数据隐私和网络安全
专栏
本文首发于威科先行法律信息库
在移动互联网时代,网购和手机支付的蓬勃发展也在潜移默化地影响着中国人的财富管理途径。记账理财APP在这样的环境下应运而生,已经吸引了数千万的用户。市面上的记账理财APP在功能上既可以帮助用户记录收支账目,还可以进行投资理财,而用户使用记账理财APP服务的对价是提供自己的个人信息。与其他APP不同的是,记账理财APP收集、使用的个人信息具有敏感性,由此产生的信息安全风险已经引起广泛关注,记账理财APP也面临更为严峻的合规挑战,本文将就此展开讨论。
将于2018年5月1日生效的(GB/T35273—2017)《信息安全技术个人信息安全规范》(简称《个人信息安全规范》)定义个人敏感信息(personal sensitive information)为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等个人信息。”[1]银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、交易和消费记录、流水记录等个人财产信息,系统账号、邮箱地址及前述有关的密码、口令等网络身份标识信息,个人电话号码、通信记录和内容等其他信息,均属于《个人信息安全规范》明文列举的个人敏感信息。[2]
因此,在《网络安全法》(简称《网安法》)、《消费者权益保护法》(简称《消法》)等对个人信息保护的规定基础之上,《个人信息安全规范》特别针对个人敏感信息的保护提出严格要求,涉及个人信息的收集、使用、分享、风险防范与处理等诸多方面。记账理财APP如果依照目前的运营模式,以收集用户的个人信息为对价向用户提供相应服务,就需要以审慎态度对待用户的个人信息,符合高标准的合规要求,对于部分存在严重风险的业务应当停止运营。否则,有可能违反《网络安全法》《消费者权益保护法》《刑法》《国家安全法》等法律法规的相关规定,引发与用户、第三方之间的争议,被监管机关处罚,甚至产生严重的刑事责任风险,承担高昂的法律代价。
第二,在信息使用方面,《网安法》和《消法》要求使用个人信息应遵循合法、正当、必要的原则,向被收集者明示使用信息的目的、方式和范围,且使用信息不得违反法律法规的规定和双方的约定。[5]《个人信息安全规范》则规定使用个人信息时不得超出与收集个人信息时所声称的目的具有直接或合理关系的范围。[6] 现实中,记账理财APP是否严格按照上述要求行事存在很大疑问,也没有透明的机制供用户了解和监督。
第四,在信息安全方面,《网安法》《消法》《个人信息安全规范》均规定应当采取技术措施和其他必要措施确保信息安全,防止信息泄露、丢失,并且在安全事件发生或可能发生时立即采取补救措施,及时告知用户并上报有关主管部门。[10]《个人信息安全规范》特别就个人敏感信息的传输和存储提出应当采用加密等安全措施的要求。[11]由于记账理财APP掌握的用户个人敏感信息极为重要,包括大量的用户财务信息、邮箱用户名及密码,所以也是黑产、黑客重点攻击的对象。因此记账理财APP不仅面临极高的信息安全技术能力挑战,在事前预防评估和制度建设、事中告知汇报和突发应对、事后整改和责任承担机制上,还面临巨大的合规挑战。
最后,该领域现阶段依然存在法律空白,许多问题仍在争议中。其中最核心的问题是,平台是否可以在不告知银行或者电邮服务提供商其已得到用户授权的情况下,通过“模拟”或“模仿”用户行为登录用户的网银或者邮箱,直接抓取用户的收支、转账记录、银行卡账单等信息。在现实交易中,银行为了防范金融诈骗、保护用户财产安全往往要求用户本人到柜办理业务,还要验证用户本人的身份证、采集人像、签名等,如授权第三人代为办理业务还需要提供合法有效的授权委托书、代理人身份证等,电子邮箱也会要求用户通过手机、其他备用邮箱等方式进行身份验证;然而在网络端,如果第三方拥有相应的密码,银行和电邮服务提供商甚至很难发觉登录网络端的并非用户本人。银行和电邮服务提供商控制的、负担保护责任的用户信息被其他第三方大量掌握,而他们可能根本无从知晓这些外来风险的存在。然而,在法无明文规定的当下,银行和电邮服务提供商对这类信息是否享有一定的权益、是否有义务或权限限制用户以外的第三方获得这类信息、第三方是否可以在不告知银行和电邮服务提供商、也不获得他们同意的情况下直接获取信息、这类行为该如何监管等问题,都尚未有定论。由于存在不确定性,记账理财APP该如何处理这类合规问题,也十分棘手。
记账理财APP该如何应对合规挑战
1. 取得用户明示、真实同意
2. 收集、使用信息遵守目的明确原则和最少够用原则
3. 控制共享、转让用户个人信息
4. 提高数据安全能力,做好安全事件处置
针对信息安全事件,应当事先制定应急预案,定期组织相关人员进行应急响应培训和应急演练。事件发生后按照指定的预案进行处置,包括记录事件内容,评估事件可能造成的影响,并采取必要措施控制事态,消除隐患。还应当按照有关规定及时上报有关部门。[19]及时将安全事件情况以邮件、信函、电话、推送通知等方式告知受影响的用户;难以逐一告知时,应采取合理、有效的方式发布警示信息。[20]
总结
注释:
[2]《个人信息安全规范》第3.2条注1、资料性附录B。
[4]《个人信息安全规范》第5.5条。
[6]《个人信息安全规范》第7.3条。
[8]《消费者权益保护法》第29条第2款 。
[10]《网络安全法》第42条第2款、第55条,《消费者权益保护法》第29条第2款,《个人信息安全规范第9条。
[12]《网络安全法》第43条。
[14] https://zhuanlan.zhihu.com/p/34460031。
[16]《个人信息安全规范》第8.2条。
[18]《个人信息安全规范》第7.1条。
[20]《个人信息安全规范》第9.2条。
[22]《个人信息安全规范》第7.8条。
<p style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box !important; word-wrap: break-word !important; clear: both; min-height: 1em; caret-color: rgb(51, 51, 51); color: rgb(51, 51, 51); font-family: -apple-system-font, BlinkMacSystemFont, " helvetica="" neue",="" "pingfang="" sc",="" "hiragino="" sans="" gb",="" "microsoft="" yahei="" ui",="" yahei",="" arial,="" sans-serif;="" font-style:="" normal;="" font-variant-caps:="" font-weight:="" letter-spacing:="" 0.5440000295639038px;="" orphans:="" auto;="" text-align:="" justify;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-size-adjust:="" -webkit-text-stroke-width:="" text-decoration:="" font-size:="" 16px;"="">
