近日,由金科汇主办的“2019金融数据安全管理研讨会”在北京隆重举行。数十名专家学者,资深律师以及银行、保险、消金、大数据、征信等行业大咖莅临研讨会,并从宏观经济、数据安全立法、数据采集、数据使用、隐私保护等多种维度对日前国家网信办下发的《数据安全管理办法(征求意见稿)》(以下简称《管理办法》)具体条款内容以及外延深入探讨,为推动金融数据安全管理建言献策。

  图为:2019金融数据安全管理研讨会现场

据了解,参加2019金融数据安全管理研讨会的嘉宾不仅有公安大学王铼教授、北京大学彭冰教授、国务院发展研究中心段炳德处长等知名专家,还有环球律所王英光、北京蔚来律师事务所王丽娜等资深律师,还有中诚信征信副总裁毛赛、中智诚征信副总裁谭砢、大信金科总经理荆滔等行业大咖,以及来自民生银行北京分行科技部兼数据应用部总经理郭庆、邮政储蓄银行、交通银行、平安银行、华夏银行、北京银行、中关村银行等银行业数据风控高管出席活动,观点纷呈,讨论激烈,共同呈现出一场既深远又犀利的思想盛宴。

透视金融数据安全,各路大咖思想大碰撞

公安大学金融安全与网络科技研究中心教授、博导王铼

  会上,公安大学金融安全与网络科技研究中心教授、博导王铼通过以往的课题研究以及金融机构考察对《管理办法》进行透视,并在个人金融信息保护方面,建设性地提出“五分法”,即分行业、分级别、分类别、分场景、分阶段。她强调指出,金融个人信息保护方面应该区分、区别对待,才能更有效的监管。

王铼教授还特别强调加强金融信息控制者的内部管理问题,明确数据安全责任人。她指出,数十起大数据泄露的案件,最薄弱的环节就是员工防范,这种防护几乎是零。如果一旦有重大数据泄露发生,并进行追责的时候,对应的还会有行政上的责任和刑事上的责任。

此外,王铼教授还对《管理办法》的细节进行探讨,即删除权的问题。如果用户要求企业删除自己的重要信息,但企业已经把用户数据泄露了,这种情况下应该提起什么样的诉讼,企业有没有义务履行责任,能不能无限地追诉下去等。

北京大学法学院金融法教授彭冰

  北京大学法学院金融法教授彭冰对《管理办法》的逻辑进行了透彻分析。他指出,与数据相关的研究分为三个层面,一是承载数据的载体;二是符号层,表现为数据;三是数据的内容。但《管理办法》没有讲第二层面,直接跳到了第三个层面,讨论的其实是个人信息保护。为此,他猜测《管理办法》应该是个人信息保护法出台之前,对个人信息的保护。

彭冰教授还讲到数据安全责任,应该对追究个人责任还是单位责任进行明确的界定。他指出,目前《刑法》追责的都是个人,但其实在现代社会,企业越来越占据主要的位置,问题是什么时候怎么区分单位责任和个人责任,这是一个很复杂的问题。在国外,这种事情很普遍,这就是为什么在国外动不动就罚公司好几千万,就是因为一直在单位的责任。

此外,彭冰教授还讲到免责的问题。企业必须在内部建立一套合理的控制和规范机制。有了这套内控制度,企业就尽到了管理者的责任,去努力去防范。

国务院发展研究中心信息中心研究二处处长、研究员段炳德

  国务院发展研究中心信息中心研究二处处长、研究员段炳德从三个视角分析金融数据安全。他认为,提到数据就涉及到数据安全。但是没有绝对的安全,就是相对的安全。要有安全,就需要保护,就有保护的严格与非严格。

他认为,金融数据安全,一定要适合我们的国情,一是要思考我们到底需要什么样的安全;二是要有底线思维,如果出现了大规模的泄露,可能会冲击金融系统;三是专业问题还要专业化处理,通过法律界、金融界的人士集思广益,拿出一个符合中国国情,符合互联网金融发展规律的规则,会对产业发展非常有好处。

北京蔚来律师事务所王丽娜律师

  北京蔚来律师事务所王丽娜律师从国家立法的角度分析《管理办法》。她认为,从最早的关于个人信息保护的《网络安全法》,到之后的刑法相关的修改,再到国标委下发的《信息安全技术个人信息安全规范》,再回过头看《管理办法》,是一脉相承的原则,要求个人信息主体同意,而且收集和使用个人信息,要遵循最小的原则。

王丽娜律师还提出《管理办法》对于个人衍生数据、加工处理过的数据,对它的权属和使用、共享,没有明确的规定。她认为,数据都有它自己自身的价值,脱离了个人以后,会有自己的使用方式,会有自己创造出来的价值。那么,对数据进行加工以后,相应的这种网络经营企业应该承担什么样的义务,又有什么权利,应该进行明确的规定。

北京市环球律师事务所王英光律师

  北京市环球律师事务所王英光律师对各位嘉宾提出的观点和疑问进行了回应。其中,在属于数据权属的问题上,他认为,不仅在中国,包括在欧洲的一些司法案件中,也没有数据的所有权属于谁的明确界定。但去年,淘宝诉媒体的案例,具有一定的指导意义。媒体公司利用网络爬虫技术获取了淘宝的一些数据产品,法院认定淘宝公司具有对这些数据产品,经过加工的数据是享有一定的使用权,包括收益权的。

此外,王英光律师还对《管理办法》的具体条款进行深入解析。其中,解析第十六条内容时,王英光律师认为,这其实是对网络爬虫的行为的规定。他表示,爬虫行为,并不简简单单是合规的问题,已经推定于刑事犯罪领域的法律规制特点。为此,王英光律师还以“车来了”、“酷米客”的案例讲述刑法285条非法获取计算机信息系统数据。

民生银行北京分行科技部兼数据应用部总经理郭庆

  民生银行北京分行科技部兼数据应用部总经理郭庆在研讨会上做了主题为《商业银行数据安全的探索与实践》的主题分享,从结合大数据应用讲述银行端数据安全体系,从而对《管理办法》相应的政策措施进行分析。其中,关于金融数据安全,他提出两点具有思考价值的话题,一是关于数据泄露,随着新技术出现,比如声纹、人脸技术等,如果数据泄露应该怎样应对?二是数据的安全技术,能否根据所存储数据的分级之后,进行相应的技术规范。

中诚信征信副总裁毛赛

  中诚信征信副总裁毛赛认为,在信用信息领域更多的是授权,授权要完整。一个是向上授权,一个是向下授权。在跟金融机构合作的时候,征信企业需要客户的明确授权,需要让客户了解到他们的信息被采集,同时我们在采集他们数据,使用数据的时候,也需要体现这些要求。但是,我们在应用当中对于用户个体,我们可以通过金融机构进行授权,但在上游,现在是难点。

民生银行信息科技部安全高级经理詹丹丹

  民生银行信息科技部安全高级经理詹丹丹谈及《管理办法》时,详细阐述银行业的信息安全防御体系,并分享了自己的4个观点。一是数据安全已经到了非管不可的程度,个人信息泄露的案件,真的触目惊心;二是内部管理不完善和能力不足的情况不能忽视;三是数据持有者应该把用户数据保护放在比较高的位置上;四是呼吁加大数据泄露事件的执法力度。

大信金科总经理荆滔

  大信金科总经理荆滔结合自身工作经历解析《管理办法》。他指出,信息属于资产,把个人信息提供给机构,获得授信,获得资金,这是信息的增值;如果个人出现逾期,出现在灰黑名单,这是个人信息的贬值。那么,从《管理办法》看,作为一个服务机构,拿到渠道信息,如何鉴别这些渠道信息是否授权充分,这关于转售权的问题,这也是我们从业机构比较关心的。

数据宝联合创始人、副董事长詹臻

  数据宝联合创始人、副董事长詹臻通过结合自身企业的商业模式解析《管理办法》。她表示,《管理办法》出台之前,我们依托的就是17年的《网络信息安全法》,如果《管理办法》出台的话,对我们数据的使用方有明确的约定。此外,她还提到作为数据的中间机构,没有办法确认上游和下游是否获得充分授权,这是她目前关心的问题。

本次会议受到了行业广泛关注,从业者都高度重视,数十名专家、学者、行业大咖齐聚一堂进行了富有成效的讨论。

会后,主办单位将研讨会成果作为征求意见的内容呈送相关管理单位,共同推动数据安全管理的治理和发展。

据悉,参加本次研讨会的领导和嘉宾有公安大学金融安全与网络科技研究中心教授、博导王铼 ,北京大学法学院金融法教授彭冰,国务院发展研究中心信息中心研究二处处长、研究员段炳德,人大重阳金融研究院刘英,环球律所顾问律师王英光,北京蔚来律师事务所王丽娜,中诚信征信副总裁毛赛,中智诚征信副总裁谭砢,以及邮储银行、交通银行、光大银行、中信银行、华夏银行、平安银行、北京银行、浙商银行、新网银行、中关村银行、国民征信、大信金科、量化派、宜信普惠等机构负责人。

来源:中国财经时报网

声明:

1、中国周刊网所有自采新闻(含图片),未经允许不得转载或镜像,授权转载应在授权范围内使用,并注明来源。

2、部分内容转自其他媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。

3、如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行。

回复

请输入你的评论!
请在这里输入您的名字