「數據黑產」背後的個人信息保護合規問題探析

根據公安部最新披露的消息，從今年3月至今，公安部開展了打擊整治黑客攻擊破壞和網路侵犯公民個人信息犯罪的專項行動，在全國範圍內共偵破侵犯公民個人信息案件和黑客攻擊破壞案件1800餘起，抓獲犯罪嫌疑人4800餘名，查獲各類公民個人信息500多億條。與此同時，涉案金額達5000萬元以上，利用蘋果公司內部系統平台，非法查詢蘋果手機關聯的個人信息進行售賣牟利的蘋果中國公司及外包公司員工買賣個人信息一案，也已於近日開庭審理。顯然，「數據黑產」帶來的個人信息泄露問題已不容忽視。

作者：吳丹君 周天一 北京觀韜中茂（上海）律師事務所

近年來，互聯網金融的十分火爆，各類網貸平台、消費金融機構在線獲客需求暴增，並倒逼傳統銀行轉型，更多藉助互聯網拓展零售客戶。而鑒於互聯網金融平台在擴大規模的過程中多開展現金貸業務，在精準獲客的同時保證對客戶徵信信息的有效獲取便催生了大數據風控的興起。

大數據風控企業數據來源分為平台接入與技術搜集兩類，而通過爬取、買入、交換、撞庫等灰色手段獲取的信息也更容易成為「數據黑產」。

數據信息來源合法合規亟待實現

大數據風控企業應當合法收集主體信息

有鑒於此，維護數據信息來源的合法合規值得高度重視。2012年全國人大常委會發布的《關於加強網路信息保護的決定》就提出保護能夠識別個人身份和涉及隱私的電子信息，作為網路服務提供者的大數據風控企業在業務活動中收集的公民個人電子信息必須嚴格保密。

2013年工信部聯合多家單位制定的《信息安全技術公共及商用服務信息系統個人信息保護指南》（下稱《指南》），成為我國首部個人信息保護標準，《指南》雖未強制執行，但其將個人信息分為一般信息和敏感信息（包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等），規定了獲取上述不同類別的個人信息的默示同意與明示同意的區別以及信息管理者的最少夠用原則，值得大數據風控企業參考。需要注意的是，2013年9月實施的《電信和互聯網用戶個人信息保護規定》第一次明確了互聯網信息服務提供者不得收集其提供服務所必需以外的用戶個人信息並將其用於提供服務之外的目的，顯然，大數據風控企業所收集的主體信息應僅為互聯網金融信貸平台服務所需，不得另作他用。

互聯網金融平台應構建內部個人信息保護制度

早在央行2005年公布的《個人信用信息基礎資料庫管理暫行辦法》中就明確了商業銀行對用戶信用信息調取的內部授權制度和查詢管理程序，並強調商業銀行本身應當構建的個人信用安全管理制度，互聯網金融平台在收集用戶信用信息時所處地位與商業銀行本質上無異，根據上述規定構建相關制度更能有效減少信用信息泄露的可能性。此外，根據《徵信業管理條例》第29條的規定，從事信貸業務的機構向國家金融信用信息基礎資料庫或者其他主體提供信貸信息的，應當事先取得信息主體的書面同意，顯然，若互聯網金融平台需要將主體信息交由大數據企業使用和分析，應當事先取得信息主體的書面同意，否則構成違規。

違規截留個人信息應當禁止

我國現有的個人信息數據源頭的主要包括三個，即公安部下屬的全國公民身份證號碼查詢中心（下稱身份證查詢中心）、三大移動通信運營商以及各銀行。以身份證查詢中心為例，其對外正式授權身份核驗服務的有八家代理商，實際經營中代理商多存在留存數據的情形，但身份證查詢中心並沒有技術手段去檢查代理商的數據二次留存情況，其中的法律風險可想而知。

此外，當前無論是授權代理機構，還是未經授權的第三方支付機構，只要通過API模式接入官方數據系統，都存在違規截留個人信息的現象。

就大數據風控企業違規留存個人信息數據的問題，除之前《指南》已提到的最少夠用原則外，《網路安全法》第四章明確要求網路運營者應當依照與用戶的約定保存其個人信息，必要時進行數據脫敏與模糊化處理，應當引起大數據風控企業的重視。

兩高解釋降低泄露個人信息責任門檻

今年6月1日與《網路安全法》同時實施的《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下稱兩高解釋），將《網路安全法》對公民個人信息範圍的規定拓展為「反映特定自然人活動情況的各種信息」，諸如行蹤軌跡信息、通信內容、徵信信息、財產信息為重要信息，而住宿信息、通信記錄、健康生理信息、交易信息等為敏感信息，並首次明確了公民個人「財產信息」屬於最嚴格保護的範疇，而且指出財產信息既包括傳統銀行賬戶，也包括第三方支付結算賬戶。結合新實施的《測繪法》與之前《指南》的相關內容，公民個人信息的保護力度得到了空前加強。

從大數據風控企業的角度來看，兩高解釋第5條的10款規定可謂「招招致命」：包括違法所得5000元以上；非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息50條以上；非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息500條以上；非法獲取、出售或者提供以上兩項規定以外的公民個人信息5000條以上；將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，數量或者數額達到前述幾項規定標準一半以上等。從中可以看出兩高解釋的適用範圍已然擴大，將以前模糊的、不太確定是否構成犯罪或治安管理處罰、民事責任的行為，划了很低門檻，諸如搜集通訊錄、搜集電商平台如京東或淘寶的交易信息達500條即會受到刑事處罰。

此外，兩高解釋對於「情節特別嚴重」的量刑標準是，數量數額達到「情節嚴重」前述幾項標準的10倍以上，而5萬條以上的信息非法獲取，對很多互聯網金融平台和數據風控企業來說可能只是一天的業務量。

兩高解釋的出台使得過去一次搜集無限制使用個人信息的日誌一去不返，此後必須明示個人信息的用途和使用範圍，將對業內產生較大影響，大數據企業尤其是風控類企業應當保持警醒，切不可越過法律的雷池。