■本报记者 聂国春
银行等金融机构的业务与个人信息息息相关,《个人信息保护法》正式实施将会对银行业务带来更多合规挑战。在日前由广州数字金融创新研究院、广东广悦律师事务所联合主办的“羊城数字金融沙龙”论坛第一期活动上,多位法律专家指出,人脸识别技术在金融行业应用最为广泛,金融机构需遵循最小、必要原则,审慎使用人脸识别技术。
广东广悦律师事务所高级合伙人杨杰律师表示,应用人脸识别时,不仅要考虑便利性,还要考虑安全性。现阶段人脸识别已逐渐取代人工成为金融机构最高级别的认证手段,并被广泛应用。例如在违规性监控领域,为节约成本、提高便利性,人工监控已经被人脸识别监控替代,但这是否符合《个人信息保护法》的“最小、必要”原则,值得讨论。
中南财经政法大学数字经济研究院执行院长盘和林也认为,相较指纹等个人信息,人脸识别更容易与个人对应,这是人脸识别被广泛普遍关注的原因之一,也是提高人脸识别管制的理由之一。“金融机构和类金融机构应界定人脸识别的使用范围,在存在替代方案的情况下,金融机构仍需遵循“最小、必要”原则,审慎使用人脸识别技术。”盘和林说。
针对《个人信息保护法》的“最小、必要”原则,华南师范大学法学院研究员马颜昕建议,金融机构可通过提供线上人脸识别和线下办理的双选项方案,以符合法律的要求。
“个人信息泄露在未来不是技术问题,而是管理问题。”马颜昕指出,当前,我国企业向政府提供数据信息时,面临向谁提供数据、谁负责数据安全以及多头重复向企业要数据等问题,政府应通过立法等机制,建立企业向政府共享数据的渠道。
盘和林也表示,《个人信息保护法》的实施需要后续配套法律的支撑,使各地能有法可依、有标准可依,打通企业数据向政府流动的“最后一公里”。
为了保护个人信息,专家们还建议,中央与地方、大型金融机构与中小型金融机构、类金融机构应做到相同的安全防护级别,并实现非必要不存储。在技术层面,个人信息要第一时间进行去标识化处理;在管理层面,机构应当关注信息的保存期限以及隔离存储设置。