葛华勇:尽快完善立法
实现数据管理统一独立监管
⊙上证报两会报道组
当你享受着人脸、声纹、指纹识别等技术带来的支付便捷时,是否担忧过,这些带有个人特征的生物数据可能随时存在被泄露的风险?
“现在我国已经成为数据大国,近年来数据流动的速度和体量增长得非常快,而我国目前的数据管理仍较薄弱,缺乏立法保护,同时也存在着数据垄断、数据孤岛的情况。”今年两会期间,全国政协委员、中国银联原董事长葛华勇接受上证报记者独家专访时表示,今年他带来的提案就是聚焦大数据时代的数据有序使用和管理立法。
他呼吁,在国家层面制定专门的、具有法律强制力的数据管理法律,同时成立完全独立性、专业性的监管机构,实现数据管理国家统一监管。
尽快完善数据管理立法
数据爆炸时代已经到来,2018年全球数据流动规模相比2005年大幅提高200倍以上。随着大数据、云计算、人工智能、电子支付等技术普及,我国已成为全球数据流动的主要参与国。
从长远角度来看,“要从根本上解决数据安全保护问题,还是得依靠立法,并设立一个统一、独立、专业的数据管理部门。”葛华勇表示。
我国早期的个人数据管理较为分散,相关规定分散在诸多文件中,且适用范围不一、执法主体不同、法律效力不同。自2016年以来,我国开展了一系列尝试,其中《信息安全技术——个人信息安全规范》已较为详尽,但该规范仅为推荐性国家标准,不具有强制力。
葛华勇建议,可参考一些国家和地区的经验,尽快在国家层面制定专门的、具有法律强制力的数据管理法律,成立完全独立性、专业性的监管机构,实现数据管理国家统一监管。
目前,国际上已经有了较为成熟的个人数据保护立法实践。2018年5月,被称为全球最严格的个人数据保护法规——《通用数据保护条例》由欧盟发布并正式生效实行,其具有全球适用性,适用于所有为欧盟居民提供商品服务的境外数据处理商,也包括服务于欧洲客户的中国公司。
与国际法规接轨也是立法中需要考虑的要素。葛华勇认为,数据保护立法应遵循三个原则:一是与国际上较为先进的数据管理理念及发展趋势保持相对一致性;二是要充分考虑国内实际情况,平衡好商业发展与个人隐私保护,立法要能够有序推进数据商业化应用;三是防范数据垄断,打破信息孤岛。
推动跨界数据有序流动
除了立法,葛华勇认为,当务之急是推动跨行业的数据流动。现阶段,我国个人数据分散在各行各业,从传统的银行业金融机构、通信运营商、税务部门至新兴的非银行金融机构、互联网企业,都有大量个人数据存在。
同时,数据类型更加多元,从交易性数据扩大至行为型数据,从结构化数据扩大至非结构化数据。但是,数据大多处于孤岛状态,数据的流动和整合都很困难,市场参与主体的数据利用难度较大。
考虑到互联网企业等新兴市场参与主体的业务规模和市场地位,葛华勇建议,将其产生的数据纳入国家层面的数据管理体系,以解决数据的完整性问题。
对于涉及公共利益的数据,他建议由政府构建并运营数据共享平台,建立公平、公开、透明的数据交易市场,既有效保护数据又为市场参与主体提供数据访问服务,以最终实现数据的跨界共享。
“如果行业部门之间不能实现共享,就先推进行业内部链条上的数据有序流动。”葛华勇说,以第三方支付为例,现在整个数据是闭环的,部分非银行支付机构未严格执行必要信息上送要求,个人数据不透明,给商业银行等机构带来一定的交易欺诈风险和反洗钱难度。
他建议,应尽快推动非银行支付机构按要求向业务链条的收单机构、发卡机构及清算机构发送全量业务数据;同时,要严格约束非银行支付机构对个人数据的采集范围和方式,尤其是对生物特征数据这一敏感数据进行差异化管理,以实现支付产业健康发展。
“如果有效地将这些数据资产运用起来,促成产业生态内的参与机构之间的业务数据有效流动,将提升社会资源配置效率,这对于供给侧结构性改革、经济增长新动能都有好处。”葛华勇表示。