“数据黑产”背后的个人信息保护合规问题探析

数据黑产信息保护大数据

吴丹君周天一 | 2017-08-10 11:14

【数据猿导读】大数据风控企业数据来源分为平台接入与技术搜集两类，而通过爬取、买入、交换、撞库等灰色手段获取的信息也更容易成为“数据黑产”

根据公安部最新披露的消息，从今年3月至今，公安部开展了打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪的专项行动，在全国范围内共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起，抓获犯罪嫌疑人4800余名，查获各类公民个人信息500多亿条。与此同时，涉案金额达5000万元以上，利用苹果公司内部系统平台，非法查询苹果手机关联的个人信息进行售卖牟利的苹果中国公司及外包公司员工买卖个人信息一案，也已于近日开庭审理。显然，“数据黑产”带来的个人信息泄露问题已不容忽视。

近年来，互联网金融的十分火爆，各类网贷平台、消费金融机构在线获客需求暴增，并倒逼传统银行转型，更多借助互联网拓展零售客户。而鉴于互联网金融平台在扩大规模的过程中多开展现金贷业务，在精准获客的同时保证对客户征信信息的有效获取便催生了大数据风控的兴起。

大数据风控企业数据来源分为平台接入与技术搜集两类，而通过爬取、买入、交换、撞库等灰色手段获取的信息也更容易成为“数据黑产”。

数据信息来源合法合规亟待实现

大数据风控企业应当合法收集主体信息

有鉴于此，维护数据信息来源的合法合规值得高度重视。2012年全国人大常委会发布的《关于加强网络信息保护的决定》就提出保护能够识别个人身份和涉及隐私的电子信息，作为网络服务提供者的大数据风控企业在业务活动中收集的公民个人电子信息必须严格保密。

2013年工信部联合多家单位制定的《信息安全技术公共及商用服务信息系统个人信息保护指南》（下称《指南》），成为我国首部个人信息保护标准，《指南》虽未强制执行，但其将个人信息分为一般信息和敏感信息（包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等），规定了获取上述不同类别的个人信息的默示同意与明示同意的区别以及信息管理者的最少够用原则，值得大数据风控企业参考。需要注意的是，2013年9月实施的《电信和互联网用户个人信息保护规定》第一次明确了互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息并将其用于提供服务之外的目的，显然，大数据风控企业所收集的主体信息应仅为互联网金融信贷平台服务所需，不得另作他用。

互联网金融平台应构建内部个人信息保护制度

早在央行2005年公布的《个人信用信息基础数据库管理暂行办法》中就明确了商业银行对用户信用信息调取的内部授权制度和查询管理程序，并强调商业银行本身应当构建的个人信用安全管理制度，互联网金融平台在收集用户信用信息时所处地位与商业银行本质上无异，根据上述规定构建相关制度更能有效减少信用信息泄露的可能性。此外，根据《征信业管理条例》第29条的规定，从事信贷业务的机构向国家金融信用信息基础数据库或者其他主体提供信贷信息的，应当事先取得信息主体的书面同意，显然，若互联网金融平台需要将主体信息交由大数据企业使用和分析，应当事先取得信息主体的书面同意，否则构成违规。

违规截留个人信息应当禁止

我国现有的个人信息数据源头的主要包括三个，即公安部下属的全国公民身份证号码查询中心（下称身份证查询中心）、三大移动通信运营商以及各银行。以身份证查询中心为例，其对外正式授权身份核验服务的有八家代理商，实际经营中代理商多存在留存数据的情形，但身份证查询中心并没有技术手段去检查代理商的数据二次留存情况，其中的法律风险可想而知。

此外，当前无论是授权代理机构，还是未经授权的第三方支付机构，只要通过API模式接入官方数据系统，都存在违规截留个人信息的现象。

就大数据风控企业违规留存个人信息数据的问题，除之前《指南》已提到的最少够用原则外，《网络安全法》第四章明确要求网络运营者应当依照与用户的约定保存其个人信息，必要时进行数据脱敏与模糊化处理，应当引起大数据风控企业的重视。

两高解释降低泄露个人信息责任门槛

今年6月1日与《网络安全法》同时实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称两高解释），将《网络安全法》对公民个人信息范围的规定拓展为“反映特定自然人活动情况的各种信息”，诸如行踪轨迹信息、通信内容、征信信息、财产信息为重要信息，而住宿信息、通信记录、健康生理信息、交易信息等为敏感信息，并首次明确了公民个人“财产信息”属于最严格保护的范畴，而且指出财产信息既包括传统银行账户，也包括第三方支付结算账户。结合新实施的《测绘法》与之前《指南》的相关内容，公民个人信息的保护力度得到了空前加强。

从大数据风控企业的角度来看，两高解释第5条的10款规定可谓“招招致命”：包括违法所得5000元以上；非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上；非法获取、出售或者提供以上两项规定以外的公民个人信息5000条以上；将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到前述几项规定标准一半以上等。从中可以看出两高解释的适用范围已然扩大，将以前模糊的、不太确定是否构成犯罪或治安管理处罚、民事责任的行为，划了很低门槛，诸如搜集通讯录、搜集电商平台如京东或淘宝的交易信息达500条即会受到刑事处罚。

此外，两高解释对于“情节特别严重”的量刑标准是，数量数额达到“情节严重”前述几项标准的10倍以上，而5万条以上的信息非法获取，对很多互联网金融平台和数据风控企业来说可能只是一天的业务量。

两高解释的出台使得过去一次搜集无限制使用个人信息的日志一去不返，此后必须明示个人信息的用途和使用范围，将对业内产生较大影响，大数据企业尤其是风控类企业应当保持警醒，切不可越过法律的雷池。

注：

本文由 观韬中茂（上海）律师事务所 投稿数据猿发布。

欢迎更多大数据企业、爱好者投稿数据猿，来稿请直接投递至：tougao@datayuan.cn

来源：数据猿

收藏分享

声明：数据猿尊重媒体行业规范，相关内容都会注明来源与作者；转载我们原创内容时，也请务必注明“来源：数据猿”与作者名称，否则将会受到数据猿追责。