11月1日，《中華人民共和國個人信息保護法》（下稱“個保法”）正式施行。

個保法明確不得過度收集個人信息、大數據殺熟，對人臉信息等敏感個人信息的處理作出規制，完善個人信息保護投訴、舉報工作機制等，充分回應了社會關切，為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。而銀行等金融機構的業務與個人信息息息相關，個保法的正式實施將會對金融機構帶來怎樣的合規挑戰？

比如，當前在金融行業應用頗為廣泛的人臉識別技術，在給行業和客戶帶來便利的同時，也有潛在的信息泄露風險。

“應用人臉識別時，不僅要考慮便利性，還要考慮安全性?！比涨?，在廣州數字金融創新研究院、廣東廣悅律師事務所聯合主辦的 “羊城數字金融沙龍”論壇第一期活動——“金融行業數據安全治理”學術沙龍上，廣東廣悅律師事務所高級合伙人楊杰表示，現階段人臉識別已逐漸取代人工成為金融機構最高級別的認證手段，并被廣泛應用。例如，在違規性監控領域，為節約成本、提高便利性，人工監控已經被人臉識別監控替代，但是否符合個保法的最小必要原則值得討論。

對此，中南財經政法大學數字經濟研究院執行院長、教授盤和林表示，相較指紋等個人信息，人臉識別更容易與個人對應，這是人臉識別被廣泛普遍關注的原因之一，也是個保法提高人臉識別管制的理由之一?！敖鹑跈C構和類金融機構應界定人臉識別的使用范圍，在存在替代方案的情況下，金融機構仍需遵循最小必要原則，審慎使用人臉識別技術?！?/p>

所謂“最小必要”，指的是處理個人信息應當具有明確、合理的目的，并應當限于實現處理目的的最小范圍，不得進行與處理目的無關的個人信息處理。

華南師范大學法學院研究員、數字政府與數字經濟法治研究中心主任馬顏昕則認為，人臉具有外部性，安全級別并不太高，其被廣泛關注并非由于存在重大安全性隱患，而是由于其使用范圍廣、易被采集的特點?！霸?a href="http://www.johngarrisbuilder.com/search/result.shtml?siteID=123&query=第三方支付" target="_blank" title="第三方支付" class="hotLink" >第三方支付等小額支付領域，人臉識別更多是提供便利，在金融機構領域更多是提供個人身份確認功能?！?/p>

針對個保法的最小必要原則，馬顏昕提出，金融機構可通過提供線上人臉識別和線下辦理的雙選項方案以符合法律的要求。

同時，他表示，相比最小必要原則，自動化決策的濫用和敏感個人信息的單獨同意對金融行業帶來的挑戰更大。

如今，生活中自動化決策的應用范圍已非常廣泛，健康碼、個稅APP等均使用自動化決策提供服務。

馬顏昕認為，相較精準營銷業務，金融機構依托自動化決策開展的金融科技業務受個保法的沖擊更大。一方面，個保法的實施將影響金融機構使用金融科技手段進行自動化決策，進而影響貸款審批、逃稅監管等業務的開展。另一方面，隨著科技的快速發展和個人信用狀態的模糊化，大量未持征信牌照的類金融機構也開始利用自動化決策紛紛開展用戶信用評估業務，如車險評估及其他各類評估評分等?！斑@是否符合征信業務開展的相關規定，未來又將如何調整，是類金融機構面臨的重要挑戰?！?/p>

不過，盤和林表示，在人工智能、數字經濟快速發展的現代社會，自動化決策不可避免。但他同時也指出，自動化決策的廣泛應用會降低社會容忍度、壓縮個人生存空間?！耙虼?，開展自動化決策時，不僅要考慮效率的提高，也要考慮人性的特征、個人隱私的邊界以及弱勢群體的生存等問題。政府與企業應厘清個人信息采集、自動化決策應用以及按章執法的邊界，允許試錯?！?/p>

對此，楊杰表示贊同。他進一步指出，現階段，金融機構自動化決策業務往往涉及數據在集團內部流動的現象，在多數情況下，個人信息收集者并非數據的實際使用者?！敖鹑跈C構應按照個保法要求，解決好個人信息數據在集團內部流動時的‘再次同意’問題?！?/p>

而對于個人信息的存儲，楊杰認為，中央與地方、大型金融機構與中小型金融機構、類金融機構應做到相同的安全防護級別，并實現非必要不存儲?！霸诩夹g層面，個人信息要第一時間進行去標識化處理；在管理層面，機構應當關注信息的保存期限以及隔離存儲設置?！?/p>

盤和林也表示，同一類型的個人信息在各地、各企業的存儲應達到統一的安全級別。此外，個保法仍需后續配套法律的支撐，使各地政府公職人員能有法可依、有標準可依，打通企業數據向政府流動的最后一公里。

“個人信息泄露在未來不是技術問題，而是管理問題。2018年歐盟頒布《一般數據保護法案》后，近年來又發布數字市場法、數字服務法、數字治理法等一系列法律草案，計劃形成全面的數據法律體系?！瘪R顏昕以歐盟數據法律體系為例指出，當前我國企業向政府提供數據信息時，面臨向誰提供數據，誰負責數據安全以及多頭重復向企業要數據等問題，政府應通過立法等機制，建立企業向政府共享數據的渠道。

責任編輯：王超