数字人民币发行过程中个人信息保护机制探究
点击蓝字,关注我们
当前,我国数字人民币的研发推广工作进展顺利,社会各界充满了期待,但数字人民币的使用作为新生事物,仍会引起人们对信息安全方面的担忧。如何管控责任主体只将收集到的个人信息运用于必要用处,而非另作他用,是当下密切关注的核心问题。基于此,本文提出了以下几点思考:一是数字人民币的设计中是如何处理和保护个人信息?二是数字化的个人信息面临哪些风险和挑战?三是应当如何优化数字人民币的个人信息保护机制?
一、数字人民币发行过程中个人信息保护的法律依据
1.1 数字人民币中的个人信息
数字人民币是中国人民银行发行,并由指定的运营机构参与运营,以数字化形式呈现出来的法定货币。根据定义,我们不难看出,在数字人民币交易过程中会产生大量数字化的个人信息,包括姓名、身份证号、资产状况等。这些信息会被记录和留存在央行以及指定运营机构的数字人民币系统当中。所以,构建更加完善的信息保护机制,以更好保护数字人民币系统中的个人信息势在必行。
1.2 数字人民币中个人信息的法律保护现状
目前,有关数字人民币中的个人信息尚未形成专门的立法保护机制,但是仍然可以在相关的法律中找到保护的依据。例如,《民法典》第111条规定了自然人的个人信息受法律保护。这就意味着任何组织或者个人,未经法律的许可不得擅自获取他人的个人信息,并且在使用的过程中还应当确保信息安全。此外,《中华人民共和国个人信息保护法》(简称《个人信息保护法》)也已经开始施行。该法不仅明确了“个人信息”的定义,而且规定了国家机关要在法律法规规定的权限和程序范围内处理个人信息的原则。但总体来说,我国有关的法律、行政法规仍然较少,且多是原则性规定、相对分散。
二、数字人民币发行体系下个人信息保护的制度设计
从目前公布的资料来看,数字人民币已经做了大量保护个人信息不被泄露和滥用的具体设计,也进一步实现数字人民币的现金类支付凭证(M0)的定位,其中具体包括:先进技术、分级分类设置、子钱包和信息的严密控制等。
2.1 使用先进技术保障信息安全
作为新兴事物,数字人民币的运行需要以多学科的先进科学技术为支撑。2014年,我国成立数字人民币研究小组,开始了对关键技术的探索。为了增强相关系统韧性和可扩展性,数字人民币在设计过程中采用了分布式账本技术以支持支付交易量的快速增长。此外,可信计算等技术的采用确保了系统的可靠性和稳健性,多点多活数据中心解决方案增强了业务连续性。一系列先进技术的运用,为数字人民币构建了一个过硬的安全屏障,将威胁因素阻隔在外。
2.2 实行分级分类实现可控匿名
数字人民币的匿名性是有差别的匿名,对金融机构和交易相对方匿名,对央行不会完全匿名,这体现在钱包分级分类的设计上。指定的运营机构会根据用户已提供信息的身份识别强度划分不同等级,根据不同的等级分配不同的余额上限和单笔限额(见表1)。可见最低等级钱包的限额可以覆盖大部分人的日常生活需求,此等级也不需要身份信息。使用者可以选择用最低权限钱包,后可根据自身需求决定是否加强身份认证来提升钱包等级。分级分类设置充分体现了其“小额匿名、大额依法可溯”的原则,即小额匿名交易,大额资金需要进行身份验证。
图片来源:知乎
2.3 设计子钱包避免信息泄露
“推送子钱包”是用来保护个人隐私另一手段。在网购时,传统电商平台多采用网关支付或绑卡开通快捷支付等方式,在这种形式下所有的信息都会被电商平台获取。此模式下,平台大量收集用户个人信息,甚至会进行个人信息交易。而数字人民币通过子钱包模式将用户信息加密处理后再推送到电商平台,电商平台无法识别特定主体的信息。从源头上减少能够掌握信息的主体数量,也就避免了用户核心信息被大范围泄露的可能。
2.4 实行信息严密控制形成强责任链条
个人信息安全的担忧不仅在金融机构等第三方是否会非法掌握信息,还在于央行会不会不当监控个人信息。事实上,用户的个人信息不仅金融机构、交易相对方难以获取,而且央行也难以调动特定个人的信息。即使电信运营商在研发过程中也要承担严格的保密责任,既不得向央行等第三方披露其支付部门所掌握的用户的个人信息,更不能在部门间随意转移用户信息。因此,用手机号开立的钱包可以独立于央行和各运营机构“真空”存在。此外,央行内部对数字人民币相关信息设置了“防火墙”,安排了专人负责管理,各岗位之间是相互隔离的,并且设置了制衡和审计制度,严格落实信息安全及隐私保护管理。
三、数字人民币发行过程中个人信息保护的现实挑战
3.1 外部黑客攻击形势严峻
我国目前侵犯个人隐私的违法犯罪活动较多,形势严峻。公安机关在“净网2020”专项打击网络犯罪案件活动中侦办侵犯公民个人信息类案件6524起,侦办黑客攻击及新技术犯罪案件1782起。可以预见,我国数字人民币系统一经正式运行可能遭到猛烈的攻击。黑客技术日新月异的演化向数字人民币的个人信息保护技术提出了更高的挑战。黑客会在整个系统运行中寻找最薄弱的保护环节,窃取大量的个人数据,这一严重的后果不仅会对个人生命财产安全造成危险,而且会威胁国家金融秩序稳定。
3.2 内部泄露信息现象严重
信息内部泄露是现阶段个人信息泄露的主要原因之一。个人信息灰色产业链的上游往往发源于有资质掌握个人信息的企业内部。在数字人民币设计中,央行和指定的运营机构肩负着打击反洗钱、反恐怖融资等犯罪活动的责任。但是,如何管控责任主体只将个人信息运用到打击犯罪中,而非为机构自身利益另作他用,如何压缩掌握个人信息的机构工作人员操作空间,如何防止内部人员故意泄露,这都是当前需要解决的技术和管理难题。
3.3 相关法律法规有待完善
与此同时,数字人民币中对个人信息保护的规范仍留有大片空白。央行和指定商业机构在运行中如何合法地运用个人信息的边界并不明确。此外,相关机构和工作人员是否侵犯了个人信息,用户自身并不能即刻判断,这使得保护更加依赖于事前的预防措施。虽然《个人信息保护法》已经颁布,但是央行作为能完整获取数字人民币全流通信息的主体,其在适用《个人信息保护法》中“个人信息处理者”的义务履行规定、诉讼纠纷解决等方面也存在诸多难题。
四、数字人民币发行过程中个人信息保护的完善建议
4.1 进一步加强外部保护屏障
4.1.1 提高技术研发能力
在保护技术上,采用竞争方式动态演进策略,横纵比较各类技术之间的优越性,在不断发展中及时吸收最新的成果。与具备前沿技术的机构合作调研,建立核心技术人才交流学习机制,探索更加坚实的保护技术。划分研发技术梯度等级制,人才技术能力和研发技术难度等级适配,确保人尽其才。模拟处于黑客实时攻击中的数字人民币生态环境,模仿黑客攻击路线,反向检查技术保护漏洞,即时修复加固保护技术。
4.1.2 树立多重防御机制
防范黑客对客户端的攻击,以多重方式验证个人登录信息。通过大数据分析,即时察觉异常数据,注重标记反常数据,着重监控非常态化数据的变化动态。与国家反诈中心联合联动,共享检测数据,搭乘反诈中心的风险提醒之“便车”。从而降低外界骗取用户登录验证码、非法收集生物识别信息、发布黑色网站远程控制等手段的成功率。建立客户端信息锁定机制,以国家机关的大数据监测外来风险入侵成功的内部警报为主,用户报警寻求救济为辅的手段,一旦察觉非法入侵,即锁定客户端封存信息,以白名单方式阻碍窃取用户个人信息的违法行为。关注用户反馈意见,即时规避运行中存在的风险。
4.2 进一步降低内部泄露风险
4.2.1 凸显个人信息的财产属性
个人信息权不是一种单一性权利,其不仅具有精神价值,还具有财产价值。因此,个人信息不仅具有人身属性,还具有财产属性。但是从目前的法律制度可知,在个人信息保护中,人身属性被放在首位,财产属性保护较弱。这也使得个人信息的获取成本降低,始终得不到充分保护。为此,数字人民币可以充分利用区块链的技术特点,对个人数据的使用通过智能合同加以约定,来实现个人授权信息时可同步收取收益,这也真正体现了个人信息权利人对信息的所有权。此外,这也在一定程度上给第三方获取信息设置了障碍,提高了成本,加大了难度。
4.2.2 树立个人信息的保护屏障
建立个人信息授权的唯一通径,授权主动性掌握在用户手中,使得个人信息敏感度与支付限额等级相平衡,获取信息的敏感度应与第三方的保护能力协调。央行负责审查第三方的保护能力,若审查不足,当第三方保护不利时,央行也同时应该承担相应责任,为个人信息罩上双重保护屏障。基于个人信息的财产属性,以个人信息敏感程度设置不同层级的保障金。以人数为横轴,信息级别为纵轴,第三方向央行申请接入的个人信息数据的人次和信息级别的横纵交叉点就是其应向央行缴纳的保障金。央行充当保管人的角色,若因第三方保护不利,保障金立即激活,先行赔偿受害者,以防第三方赔偿慢、执行不足而导致权益受损时间跨度长的窘境发生。
4.3 进一步完善立法与适用
4.3.1 明确个人信息的权属
在个人信息权属不清的情况下,个人信息的保护很难完全到位。大部分App用户都在使用过程中,勾选“知情+同意”的用户协议和隐私协议,使得大量的个人信息被企业收集。其中部分协议关系到用户信息的权属问题,大致可以分为两类,一类协议规定产生的用户信息是归用户所有,而企业只享有使用权。而另一类规定用户信息归企业所有,用户仅享有使用权。在2021年字节跳动诉腾讯科技不正当竞争案中,腾讯方认为“部分用户数据的所有权归企业所有”,而字节跳动方则认为“用户对数据拥有绝对权利”。这种规定信息数据属于企业所有的行为也为出卖个人信息提供了便利。而在法定数字货币中,应当在法律法规层面明确,其产生的个人信息归属于用户个人。这不仅利于保护,还符合个人信息的人格权属性特点。
4.3.2 加强与《个人信息保护法》的衔接
《个人信息保护法》正式颁布将初步建立起一个较为全面的法律体系,但其中关于国家机关处理个人信息的规定较为模糊。
此外,数字人民币应当注意做好与《个人信息保护法》的衔接。例如,在分级分类钱包设置中,用户最初是最低权限钱包,如需更高限额则需加强身份验证。对照《个人信息保护法》第十五条规定,数字人民币应向用户提供简单便捷的方式来撤回身份认证,并且保证不私自留存信息。另外,该法在国内通过概括加例举的方式创新定义了“敏感个人信息”。数字人民币中大量的个人信息需要根据法律的规定作进一步划分,对于敏感信息应当实行严密管控,信息掌握方不可随意向第三方提供,并且负有保护和定时管理的职责。
结语
从本质上来说,在数字人民币发行流通过程中设立个人信息保护机制,是在一头是“交易透明性”,一头是“个人信息私密性”的杠杆上站立,想要持续推进,就需要保持好平衡。
深入来看,是为信息用于打击洗钱等违法犯罪活动(公开信息以用于监管)和保护个人隐私(保密信息以维护权利)划定合理边界。而央行作为国家机关,其对公共利益的保护自然周全。作为弱主体的个人,更应关注对于个人信息的保护,以达到除非必要用于监管违法活动,不得私自使用个人信息(非必要不使用)。目前数字人民币仍处在试点阶段,无论是技术上还是架构设计上,对于个人信息的保护都有待进一步完善,以构建完整的保护屏障。
END
本文来源:信息安全与通信保密杂志社 本文作者:许玲、洪宜、田璐璐
本文编辑:钱依晴
本文审阅:史学会
延伸阅读:
主 编:吴 芮
副 主 编:尚 鹏
来稿请投:zjulaw@aliyun.com
转载须授权