网络借贷如何保护个人隐私？看各方专家头脑风暴

银行卡身份证未经用户明示同意就收集，今年3月15日，南都个人信息保护研究中心发布《2018移动金融用户个人信息安全测评报告》，从隐私政策、敏感权限获取、财产身份信息收集告知等3个角度，对个人信息保护水平进行了测评。结果显示，六成受测APP在收集用户信息阶段都做不到合规。

不仅如此，南都个人信息保护研究中心调查发现，网贷平台强制读取用户通讯录以此暴力催收的现象严重。

研讨会现场

网贷平台如何保护个人信息？5月4日，一场由上海金融与法律研究院主办的研讨会在浙江杭州举行，来自北大、人大等近十位法学或金融教授，以及蚂蚁金服、腾讯和借贷宝等企业相关专家，就此分享了他们的思考。

研讨会主题为“网络借贷与个人信息保护”，探讨内容不仅囊括了国内隐私话题的主要关注点，还包括欧盟一般数据保护条例（GDPR）等国外案例，绝对称得上干货满满。还等什么？下面就来看看大咖们对于个人信息保护有哪些研究和建议吧！

上海交通大学凯源法学院副教授、博导黄韬：

个人金融信息的商业价值需考虑产权问题

黄韬认为，在大数据时代的背景下，个人金融信息的商业价值和社会价值日益突出，在这个领域，保护的客体不再是不希望为人所知的“秘密”，而是有商业价值的信息。他认为，关于个人金融信息保护的立法目标或者价值定位，在于如何界定个人金融信息的产权，以及权利如何定价，通过设立什么法律制度保证这个信息权利达到商业价值和社会价值最大化。

黄韬拿网络借贷举了一例：如果用户在借贷时愿意提供更多个人金融信息，那么平台就能够有更多的手段保证用户还款，平台风险降低成本降低，相应的用户就能以比较低的利率拿到借款。而如果用户不愿意提供个人金融信息，平台需要承担的风险加大，相应借款利率也会上浮。

黄韬认为，在个人金融信息保护上，没有必要通过一个强制性的国家法律来干预，因为这样意味着消费者失去了出让更多金融信息以取得收益的选择权，在契约关系下，用户与平台总能在博弈中谈出整体最有利的结果。而在平台和用户没法谈信息定价的非契约环境下，可能需要一个强制性法律介入，但也要考虑到金融市场的特殊需要。

北京大学法学院薛军教授：

建议对个人信息采取分类保护机制

薛军认为，平台经营者个人信息安全保障责任的第一个维度是，确保其收集和掌握的个人信息不被第三方非法窃取。判断平台经营者是否有足够的技术能力来保护自己收集的个人信息不被非法窃取，需要建立相应的评估机制和技术标准；第二个维度是平台经营者确保其收集和掌握的个人信息不发生主动的泄露。为此，需要采取技术与管理手段来防范内鬼以及采取责任倒逼机制，通过严格追究平台责任来促使平台采取更加严格的内部管理和内控约束机制。

薛军还建议对个人信息采取分类保护机制，尊重“以隐私换服务，以信息换便利”的可能性。在个人信息保护模式上采取更加具有灵活性的行为规制的路径而非排他性太强的先验赋权模式。结合具体情况，应该以行政监管为主导，考虑建立一站式的集中监管体制，减少企业个信保护合规成本。监管措施上应该更加具有回应性特征，强调协商机制的运用。

中国人民大学 许可：

个人信用权和个人信息权此消彼长

如何取得网络信贷数据与个人信息保护的平衡，中国人民大学金融科技与互联网安全研究中心副主任许可认为，首先需要转变观念，从企业利益和个人权利的冲突，转变到个人对自身权利——个人信息权和信用权的取舍。在包括网贷在内大量基于信用授信的场景下，个人信用和个人信息其实是相互替代的关系，个人信用的评价需要向平台让渡个人信息来实现，个人信用权和个人信息权利也是此消彼长，需要取得动态的平衡。

北京师范大学刑科院暨法学院副教授吴沈括：

GDPR为大数据时代裸奔的大众穿上了衣服

今年5月25日，商讨四年的欧盟一般数据保护条例GDPR（General Data Protection Regulation，简称 GDPR）将正式施行，要求不论是政府或是民间组织，都有义务保护其所搜集、处理、利用的个人数据。一旦违反该条例，将被处以高额的行政罚款，违规行为还包括纯粹程序性的违规行为。其罚款范围是1000万到2000万欧元，或企业全球年营业额的2%到4%，并且以较大数额为准。

欧盟这则最严厉的数据保护法，为大数据时代裸奔的大众穿上了衣服。吴沈括认为可以预见，对个人隐私数据执行严厉的保护法案，可能成为未来的趋势，预计类似GDPR的法案也会迅速扩展到欧盟以外的其他地区。

蚂蚁金服战略部高级总监齐新宇：

隐私保护问题应形成三方共识

齐新宇认为目前在隐私保护问题上并没有形成同时满足个人、企业和国家三方需求的共识的原因在于：一方面，隐私的含义和外延因时、因人、因事而异；另一方面，技术进步、商业利益及其拓展、政策的未知和变化，极大地增加了隐私保护的难度。

齐新宇表示，中国是世界上数字经济发展最快的国家之一，但在数据安全和隐私保护方面的理论研究和法律都明显滞后于实践。限于不同讨论者的基本出发点、分析框架存在很大差异，所以关于隐私保护的讨论往往很难达成共识。目前迫切需要建立一个清晰的隐私保护框架，以便聚焦核心问题，提出有针对性、可持续性、可操作性的应对框架。用经济学的分析框架分析隐私保护问题有利于形成各方对隐私的共识，避免过度保护对数字经济的制约。

腾讯数据隐私合规资深专家赵冉冉：

信息风险高的行为或业务要给用户较强提示

现在互联网企业面对特别高的隐私数据风险，包括诉讼风险、合规风险和舆情风险，企业面对这些风险做的第一件事就应该把现在的规则梳理清楚。首先是适用在所有业务领域的一般性规则，目前国内国际数据的权属制度尚不清晰，企业在数据利用方面的权利尚不确定，但其应当履行的“大安全”义务已经基本明确了

赵冉冉表示，接下来一般性的规则将会越来越丰富。但具体到业务层面数据规则仍然非常繁复，需要分类指导解决。他将现有规则按照互联网一般业务分类的方法大致分为三类，即对用户、企业和政府。

在他看来，这三种业务模式因为受众不一样，所以整个产品逻辑包括整体思路有很大差别，互联网企业在实践中为了适应这种差别，一般也会根据业务的区分来组织团队，不同的团队针对不同的业务，按照这种方式对规则进行梳理和分类可以找到针对性规则落实到具体的团队上去。

此外，在个人信息保护相关问题中，尤为引人瞩目的是企业如何获取用户的告知同意。对此，在规则层面可以进一步细化的事项有两个：一是对信息风险予以区分，如果风险高的行为或者业务要给用户比较强的提示，如果达不到比较强的提示，作为企业要承担更多的责任。二是在我国复杂的网络环境下如何实现对于用户的告知同意。

借贷宝副总裁曾军：

收集使用数据，用户知情同意是底线

大数据征信和个人信息保护天然有冲突，网贷行业需要创新。曾军认为，行业要有底线意识，网贷平台采集、使用用户信息（数据）之前，一定要用户知情同意，这是底线，无论从法律还是伦理角度讲，都不容挑战，不能有任何含糊，各家企业要树立这一自觉性。

曾军表示，借贷宝应该是采集个人信息最少的网贷平台，因为借贷宝的业务模式特别，判断借款人信用的不是平台而是出借人。“与借款人信用相关的信息，存在出借人脑子里，平台无法采集，也无需采集。平台只需要验证借贷双方是本人，以保证电子借条与纸质借条法律效力相同。鉴权还是通过银行，平台并不截留敏感数据”。

声明：本文来自隐私护卫队，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。