“个保法”落地七问：谁受影响最大？整改中有哪些难点痛点？哪些环节可以引入隐私计算？

导语

11月1日，作为我国首部专门针对个人信息保护的系统性、综合性法律——《个人信息保护法》正式落地。对于金融和营销行业来说，此前我们熟悉的业务模式和流程发生了哪些变化？对于银行、保险机构、金融科技公司分别都有哪些影响？整改中的难点和痛点都有哪些？侵害个人权益的“大数据杀熟”与差异化的销售策略之间的界限究竟在哪里？

以下内容来自数牍科技副总裁张迎春、范翔接受《中国银行保险报》、《中国经营报》、《中国经济时报》等采访的相关报道整理，特别感谢苏洁、李晖、李晓红三位老师的采访支持。

在个保法中，对金融机构影响较大的主要是哪几个方面。这会导致此前哪些我们熟悉的业务模式和业务流程需要发生哪些变化？

张迎春：

此次个保法对于金融机构而言，主要有三个主要方面的的影响：

1、个保法首次明确了个人信息处理六大场景中各方的法律关系和相应要履行的义务。这对于金融机构而言，同此前央行出台的《个人金融信息保护试行办法》（后称试行办法）等相比，涉及到的个人信息处理情形更明确了，各种情形中金融机构的义务也更明确了。

比如金融机构利用外部数据进行营销分析和风控模型增强的模式，在此前的试行办法中，大部分是站在“告知-同意”以及单独授权的角度来规范金融机构行为，而试行办法对于外部数据提供方较缺少约束，因而造成金融机构“端到端”合规成本高。又如，金融集团内各子公司在数据协同过程中的相关责任和义务也是需要在个保法框架下进行探索的。

2、个保法以“告知-同意“为核心，在个人信息主体具有知情权的情况下，进一步赋予了个人信息主体以决定权、查阅复制权、转移权……等7项权利。因而对于金融机构而言，未来可能在集团各子公司间数据协作、同业间数据的“可携带性”、数据全生命周期的合规管理、个人信息相关的“opt-out”都需要有更多的探讨以及行业具体办法的出台。

3、个保法对于个人信息跨境方面有了更加明确的规定和要求，这对于金融机构，尤其是具有海外分支机构、海外业务的金融机构而言，也能起到更为明确的法律支撑。

总结起来，个人信息保护法对于此前金融同科技结合最为深入的征信/信用风险管理、线上营销（包括电子渠道）、网点运营三大类业务影响最大，这些影响概括起来就体现为银行保险机构需要对照个保法六大场景，来梳理和审视在这几类业务中合法合规所需采取的行动。

业务模式和业务流程方面，对个人信息主体可见的部分主要是会有更多的知情权（告知的事项和情形更多了，告知的内容更明确和具体了），以及更多的决定权（opt-out）。“不可见”的部分，最重要的变化会体现在各方会更加明确在合作中各自的法律角色和义务，尤其是在如前列举的一些此前无明确法律可依的场景中，金融机构、科技公司等主体彼此的“权责利”会更加明确。

在个保法中，对金融科技类公司有哪些影响？

张迎春：

个保法是从个人信息处理的角度，为“金融归金融、科技归科技”这种分业监管提供了重要的上位法基础。

对于金融科技公司而言，最主要的挑战在于，过去金融科技公司在个人信息处理过程中的法律角色是模糊的，比如金融机构“上云”过程中，金融机构和云计算平台方各自围绕个人信息相关的法律责任和义务，由于缺少上位法，很难统一和界定，这种法律角色的不明确就会发生一些利用监管漏洞进行“套利”的做法，不论从个人信息安全保护还是维护金融系统性风险等方面都有影响。可以说，个保法是从个人信息处理的角度，为“金融归金融、科技归科技”这种分业监管提供了重要的上位法基础。

个保法对金融行业的影响是否要叠加数据安全法、征信管理办法等配套一起观察？

张迎春：

数据安全法、网络安全法、国家安全法从逻辑层级来说高于个保法，个保法同前述三部法律是相容的，同时，个保法对于社会各行业都有约束作用。

具体到金融行业，是必须要结合征信管理办法等相关行业法律法规一起考虑的。可以总结为：个人信息保护是数据安全保障的一方面，征信活动中同个人信息相关的部分，个保法是上位法，征信管理办法是行业法规。

另外还需要指出的是，针对金融机构合法合规的难点中，金融行业预计会配合个保法，可能会（或者也需要）出台更多的管理办法等，从实际监管和落地的角度提供更细化的操作指南。

在个保法出台前，侵害买卖个人信息也会受到刑事上的惩处，比如前几年净网行动对大数据行业的整肃效果很明显。个保法对金融行业的主要价值和意义有与之前的相关法条相比有何不同？对震慑滥用个人数据是否会有实际意义，是否会对黑产和诈骗在立法上进行约束？

张迎春：

个保法从上位法角度对个人信息相关问题作出了“闭环”的规定，其出台已经宣告了信息泄露、信息滥用等的非法性，使得相关监督、管理、保障、处罚等活动有了法律依据。

在个保法出台前，刑法、民法等法律中都有个人信息相关的要求和规定，相对于个保法而言，这些法是上位法，个人信息相关条款的主要角度也不是规定“如何是合法的个人信息处理方式”。而个保法可以理解为围绕个人信息及其保护相关的“专门法”，因此对相关领域的指导意义更明确。

个人数据滥用问题方面，此前最大的问题是缺少个保法这么一个“专门法”，有较多的法律所未触及的“灰色”地带，个保法规范出来的合法模式，偏离了合法模式的就属非法，因此对个人数据滥用问题的实际意义也是很大的。

信息泄露、信息滥用分别代表了在个保法出台前，围绕个人信息的“两点一线”存在的问题。个保法从上位法角度对个人信息相关问题作出了“闭环”的规定，其出台已经宣告了信息泄露、信息滥用等的非法性，使得相关监督、管理、保障、处罚等活动有了法律依据。同时，实操过程中还应关注如公安、网信办、人行等在内陆续出台的具体措施、办法及标准等。

个人信息保护还对“大数据杀熟”等做了规范，“大数据杀熟”正是消费者最为关心的问题之一。但侵害个人权益的“大数据杀熟”与差异化的销售策略之间的界限究竟在哪里？

范翔：

差异化的销售策略与“大数据杀熟”是两个不同的概念。

“大数据杀熟”是基于对个人信息的了解，制定针对于不同的个人的定价策略，来实现更高的收益，这实际上是针对于个人的“定价歧视”。差异化的销售策略是指为了满足消费者的个性化需求，在消费者同意、知情的前提下，让消费者更加高效地找到自己想要的产品或服务，消费者接受到推送产品的价格是不能有区别的。

金融机构整改过程中有哪些难点痛点？

张迎春：

个人信息保护要遵循协同共治理念，完成立法只是迈出了第一步，以金融领域为例，随着AI、大数据、云计算技术被银行保险机构广泛的应用，银行保险机构作为“个人信息处理者”，所涉及的个人信息范围和扮演的角色都要更加复杂。

从目前的讨论看，金融机构在整改过程中主要有如下痛点难点：

1、“告知-同意”也就是得到明确授权的过程，如何能降低对个人信息主体（个人）的体验影响？比如除了反复弹窗之外，在手机银行等APP中办理业务时，如何落实“告知-同意”的要求？

2、在个人信息处理的过程中，哪些材料、数据、日志是具备法律效力的？能在审计或发生纠纷时作为证据提交？

3、个保法对数据开放方和数据应用方都有约束作用，如何在个保法框架下提升数据供需双方互信，从而降低社会整体合法合规成本？例如，个保法对数据开放主体的约束，可能会导致数据开放主体需要数据应用主体保证数据用途合规，数据应用主体如何证明用途合规？数据应用主体也会要求数据开放主体证明数据来源合规，数据开放主体如何证明？双方合作过程中，如何保证数据未泄漏？如何保证处理过程可信？

面对整改过程中的难点痛点，有哪些环节是隐私计算技术可以解决的？

张迎春：

隐私计算结合区块链、标识解析等技术可以比较好的为两点一线的合规提供技术支撑。

总结起来，个保法最大的难点其实就是合法合规中所谓“两点一线”的问题。两点分别是数据来源和数据去向的合规，一线就是个人信息处理的过程性的合规问题。从这个角度来说，隐私计算结合区块链、标识解析等技术可以比较好的为两点一线的合规提供技术支撑。

比如在授权管理场景下，客户的授权（采集和应用）在区块链上存证，利用标识解析技术来实现数据的去标识化和匿名化，最核心利用隐私计算将匿名化、去标识化的数据进行“可用不可见“的联合计算（处理），并且处理过程中的用法用量（谁用了谁的什么数据，用在了什么地方）作为智能合约自动执行，执行中过程性日志上链存证，这样就支撑了端到端的合规数据联合处理的过程。