中國社會科學院法學研究所《網絡法治藍皮書》項目組的最新研究發現,各單位的財務系統有可能成為個人信息和數據安全保護新的風險點。在不該收集個人信息的場合進行信息收集,收集個人信息時擅自擴大範圍,收集很多不必要的個人信息,再加上網絡安全觀念淡薄、數據安全保護制度和措施缺位,是當前我國各類單位財務系統較為普遍的狀況。
個人信息是網絡數據的主要來源。無論是涉及國家社會安全的數據,還是關於經濟社會生活的數據,往往可以還原為個人數據。特別是以ABCDE(人工智能、區塊鏈、雲計算、數據科技和邊緣計算)為代表的新型信息技術與經濟社會生活深度融合,不僅產生了海量數據,還形成了以數據為驅動的新業態新模式新經濟。圍繞個人信息,既形成了一系列關於開發利用的技術、標準和規制體系,也導致了個人數據非法售賣、網絡黑灰產、網絡詐騙、侵犯個人隱私等大量網絡違法犯罪情況的產生。
個人信息在數據活動的各個環節都可能被泄露,但作為“入口”的蒐集環節極其關鍵。隨着税務、工商、金融等方面法治不斷完善,強化要求,近年來,我國單位財務制度有顯著變化,在信息化、規範化和網絡化上有很大進步,單位財務與銀行、税務系統等在很大程度上能夠實現實時的數據交換。但問題在於,信息化的財務制度在很大程度既依賴於網絡設施,也依賴於個人信息的廣泛收集。除了本單位員工的工資發放、財務報銷之外,向外單位購買商品和服務一般也都要進行銀行轉賬。召開論證會後支付專家費、請外部計算機技術人員編寫一段代碼或程序,甚至某些時候僱用臨時工,在支付專家費或勞務費時,一般都需要蒐集對方身份、賬號等信息。這中間,只要做好信息儲存和保護,有些信息的收集是必要的。但許多單位財務為了“嚴謹”和“規範”,還要蒐集對方工作單位、職務、職級甚至身份證和銀行卡的正反面掃描件與照片等信息,就不僅涉嫌違法,還導致巨大的數據安全風險。
一方提供商品或勞務,另一方支付費用,法律關係原本很簡單。税務、工商等部門合法、合理劃定收集個人信息的範圍,如果各級單位的財務在上述範圍之外收集個人信息,則主要出於自身的財務風險防控。但問題在於,過度的個人信息收集,一方面等於將自身財務風險防控的負擔不適當地轉嫁給他人;另一方面,實際上增加了本單位網絡安全和數據安全風險防控的義務,將本單位置於高度法律風險之中。
隨着《數據安全法(草案)》上月在全國人大常委會初次提請審議,社會各界對互聯網信息時代數據安全的重要性又有了新的認識。人們期待,在《網絡安全法》之後,《數據安全法》和《個人信息保護法》能儘快出台,從而以總體國家安全觀為指導,儘快形成個人信息與重要數據保護的“高壓線”和“護城河”。(作者為中國社會科學院法學研究所研究員)