新華財經(jīng)北京10月22日電 “個人金融信息是個人信息在金融領(lǐng)域的拓展和延伸。”10月21日，北京字節(jié)跳動科技有限公司互聯(lián)網(wǎng)法律研究中心主任丁道勤在2021年金融街論壇年會——“數(shù)字經(jīng)濟與金融科技”分論壇上如此表示。丁道勤稱，個人金融信息可歸為三大類：金融賬務(wù)信息；個人金融活動信息，包括交易及相應(yīng)活動；個人金融分析挖掘出的信息內(nèi)容。

丁道勤表示，個人金融信息數(shù)據(jù)的挖掘?qū)︺y行、金融決策服務(wù)是非常好的支撐，因為金融核心是風(fēng)控，風(fēng)控是以數(shù)據(jù)為導(dǎo)向，大數(shù)據(jù)應(yīng)用水平成為企業(yè)競爭力的核心要素，數(shù)據(jù)挖掘會涉及到數(shù)據(jù)庫的數(shù)據(jù)提取、數(shù)據(jù)預(yù)處理、數(shù)據(jù)知識提取、知識評估，前兩個遵守相應(yīng)個人信息保護的情況。

在個人信息的搜集環(huán)節(jié)，丁道勤舉例稱，如大家熟知的人臉識別技術(shù)在金融領(lǐng)域廣泛應(yīng)用，比如身份驗證、刷臉支付等作為生物識別信息也需有嚴(yán)格的規(guī)范，特別是在人臉深度偽造會造成相應(yīng)財產(chǎn)損害的情況下，顯示出收集環(huán)節(jié)應(yīng)該要遵守更加嚴(yán)格的要求。

丁道勤稱，個人信息共享也涉及到金融科技的發(fā)展，數(shù)據(jù)只有安全流動起來才有相應(yīng)的價值，也避免數(shù)據(jù)孤島和壟斷的情況，這個過程中也要遵守數(shù)據(jù)共享和委托要求。

以下為丁道勤講話核心內(nèi)容：

各位領(lǐng)導(dǎo)、專家：

大家下午好！

非常榮幸來參加這個論壇，我今天想?yún)R報一下我個人金融信息保護的思考。以下僅代表個人觀點。

我今天匯報有以下三方面內(nèi)容。一是監(jiān)管現(xiàn)狀。二是個人金融信息監(jiān)管的主要制度。三是個人對金融信息監(jiān)管的粗淺建議與思考。

第一，為提升交易效率，金融交易中很多情況涉及金融科技。第二，處理不當(dāng)時，金融科技是否會存在濫用情形。第三，信息泄露，特別是在數(shù)據(jù)挖掘過程中可能會產(chǎn)生侵犯隱私權(quán)的情況，另外，一些傳統(tǒng)金融機構(gòu)在信息化轉(zhuǎn)移過程中也會遇到相應(yīng)的難題。

我梳理一下金融專門的法規(guī)體系，主要包括以下幾個方面：

第一，個人金融信息分類分級。包括個人金融信息有哪些內(nèi)容、有什么內(nèi)涵和外延。

第二，收集各方面同意的規(guī)則。

第三，金融信息的共享和委托。一般針對大數(shù)據(jù)的挖掘利用和金融信息的跨境流動。

第四，個人金融信息分類分級。

歐盟GDPR對個人金融信息的定義并沒有像中國《個人信息保護法》那樣列示，敏感類信息是作為特殊信息進行總體保護，它的規(guī)范更加嚴(yán)格。在美國金融服務(wù)類現(xiàn)代法案沒有對金融消費者非公開個人信息的NPI規(guī)定有一個明確的界定。而在我國的兩部法律中，個人信息保護法直接將金融賬戶信息列入敏感信息。另外，個人金融信息是作為重要數(shù)據(jù)來保護的，甚至還有涉及到國家的核心數(shù)據(jù)，這會遵守一系列的數(shù)據(jù)安全保護要求。

總體而言，我認(rèn)為個人金融信息是個人信息在金融領(lǐng)域的拓展和延伸。歸類來看，包括三大類：第一是金融賬務(wù)信息；第二是個人金融活動信息，包括交易還有相應(yīng)的活動；第三是個人金融分析挖掘的信息內(nèi)容。

收集同意規(guī)則上，《個人信息保護法》是以知情同意原則加上處理者為中心的監(jiān)管體系，把它列入金融賬戶信息、列入敏感信息，要遵守一系列敏感信息的監(jiān)管方案要求，比如說你要符合特定的目的和必要性，要采取嚴(yán)格的措施，還要取得個人同意，并且向個人告知處理的必要性以及對權(quán)益的影響。另外，我們可以看到在個人金融信息不光是知情同意，知情同意還有一些例外的情形，訂立合同、人力資源管理、履行法律義務(wù)以及緊急情況下的財產(chǎn)安全、合理范圍的監(jiān)督等。

另外，個人公開的信息處理。在個人金融信息的搜集環(huán)節(jié)，如大家熟知的人臉識別技術(shù)在金融領(lǐng)域廣泛應(yīng)用，比如身份驗證、刷臉支付，它作為生物識別信息也需有嚴(yán)格的規(guī)范，特別是在人臉深度偽造也會造成相應(yīng)財產(chǎn)損害，這是收集環(huán)節(jié)應(yīng)該要遵守更加嚴(yán)格的要求。

第二，個人金融信息共享、委托的情況，前不久范行長談到在數(shù)據(jù)共享要求堅持最小必要和專事專用的原則，而且是在保障原始數(shù)據(jù)不出域的前提下來規(guī)范開展數(shù)據(jù)共享。另外一個要建立全生命周期保護來進行匿名查詢，去標(biāo)識化。

17號文通過外包開展業(yè)務(wù)，要進行充分審查來評估外包供應(yīng)商的能力。在共享過程中，也涉及到金融科技的發(fā)展，數(shù)據(jù)只有流動起來，在安全流動起來才有相應(yīng)的價值，也避免數(shù)據(jù)孤島和壟斷的情況，我們看到企業(yè)在很多情況下也在開放NPI接口和SDK的情況進行數(shù)據(jù)互連，這個過程中也要遵守數(shù)據(jù)共享和委托的要求。

下一個，在很多情況下特別是在隨著金融科技技術(shù)的發(fā)展，個人金融信息數(shù)據(jù)的挖掘，實際上在很多對銀行、金融決策服務(wù)是非常好的支撐，因為金融核心是風(fēng)控，風(fēng)控是以數(shù)據(jù)為導(dǎo)向，大數(shù)據(jù)應(yīng)用水平是成為企業(yè)競爭力的核心要素，數(shù)據(jù)挖掘會涉及到數(shù)據(jù)庫的數(shù)據(jù)提取、數(shù)據(jù)預(yù)處理、數(shù)據(jù)知識提取、知識評估，前兩個遵守相應(yīng)個人信息保護的情況，后面做了一個信息匿名化包括加密無污染環(huán)境，自由人可以在法律規(guī)則條件下進行瀏覽出來，也要按照法律規(guī)定向消費者說明他處理的情況，滿足法律監(jiān)管要求。

個人金融信息的技術(shù)規(guī)范，對匯集、聚合數(shù)據(jù)，在原有處理范圍之下做一些相應(yīng)的要求，聚合形成的信息如果可以識別出個人，還要再取得個人民事的同意，根據(jù)使用目的還要進行安全評估，這是對聚合信息進行挖掘在此使用的要求。

最后談一下完善個人金融信息保護個人的思考。金融行業(yè)是信息導(dǎo)向非常明確的行業(yè)，建議在采取綜合基本法在行業(yè)專門立法的基礎(chǔ)上出臺，做一個專門規(guī)章，形成一個立體性的保護體系。第二，要采取個人金融信息結(jié)果導(dǎo)向和全程可追溯的情況。還有一個很重要的一點，金融從業(yè)主體不光是金融機構(gòu)，應(yīng)該符合強化自覺的合規(guī)意識，要符合和目的性、受限性的收集以及風(fēng)險評估管理，做好全鏈條內(nèi)控制度。最后金融消費者，要提高自己的保護意識，充分了解相應(yīng)的權(quán)利內(nèi)容，在監(jiān)管機構(gòu)包括金融機構(gòu)教育培訓(xùn)基礎(chǔ)之上來提高自己的防范意識。