时值3·15国际消费者权益日，聚焦互联网金融的“2018消费者个人信息保护论坛”在北京举办。主办方南都个人信息保护研究中心和中国人民大学金融科技与互联网安全研究中心在会上发布《移动金融用户个人信息安全测评报告》，提醒消费者注意相关产品的使用风险。

南方都市报编委虞伟在论坛上表示，选择200家金融移动类APP进行测评，并在3.15消费者权益保护日发布，就是为了能够推动企业对消费者权益保护的重视。

在研讨环节，全国人大代表、国和控股集团有限公司董事长陈乃科，德勤中国区网络风险和技术风险主管合伙人薛梓源，北京玺泽律师事务所高级合伙人刘新焱结合自身实践，探讨了互联网金融领域内个人信息保护的重点难点。他们的一个共识是，用户的个人信息权益和企业的运营权利要实现平衡，仅靠一两部法律的规定是不够的，二者的平衡点须借助更多的实践去探索和确立。

“目前我国个人信息保护制度的不合理、不科学，正在成为阻碍现代金融服务业发展的‘拦路虎’。”全国人大代表、国和控股集团有限公司董事长陈乃科在论坛呼吁有关部门修改完善相关法规，为金融业创造更宽松的环境。

不同行业可就“个人同意”采取不同规则

2017年6月1日，《网络安全法》正式实施，成为中国网络领域首部基础性法律。根据《网络安全法》要求，服务具有收集用户信息功能的，其提供者应向用户明示并取得同意。

但陈乃科认为，通过收集融资人的基本信息和散落于各处的行为信息做出正确的信贷决定或防范措施，是现代金融发展的重要基础。将“个人同意”上升为个人信息收集使用的普遍规则和唯一条件，已经不符合时代特征，对金融业限制较大。

陈乃科在调研中发现，通过网络收集个人信息时，许多用户对信息收集的理解不一，“拒绝”和“同意”往往都很草率。此外还有许多关联场景，无法获得用户的事先同意。

就此他建议修改相关法律，明确限定需要“个人同意”的范围。不同行业可根据自身特性和场景需要，采取不同的的规则。就金融业而言，可以考虑在信用风险评估、实名管理、投资者适当性管理等方面采取默示同意规则。

加快建立个人信息合法流通的“正面清单”

此外，陈乃科建议有关部门在立法或政策层面建立“正面清单”，进一步明确个人信息合法流通的方式和规则，消除个人信息流通利用的法律不确定性。

他指出，我国现行法律普遍规定“不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供个人信息”，而何谓合法的个人信息流通却没有规定，导致个人信息流通利用具有很大的法律不确定性，影响着金融业的发展。

完善法律法规的同时，监管也须同步跟进。陈乃科认为，基于个人信息的收集利用在金融业的特殊性，应当在金融业建立区别于其他行业的监管制度。比如，推行强制性的信息安全标准，对于不符合要求的不予准入，对于违反要求采取金融监管的行政处罚，以守住金融信息的安全底线。

“大数据与金融业结合不仅能极大地提升和改善金融服务质量，而且会推进形成大数据趋动的新经济业态。”陈乃科呼吁，在关注个人隐私保护的前提下，进一步为金融业利用个人信息创造宽松的环境，从而助力中国在数据驱动的新国际竞争中实现“弯道超车”。

德勤中国区网络风险和技术风险主管合伙人薛梓源在会上透露，欧盟通用数据保护条例即GDPR颁布以后，咨询合规的企业非常多，但是德勤实际开始帮企业做个人信息保护工作则主要集中在今年年初。他认为，国内个人信息保护工作要多管齐下才能改善，监管机构可考虑协调和汇总好的实践案例为业界提供参考。

国内个人信息保护工作要多管齐下

作为一家跨国咨询公司，这几年德勤在帮助企业数据安全和个人信息保护合规的过程中，感受到了巨大的变化。薛梓源介绍，前几年企业注重这方面，是因为社会上发生了一些重大的安全事件和个人隐私事件；而这几年，无论是国有企业还是民营企业，都开始意识到数据安全和个人信息保护的重要性，纷纷开始开展相关工作。

“我们在国内做个人信息保护相关的管理咨询工作，看到了企业的很多问题”，薛梓源举例说，在部门协同方面，数据安全和个人信息保护到底归哪个部门管？如果是IT部门负责，它又该如何联动企业所有部门共同协作？另外如果数据流动到企业的关联公司、第三方合作平台，如果个人信息被窃、被买卖，责任谁来负？企业又将如何界定和转嫁风险？

对此，很早就开展了个人隐私和数据保护工作的国家和地区提供了一些值得借鉴的国际经验。

今年5月25日，欧盟颁布的《通用数据保护条例》（GDPR）将正式生效。薛梓源指出，GDPR本质是赋予公民个人信息保护的基本权利，增加对在线服务和电子商务的管控和透明度。“从企业角度来讲，这不是一个负担，而是一个增加业务的好机会”，薛梓源认为。

有观点认为，中国的《个人信息安全规范》比GDPR还要严，但薛梓源更关注的是实际问题上存在的共性。“通过自动化决策进行数据化向和信用分析，应该如何征求用户同意？如何对数据做去标签化、匿名化……”，薛梓源指出，这些问题都是技术难点，也是《个人信息安全规范》推广和应用过程中值得思考的内容。

薛梓源认为，国内个人信息保护工作要多管齐下才能改善，包括法规的落地、监管的检查、企业对个人信息安全管理的重视程度等等。

应在国家层面加大

个人信息保护工作的宣传力度

薛梓源透露，GDPR颁布以后，咨询合规的企业非常多，但是德勤实际开始帮企业做个人信息保护工作则主要集中在今年年初，“毕竟合规的窗口已经迫在眉睫”。因为GDPR不仅针对欧盟境内的企业，如果境外的企业向欧洲提供产品和服务，或者分析、处理和监督欧盟的数据，也一样会受到监管。

不过，薛梓源也指出，不管是GDPR还是《个人信息安全规范》，都是原则性的要求和规范。业界的最佳实践到底是什么？

“每个企业的管理方式不一样，收集处理和使用个人信息的情况也不一样”，薛梓源认为，虽然法规明确规定收集个人信息应该合法、正当、必要，必须事先征求用户的同意，并明确目的方式和范围，但实际上，企业在收集、处理、使用、归档和传输数据的过程中，会经过非常多不同的应用场景。“如果监管机构，包括一些行业协会，可以协调和汇总这些最佳实践，对企业实际进行个人信息保护工作会非常有帮助。”

薛梓源还注意到，目前很多国家和国外企业还并不了解中国在个人信息保护和网络安全方面的要求，《网络安全法》已经生效大半年了，还有国外企业在问什么是网络运营者，什么是个人信息。“我希望王秀中，尤其是企业级别的沟通和分享，这是非常重要的。”

北京玺泽律师事务所高级合伙人刘新焱论坛上分享了他对现行法律下个人信息保护维权难的思考。他提出，在现阶段，消费者想要拿起法律的武器保护自己的个人信息，仍然不是一件容易的事情。他还认为，探明个人信息保护和企业运营权利的平衡点，需要的不是一两部法律，而是更多鲜活的实践案例。

法律赋予消费者选择权，但选择权在哪？

在现行的法律中，好几部都有个人信息保护相关规定。《消费者权益保护法》明确规定，消费者享有选择权和知情权，并享有个人信息依法得到保护的权利；去年6月施行的《网络安全法》提出用户有同意权；去年新修订的《民法总则》，则在第111条新增了关于自然人个人信息受法律保护的规定。与此同时，跟多大数据和个人信息保护的规范也在紧锣密鼓的制定中。

尽管如此，刘新焱指出，在现阶段，消费者关于个人信息保护的维权仍然有很多障碍。

“我怎么知道我的权利被侵害了？这是一个极其困难的事情。”刘新焱解释说，用户和网络运营者之间的技术力量完全不对等，虽然现在企业对个人信息的收集越来越规范，但对用户来说，问题在于“我不同意怎么办？”

南都记者注意到，现在绝大多数网站和APP的隐私政策都有着不小的篇幅，如果用户不同意就无法使用。刘新焱认为，法律的局限在这时就凸显出来了：虽然法律明确规定用户享有选择权，但选择权在哪？比如我所有的同事和朋友都用微信，甚至我的工作都离不开微信，那我只能同意企业的隐私政策才能使用微信。“未来互联网服务提供方肯定会越来越集中，消费者的选择权也就会慢慢消失”，刘新焱说。

探明个人信息保护和企业运营权利的平衡点

需要更多鲜活的实践案例

刘新焱提到，现在最高人民法院规定的案由里，跟个人信息保护相关的有两个，一个是隐私权纠纷，另一个是网络侵权责任纠纷。但是，在立案的时候，司法上有一个基本考量：侵权行为和损害结果之间的因果关系。“如果我被当众侮辱，很容易证明我的人格权被损害；但如果是我的个人信息被罪犯侵害，只要他没有从信息买卖中直接获利，就很难证明损害结果。”

而在损失不能被证明的情况下，消费者几乎不可能获得赔偿，企业可以选择的还有消除影响、赔礼道歉等救济途径。在刘新焱看来，企业采取的应对方法通常是发布一篇公告或者在媒体上登出报道，承认泄露了消费者的个人信息，但是这些行为本身就是在扩大影响和造成进一步的伤害，所以这种救济途径对公民个人来说“几乎不可行”。

还有一种可能用到的救济途径是获得精神损害赔偿，但它的使用前提必须是“违反社会公共利益和社会道德”。“有人在网上发布了你的家庭住址或者开房记录，会降低你的社会评价吗？会违反社会的公共道德吗？你很难证明。”刘新焱表示，事实上，没有一个网络平台能确保它上面所有用户发出的信息都经过审查，也不能这样要求平台。

刘新焱指出，在排除了所有其他的救济途径之后，就只剩下让企业停止侵害。这意味着消费者不再使用服务，就又绕回到之前提到的选择权问题。

“个人信息的保护，只靠个别消费者是特别困难的”，刘新焱认为，探明个人信息保护和企业运营权利的平衡点，需要的不是一两部法律，而是更多鲜活的实践案例。他呼吁，权利受到侵害的消费者们应该拿起法律武器，因为“更多消费者的维权是对社会进步的贡献。”