规范金融机构采集个人信息行为

随着数字化浪潮的持续推进，个人金融信息在不同系统、产品、业务环节中快速流转，个人金融信息保护面临更多的风险与挑战。近一年来，国家有关监管部门针对个人信息保护，多次下发相关规定。中国银保监会官网日前披露的罚单显示，部分金融机构存在违规采集个人金融信息行为。

业内专家认为，针对违法违规乱象，监管机构需要加大整改和处罚力度，有关部门也应进一步完善个人信息保护立法，构建更加良好的信用共享、数据应用环境。

招联金融首席研究员董希淼建议，应尽快出台个人信息保护法，明确个人数据和信息权的法律地位、权利属性以及数据、信息的收集使用原则；在法规制度层面，在金融、通信、电子商务、教育、医疗卫生等重点领域制定个人信息保护的行政法规、部门规章；在行业自律层面，引导重点行业、领军企业在国家法律框架内建立个人数据、信息开发利用从业规则。

从金融机构的角度来说，在采集数据的过程中一定要合法，遵循“合法授权”的原则。北京金融控股集团有限公司董事长范文仲表示：“数据的采集者对个人数据的采集要告知客户主体，并明确采集的目的和范围，不能捆绑式、垄断式授权，或者用晦涩难懂的法律文书和停止服务的霸权条款来诱导、强迫客户签订授权协议。授权的范围一定要和服务功能相匹配，不应要求和业务功能无关的隐私数据。对个人生物特征和生活行为数据的采集和识别要特别审慎，必须要有法理的支持。”

金融机构在数据使用中，应尽量不提供与数据个人主体强关联的原始数据。范文仲说：“除了具有法律要求和少量专业持牌机构之外，数据应该经过脱敏处理，降低和个人身份的强耦合关联，尽量进行代码化、指标化处理，同时控制模型风险，保持数据标签使用的有效性和隐私保护的合理平衡。”

对于个人用户来说，联系信息、生物识别信息、金融资产信息、行为偏好、行踪轨迹等，均属于隐私数据范畴。针对个人应采取的保护措施，董希淼建议，个人应提高隐私泄露自我风险防范意识，增强个人信息保护意识和能力，不要轻易提供个人敏感信息，特别是在网络注册、实名验证时要谨慎填写个人相关信息，如身份证号、手机号码、账号密码、家庭住址等个人敏感信息切勿随意泄露。此外，对个人生物识别信息也要提高保护意识，不轻易将人脸、指纹等生物识别信息提供给物业、商场等第三方机构。