个人数据安全保护事关数字经济长远发展

　　主 持 人 《金融时报》 记者 胡萍

　　特邀嘉宾 中央财经大学中国互联网经济研究院副院长 欧阳日辉

　　360数科信息安全专家 吴业超

　　当前，数据的产生和使用已是常态，在给社会、个人生产生活带来各种便利的同时，数据安全问题也不可忽视。个人数据安全问题会产生在哪些环节？如何做到行之有效的保护？《金融时报》记者采访了中央财经大学中国互联网经济研究院副院长欧阳日辉以及360数科信息安全专家吴业超。

　　《金融时报》记者：个人数据安全或者个人信息保护问题为何如此重要？

　　欧阳日辉：从根本上来说，个人数据安全的问题并非只是个体权利的保护，而是对数字经济运行逻辑的认知重构，事关我国数字经济的长远发展。

　　数据是数字经济时代的基础战略性资源，数据资源已成为企业新的核心竞争力，数据融合应用成为平台企业抢占发展制高点的战略布局。部分大平台拥有信息流优势，正在成为数据寡头，形成“数据壁垒”和“信息烟囱”，常常将自身所掌握的客户信息作为资本和筹码，并在数据收集、使用中出现了一些乱象，将数据资源随意共享，导致数据信息被滥用。这种情况，既造成了企业之间发展的数字鸿沟，又不利于数字经济的健康发展。而消费者对个人数据信息安全的重视，实际上是对数据滥用危险性的担忧。

　　吴业超：在互联网时代，很多信息是共通的，这也导致一旦某第三方机构用户信息泄露，整个行业的企业都将受其影响。而且数字化时代，金融个人信息保护与黑灰产治理是一项长期性、系统性工程，需要持续完善信息保护机制。这对个人隐私保护、防范电信诈骗和社会治安管理都有着积极作用。

　　《金融时报》记者：目前对于个人信息保护有何举措？

　　欧阳日辉：个人数据安全问题主要出现在采集和使用环节。这个问题已经引起了有关部门的高度重视，监管部门逐步出台了一些法律法规和标准规范，比如，2020年9月颁布的《中国人民银行金融消费者权益保护实施办法》专设一章明确了消费者金融信息保护，2021年2月颁布的《金融业数据能力建设指引》提出金融业数据能力建设遵循的基本原则，今年“3·15”晚会上发布的《网络交易监督管理办法》对网络消费者个人信息的收集使用规则作出了详细规定。

　　吴业超：用户信息保护不仅需要金融科技企业自身加强内控，更需要完善的法律法规对第三方机构进行把控。同时，反诈信息预警平台的建立也可帮助行业更好地解决信息泄露的问题，共建安全的网络信息环境。

　　《金融时报》记者：如何才能行之有效地保护个人信息？

　　欧阳日辉：加强消费者信息保护，政府需要从信息的采集、传输、存储、使用和销毁等全环节加以规定。在采集环节，强化用户授权和最小够用原则，必须明确告知用户数据釆集和使用的目的、方式以及范围，确保用户充分知情，获取用户自愿授权后方可采集使用，杜绝过度采集，严格保障用户知情权和自主选择权。在传输环节，采用安全通讯协议、关键数据加密等措施，加强传输过程的安全防护。在存储环节，对关键字段进行散列存储或加密存储，严控存储设备和介质的访问权限。在使用环节，采集机构应该对收集的个人信息严格保密，严控信息使用范围，确保专事专用，杜绝误用、滥用数据，保障中间节点不归集、不截留，未经被收集者授权同意，不得向包括关联方在内的任何第三方提供，切实保障数据主体的数据所有权和使用权。在销毁环节，采取技术手段确保删除的信息不可被检索和访问，销毁的信息不可恢复。

　　吴业超：我们一直强调“一个中心，两个方向，三个重点”的数据治理理念。“一个中心”是以数据为中心，无论是网站、系统还是人员操作，最终都需要调取数据，常规的系统入侵、人员违规并不能必然导致核心数据遭到破坏或者窃取；“两个方向”即对内利用ATT&CK模型建立防御体系，严控黑客入侵和安全问题带来的数据泄露和威胁，对外以舆情信息为基础，第一时间获取互联网上的安全舆情、数据舆情，通过多部门的合作和自身安全攻防技术打击犯罪和数据风险问题。“三个重点”是以数据安全监控、数据生命周期的管控、数据隐私保护及管理制度为重点。

　　此外，消费者也应合理使用互联网产品，警惕不正规平台互联网营销背后可能隐藏的风险，增强个人信息保护意识，防范个人信息泄露风险。

　　《金融时报》记者：对于构建安全的数据体系有何建议？

　　欧阳日辉：数据体系和数据要素市场也是重要的基础设施，政府要高度重视涵盖接入、存储、计算、管理和数据使能的数据基础设施建设。建立国家级的公共数据平台——国家大数据中心，提供“采—存—算—管—用”全生命周期的数据支撑能力和数据安全体系，打造开放的数据生态环境。

　　加快数据领域立法，建立健全信息安全法律体系，规范数据的采集、加工、流通和应用，解决公民信息保护“举证难度高、举证价格高”的难题，不断加大对故意泄漏公民个人信息行为的处罚力度。健全信息安全法律体系不仅仅停留在个人数据安全不被侵犯层面，而且个体的数据权利的实现要得到延伸，包括收益权。

　　加强全民数字技能教育和培训，普及提升公民数字素养。一方面，网络管理部门和教育部门要加强个人数据安全的宣传和公益普及，引导消费者增强个人信息保护意识；另一方面，个人要主动提高数字技能和自我保护意识，主动保障个人隐私和防范信息泄露，比如，不要因为一些小利益暴露自己的信息，加强账号密码管理。

　　吴业超：一个健全的数据安全保护生态圈需要多方共建。作为科技公司，除了做好自身的防护和对合作方的管控，还可与各地公安、司法机构合作，共同打击数据泄露相关的违法犯罪，与监管机构合作探讨共性问题，倡导通过共建、共享、共防的合作，打击非法数据泄露，保护用户数据安全，共建良好的数据保护生态圈。