當前����,ESG(環境����、社會�、公司治理)發展理念的關注度不斷升溫�����,國內外不少企業正在探索如何與環境��、社會更好連接�����,如何在商業價值和社會責任之間取得平衡�����,如何走出一條可持續的發展路徑�。
作為支持經濟運行的重要力量��,金融機構積極擁抱ESG是大勢所趨����。而在ESG價值體系中�,個人信息保護一直是“社會”(Social)領域的重要議題����。特別是人工智能��、大數據����、云計算等技術廣泛應用于金融領域�����,在使金融服務變得更普惠����、便捷和高效的同時���,也對個人信息保護提出了更高要求�。
個人信息保護面臨著哪些問題���?消費者比較重視哪些個人信息被收集��?都采取了哪些應對措施�?金融機構又如何保障個人信息安全�����?聚焦上述問題����,7月11日��,微眾銀行發布《ESG丨個人信息保護專題研究報告》(下稱《報告》)�,該報告從用戶的角度出發����,詳解當前個人信息保護的現狀���,并介紹了用戶對于個人信息保護的認知與訴求�����,為金融同業提供參考��。
個人信息保護面面觀
隨著互聯網的發展��,個人信息已成為關鍵生產要素�����,而個人信息保護被提到更高位置��。作為典型的數據密集型行業���,金融機構承擔著信息保護重任���,尤其是金融機構所掌握的個人信息多為敏感個人信息��。在此背景下�,不管是監管部門���,還是金融機構�,都正著手建立更嚴格的個人信息保護機制�����。
另從立法層面看����,2021年11月1日施行的《個人信息保護法》規定����,處理個人信息應當具有明確���、合理的目的����,并應當與處理目的直接相關��,采取對個人權益影響最小的方式�;收集個人信息��,應當限于實現處理目的的最小范圍��,不得過度收集個人信息��。
金融機構開展個人信息保護專項整治關鍵要從用戶的角度出發���,那么對于消費者來說��,當前個人信息安全有哪些問題��?微眾銀行的《報告》給出了具體答案��。根據《報告》����,82.5%的用戶曾經經歷過個人信息泄露事件��,其中12.9%的用戶遭遇了10次以上的個人信息泄露�,尤其是在購房��、購車�、裝修�����、培訓報名�、電商購物等方面不堪廣告電話之擾��。
而且在信息泄露之后的應對方式上相對單一����,用戶并不很清楚如何進行有效的應對��,同時用戶對于自身擁有哪些與個人信息相關的權利及如何行使這些權利了解有限����;另外�����,從渠道上看���,用戶對線上渠道的信息泄露有更大的擔憂�,很多用戶認為在線上渠道留存了大量個人信息�����,并不了解個人信息具體的流向�����,即使發生了泄露也很難追溯�,且對于App提供的關于個人信息處理相關重要信息的隱私政策��,用戶認知理解嚴重不足��。
另外在政策多次提及的信息收集方面�,《報告》顯示�����,八成以上用戶謹慎開放手機系統權限����,而且相比便利性更多用戶看重安全感��;同時���,有37.5%的用戶認為當前一些App/商家存在過度收集個人信息的情況��,主要表現在通訊錄��、定位等權限獲取��。
對于敏感個人信息��,報告調研稱�����,很多用戶不了解具體包含的范圍����,但普遍認為銀行賬戶���、存款余額等涉及金錢相關信息的重要度較高�。“當前部分用戶對App在收集人臉�����、身份證等敏感個人信息時是否單獨明確提醒沒有特別留意��,但在使用金融機構App時通常會關注機構資質�����、機構規模與知名度等因素�,且普遍對銀行在保護個人信息安全方面的信任感較高�。”
科技賦能打消用戶顧慮
根據微眾銀行此次調研可以看到�,消費者在個人數據使用上仍有諸多擔憂���。調研結果也顯示�,用戶對個人信息安全的關注度持續提升�,在個人信息流轉/應用的各個環節��,如復制��、轉移�、App或商家與第三方進行數據共享協同服務等����,對信息泄露的擔憂已經成為用戶使用相關服務的最大顧慮�����。
對于金融機構來說����,如何打消用戶顧慮是當前首要解決的問題���,這就要求金融機構探索更為精細和嚴格的個人金融信息的分級管理措施��。“在日常工作中��,金融機構要切實重視客戶信息和隱私保護���,將保護個人信息和隱私的理念內化于金融機構血液中�,建立個人信息數據庫分級授權管理等制度�,以最嚴格的標準和最嚴密的措施確保用戶信息和隱私安全��。”復旦大學金融研究院兼職研究員董希淼說道���。
對此��,筆者了解到�����,金融機構正積極行動���,不僅在公司內部建立了相應的風險管理體系及內控合規的制度規定���,而且加大信息保護系統建設����,護航數據的存儲和傳輸����。業內的共識在于����,技術的迭代升級將進一步助力個人信息的保護�。
依托于互聯網基因��,作為全球領先的數字銀行���,微眾銀行在個人信息保護的技術創新上已進行嘗試探索�。該行通過在新興技術應用模式(如分布式數據傳輸協議�,Distributed Data Transfer Protocol)及前沿技術手段(如隱私計算����,Privacy Computing)等領域的創新探索���,嘗試有效保障用戶個人信息新路徑���。
特別是在DDTP方面��,微眾銀行基于區塊鏈技術進行設計����,通過區塊鏈的全流程追溯�、防篡改�、實現可信傳輸�,探索更安全��、可信����、易協作的個人信息傳輸技術方案�。
據悉�����,通過引入用戶作為核心參與者����,DDTP建立了用戶主動行使個人信息轉移權利的模式�����。對于用戶而言���,可自行發起個人信息傳輸�,并選擇存儲位置����,存儲和驗證分離��,如此一來�,有效避免數據被不必要復制�,從而在存儲環節獲得高安全性��。
另在傳輸環節����,DDTP利用區塊鏈不可篡改性實現數據驗證�,用戶授權記錄上鏈���,可溯源可審計�,實現可信傳輸���;并且該模式還支持跨機構�����、跨行業����、跨場景協同�����。
2020年���,支持廣東和澳門跨境通關的粵澳健康碼跨境互認系統就已經初步展現了DDTP模式的雛形�。2022年3月��,由微眾銀行作為區塊鏈開源技術支持的粵港澳大灣區首個跨境數據驗證平臺上線����,用戶自主跨境傳遞數據�,粵澳兩地機構不直接傳輸和交換用戶數據�����,通過比對哈希值而非具體信息校驗數據可信與否��,從而保護用戶與機構的數據隱私����,降低跨境數據可信風險和濫用風險�����,為粵澳兩地機構提供高效的跨境數據驗證基礎設施����,進而為兩地的居民及企業提供便捷的跨境服務體驗�。
秉持可信��、安全�、協同的原則����,未來DDTP將在更多場景被應用���。在不少業內人士看來����,金融行業要在充分保護個人信息的前提下��,探索實現更加精確的數據確權����。對于微眾銀行而言�����,加大研究投入��,了解用戶的認識和訴求����,并在科技加持之下�����,更多探索和創新值得期待����。
