（原標題：個保法落地后，金融機構將面臨怎樣的合規(guī)挑戰(zhàn)？）

21世紀經(jīng)濟報道記者 家俊輝 廣州報道11月1日，《中華人民共和國個人信息保護法》（下稱“個保法”）正式施行。

個保法明確不得過度收集個人信息、大數(shù)據(jù)殺熟，對人臉信息等敏感個人信息的處理作出規(guī)制，完善個人信息保護投訴、舉報工作機制等，充分回應了社會關切，為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。而銀行等金融機構的業(yè)務與個人信息息息相關，個保法的正式實施將會對金融機構帶來怎樣的合規(guī)挑戰(zhàn)？

比如，當前在金融行業(yè)應用頗為廣泛的人臉識別技術，在給行業(yè)和客戶帶來便利的同時，也有潛在的信息泄露風險。

“應用人臉識別時，不僅要考慮便利性，還要考慮安全性?！比涨埃趶V州數(shù)字金融創(chuàng)新研究院、廣東廣悅律師事務所聯(lián)合主辦的 “羊城數(shù)字金融沙龍”論壇第一期活動——“金融行業(yè)數(shù)據(jù)安全治理”學術沙龍上，廣東廣悅律師事務所高級合伙人楊杰表示，現(xiàn)階段人臉識別已逐漸取代人工成為金融機構最高級別的認證手段，并被廣泛應用。例如，在違規(guī)性監(jiān)控領域，為節(jié)約成本、提高便利性，人工監(jiān)控已經(jīng)被人臉識別監(jiān)控替代，但是否符合個保法的最小必要原則值得討論。

對此，中南財經(jīng)政法大學數(shù)字經(jīng)濟研究院執(zhí)行院長、教授盤和林表示，相較指紋等個人信息，人臉識別更容易與個人對應，這是人臉識別被廣泛普遍關注的原因之一，也是個保法提高人臉識別管制的理由之一。“金融機構和類金融機構應界定人臉識別的使用范圍，在存在替代方案的情況下，金融機構仍需遵循最小必要原則，審慎使用人臉識別技術?！?/p>

所謂“最小必要”，指的是處理個人信息應當具有明確、合理的目的，并應當限于實現(xiàn)處理目的的最小范圍，不得進行與處理目的無關的個人信息處理。

華南師范大學法學院研究員、數(shù)字政府與數(shù)字經(jīng)濟法治研究中心主任馬顏昕則認為，人臉具有外部性，安全級別并不太高，其被廣泛關注并非由于存在重大安全性隱患，而是由于其使用范圍廣、易被采集的特點。“在第三方支付等小額支付領域，人臉識別更多是提供便利，在金融機構領域更多是提供個人身份確認功能?！?/p>

針對個保法的最小必要原則，馬顏昕提出，金融機構可通過提供線上人臉識別和線下辦理的雙選項方案以符合法律的要求。

同時，他表示，相比最小必要原則，自動化決策的濫用和敏感個人信息的單獨同意對金融行業(yè)帶來的挑戰(zhàn)更大。

如今，生活中自動化決策的應用范圍已非常廣泛，健康碼、個稅APP等均使用自動化決策提供服務。

馬顏昕認為，相較精準營銷業(yè)務，金融機構依托自動化決策開展的金融科技業(yè)務受個保法的沖擊更大。一方面，個保法的實施將影響金融機構使用金融科技手段進行自動化決策，進而影響貸款審批、逃稅監(jiān)管等業(yè)務的開展。另一方面，隨著科技的快速發(fā)展和個人信用狀態(tài)的模糊化，大量未持征信牌照的類金融機構也開始利用自動化決策紛紛開展用戶信用評估業(yè)務，如車險評估及其他各類評估評分等。“這是否符合征信業(yè)務開展的相關規(guī)定，未來又將如何調(diào)整，是類金融機構面臨的重要挑戰(zhàn)?！?/p>

不過，盤和林表示，在人工智能、數(shù)字經(jīng)濟快速發(fā)展的現(xiàn)代社會，自動化決策不可避免。但他同時也指出，自動化決策的廣泛應用會降低社會容忍度、壓縮個人生存空間。“因此，開展自動化決策時，不僅要考慮效率的提高，也要考慮人性的特征、個人隱私的邊界以及弱勢群體的生存等問題。政府與企業(yè)應厘清個人信息采集、自動化決策應用以及按章執(zhí)法的邊界，允許試錯?！?/p>

對此，楊杰表示贊同。他進一步指出，現(xiàn)階段，金融機構自動化決策業(yè)務往往涉及數(shù)據(jù)在集團內(nèi)部流動的現(xiàn)象，在多數(shù)情況下，個人信息收集者并非數(shù)據(jù)的實際使用者?！敖鹑跈C構應按照個保法要求，解決好個人信息數(shù)據(jù)在集團內(nèi)部流動時的‘再次同意’問題。”

而對于個人信息的存儲，楊杰認為，中央與地方、大型金融機構與中小型金融機構、類金融機構應做到相同的安全防護級別，并實現(xiàn)非必要不存儲。“在技術層面，個人信息要第一時間進行去標識化處理；在管理層面，機構應當關注信息的保存期限以及隔離存儲設置?！?/p>

盤和林也表示，同一類型的個人信息在各地、各企業(yè)的存儲應達到統(tǒng)一的安全級別。此外，個保法仍需后續(xù)配套法律的支撐，使各地政府公職人員能有法可依、有標準可依，打通企業(yè)數(shù)據(jù)向政府流動的最后一公里。

“個人信息泄露在未來不是技術問題，而是管理問題。2018年歐盟頒布《一般數(shù)據(jù)保護法案》后，近年來又發(fā)布數(shù)字市場法、數(shù)字服務法、數(shù)字治理法等一系列法律草案，計劃形成全面的數(shù)據(jù)法律體系?！瘪R顏昕以歐盟數(shù)據(jù)法律體系為例指出，當前我國企業(yè)向政府提供數(shù)據(jù)信息時，面臨向誰提供數(shù)據(jù)，誰負責數(shù)據(jù)安全以及多頭重復向企業(yè)要數(shù)據(jù)等問題，政府應通過立法等機制，建立企業(yè)向政府共享數(shù)據(jù)的渠道。