面對這個大數據時代，個人信息需要適度保護，卻不宜過度。當然，眼下的問題是保護嚴重缺失，我很擔心市場主體的肆意妄為引發民怨沸騰與監管高壓，最終走向過度保護。

      年初的支付寶賬單事件，令個人信息保護成為社會焦點，公眾對此的關注上升到一個前所未有的高度。

      本月早些時候，先是網信辦針對上述事件約談了支付寶公司和芝麻信用的有關負責人，之后是工信部就侵犯用戶個人隱私的問題約談了百度、螞蟻金服與今日頭條，要求三家企業立即進行整改。

      2017年以來，針對個人信息保護的監管力度不斷加強，在此背景下，中國金融科技的數據紅利還有多久?

      在新金融瑯琊榜看來，如果不是可以近乎肆無忌憚地獲取、使用和交易個人信息，中國金融科技很難在短短幾年間高歌猛進、傲視全球。可以毫不夸張地說，從業者實實在在地享受著監管缺失之下的數據紅利。

      面對這個大數據時代，個人信息需要適度保護，卻不宜過度。當然，眼下的問題是保護嚴重缺失，我很擔心市場主體的肆意妄為引發民怨沸騰與監管高壓，最終走向過度保護。

      但愿最終的結局可以如央行副行長陳雨露所言，“讓信息在安全、合規的前提下自由流動，充分釋放信息流動所產生的紅利。”

     1.無隱私時代

     你覺得你真的有隱私可言嗎?

     在回答這個問題之前。不妨想一想，除了有關部門，騰訊和阿里等互聯網巨頭對你的了解，是不是到了毛骨悚然的地步?

     從通訊、網購、旅行、外賣、網約車、到掃碼支付，這些年你在互聯網上留下了多少個人信息?直觀來說，你的微信數據占據了多少手機存儲空間?你在淘寶、京東上的購物記錄，你在滴滴上的打車記錄，又有多少條?

     你有沒有遇到過：如果你在一家現金貸平臺進行了手機注冊，接下來幾天里你很可能收到其他多家現金貸平臺的騷擾短信?并且無論怎么發送“N”或“TD”都退訂不了，隔一陣子就會來騷擾你。

     你有沒有遇到過：一些你早已卸載的社交APP或者生日提醒APP，突然有一天通過短信提醒你，又有好友給你發送私信或者送花，并且直接顯示這些好友的姓名?

     根據南都個人信息保護研究中心發布的《2017個人信息保護年度報告》，互聯網平臺隱私政策透明度的分布是陡峭的金字塔型，即透明度高的互聯網平臺極少，透明度低的占比超過80%;在互聯網金融類平臺和購物類平臺中，低透明度的占比甚至超過90%。

     這份報告還發現，有些重要條款在互聯網平臺中普遍缺失，這些條款內容無一例外都指向企業責任，條款的缺失便減輕了企業責任，最終可能侵害用戶利益。同時，互聯網平臺的隱私政策普遍存在用戶權利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病。

     在實際中，還會碰到“霸王條款”，默認勾選使用協議，如果取消勾選就無法使用相關APP。這些協議普遍不對等，平臺的權利遠遠多于和大于責任，可謂顯失公平。

     以前陣子鬧得沸沸揚揚的《芝麻服務協議》為例，根據這份協議，用戶授權芝麻信用采集信息，同時默認同意第三方查詢非貸款類及其他非涉及商業秘密信息時，芝麻信用可以直接向第三方提供相關信息。

     2.相關法律法規

     金融是一個高度數據化的行業，在個人金融業務領域，需要大規模采集和使用個人信息，由此引出了個人信息保護。在我國，早前諸多法律法規均有涉及。

     1995年5月制定、2003年12月修訂的《商業銀行法》在第三章“對存款人的保護”中規定：商業銀行辦理個人儲蓄存款業務，應當遵循存款自愿、取款自由、存款有息、為存款人保密的原則。這是我國首次以法律的形式建立了金融機構為存款人保密的法律原則。

     2006年10月制定的《反洗錢法》要求，金融機構應當按照規定建立客戶身份資料和交易記錄保存制度，并對未按照規定保存客戶身份資料和交易記錄的或泄露有關信息的違法行為，規定了嚴格的懲處措施。

     2013年3月15日起施行的《征信業管理條例》對信用信息進行采集、整理、保存、加工，并向信息使用者提供的活動進行了全面規范，并對違法收集、查詢、使用信用信息的行為規定了比較嚴厲的行政處罰。

     除了上述法律法規，金融領域的個人信息保護，主要是由央行發布的各項部門規章，包括2005年8月施行的《個人信用信息基礎數據庫管理暫行辦法》、2006年11月制定的《金融機構反洗錢規定》、2007年6月制定的《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》和2010年6月制定的《非金融機構支付服務管理辦法》。

     上述法規規定了個人信用信息的報送整理、查詢、異議處理、安全管理和行政處罰，具體規定了客戶身份資料和交易記錄保存的防護管理措施、技術措施和保存期限等具體問題。

     值得一提的是，《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》，首次將從事匯兌業務、支付清算業務、基金銷售業務的機構納入金融信息保護的主體范圍。

     另外還有一些規范性文件，包括2011年1月的《關于銀行業金融機構做好個人金融信息保護工作的通知》、2012年3月的《關于金融機構進一步做好客戶個人金融信息保護工作的通知》以及2012年12月的《非金融機構支付服務管理辦法實施細則》，均由央行制定。

     3.監管滯后于現實

     然而，到目前為止，還沒有一部專門針對個人信息保護的法律出臺，尤其在互聯網金融發展如火如荼的這幾年，個人信息保護問題日益突出，相關的法律法規并沒有實質性突破。

     上述監管制度，效力最強的是《商業銀行法》和《反洗錢法》這兩部法律，但出臺時間都超過了10年，遠遠落后于時代。數量最多的是央行發布的部門規章，但只能算是行政性的業務說明，并不構成法律解釋，

     這使得監管部門雖有規定，但在實際中很難嚴格執行。目前個人征信牌照尚未下發，監管部門對市場主體的一些越界行為缺乏實質性約束。

     舉例來說，《征信業管理條例》明令禁止征信機構采集個人的收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息。然而打開支付寶-芝麻信用，你會發現芝麻信用一直誘導用戶上傳房產信息、車輛信息、公積金和信用卡賬單等資料。

     還有一個至關重要的問題是，涉及個人信息違法違規，監管制度對金融機構的處罰相對嚴厲，但對第三方支付等非金融機構的處罰明顯偏于寬松，缺乏懲戒力。

    《商業銀行法》對違規對外提供金融信息的行為，比如非法查詢行為，規定責令改正，有違法所得的，沒收違法所得，違法所得五萬元以上的，并處違法所得一倍以上五倍以下罰款;沒有違法所得或者違法所得不足五萬元的，處五萬元以上五十萬元以下罰款。

    《非金融機構支付服務管理辦法》對違規保存使用金融信息的行為，如：未按規定保管相關資料或保守客戶商業秘密，責令其限期改正，并給予警告或處1萬元以上3萬元以下罰款。

     與給予金融機構的行政處罰相比，針對非金融機構即支付機構的行政處罰，種類單一、額度較低，因此違規成本極低。這還導致在執法實踐中，對于相同違法違規行為，金融機構和非金融機構之間無法做到一視同仁。

     這種差別對待，很可能向第三方支付及新型互聯網金融機構釋放了一種寬松逾期，導致它們更加漠視對個人信息保護。

     在新金融快速前進的當下，個人信息侵權違法犯罪活動采用的技術手段日益復雜，因此一方面迫切需要將新金融主體納入監管范圍，另一方面還需要充分利用監管科技，及時填補真空與漏洞。

     4.個人信息保護新時代

     2017年04月，在由央行征信管理局、世界銀行集團國際金融公司、APEC工商理事會共同主辦“個人信息保護與征信管理”國際研討會上，中國互聯網金融協會會長李東榮指出，從中國情況看，目前還沒有專門的個人信息保護法，應考慮充分吸收借鑒國際經驗和最新探索成果，尊重中國在發展階段、立法程序等方面的現實國情，加快推動個人信息保護專門立法。

     李東榮建議，按照“頂層設計”和“急用先行”相結合、“充分利用現行法律”和“及時彌補短板空白”相結合的方式，加強基本法律和配套規則的協同效應，盡快將個人信息保護全面納入法制框架。

     他還提出，要嚴格政府監管，從保障信息主體權益和強調機構責任出發，以個人信息采集和處理機構為主要監管對象，統一監管要求和處罰標準，從信息安全、隱私保護等方面實施嚴格監管，對于機構違法違規行為進行重罰。

     實際上，個人信息保護，絕不僅僅是金融監管部門的職責。從最高法、網信辦到工信部等部門，都在加快動作。

     2017年5月，最高人民法院和最高人民檢察院發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》;6月1日，《網絡安全法》正式實施。7月，國家網信辦等四部委啟動個人信息保護專項行動。

     在近期約談百度、螞蟻金服和今日頭條的同時，據工信部披露，其已組織技術部門對相關手機應用軟件是否存在侵犯用戶個人隱私行為進行持續監測，并將加強對互聯網服務信息收集使用規則告知、賬號注銷等環節的監督檢查。一經發現違法違規行為，將嚴肅查處并向社會曝光。

     與此同時，工信部要求各互聯網企業嚴格遵守相關法律法規，遵循合法、正當、必要的原則收集使用個人信息，不得收集服務所必需以外的用戶個人信息，不得將信息用于提供服務之外的目的，不得非法向他人出售或提供個人信息，同時進一步優化服務協議、用戶隱私政策和手機權限調用說明，維護用戶合法權益。

     2018年1月4日，央行正式公示“信聯“相關情況，這有望成為中國個人征信領域的里程碑。

     信聯是由央行牽頭組建的國家級網絡金融個人信用基礎數據庫，主要目的是把央行征信中心未能覆蓋到的個人客戶金融信用數據納入，實現行業的信息共享，以有效降低風險成本。