编者按:
8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),对“大数据杀熟”和个人信息保护做了明确要求。从《网络安全法》到即将实施的《数据安全法》,关乎个人信息保护的问题愈加受到社会大众关注和国家重视。
□本报记者 苏洁
继8月17日,十三届全国人大常委会第三十次会议审议的《个人信息保护法(草案)》三审稿进一步完善了个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、“大数据杀熟”等做出针对性规范之后,8月20日,十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,其中明确了通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式;同时,也提到了处理金融账户等敏感个人信息,应取得个人的单独同意。
“大数据杀熟”别想了
“大数据杀熟”是指同样的商品或服务,老客户看到的价格反而比新客户要贵出许多的现象。近年来,一些商家通过收集、分析个人信息并进行“大数据杀熟”,受到社会各界诟病。
前几年,有网友反映互联网平台存在同一平台不同人群存在不同价格的问题。比如,购买机票、预订酒店时,某平台就出现了“杀熟”的情况。还有在某外卖平台,使用不同手机优惠程度却不一样。“能花钱的软件都在杀熟,我都对比过。两个手机放一起,链接互相发过去,一样的东西价格都不一样。”有消费者这样描述。
针对这种情况,监管出招了。2020年11月10日,市场监管总局发布《关于平台经济领域的反垄断指南(征求意见稿)》。2021年4月8日,10家互联网平台企业代表签署《平台企业维护公平竞争市场秩序承诺书》,承诺不利用“大数据杀熟”。2021年两会期间,《个人信息保护法(草案)》提请全国人大常委会审议,8月17日,十三届全国人大常委会第三十次会议审议的《个人信息保护法(草案)》三审稿,进一步完善了个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、“大数据杀熟”等做出针对性规范。两天之后,即8月20日,《个人信息保护法》表决通过。
细心梳理不难发现,不管是即将实施的《数据安全法》还是《个人信息保护法》,均对数据安全做了规定。《数据安全法》对数据给出明确定义,指的是任何以电子或者其他方式对信息的记录。可见,个人信息属于数据的一种。草案三审稿规定,利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。这两个法律叠加会对互联网平台和相关行业带来怎样的变化和影响,值得期待。
中关村互联网金融研究院院长、中关村金融科技产业发展联盟秘书长刘勇认为,《网络安全法》《数据安全法》和《个人信息保护法》的相继落地和实施,将意味着我国逐渐在个人信息保护和数据安全方面形成了由法律、行政法规、规范性文件在内的多层次法律规范体系。对于金融行业来说,随着大数据、人工智能、区块链、云计算等技术与金融的加速融合,相关法律法规能够倒推金融机构加大对于安全保护的投入,通过量身定制符合自身业务体量的、健全的数据安防技术体系及架构,高效且精准的应用加密、脱敏、防泄漏、追踪溯源等数据安全技术,不断提升金融业务风险防控和处置的精准性。
个人隐私保护愈加重要
身处大数据时代,在我们每天的各种场景中,都会产生各种数据。而数据的滥用和泄露,可能对个人和社会带来威胁和影响。
中国互联网络信息中心发布第47次《中国互联网络发展状况统计报告》显示,截至2020年12月,我国网民规模达9.89亿,较2020年3月增长8540万,互联网普及率达70.4%。日常生活中,网购、网约车、网上银行等互联网服务已经成为人们不可或缺的一部分,同时,人们在各种社交媒体上发布的动态和信息会在不经意间暴露自身的敏感信息,这也使个人信息更容易“公开”。相关研究显示,只要有一个人的年龄、性别和邮编,就能从公开的数据中搜索到这个人87%的个人信息。
数据应用的同时,各项技术应用背后的数据安全风险也日益凸显。近年来,有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜,保护数据资产已引起各国高度重视。在我国数字经济进入快车道的时代背景下,如何开展数据安全治理,提升全社会的“安全感”,已成为普遍关注的问题。
对此,相关法律也在与时俱进。值得注意的是,从已经出台的《网络安全法》到即将施行的《数据安全法》《个人信息保护法》,都对数据的使用收集进行约束,明确哪些数据是必须要收集的,如果不能收集,就要有相应的制度规范。
比如,《网络安全法》中就提出,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。《数据安全法》提到,国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展;开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
金融创新要重视信息安全
除了《个人信息保护法》提到了金融安全外,《网络安全法》和《数据安全法》也都提到了金融。如《网络安全法》中提到,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。《数据安全法》提出,各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
有关人士认为,金融行业虽然不是典型的互联网平台,但在当前大力发展数字金融、数字化转型过程中,也应高度关注平台经济监管动向,遵循监管规则,防范法律风险。特别是在网银、掌银等平台运营管理中,应合理利用大数据收集,规范算法和运营规则,在运用补贴、红包等营销手段时应注重成本定价。同时,在商城服务等为第三方提供交易平台时,应尽量避免违规情形发生,而被认定为平台垄断行为的情况发生。
也有行业人士认为,随着《个人信息保护法》的实施,将会对保险销售方式,尤其是电销带来一定的影响,涉及骚扰客户、过度营销这种行为,可能就会上升到法律层面。此外,新型技术的应用要合理合法,无论是在人脸识别、身份认证、指纹识别等等一系列技术,跟个人信息相关的,都要适应国家的法律法规,要更加规范。
秦皇岛银行信息科技部总经理、高级工程师王登峰表示,让数据创造价值必须在法律合规的前提下,必须保证用户的合法权益不受侵害。任何事物都有其两面性,作为金融服务机构的银行,利用大数据分析技术的目的应该是寻找客户在哪里,能够给客户提供哪些更有价值的服务,甚至是通过数据分析和挖掘能够给客户提供哪些便捷的服务,让常客和熟客享受到作为忠实粉丝应有的幸福感和满足感,而不是利用先进的技术来“杀熟”。
“立法和技术防控会为金融科技和保险的发展带来新的发展空间。”刘勇认为,首先,在立法层面上,近年来出台的数据隐私保护相关的法律法规只是个起点,随着时代的发展肯定会有更多的法律条文出现,适应数字化时代的法律法规的制定和实施是一个长期的过程,因此,相关的模式和产品的创新也是一个不断探索、不断优化的过程。其次,在技术层面,技术发展日新月异,技术应用周期不断缩短,技术的更新逻辑其实也在不断变化,但是目前在快速成长期,“技术向善”成了一个必选项。因此,下一步,对于金融科技机构而言,讨论的重点并不是蓝海市场存在与否的问题,而是要抓紧时间研究、做好配合,让自己首先成为一家低风险或者无风险的金融科技公司。
编者按:
8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),对“大数据杀熟”和个人信息保护做了明确要求。从《网络安全法》到即将实施的《数据安全法》,关乎个人信息保护的问题愈加受到社会大众关注和国家重视。
□本报记者 苏洁
继8月17日,十三届全国人大常委会第三十次会议审议的《个人信息保护法(草案)》三审稿进一步完善了个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、“大数据杀熟”等做出针对性规范之后,8月20日,十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,其中明确了通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式;同时,也提到了处理金融账户等敏感个人信息,应取得个人的单独同意。
“大数据杀熟”别想了
“大数据杀熟”是指同样的商品或服务,老客户看到的价格反而比新客户要贵出许多的现象。近年来,一些商家通过收集、分析个人信息并进行“大数据杀熟”,受到社会各界诟病。
前几年,有网友反映互联网平台存在同一平台不同人群存在不同价格的问题。比如,购买机票、预订酒店时,某平台就出现了“杀熟”的情况。还有在某外卖平台,使用不同手机优惠程度却不一样。“能花钱的软件都在杀熟,我都对比过。两个手机放一起,链接互相发过去,一样的东西价格都不一样。”有消费者这样描述。
针对这种情况,监管出招了。2020年11月10日,市场监管总局发布《关于平台经济领域的反垄断指南(征求意见稿)》。2021年4月8日,10家互联网平台企业代表签署《平台企业维护公平竞争市场秩序承诺书》,承诺不利用“大数据杀熟”。2021年两会期间,《个人信息保护法(草案)》提请全国人大常委会审议,8月17日,十三届全国人大常委会第三十次会议审议的《个人信息保护法(草案)》三审稿,进一步完善了个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、“大数据杀熟”等做出针对性规范。两天之后,即8月20日,《个人信息保护法》表决通过。
细心梳理不难发现,不管是即将实施的《数据安全法》还是《个人信息保护法》,均对数据安全做了规定。《数据安全法》对数据给出明确定义,指的是任何以电子或者其他方式对信息的记录。可见,个人信息属于数据的一种。草案三审稿规定,利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。这两个法律叠加会对互联网平台和相关行业带来怎样的变化和影响,值得期待。
中关村互联网金融研究院院长、中关村金融科技产业发展联盟秘书长刘勇认为,《网络安全法》《数据安全法》和《个人信息保护法》的相继落地和实施,将意味着我国逐渐在个人信息保护和数据安全方面形成了由法律、行政法规、规范性文件在内的多层次法律规范体系。对于金融行业来说,随着大数据、人工智能、区块链、云计算等技术与金融的加速融合,相关法律法规能够倒推金融机构加大对于安全保护的投入,通过量身定制符合自身业务体量的、健全的数据安防技术体系及架构,高效且精准的应用加密、脱敏、防泄漏、追踪溯源等数据安全技术,不断提升金融业务风险防控和处置的精准性。
个人隐私保护愈加重要
身处大数据时代,在我们每天的各种场景中,都会产生各种数据。而数据的滥用和泄露,可能对个人和社会带来威胁和影响。
中国互联网络信息中心发布第47次《中国互联网络发展状况统计报告》显示,截至2020年12月,我国网民规模达9.89亿,较2020年3月增长8540万,互联网普及率达70.4%。日常生活中,网购、网约车、网上银行等互联网服务已经成为人们不可或缺的一部分,同时,人们在各种社交媒体上发布的动态和信息会在不经意间暴露自身的敏感信息,这也使个人信息更容易“公开”。相关研究显示,只要有一个人的年龄、性别和邮编,就能从公开的数据中搜索到这个人87%的个人信息。
数据应用的同时,各项技术应用背后的数据安全风险也日益凸显。近年来,有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜,保护数据资产已引起各国高度重视。在我国数字经济进入快车道的时代背景下,如何开展数据安全治理,提升全社会的“安全感”,已成为普遍关注的问题。
对此,相关法律也在与时俱进。值得注意的是,从已经出台的《网络安全法》到即将施行的《数据安全法》《个人信息保护法》,都对数据的使用收集进行约束,明确哪些数据是必须要收集的,如果不能收集,就要有相应的制度规范。
比如,《网络安全法》中就提出,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。《数据安全法》提到,国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展;开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
金融创新要重视信息安全
除了《个人信息保护法》提到了金融安全外,《网络安全法》和《数据安全法》也都提到了金融。如《网络安全法》中提到,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。《数据安全法》提出,各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
有关人士认为,金融行业虽然不是典型的互联网平台,但在当前大力发展数字金融、数字化转型过程中,也应高度关注平台经济监管动向,遵循监管规则,防范法律风险。特别是在网银、掌银等平台运营管理中,应合理利用大数据收集,规范算法和运营规则,在运用补贴、红包等营销手段时应注重成本定价。同时,在商城服务等为第三方提供交易平台时,应尽量避免违规情形发生,而被认定为平台垄断行为的情况发生。
也有行业人士认为,随着《个人信息保护法》的实施,将会对保险销售方式,尤其是电销带来一定的影响,涉及骚扰客户、过度营销这种行为,可能就会上升到法律层面。此外,新型技术的应用要合理合法,无论是在人脸识别、身份认证、指纹识别等等一系列技术,跟个人信息相关的,都要适应国家的法律法规,要更加规范。
秦皇岛银行信息科技部总经理、高级工程师王登峰表示,让数据创造价值必须在法律合规的前提下,必须保证用户的合法权益不受侵害。任何事物都有其两面性,作为金融服务机构的银行,利用大数据分析技术的目的应该是寻找客户在哪里,能够给客户提供哪些更有价值的服务,甚至是通过数据分析和挖掘能够给客户提供哪些便捷的服务,让常客和熟客享受到作为忠实粉丝应有的幸福感和满足感,而不是利用先进的技术来“杀熟”。
“立法和技术防控会为金融科技和保险的发展带来新的发展空间。”刘勇认为,首先,在立法层面上,近年来出台的数据隐私保护相关的法律法规只是个起点,随着时代的发展肯定会有更多的法律条文出现,适应数字化时代的法律法规的制定和实施是一个长期的过程,因此,相关的模式和产品的创新也是一个不断探索、不断优化的过程。其次,在技术层面,技术发展日新月异,技术应用周期不断缩短,技术的更新逻辑其实也在不断变化,但是目前在快速成长期,“技术向善”成了一个必选项。因此,下一步,对于金融科技机构而言,讨论的重点并不是蓝海市场存在与否的问题,而是要抓紧时间研究、做好配合,让自己首先成为一家低风险或者无风险的金融科技公司。