确提出:“滥用大数据分析等技术手段对旅游者消费记录、旅游偏好等设置不公平交易条件的行为将被禁止”,并对违反规定的责任主体进行责令限期整改,没收违法所得,并处相应罚款。此后, 各地政府纷纷出台其他领域反“大数据杀熟”相关法规和办法。如深圳市率先出台国内首部数据领域综合性地方立法—《深圳经济特区数据条例》,对“大数据杀熟”等问题进行规制。部分城市还制定大数据发展规划、实施城市首席数据官制度,对包括“大数据杀熟”等问题进行整治,进一步规范数字经济发展。
更重要的是,国家开始从立法层面,着力规范数据处理活动,“大数据杀熟”的末日终将到来。2021年6月10日,十三届全国人大常委会第二十九次会议通过《中华人民共和国数据安全法》(以下简称《数据安全法》),明确要求:开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。两个月后,2021年8月20日,十三届全国人大常委会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),禁止“大数据杀熟”,明确:利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。同时还规定,个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。针对未成年人个人信息安全问题,明确将未成年人个人信息作为敏感个人信息予以严格保护。我国在短时间内,相继制定《个人信息保护法》与《数据安全法》,这将成为整治互联网时代经济秩序的铁腕手段。让数据向善,服务于民,这才是数字经济应有的态度。
保证数据安全
是金融业的重要课题
金融是数字经济的重点领域。属于数据密集型的金融行业,对数据依赖性极强,如何守护好个人信息,更好地做到数据向善,保证数据安全,是金融业必须面对的重要课题。
如今计算机存储亿级数据,海量数据储存和处理技术的发展使得数据的价值进一步凸显。金融机构正是基于海量客户数据进行用户画像,预测用户需求,推出具有市场竞争力的产品,结合场景进行智能化推荐,分析商业决策并通过时时风险管理和控制进而提升盈利能力,高质量的数据服务助力构建完善的金融生态体系。大数据至关重要,这使某些手机应用程序(APP)存在强制授权、过度索权、超范围手机个人信息等越界行为,强制对用户进行画像,过度收集个人信息造成的信息泄露可能使其他市场主体非法获利。实际上,大数据带来的问题远不止于此,某些算法可能触及侵犯公共利益。随着数字经济的发展,有效监管和法规约束是十分必要的。只有配套法律法规和监管制度实施以后,各市场主体才能够更好地享受大数据带来的便利。
对金融机构而言,下一步应从三个方面加以努力:
第一,在思想上,要高度重视客户信息保护。这既是维护金融消费者合法权益的重要内容,也是金融机构取信于社会和客户的基本义务和基础工作。应将保护个人信息的理念内化于金融机构血液中,以最严格的标准和最严密的措施确保客户信息安全。
第二,在管理上,金融机构应建立个人信息数据库分级授权管理制度。根据个人信息的重要程度、业务需要、敏感程度等,实行分级管理。例如,对未满十八周岁未成年人的个人信息,作为敏感个人信息予以更严格保护;对需要向境外提供的个人信息,应当通过国家相关部门的安全评估。在个人信息处理过程中,应在技术上对客户信息复制、查询有硬约束,比如建立分级审批、双人控制等要求。
第三,在机制上,加强个人金融信息安全保护的宣传教育。一方面,金融机构应开展员工内部培训,在工作中强化对用户个人信息的保护意识;另一方面,金融机构应当未雨绸缪,将加强信息保护等融入消费者教育内容,提高消费者金融素养和自我保护能力。
资本扩张进化愈快,就容易做到对每个人不同标价,但大数据并不是原罪,我们需要抵制的是将大数据作为利器,盗取消费者隐私的不良商家,利用收入层次、消费偏好和兴趣爱好“杀熟”客户,非法牟取不属于自己的利益。历史上无数的经验告诉我们,“杀熟”只是一时之计而不是长久之规,只有真正赢得消费者的信任才能永续发展。
(董希淼系招联金融首席研究员;廉婧系招联金融研究员)
相关链接
《网络安全法》 2013年10月列入十二届全国人大常委会立法规划;2016年11月7日,十二届全国人大常委会第二十四次会议通过;2017年6月1日正式施行。
《数据安全法》 2018年,十三届全国人大常委会公布立法规划;2021年6月10日,十三届全国人大常委会第二十九次会议通过,自2021年9月1日起施行。
《个人信息保护法》 2003年开始起草;2020年,《个人信息保护法(草案)》在十三届全国人大常委会第二十二次会议上进行初次审议;2021年两会再次被提起;2021年8月17日,十三届全国人大常委会第三十次会议审议的《个人信息保护法(草案)》三审稿进一步完善了个人信息处理规则;2021年8月20日,十三届全国人大常委会第三十次会议表决通过,自2021年11月1日起施行。