提升支付数据保护和治理水平
支付账户实名制的全面落实以及生物识别技术在支付领域的广泛应用,进一步增强了支付数据的隐私属性,支付服务主体在开展业务过程中会涉及大量敏感个人信息的存储、传输和使用。如何防范数据泄露和滥用、提升数据治理水平、规范数据保护规则、推动支付数据的高效合理运用,关系着广大用户信息和资金的安危,也是支付清算行业高质量发展的根基。
支付数据的界定
支付数据主要包括身份核验信息与交易信息。一是用于身份核验的个人隐私信息。支付从本质上看可以认为是两个账户之间资金的划转,该过程中的一个关键环节是资金所有者对账户行为的认可,在实践中这一认可主要通过身份核验实现。用于身份核验的信息包括身份证号、银行卡号、手机号码,以及面部特征、指纹等生物信息,均能够识别特定个人,属于个人隐私信息,明确受到法律保护。完成实名制认证的支付账户信息也属于个人隐私信息。二是包括交易双方、交易时间、交易地点、交易渠道、交易频率、购买商品或服务类别等在内的交易信息。随着移动互联技术的普及,支付与生活的联系更加紧密,每个人每天都在随时随地产生大量支付数据。非现金支付的高频化、场景化发展赋予了交易信息更多的个人行为特征,也使得交易信息具有更高的商业价值。
原始支付数据属于重要的个人敏感信息。根据国家标准《信息安全技术个人信息安全规范》( GB/ T 35273- 2017),身份核验信息和交易信息均属于个人敏感信息。此外,《民法总则》规定,属于个人信息的支付数据的收集、使用、加工及传输均受到法律保护,需要获取他人支付数据的任何组织和个人,都应当依法确保信息安全。
支付数据经过匿名化处理后成为可以共享的数字资产。依据《网络安全法》,经过匿名化处理后的支付数据不再属于个人信息,可以共享和流通。匿名化处理可以在保护个人信息安全、控制信息风险的前提下促进大数据的运用和流通,发挥数据价值。
支付数据治理体系有待完善。支付数据作为重要的数字资产,其交易和流通的重要前提之一是数据权属的明确。但目前法律上和学术界对于数据权属构成还存在不同的意见,特别是对于个人数据转化为商业数据后的控制、处理、流转等环节的权责问题还有待进一步明晰和细化。实践中,越来越多的支付服务 主体已经意识到支付数据的重要价值,并将支付数据广泛运用于欺诈识别、智能风控、精准营销等方面。可是,大部分市场主体仅仅通过授权协议来获取数据的控制、处理、使用和收益,其行为缺乏法律认定。产权制度的缺失阻碍了数据的开放共享和价值挖掘。此外,许多行业主体还未建立职能清晰的内部数据治理架构和对支付数据的全周期管理,不同类别市场主体在支付数据存储安全、用户匿名化、访问权限等方面的管理水平参差不齐,整个行业的数据治理还有很大提升空间。
技术发展与模式创新带来的挑战
随着大数据分析技术和再识别技术的发展,对于信息匿名化的管理难度也随之增加。美国联邦通讯委员会要求匿名信息提供方应通过合同禁止下游接受者尝试重新识别数据。欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)中也对匿名化的标准制定了严格的规定。在这方面,我国还需要进行更详细的制度设计,落实对原始支付数据的匿名化处理要求。
在数据资产化的利益驱动下,支付服务主体可能存在过度收集数据的冲动。金融行业通过大数据对用户行为深度分析、精准画像已成为趋势,其产品和服务的优化越来越依赖于数据的“哺喂”,数据成为企业越来越重要的资产和竞争力。国际支付行业PCI DSS标准中最重要的一条原则就是对消费者的信息“能不储存,就不储存”。而实践中,部分产业主体为追求便捷支付体验,会
储存如卡背后的CVV三位数字等敏感信息,这些在PCI标准中都是禁止的。随着个人信息的共享与开放成为常态,对数据收集的最小化和必要性进行法律约束显得尤为紧迫。
传统“告知与同意”信息收集规则保护效果有限。“告知与同意”环节冗长复杂的描述,增加了用户,特别是老年用户群体的理解难度。部分服务机构采用霸王式授权,迫使消费者同意共享个人信息。还有一些市场主体采用隐蔽的显示方式或不合理的默认选项,诱使用户直接同意信息共享协议。
在使用支付服务的过程中,用户常常无法控制个人数据的用途。由于大数据分析存在“二次使用”问题,数据的分析和运用在数据被收集时可能很难被预见,更不能在获取用户数据时对其使用情况进行充分的告知与提示。企业往往通过技术分析发现数据集之间的联系后,再明确数据的使用目的。因此,传统的告知与同意方式已经不能充分保障消费者对于自己数据使用情况的知情权。
支付数据的传输、存储和处理不规范为电信网络诈骗等犯罪提供了温床。信息泄露是支付安全问题的主要风险源头和电信诈骗犯罪的作案基础,对公众财产安全危害极大。第41次《中国互联网络发展状况统计报告》(2018年1月)显示,个人信息泄露问题在所有网络安全问题中的占比最高(达到27.1%),不法分子利用泄露的支付数据刻画用户身份,实现精准诈骗,盗取资金,造成了十分恶劣的社会影响。
指纹识别、面部识别等技术的应用,使得支付数据泄露的影响更加深远。目前,生物特征越来越广泛地运用于身份认证和支付加密等环节,指纹识别、面部识别等在许多场景下逐渐取代数字密码验证,与此相关的无人超市、无感支付等支付创新应用广受关注。由于生物识别技术的唯一性,更换用户信息的成本和技术难度高,用户生物身份信息一旦泄露,将比银行卡等资金信息泄露造 成的后果更为严重。
对行业主体的监管不平衡,制度可操作性有待提升。目前我国支付产业数据保护的监管存在“重商业银行,轻支付机构”的现象。2018年中国银保监会发布的《银行业金融机构数据治理指引》,规定银行业金融机构应当建立数据安全策略与标准,强化银行业金融机构对数据质量的责任,建立和实施数据治理问责机制。随着支付账户实名制的全面落实,非银行支付机构在提供支付服务的过程中,同样涉及大量用户个人敏感信息的处理和存储,部分非银行支付机构在数据信息数量以及在国民经济中的重要性等方面已经不亚于商业银行。但目前只有一些零散的条例来规范非银行支付机构的数据保护和治理,且多为原则性的指导,针对性和操作性不强。
平衡大数据应用与信息保护
建立健全支付产业的数据共享和保护法规,强化制度可操作性,推动行业数字化发展。根据数据的敏感程度、泄露危害、应用场景等因素,制定相应的共享和保护规则,保障用户享有对支付数据的自决权,同时要强化对特约商户和技术服务商等上下游企业的数据安全管理。
细化监督检查措施,落实追责与赔偿机制,注重罪责均衡。建立追责机制,对于泄露和倒卖个人信息等行为加强监管、严厉处罚。对于体量巨大、掌握用户信息资源较多的公司,可以参考欧盟GDPR,根据违法企业的上年营业收入、违法行为性质及造成的社会损失程度给予相应的处罚。同时,要依照金融消费者权益保护的相关法规,完善信息泄露事件发生后的赔偿机制。
强化支付服务主体安全责任,完善内部控制和技术支持。注重企业在个人信息保护方面的安全责任,已成为全球趋势。比如,2018年出台的GDPR中新增了“企业内部设立数据保护官”“数据保护影响评估”“发生数据安全事件后对 数据保护机构的报告和对个人的通知”等要求。作为支付数据的控制者和运营者,支付服务主体应将数据保护嵌入企业运营管理之中。一是制定清晰易懂的“告知同意”条款,落实用户的数据自决权、可携带权等权利,保障数据应用的透明度。二是对敏感信息严格进行脱敏处理,在存储、传输与使用等环节对用户信息进行全生命周期安全管理。三是业务外包时,通过协议等方式明确用户数据保护权责。四是建立数据泄漏强化报告制度,落实问责机制。五是完善数据共享的内部控制和技术能力,为客户提供更有安全感的支付服务。
积极发挥行业协会力量,加强整个行业金融数据保护能力和应用效率。探索建立健全用户支付数据保护相关评价指标体系,并进行定期评估。将用户支付数据保护纳入自律管理评价体系和行业违法违规行为举报奖励范围。将个人数据保护与从业人员培训和消费者宣传教育相结合,提升从业人员与消费者的数据安全意识。加强与支付卡行业安全标准委员会等国际支付安全认证评测机构的交流与协作,支持我国支付安全认证评测机构的发展,推动支付产业链的完善和升级。建立行业数据流通机制,帮助数据生产能力较弱的中小企业通过合理方式获取数据,推动行业层面的数字化、智能化转型升级,进一步提升支付服务的效率。
培育消费者个人数据保护意识和习惯。目前,数据主体大多对自身支付数据的保护意识不强,密码设置简单、重要密码重复使用等行为加大了数据保护的难度。监管部门、行业协会和市场主体应各司其职,针对消费者开展宣传教育,普及数据权利法律知识,提升个人数据权益意识,帮助广大用户形成良好支付数据保护习惯,发生信息泄露时及时运用法律手段维护自身权益。■