大數據背景下個人支付數據信息利用研究

孫華榮

摘? ?要：隨著移動支付等非現金支付方式日益普及，支付交易與生產生活場景深度融合，支付數字化、信息化、移動化趨勢日趨明顯，支付服務提供商采集的支付信息數據呈指數級增長，已經成為支付服務提供商的重要資產。但同時，個人支付信息數據保護問題日益突出，法律法規對個人支付信息數據保護力度不足、支付服務提供商獲取信息沖動強烈且對信息數據風險管理不力、公眾信息保護意識不強，給不法分子非法獲取和利用信息帶來可乘之機。結合我國支付市場實際，應從健全支付信息數據保護的法規制度體系、優化監管資源配置和使用、推進行業自律規范、提高公民個人信息數據保護意識等方面提出政策建議。

關鍵詞：個人支付信息數據保護;演化博弈;支付監管

中圖分類號：F830? 文獻標識碼：B? 文章編號：1674-2265（2020）08-0044-04

DOI：10.19647/j.cnki.37-1462/f.2020.08.007

一、引言

支付交易中涉及大量敏感個人信息的存儲、傳輸和使用。隨著移動支付等非現金支付方式日益普及，支付交易與生產生活場景深度融合，支付數字化、信息化、移動化趨勢日趨明顯，支付服務提供商采集的支付信息數據呈指數級增長，已經成為支付服務提供商的重要資產。在發揮大數據技術優勢的同時，個人支付信息數據保護問題也日益突出，法律法規對個人支付信息數據保護力度不足、支付服務提供商獲取支付信息數據沖動強烈且對信息數據風險管理不力、公眾個人支付信息數據保護意識不強，給不法分子非法獲取和利用個人支付信息數據帶來可乘之機。在這一背景下，本文立足于個人支付信息保護現實問題，研究在支付數據資產化的利益驅動下，如何防范支付信息數據泄露和濫用、提升數據保護水平、規范數據保護規則，旨在為平衡大數據應用與信息保護的關系、推動支付數據的安全有效運用、促進支付行業創新發展提供政策參考。

二、文獻綜述

（一）個人支付信息數據的界定

盛婧婧（2018）[1]采用歸納法，認為個人支付信息數據是指在支付結算過程中，涉及能夠識別個人信息的資料，且這些數據資料通常與個人利益相關，表現為可交換、可存儲的數據資料。陳麗（2019）[2]采用列舉法，認為用戶在支付過程中提供的基本信息屬于個人支付信息數據，如姓名、身份證號、住址、聯系電話、銀行卡號等信息。參考已有研究，本文將個人支付信息數據的概念定義如下：個人支付信息包括所有基于支付活動產生的信息，主要涉及兩個方面：個人信息和支付交易信息。個人支付信息主要包括發起支付業務的數據，如銀行卡密碼、信用卡到期日、安全碼等傳統信息和面部特征、指紋、聲音等生物信息，還有身份證號、銀行賬戶、支付賬戶、手機號碼、通信地址等身份核驗信息。交易信息，包括交易金額、交易時間、交易地點、交易渠道、交易頻率、購買商品或服務類別等。

（二）個人支付信息數據利用的立法研究

楊淵（2014）[3]認為我國應該加快完善個人信息保護立法。馬永保（2014）[4]認為應該正確定位消費者與第三方支付企業在消費者個人信息處分上的權限，限制第三方支付平臺信息收集的范圍，完善民事責任機制。謝迎春（2017）[5]認為，應當綜合借鑒美國和韓國的支付機構信息保護立法內容，結合中國實際，將支付機構信息保護的立法定義為綜合性信息保護法規，或將其作為一章納入《個人信息保護法》。姬蕾蕾（2017）[6]認為我國個人信息保護立法應該立足于具體場景風險管理，個人信息保護監管機構應獨立于政府，采取差異化救濟賠償模式。

（三）個人支付信息數據利用的實證分析

學者們主要采取兩種模型對個人支付信息數據保護進行實證分析。第一，使用統計相關模型發現支付業務風險點并制定相應的措施。陳麗莉（2013）[7]、李二亮（2014）[8]等學者利用威脅樹風險評估模型尋找支付系統的威脅路徑和風險點，為支付服務提供商系統安全的改進和用戶選擇提供參考。李松濤等（2018）[9]基于德爾菲法，設計了針對支付機構和監管機構以及個人的調查問卷，并對調查結果使用結構方程模型進行了多元化數據分析，給出了支付市場信息安全監管的原則、目標、對策及建議。第二，博弈論模型主要用來分析對個人支付信息數據保護的監管力度和監管方法。賈楠（2017）[10]利用博弈論分析了個人支付信息數據保護制度的形成原因、現狀和未來發展，得出了全面監管的結論。危懷安等（2018）[11]基于我國第三方網上支付信息安全監管涉及的第三方支付機構、行業主管部門等影響因素及決策分析角度，使用靜態博弈方法討論了監管部門對第三方支付機構監管的必要性和對策，為制定和完善信息安全監管及措施提供了理論支持。

本文基于上述研究，對我國支付數據信息保護存在的問題進行分析，對如何構建有效的個人支付信息數據保護制度框架進行探討。

三、我國個人支付信息數據利用存在的問題

（一）個人支付信息數據保護法律體系不完善

一是法律法規層級不高。當前我國《個人信息保護法》尚未出臺，有關個人支付信息數據保護的規定和要求散落在多個法律、行政法規、部門規章、規范性文件和行業自律規定中，針對個人金融信息，特別是個人支付信息保護的法律法規，系統性不足，適用性復雜。二是法律法規內容較為籠統，可操作性不強。大部分相關法律法規僅作出了原則性規定，未具體明確覆蓋個人支付信息收集、傳輸、銷毀全生命周期的策略，以及對訪問控制等配套保障措施的硬性要求。如《網絡安全法》第四十一條規定，“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開使用、收集原則”;《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》規定，“銀行業金融機構應當采取有效措施加強對個人金融信息保護，確保信息安全，防止信息泄露和濫用”;《非銀行支付機構網絡支付業務管理辦法》第二十條規定，“支付機構應當以‘最小化原則采集、使用、存儲和傳輸客戶信息，并告知客戶相關信息的使用目的和范圍”。三是責任追究機制亟待完善。侵犯個人支付信息數據安全的責任主要體現在刑事和行政責任方面，民事立法等相關法規中涉及違法違規企業與個人的處罰條款較少。

（二）個人支付信息數據治理面臨困難

經濟社會各領域中數字技術的不斷發展，更好地治理海量的個人支付信息是支付行業未來發展的重點。目前個人支付信息數據治理面臨困難，主要表現在：一是存在信息孤島，多數機構不愿共享，將數據作為戰略性資源，且個人支付數據具有一定敏感性，涉及用戶個人隱私，共享可能存在法律風險，客觀上給機構間共享數據帶來障礙;此外各機構數據接口不統一，數據難以互聯互通，嚴重阻礙數據開放共享。二是數據質量不高，由于缺乏統一的數據治理體系，支付機構在數據采集、存儲、處理等環節可能存在不科學、不規范等問題，無法確保數據的完整性和準確性;支付業務條線繁雜、業務種類多樣，數據采集標準不一、統計口徑各異，數據一致性難以保障。三是融合應用困難，部分金融機構利用海量支付數據建模分析解決實際問題的能力有待提高，支付數據資源沒有得到充分利用。

（三）支付服務提供商個人支付信息管理不規范問題較為突出

隨著支付數據資產化趨勢的不斷深化，支付服務提供商最大限度采集、利用消費者信息的驅動力不斷增強，但信息保護力度較弱。從近年來人民銀行對支付服務領域金融消費權益保護監督檢查情況看，支付消費者信息安全管理不規范的問題比較突出。主要表現在：一是過度收集或不當收集消費者個人信息。支付服務提供商收集消費者個人支付信息未遵循最少、必需原則，收集信息范圍過大，存在以概括授權的方式索取與支付產品和服務無關的消費者個人信息使用授權的情形，甚至存在未經授權收集其個人支付信息或采用技術手段不當獲取個人支付信息授權的情形。二是個人支付信息保管不規范。如支付服務提供商對支付信息無訪問控制策略，未明確員工或外包服務商對個人支付信息的保密責任，通過外包協議約定轉移信息保護風險責任等。三是個人支付信息的使用管理不規范。如智能POS機能夠直接顯示持卡人的敏感信息，交易處理過程中敏感信息未加密傳輸，以金融集團模式開展經營的機構，與集團旗下其他公司共享、使用個人金融信息超出合理范圍等。

（四）消費者個人支付信息保護意識不強

一是對個人支付信息安全權利的整體重視程度不足，比如在注冊支付賬戶時不會仔細閱讀隱私條款，在啟用App時不關注隱私權限的獲取等，不僅使得用戶端對支付服務提供商采集、利用個人支付信息的必要監督缺失，也為不法分子泄露、濫用個人支付信息提供了可乘之機。二是主動維權意愿不強。當個人支付信息被泄露或出售給不法分子時，若未造成經濟損失，當事人往往受制于投訴、訴訟等維權手段環節多、追溯難、舉證難、耗時久等原因主動放棄維權。

（五）監管合作機制有待建立和完善

當前支付業務與電商、社交、信貸等業務高度融合，支付信息數據的采集應用已經不僅僅局限于支付服務提供商，還涉及電商平臺、社交平臺等各類市場主體，因此支付信息數據監管涉及中國人民銀行、銀保監、商務、工信、網信、公安、市場監管等多個專業主管部門。但現階段對個人支付信息數據采集應用的監管職責劃分尚不明確，可能導致監管重疊或監管空白;從監管模式看，監管部門間信息共享和監管協作不夠，也在一定程度上弱化了監管效果。

四、政策建議

（一）完善個人信息數據的立法保護體系

一是加快推動個人支付信息保護專門立法，出臺配套法規，細化隱私條款設置，明確信息采集主體、采集方式，理清各當事人的法律關系和權利義務。結合實際，重點強化對人臉、指紋等生物特征信息保護，對濫用壟斷優勢等強行收集和共享信息數據行為做出嚴格的禁止性規定，對于消費者的數據刪除權等給予充分保障。二是對現有涉及個人信息保護的規章制度進行細化，明確覆蓋個人支付信息收集、存儲、傳輸、銷毀全生命周期的管理策略和配套保障措施，增強其可操作性。三是完善侵權責任追究制度和賠償機制，采取舉證責任倒置方式，強化民事賠償責任，暢通救濟渠道，為消費者獲得合理賠償提供保障。四是建立科學的違規懲戒制度體系，將懲戒措施與違規規模、違規收益相掛鉤，保障制度威懾力，防止出現“大而不能管”的情況。

（二）優化個人信息數據的監管資源配置

一是平衡好個人支付信息數據共享與保護的“蹺蹺板”，在保證數據安全的前提下，允許適度的數據共享，鼓勵支付服務提供商將支付信息數據這一核心資產管好、用好，促進數據資產流動和增值，借助金融科技力量實現支付業務創新、產品創新和服務創新。二是創新監管手段。探索建立基于大數據、人工智能、區塊鏈等技術的個人支付信息采集和使用監管系統，精準描繪每個監管對象的“機構畫像”，全面提升非現場監測能力;運用監管沙箱方式管控創新業務風險，探索持續性監管措施。三是實施分類監管和重點監管。根據不同支付服務提供商的規模、個人信息使用情況等，分層次確定監管重點，強化分類監管和重點監管。四是加強各監管部門溝通合作，建議構建由中國人民銀行牽頭，銀保監、商務、工信、網信、公安、市場監管等多個相關部門協同配合的多層次個人支付信息數據安全監督管理體系，明確各部門職責分工，不斷深化監管信息共享，暢通線索移交處置渠道，形成監管合力。

（三）制定個人信息數據保護的行業自律規范

注重發揮行業自律組織柔性監管作用，將個人支付信息數據保護納入支付行業自律范圍。一是針對支付信息數據保護，建立專項行業自律規范和相關評價指標體系，定期開展自律管理評價;完善行業內部互相監督和外部舉報獎勵機制，將用戶支付數據保護納入舉報獎勵范圍。二是鼓勵行業自律組織立足于支付行業發展，凝聚行業力量，研究支付信息數據保護機制，推動形成行業標準化。三是強化培訓，引導支付服務提供商以及下游市場主體增強支付信息數據保護意識。

（四）強化個人支付信息數據治理

從制度建設、業務實施、技術保障等方面，提高支付服務提供商對個人支付信息數據管理的精細化水平。一是健全個人支付信息數據治理體系，建立全局數據模型和科學合理的數據架構，實現對支付數據的全面梳理和有效管控;綜合國家安全、公眾權益、個人隱私和企業合法利益等因素做好數據分級管理，實現支付數據精細化管理;規范數據共享流程，確保數據使用方在依法合規、保障安全前提下，根據業務需要申請使用數據。二是加強安全管控，遵循“用戶授權、最小夠用、全程防護”原則，充分評估潛在風險，把好安全關口，加強數據全生命周期安全管理，嚴防用戶數據的泄露、篡改和濫用;嚴格履行信息披露和告知義務，主動對專業性強或關系消費者切身利益的條款、事項進行充分解釋說明;加大信息安全技術投入，充分運用網絡安全和信息技術安全等手段，完善支付信息安全保障措施，及時堵塞平臺系統漏洞，提升系統安全防護能力，嚴控個人金融信息泄露風險。三是強化數據應用技術，在算力、算法、存儲、網絡等方面加強技術支撐，利用云計算、深度學習、神經網絡等方法切實增強數據應用能力。

（五）增強社會公眾個人信息數據保護的意識

數據的所有權屬于消費者，應當是消費者決定支付數據的使用范圍和使用領域。一是監管部門、行業協會、支付服務提供商應該加強支付信息數據保護的宣傳教育，普及數據權利意識，幫助廣大消費者形成良好的支付數據保護習慣、發生泄漏時應當及時運用法律手段維護自身利益。二是支付服務提供商在采集個人支付信息數據時，應以顯著方式提示客戶數據采集和應用的范圍，以及客戶刪除數據的途徑。三是消費者自身應當增強數據權利意識，重視個人支付信息數據的使用范圍，注冊用戶時應當仔細閱讀隱私條款，使用服務完畢時及時注銷用戶，防止自身信息泄露。

參考文獻：

[1]盛婧婧.支付結算領域的個人信息安全保護 [J].時代金融，2018，（14）.

[2]陳麗.移動支付領域中的個人金融信息保護研究[J].商業經濟，2019，（1）.

[3]楊淵.大數據背景下個人隱私保護和信息應用研究 [J].征信，2014，32（8）.

[4]馬永保.第三方支付行業消費者個人信息權保護探討 [J].甘肅金融，2014，（4）.

[5]謝迎春.發達國家第三方支付信息安全監管的主要做法及啟示 [J].財經界（學術版），2017，（22）.

[6]姬蕾蕾.個人信息保護立法路徑比較研究 [J].圖書館建設，2017，（9）.

[7]陳麗莉.基于威脅樹的第三方支付信息安全風險評估 [J].信息安全與技術，2013，4（8）.

[8]李二亮.第三方支付系統威脅樹信息安全評估研究 [J].計算機應用研究，2014，31（4）.

[9]李松濤，危懷安.第三方支付信息安全監管的多元化調查分析 [J].統計與決策，2018，34（4）.

[10]賈楠.中國互聯網金融風險度量、監管博弈與監管效率研究 [C].吉林大學，2017.

[11]危懷安，李松濤.第三方支付信息安全監管影響因素及決策分析 [J].統計與決策，2018，（8）.