李铭博士,央行征信中心顾问,北京大数据研究院专家
2022.1.12
大家好,没有想到会议规格这么高,给我的任务是讲金融信息安全和个人信息保护的两个法。我本人不是搞法律的,所以讲法我也是外行。我做过相关的工作,2016年的时候央行征信中心做过一个项目,当时是金融40人的项目,是做个人信息保护立法的国情研究,基本上就是各个国家立法的比较,后来出了一本书。今年3月份的时候出了第二版,正好今年有一件大事,《信息安全法》落地实施,《个人信息保护法》实施,影响远远超过行业,超过经济领域的范围。
结合这两个法的落地,主要还是《个人信息保护法》,因为原来做过比较研究,现在这个法已经实施了,看一看最后落地的这个法和国际上主流的《个人信息保护法》到底是怎样的关系和比较,最后简单说几句,对于金融机构来说,主要是《个人信息保护法》的落地,在法律方面有哪些任务和挑战。
国际上个人信息保护立法的主要“流派”及我国立法历程
对比国际,实际上我们国家做个人信息保护立法稍微有点慢。截止2015年,已经至少有110多个国家有个人信息保护的立法了。虽然说有这么多国家,但是国际上的立法基本是两个流派或者两个半流派,很多人了解这个事情,美国一派、欧洲一派,其他国家属于欧洲和美国的中间流派。当时在做比较研究的时候,其实也是探讨了一下这两个流派到底区别在什么地方。
对于欧洲来说,其实欧洲和美国都有一个共同点,就是基于国家的宪法传统。对于欧洲来说,这是比较明显反映在欧洲人对于人权的追求。因为二次大战过去不久,欧洲的人积极有心,不仅仅是德国人屠杀犹太人,其实看看欧洲国家的历史,这么多年总是你打我、我打你,种族灭绝这种事情发生不知道多少次。波兰、土耳其、亚美尼亚、巴尔干国家多的是。
所以,欧洲人在战后对于人权保护特别重视,1949年的时候定了欧洲的《人权公约》,大概47个国家在上面签了字。《人权公约》第8条就是对人权信息的保护,对于数据保护,欧洲国家一直从人权这个角度来谈这件事情。对我们来说,最大的影响就是这个权利是与生俱来的权利,生下来就有这个权利,至于经济发展或者影响这、那都是次要的事,这就是欧洲人的观点,欧洲人的立法在权利的申诉方面非常严格。
美国的途径完全不一样,当研究美国的个人隐私保护立法的时候,我的感觉是美国没有什么个人隐私保护这件事,不管法律怎么说。因为美国人的宪法传统开始讲的就是自由,实际就是《宪法修正案》对于言论自由、结社自由、出版自由的申诉。如果说两个人的自由到一块发生冲突的时候就开始讲平等。所以美国人的观点基本是明星们有自己的隐私要保护,这是自己的自由,但是狗仔队、八卦的记者,有经营他们自己生意的自由,所以暴露你的隐私也是正当的诉求。
在这一点上,应该怎么办?要追求一个平等,谁也别过分地欺负谁。真正到能威胁人的自由这一点上,就是政府。美国人在传统上非常非常恨政府,所以美国人最早也是唯一的一部综合性隐私保护的立法完全针对政府。1974年的《隐私法》,基本上政府不能侵犯个人公民的权益,至于大企业能不能威胁到个人的隐私权或者是和个人数据有关的权利,对美国人来说不算一个事。直到互联网的存在和出现,美国人才感觉到原来企业对于个人的自由、个人的隐私威胁到这个程度,所以以后的立法才开始关注企业对于个人数据侵害的防范。在这之前,基本上都是针对政府来的。美国从它的立法传统来说,是友商。对于企业好,要便利于商业活动的开展,所以,对于美国人来说,基本的思想就是企业不要过分欺负老百姓,老百姓不要太为难企业,大家过得去,这是比较好玩的一件事。美国第一部行业的立法就是1970年的《公平信用报告法》,这个立法经过几次到期延期,最后2003年在大家讨论要不要把它继续下去的时候,被这个法监管的对象,美国的征信机构是最活跃的,坚决主张把这个法继续下去,让这个法继续生效的人。这个法是监管它的,但是它对这个法特别感兴趣。
原因就是说这个法的存在消除了很多不确定性,对自己的威胁最小。如果没有这个法,反而不知道将来会怎么样。所以,这是一个比较有意思的事情。美国人还有一个比较好玩的事情,虽然他没有明确的关于隐私的立法。但是这么多年来,美国没有出现过太多的事,没有太多因为侵犯隐私官司打得很大的事情,特别是征信系统问世以后,差不多100年里面没有立法,打过无穷多的诽谤官司,但是法官对征信机构网开一面,都很同情。美国很多的事情,我们感觉也是没有任何一个国家能够真正学得来,这和美国的历史文化传统等很多方面的因素都有关系。
其他国家在立法的时候,由于很多国家没有欧洲那么深的宪法传统,同时又感觉美国的方式有点学不来,过于自由,过于放任,通常在两者之中学欧洲占据道德高地,我说得很漂亮,具体的措施要学美国,比如APEC亚太地区,澳大利亚和韩国个人隐私保护,数据保护立法走得很靠前。亚太国家基本上学了美国的观念,没有伤害就没有惩罚,侵犯了个人权益,但是没有造成任何损失,咱们也就别太过不去,就是这种样子。不像欧洲人,只要是个人就可以起诉他,就可以要点钱回来。所以差别很大。
我们国家实际上对个人数据保护立法的研究开始的并不算晚。开始的时候也曾经企图走过欧洲的路线,当时也出过一些草案,但是没有走下去。以后就回到学美国的路上,通过行业的立法,从行业建立法律法规,这么走下去。从消费者的保护开始,逐渐才过渡到公民的数据保护权益
我国个人信息保护的力度
2017年国内制定了一个关于个人信息保护的国标,这个国标是我见到的最全面,最详尽,含金量特别高的一部,虽然不是立法,但是非常靠近国际上的这些个人数据保护方面的立法。但是,在这之后,咱们这个立法的速度加快了很多,到今年《个人信息保护法》正式生效开始。读法律条文的时候发现,比当时2017年的国标前进了很多,严格了很多,下面要多少比较一下。实际上现在的立法力度,对个人数据保护的力度基本上能够达到欧洲标准,甚至个别地方还会超越欧洲标准,还是非常非常的严。
这个保护力度在2017年国标出台的时候,发言有定位,标准定的比美国严一些,但是肯定赶不上欧洲,而且和欧洲有一段距离,差得比较大。但是今年落地这个法,其实是比这个标准严了很多,国外的媒体认为这可能是世界上最严的“个人隐私法”,严不是严在所有条款上面,有一些条款还有一些争议在里面。
第二部分
我国《个保法》和欧美立法的异同之一
如果比较一下现在的《个人信息保护法》和欧洲、美国的典型立法大概有什么异同的?不是想追求全面,有一些大家比较关注的问题上,看看现在的立法大概处在什么位置上。
在适用对象上,这个法适用范围是包括在境内的人和外国服务商对境内的公民提供服务的情况,基本上和欧洲的GDPR差不多,但是远远超出美国,美国没有这种说法,美国基本上是围着美国的公民转。
合法地处理个人信息的条件,原来的考虑是知情同意,信息主体自己要同意。在欧洲的立法里面,GDPR里面后面有7条豁免,在一些特殊的条件下不需要获得个人的同意。我们现在的立法也规定了这么六条,六个豁免,基本上覆盖了GDPR所有的,唯独少了最后一条,“为数据控制者的合法利益所必须且不影响主体的权利和自由的情况”不需要获得授权。这是兜底的条款,是包罗万象的条款,持有这个信息的人认为是对他自己的商业活动合法有好处,而且又不侵犯到信息主体的权利,可以不要求去获得信息主体的授权。这是一个可以广泛应用的条款,确实能解决商业机构在业务实践当中的很多问题,但是确实也给《个人信息保护法》留了非常大的后门,我们现在没有这一条。
如果你的信息处理目的有变更的话,当时采集这个信息的时候为的是什么目的,以后把这个想法用到别处。比如说银行通过开账户或者发放贷款获得了个人信息以后,银行想做交叉销售,想卖给你别的产品。这个时候因为信息的使用目的有变化,按我们的法律要求需要重新获得个人的同意,其实这是一个非常严格的要求。这一点和欧洲是一样的,但是远远超出美国,美国没有这样的规矩,采集了信息可以拿出去卖,并不违法。数据质量、是不是相关,美国一般没有这样要求,欧洲对于数据质量是有要求的。我们现在基本上和欧洲的说法是一样的,要求采集数据的最小化。我们的法律要求,采集的数据应该有相关性,而且是对个人权益影响最小的方式,是限于实现处理目的的最小范围,不能过度收集个人的信息。这和欧洲的要求是一样的,这也是一条很严格的要求,也不是很容易做到的一条标准。
美国有一些行业立法是这样的规定,但是笼统地说美国人没有这样的规定。
我国《个保法》和欧美立法的异同之二
数据的保存时间,我们的法律规定保存的时间取决于采集数据的目的,只要达到了目的所需要的最短的时间,就不能再保存它了。美国没有这样的要求,但是美国在有些行业中有这样的要求,比如说信用报告,美国有信用报告可以保存7年,破产报告保存10年这种要求。但是笼统地说,美国对于信息的存储时间没有这样的要求。我们现在没有明确的时间要求,但是有一点,必须坚持最小目的原则,只要目的达到就应该销毁这个数据,这也是和欧洲基本一致比较严格的要求。
对于敏感信息,我们立法里叫重要信息,要有特别的保护措施,欧洲的立法里面是有明确要求的,但是美国也没有这样的要求。我们也是这样,个别行业有一些要求,当然我们所谓的重要信息和敏感信息,和欧洲人又不是很一样。
数据泄露以后,我们和欧洲的做法是一样的。就是要求数据的控制者要采取一系列的措施,其实美国也有这样的数据泄露以后要怎么处理的要求。但是,我们立法里没有明确的时间要求,欧洲的立法里面是要求72小时,72小时之内一定向个人数据保护的监管机构报告,同时必要的时候通知受影响的数据主体。我们要求立即采取补救措施,没有强制要求在什么时间内。美国人原来是没有什么要求,后来对于国家的关键基础设施保护要求72小时,这些年来出现比较多的勒索情况,24小时之内要报道。
对于删除权,个人数据主体有权要求数据控制者,要求企业把有关自己的数据删除掉,这是一个比较高的要求,也是在实践当中不是很容易做到的要求。我们的立法里也明确给了数据主体删除权,但是另外说明在技术上不容易做到的话,可以选择仍然保存这个数据,只是不能再使用了,堵死了一条路。还有一条路,如果这个数据丢了怎么办?如果这个数据泄露到外面去,拿到数据的人不会遵守不准使用的原则。这个时候还有第二条,采取必要的安全保护措施,去保护这个数据。欧洲有删除权,但是有一大堆的豁免,特别是言论自由的豁免,美国人在这一点上有非常强烈的宪法争议,很多人主张删除是不合理的,这是违背了个人的自由。
我国《个保法》和欧美立法的异同之三
数据的携带权是指,对于自己的数据,可以把这个数据带到其他的机构去,这是一个非常难做到的事情。我们当时说2017年的国标中,欧洲的GDPR规定了携带权,有一些州的立法或者部门的立法支持有限的携带权,病人可以把自己的病例携带到另外一个医疗机构去。我们国家当时做病例的共享也费了很大的事,技术上很容易做到,但是真正落地的话牵扯到很多其他方面的因素,相当不容易。但是现在我们立法有这个规定,数据主体享有携带权,对于金融机构来说有一定的影响。数据主体有拒绝自动化决策的权利,比方说我到银行申请贷款,银行用的评分,评分说你的标准不够,不满足贷款标准。你有权要求银行用评分之外的手段去审贷,不准用评分。这是GDPR,欧洲的立法最先提出来的。我们2017年的国标里面基本上还是顺应了和美国人或者其他一些国家差不多的说法,如果不愿意用评分对你的请求做决策,可以给你投诉的渠道,你可以找地方去投诉。但是我该怎么干还是怎么干,在今年的立法里明确按照和欧洲人一样的方式做了规定,个人可以要求信息处理者不使用自动化决策,当然这个要求对个人利益有重大影响决定的话,一般性不会总是去行使这个权利。
对于监管机构,欧洲一直是坚持要有独立的监管机构。所谓独立监管机构的意思就是说对个人数据保护的监管机构,政府是无权去管的,如果和政府的执政方针不太一样的话,仍然要保护个人的数据权利。美国人在这点上是比较放松,因为美国基本和我们后来立法采取的方针差不多,一大堆政府机构各管自己的那一块,没有整个国家的统一监管机构来管,美国最接近的就是联邦贸易署FTC,但是欧洲人一直认为FTC远达不到独立监管机构的要求,为这点,欧洲人和美国人打了很多年的仗,到现在这个仗还没有打完。
对于惩罚条款,欧洲立法GDPR出台的时候,当时最震动大家的就是罚款罚得非常高。因为罚款最高可以罚2000万欧元,或者年全球收入的4%,这就非常非常高的一个罚款额。美国大多数立法,因为美国没有这种系统性的立法,基本都是行业的立法。罚款额相对比较低,比如信用报告,征信的立法如果出现侵犯个人权益的事情,一个人罚一千块钱,或者是一年服务的收费,是非常低的数额。所以,对于美国人来说,没有人打这个官司,因为律师不接这个案子,没钱可挣。律师唯一挣到钱的就是打集体诉讼,100万人同时打官司,每个人1000块钱,就感到值,钱赚到手里了。我们现在的立法,对于罚款数额规定的非常高,最高的限额是5000万或者上一年收入的5%,虽然没有说是全球收入还是本国收入,当然有全球收入的企业不是很多。
第三部分
我国数据立法中独特的内容
我们国家的个人数据保护立法在任何国家找不到的主要就是关于数字主权的申诉。在国外,大家非常关注这一点,这一点的具体落地表现在数据的本地存储,美国人强烈反对数据本地存储,理由很明显。美国人认为要求数据本地存储是贸易壁垒,是原则问题。欧洲没有一定的要求,我们现在规定是凡是涉及到关键信息基础设施,或者数据处理量大于相关负责机构规定的最大数额的标准数据只能存放在国内,看到有这些事情出现,比如苹果,把手机信息存在贵州。
另外数据跨境传输,美国人当然不会限制,2018年特朗普上台的时候通过的《数据海外合法使用的授权法》,这个法是说国和国之间可以签协定,只要签了协定以后美国人的数据不管在世界任何地方,任何一个国家的执法部门都可以去访问这个数据。美国政府和微软的一个官司,这个官司的结果最后引申到这一点。国内的法学家认为,是美国霸权的体现,世界上各地的数据美国人随便取,到哪拿都行,基本是这个思想。实际从美国人的角度来说,中国不算,除了中国以外的国家基本上控制数据的企业都是美国企业。实际上要数据这件事不是美国人要自己企业的数据,而是外国人能不能要美国的数据,很多场合是这样的情况。但是,当然还是体现了美国人的霸权,是没有问题的。因为我们国家的立法虽然是个人数据保护的立法,但是实际上这个立法应该和其他几个立法合在一块来看。就是今年开始实施的数据安全的立法,之前比较早一点的《网安法》,这几个法综合起来看,有一个很明显的倾向,就是保护国家的数字主权,要防止国家利益、公众利益受到侵害,这一点是我们《个人信息保护法》的特点。
数据主权得到更多国家的关注
实际上数据主权这个概念,虽然说从前没有真正在世界上出现,但是实际上现在在世界上开始被越来越多的国家接受。这些年看到这么几个例子,2019年G20峰会上面,有人提出讨论数据本地存储的问题,当时印度表示拒绝谈这个问题,这个问题干脆不能谈。印尼和南非最后拒绝签会议对外发布的声明,就是因为里面涉及到数据跨境传输的条款,落到底还是本地数据存储的问题。其他的发达国家,包括欧洲数据保护局,包括美国新法——新发布的《联邦数据战略》和德国的国家基础设施局在制定自己的战略时候,一定程度上有这种主张,强调国家的数据主权。
另外,瑞士的外交部2020年发了外交战略,就是国家怎么处理和其他国家的关系,应该采取什么样的策略。可是瑞士的外交战略讲的完全就是在数字空间里的外交政策,有点像元宇宙的说法,数字空间里的各个国家之间的利益是怎么保障的。而且瑞士很希望把自己变成一个数字空间治理的全球中心,就是所谓的国际日内瓦。
金融机构在合规方面的任务和挑战
《个人信息保护法》对金融机构在合规方面实际上有什么样的挑战和任务?要做什么事情?有这个立法之后,要从合规的角度来说,咱们的IT公司,咱们的咨询机构恐怕又有活儿干了,有很多新事情要做到。在金融机构合规方面,有很多新任务要执行。
其中一件事,就是要清理清理自己手里的数据到底哪些涉及到《数据安全法》和《个人信息保护法》,很可能要有一个新的数字资产的管理系统,当然可以把这个和原来金融机构的原数据管理,主数据管理系统放在一块。这些系统应该能够识别、标记、评估、记录这里面的交易,要监视、审计,对金融机构掌握的合规情况心里要有数。二是要求机构梳理现在的业务流程,去识别现有的流程里面不满足法律要求的地方,要对《个人信息保护法》里面谈到的信息主体权利,对很多具体条款做出一个抉择来。这些条款非常有争议,非常难落地。
其他的数据安全管理就是在现有的数据安全管理的措施上面有一些加强,对数据泄露问题的响应。现在的法律,数据泄露的响应定的标准不是那么高,还不是太难做到。个人数据保护的立法合规过程可能是一个很长的过程,有两个原因。第一个原因是我们这个立法很多地方显得比较笼统,比较原则性,没有太多的能实际操作的描述在里面。所以,这以后一定会出台很多的实施办法、管理办法、法律解释,要求很多文件制定出来。所以,这个过程不会太快。
第二个问题,实际上这里很多条文在之前有相当大的争议性,究竟怎么落地,这还是一个监管部门和下面的业务机构博弈的结果。但是,不管这个执行速度是快是慢,我们金融机构的人肯定马上开始着手去在这方面做出努力。
注:本文为李铭博士在2021年12月18日全联并购公会年会第二场分论坛——信用管理分论坛发言整理而成。