证监会科技监管局局长姚前：个人信息保护的制度建设与技术创新

中国证券监督管理委员会 科技监管局局长 姚前

在2021年10月18日举行的中央政治局第三十四次集体学习中，习近平总书记指出，要完善数字经济治理体系，健全法律法规和政策制度，完善体制机制，提高我国数字经济治理体系和治理能力现代化水平。数字经济治理含义丰富，不仅包括宏观层面的大科技公司(Bigtech)监管、反垄断、反不正当竞争、网络安全、数据安全、数字税、数据跨境流动等重要议题，也包括微观层面的个人信息保护等。

一、个人信息保护的制度建设

我国高度重视个人信息保护的立法和相关制度建设。2017年6月1日，《中华人民共和国网络安全法》正式施行。其中，第三十七条要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”，首次规定了个人信息和重要数据保护的安全评估制度。

自2021年9月1日起施行的《中华人民共和国数据安全法》(以下简称《数据安全法》)规定，要建立健全数据交易管理制度，建立分类分级数据保护制度，形成集中、统一、权威的数据安全机制，建立数据安全应急处理机制、数据安全审查制度、数据安全出口管制以及根据实际情况采取数据投资贸易反制措施等。同时，《数据安全法》还规定，要明确数据安全保护义务，落实数据保护责任。任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。这是我国实施数据安全监督和管理的基础法律，为规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益奠定了坚实的法律基础。

自2021年11月1日起施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)则对个人信息处理活动进行了明确而详细的规定，充分保障数据主体的知情同意权、持续控制权、拒绝权、可携权、更正权、删除权等权利。例如，在知情同意权方面，要求处理个人信息应当取得个人同意，且个人有权撤回其同意。在持续控制权方面，规定个人信息处理者若转移个人信息，应当向个人告知，接收方应当继续履行个人信息处理者的义务。拒绝权方面，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。在可携权方面，规定当个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。在更正权方面，若个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。在删除权方面，要求个人信息处理者有规定情形的应当主动删除个人信息，个人信息处理者未删除的，个人有权请求删除。

上述三部“大”法连同《中华人民共和国民法典》《中华人民共和国密码法》等其他相关法律相辅相成，共同构成了我国个人信息保护的法律保障体系。

二、个人信息保护的技术手段

工欲善其事，必先利其器。个人信息保护除了制度建设，还需要技术手段予以支撑和保障。从各国对个人信息的定义来看，可识别性是界定个人信息的关键标准。我国亦是如此。《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。所谓的匿名化是指一种使个人数据在不使用额外信息的情况下不指向特定数据主体的对个人数据的处理方式。因此，除了制度建设，各种脱敏和匿名化创新技术也是个人信息保护的利器，在金融行业广为应用。

比如支付标记化技术(Payment Tokenization)。支付标记化技术是国际芯片卡标准化组织EMVCo发布的一项通过支付标记代替银行卡号进行交易验证的技术，可有效避免银行卡号信息被泄露。支付标记化使用一个唯一的数值来取代银行卡的主账号，同时确保该数值被限定在一个特定的商户、渠道或设备中使用。其主要优势有：无须留存敏感信息，在交易中不出现持卡人卡号与卡片有效期;仅可在限定交易场景使用，支付更安全；不仅可防范交易各环节的持卡人敏感信息泄露风险，还降低了欺诈交易的发生概率。中国银联和苹果公司在2016年合作推出的移动支付方案“苹果支付”(ApplePay)就采用了支付标记化技术，有效规避了敏感信息泄露的风险。

再比如区块链技术。支付标记化技术将个人数据的匿名化交由可信第三方负责，而区块链技术则开拓了用户完全自主可控的个人信息保护新思路。用户的私钥可以在本地生成，通过公钥计算发布有效的账户地址，从而阻断账户地址和账户持有人真实身份的关联。通过控制私钥，用户可以在区块链上自主完成交易，虽然在区块链网络上能够看到每一笔交易的细节，但并不能与现实世界中的某个具体人相对应。区块链技术从根本上解决了中心化模式下数据控制者对数据的垄断问题，使用户拥有了真正的个人信息保护自主权，值得各方深入研究。

此外，还有其他各种数据“可用而不可见”创新技术。联邦学习技术就是一种加密的分布式机器学习技术，参与各方可以在不披露底层数据的前提下共建模型，从而实现各机构自有数据不出本地，通过加密机制下的参数交换方式使各机构在不交换数据的情况下进行协作，提升机器学习的效果。联邦学习可以充分保障信息安全，有望成为下一代人工智能协同算法和协作网络的基础。

当前，我国个人信息保护的“四梁八柱”法律制度已经形成，下一步，我们应坚决做到有法必依、执法必严、违法必究，将个人信息保护法律法规执行到位。与此同时，我们也要积极探索各类数据脱敏和匿名化创新技术，开展数据合规有序、高质量流动和应用，更好地促进我国数字经济繁荣发展。

(本文仅代表个人学术观点，不代表所在机构意见。)

本文刊于《中国金融电脑》2022年第1期

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。