文/意见领袖专栏机构北京和昶律师事务所 本文作者:朱一博 近日,中信银行因擅自向某公司提供个人信息被卷入风波,致歉、处理责任人等快速反应均未能挽回信用损失,即将面临民事责任、行政处罚等。自然人的个人信息受法律保护,储户是个人信息主体,银行是信息控制者,银行对信息的控制源于储户的授权,其余均属于第三方。因此,除法定情形以外,未经授权向第三方提供个人信息必然违法违规。中信银行事件因小失大,教训惨痛,为我们敲响警钟。 一、信息共享风险预警 大数据时代,移动应用程序(App)显现蓬勃生机,成为个人信息汇集的中心,App运营商(以下简称App)与第三方的合作日渐密切与多元。第三方主体包括各类产品或服务供应商,如智能设备、服务平台、系统服务、软件服务提供商,具体包括移动运营商、第三方支付机构、广告、咨询、调研、分析、客服、回访、身份验证、安全监测等服务提供商。App中的小程序、第三方应用、第三方代码、插件(如软件开发工具包sdk,sdk详情建议参考《Zoom危机:警惕潜伏在APP后面的SDK大盗》)皆为第三方的缩影。它们通过客户端直接收集信息,或者先将数据传输至App后台服务器,再向第三方提供,主要通过这两种方式实现信息共享。 互联网非法外之地,与第三方共享个人信息,同样以告知用户并征得用户同意为前提。自“App违法违规收集使用个人信息专项治理行动”开展以来,因信息“私自共享第三方”受到监管部门惩处的App不在少数,耳熟能详的,如闪送(版本5.2.20)、36氦(版本8.6.7)、QQ阅读(版本7.1.1.888)、人人视频(版本4.2.9)、一点资讯(版本5.2.1.0)等。 同时,App需警惕与第三方合作的安全性。第三方由App引入,对于终端用户而言,App在明,第三方在暗,App需为第三方行为担责。近年来,第三方违规引发的信息安全事件并不鲜见。倘若第三方恶意操作(如恶意推送信息的“寄生推”)、隐蔽收集用户个人信息,或因安全漏洞引发信息泄露,App事前未进行责任切割,未尽到告知、监督义务,就难辞其咎,为第三方所累。 二、安身法则——“告知”与“监督” 用户信息安全不容忽视,法律规范接踵而至,与第三方合作已成定局,App怎样才能守住合规底线?《网络安全法》明确,网络运营者收集、使用个人信息,应当遵循知情同意、必要性原则,App与第三方共享信息属于“使用”,因此受上述原则约束。关于App与第三方,目前尚未有法律法规作出具体规定,散见于《App违法违规收集使用个人信息行为认定方法》、《App违法规收集使用个人信息自评估指南》、《个人信息安全规范》GB/T 35273—2020、《数据安全管理办法(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》、《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等文件。 通过梳理上述规范性文件,App共享第三方合规准则有二,第一:对用户充分告知;第二,对第三方尽到必要的监督责任。不难理解,终端用户为个人信息主体,App对信息的使用受制于权利人的授权,故信息共享需告知并取得权利主体同意,“明明是三个人的电影,请告知他姓名”;在App、终端用户与第三方关系图中(如图1所示),App为连结三方的关键所在,处于对第三方风险披露的最佳位置。同时,收益永远与风险并存,为提高效率、享受便利引入第三方,则监督第三方为应有之责,失责的风险如影相随。 (图1终端用户、App与第三方关系) 鉴于尚未有法律法规对App与第三方的权利义务关系作出系统性规定,“告知”与“监督”的具体内容需要从第三方类型、App与第三方的法律关系两个维度展开。 首先,App中第三方包括嵌入的第三方代码、插件、小程序、第三方应用等,App与第三方共享用户个人信息,应当告知用户以下内容,征得用户同意:(1)逐一列出第三方收集使用个人信息的目的、方式、范围等;(2)数据接收方的类型以及可能产生的后果;(3)共享个人敏感信息,还应告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;(4)人生物识别信息原则上不应共享。因业务需要,确需共享,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。 (图2:个人敏感信息与个人生物识别信息,源于《个人信息安全规范》(GB/T 35273—2020)) 其次,App与第三方除了具有共享关系外,还可能成立委托处理、共同控制、第三方管理三种关系(如图3所示)。通俗的说,委托处理即App将收集的个人信息委托第三方处理;共同控制是指App通过合同等形式与第三方达成合意,共同对用户个人信息进行控制。值得注意的是,App如果部署了收集个人信息的第三方插件,例如软件开发工具包sdk,且该第三方未单独向用户告知并征得同意,则默认App与第三方sdk属于共同控制关系;如果App未委托第三方也未与第三方约定共同控制,只是接入了客观上具备收集个人信息功能的第三方,就属于第三方接入管理。 (图3,源于《个人信息安全规范》(GB/T 35273—2020)) 合规要求总体包括厘清权责、告知用户、监督第三方(如审计、技术检测、记录留痕等),因法律关系不同,各有侧重。例如,委托处理侧重于对第三方进行监督;共同控制侧重于向用户告知第三方身份以及各自责任,否则将承担因第三方引起的个人信息安全责任;对接入的第三方如若管理不慎,极可能引发信息泄露,因此既要求App向用户明确说明产品或服务由第三方提供,又要求对第三方加强监督。需要关注的是,《数据安全管理办法(征求意见稿)》第30条规定,如果第三方应用发生数据安全事件对用户造成损失,除非网络运营者能证明自己无过错,否则应当承担部分或全部责任。 三、落地困境与探寻 为保障用户个人信息安全,实现终端用户、App与第三方之间良性互动,合规的信息共享流程应当是:App筛选第三方合作伙伴→App向用户告知并获得授权→App监督第三方。落实该流程在实践中举步维艰,至少存在以下几方面的问题: 第一,专业人员配备。筛选合作伙伴是否需要配备专业人员?当前筛选第三方合作伙伴,例如软件开发工具包sdk通常由技术人员进行,因涉及法律问题,是否需要法务人员提前介入,或安排专人与第三方对接? 第二,App筛选合作对象的判断标准。如何判断第三方合作伙伴是否可靠,在安全性、个人信息保护程度方面有哪些指标?如何获知第三方可能存在的违法违规行为或安全隐患? 第三,App与第三方权责不对等。筛选、告知、监督的行使,都以App知悉第三方收集、使用个人信息的情况为前提。然而,现行法律规范仅聚焦于App,尚未溯及上游第三方。若第三方不明确收集、使用个人信息的目的、方式、范围,App该如何向用户告知? 第四,告知方式。第三方合作伙伴数量庞大,如何有效告知? 第五,App与第三方地位不对等。App与第三方sdk的合作,通常是第三方sdk提供服务开放平台,在线签署开发者服务协议。面对此类第三方,App何尝不是用户。在监管缺位的情况下,App难以与第三方博弈,对第三方监督。 毋庸置疑,在信息共享流程中,任一环节监管的缺失必将导致个人信息保护流于形式。可以预见,监管的触角必将延伸至第三方,在此之前,App该如何作为?建议如下。 1.筛选合作伙伴。应当重视第三方的信息安全合规意识和安全措施,包括背景调查、了解隐私政策(关注是否明确收集信息的目的、方式、范围;共享信息;是否转委托;是否收集敏感信息以及采取的安全措施等),有条件的可对第三方收集信息进行技术验证、安全评估。另外,尽可能在合作协议明确双方权责。若能对第三方拟收集的信息进行协商,建议对第三方数据请求的必要性进行评估,拒绝不必要的个人信息收集请求。 值得一提的是,部分第三方sdk具有较强的合规意识,例如极光sdk,制定了一系列合规文件,包括《极光合规指南》、《极光合规指南之极光开发者服务——安全与合规政策解读》、《极光SDK隐私政策合规落地指引》,将其收集、使用App最终用户个人信息的相关情况绘制成表,涵盖sdk产品名称、App产品所应用系统、场景描述、收集方式、个人信息类型、个人信息字段、用途或目的、是否为必要信息、信息处理方式(替换、匿名化处理),并要求APP在隐私政策中列明。 2.告知用户。如前所述,告知内容至少包含第三方类型与身份、收集使用个人信息的目的、方式、范围,可以采用隐私政策、弹窗提示、文字备注、文本链接等告知方式,已有部分App做出了大胆尝试,例如,曾因“私自共享第三方”被要求整改的绿城生活与人人视频,在最新的隐私政策中采用直接列明的方式(如图4所示);度小满(有钱花)在隐私政策“如何共享个人信息”第三方合作机构处附上超链接,超链接内列明第三方sdk嵌入情况(如图5所示);抖音采用在隐私政策中附上超链接,超链接内附上接入第三方sdk名称、使用目的以及官网链接(如图6所示)。 (图4,绿城生活和人人视频隐私政策) (图6,抖音隐私政策) 3.监督第三方。监督方式包括但不限于:通过合同明确对第三方的数据安全、信息保护的要求和责任、对第三方进行审计、合作过程中技术检测、记录和存储第三方收集、使用个人信息的情况,通过留存证据证明已对第三方尽到必要的注意义务。 中信银行事件揭示公众个人信息保护意识觉醒,以及对信息安全的焦虑。在这场个人信息保卫战中,App是中坚力量,守住用户个人信息的安全线,是对当下“守信”最好的诠释。
经济日报-中国经济网天津5月22日讯 近日,天津市人民政府办公厅印发了《天津市促进汽车消费的若干措施》(以下简称《措施》),通过优化小客车限购政策,更好释放汽车消费潜力。《措施》中,天津小客车调控政策有了不小变化,部分政策有所放宽。 《措施》中提到,今年天津市将新增35000个小客车个人增量指标,并全部以摇号方式进行配置,个人摇号指标今年将达87800个。新增指标原则上将按月平均进行分配,具体额度及配置方式将以每个月小客车增量指标配置通告上发布数据为准。 《措施》允许持有效本市居住证的京、冀户籍人员参加个人竞价,需要注意的是,竞得指标后必须在天津购车,放宽个人小客车竞价指标申请条件。 《措施》中提到,将设置小客车区域指标,居住地在本市的人员在本市购置小客车(不含面包车)可直接申领小客车区域指标。 具体内容如下: 一、新增小客车个人增量指标 2020年内新增小客车个人增量指标配置额度35000个,全部以摇号方式配置,每月具体指标配置额度由市交通运输委统筹安排。 二、推动京津冀同城便利化 京、冀户籍人员,持有效本市居住证,可参加本市小客车个人增量指标竞价,竞得指标后须在本市购车。 三、放宽个人增量指标申请资格 放宽京、冀户籍以外的非本市户籍人员参与小客车个人增量指标竞价条件,持有效本市居住证,在2020年12月31日前参与竞价的,将其在本市连续缴纳社会保险的期限调整为近12个月。 四、放宽企业增量指标申请资格 放宽大额投资企业申请小客车增量指标条件,在2020年12月31日前参与摇号或竞价的,将纳入统计企业的上一年度在本市累计完成固定资产投资额或当年新开工项目计划总投资额调整为5000万元及以上。 五、完善小客车限购限行措施 设置小客车区域指标,居住地在本市的人员在本市购置小客车(不含面包车)可直接申领小客车区域指标。通过该类指标登记的车辆,不产生更新指标。上述车辆工作日(因法定节假日放假调休而调整为工作日的星期六、星期日除外)每日7时至9时和16时至19时两个时段,禁止在外环线以内区域(不含外环线)行驶。 六、鼓励新能源汽车消费 落实国家新能源汽车购置相关财税支持政策。按照国家规定,积极组织本市新能源汽车生产企业申请中央财政补贴资金;2021年1月1日至2022年12月31日,继续对购置的新能源汽车免征车辆购置税。2020年6月1日至12月31日期间,居住地在本市的人员或注册地在本市的单位在本市新购置新能源小客车,给予每辆车2000元汽车充电消费券,全市不超过30000辆。 七、推进淘汰报废老旧柴油货车 采取严格超标排放监管、限制使用、适当补偿等综合措施加快推动老旧柴油货车的淘汰报废工作。2020年力争完成国三及以下排放标准中重型营运柴油货车淘汰报废任务70%以上。 八、畅通二手车流通交易 培育引进二手车经营企业,稳步提升本市二手车出口规模。加强行业管理,促进二手车流通。2020年5月1日至2023年12月31日期间,从事二手车经销的纳税人销售其收购的二手车,由原按照简易办法依3%征收率减按2%征收增值税,改为减按0.5%征收增值税。推动维修企业应用汽车维修电子健康档案系统,引导车主使用系统或手机应用程序(APP)跟踪维修过程,为二手车交易提供信息支撑。 九、推动汽车配套设施建设 加快新能源汽车充电设施布局建设。落实本市新建小区充电设施配建标准,推动老旧小区建设公共充电桩。支持公交场站充电设施建设,引导政府机关、企事业单位加快单位内部充电设施建设,加快推进城市综合体、商场、公共停车场、产业园区等区域充电设施建设。三年内新建各类充电桩不少于1.5万台,2020年内新增公共充电桩4000台。进一步加快停车设施建设,鼓励社会资本参与,合理配建停车位,科学划定路内停车泊位,提高停车设施信息化水平。 十、加大金融服务支持力度 落实国家政策,鼓励各类金融机构在风险可控的前提下,通过适当下调首付比例和贷款利率、延长还款期限等方式,加大对购买新车交易信贷支持力度,优化审批流程,提高贷款审批效率,持续释放汽车消费潜力。 十一、鼓励企业促销 组织汽车经销商或汽车品牌厂商开展汽车体验式消费,鼓励汽车经销商开展网上看车、送车试驾等服务,推出赠送保养和保险服务、补贴竞价、延长质保等系列优惠,加大购车优惠促销力度,释放消费潜能。 本措施自2020年6月1日起施行,2025年5月31日废止,文件中有明确施行期限的除外。本措施将根据疫情防控需要适时进行调整。
文/意见领袖专栏机构北京和昶律师事务所 本文作者:朱一博 近日,中信银行因擅自向某公司提供个人信息被卷入风波,致歉、处理责任人等快速反应均未能挽回信用损失,即将面临民事责任、行政处罚等。自然人的个人信息受法律保护,储户是个人信息主体,银行是信息控制者,银行对信息的控制源于储户的授权,其余均属于第三方。因此,除法定情形以外,未经授权向第三方提供个人信息必然违法违规。中信银行事件因小失大,教训惨痛,为我们敲响警钟。 一、信息共享风险预警 大数据时代,移动应用程序(App)显现蓬勃生机,成为个人信息汇集的中心,App运营商(以下简称App)与第三方的合作日渐密切与多元。第三方主体包括各类产品或服务供应商,如智能设备、服务平台、系统服务、软件服务提供商,具体包括移动运营商、第三方支付机构、广告、咨询、调研、分析、客服、回访、身份验证、安全监测等服务提供商。App中的小程序、第三方应用、第三方代码、插件(如软件开发工具包sdk,sdk详情建议参考《Zoom危机:警惕潜伏在APP后面的SDK大盗》)皆为第三方的缩影。它们通过客户端直接收集信息,或者先将数据传输至App后台服务器,再向第三方提供,主要通过这两种方式实现信息共享。 互联网非法外之地,与第三方共享个人信息,同样以告知用户并征得用户同意为前提。自“App违法违规收集使用个人信息专项治理行动”开展以来,因信息“私自共享第三方”受到监管部门惩处的App不在少数,耳熟能详的,如闪送(版本5.2.20)、36氦(版本8.6.7)、QQ阅读(版本7.1.1.888)、人人视频(版本4.2.9)、一点资讯(版本5.2.1.0)等。 同时,App需警惕与第三方合作的安全性。第三方由App引入,对于终端用户而言,App在明,第三方在暗,App需为第三方行为担责。近年来,第三方违规引发的信息安全事件并不鲜见。倘若第三方恶意操作(如恶意推送信息的“寄生推”)、隐蔽收集用户个人信息,或因安全漏洞引发信息泄露,App事前未进行责任切割,未尽到告知、监督义务,就难辞其咎,为第三方所累。 二、安身法则——“告知”与“监督” 用户信息安全不容忽视,法律规范接踵而至,与第三方合作已成定局,App怎样才能守住合规底线?《网络安全法》明确,网络运营者收集、使用个人信息,应当遵循知情同意、必要性原则,App与第三方共享信息属于“使用”,因此受上述原则约束。关于App与第三方,目前尚未有法律法规作出具体规定,散见于《App违法违规收集使用个人信息行为认定方法》、《App违法规收集使用个人信息自评估指南》、《个人信息安全规范》GB/T 35273—2020、《数据安全管理办法(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》、《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等文件。 通过梳理上述规范性文件,App共享第三方合规准则有二,第一:对用户充分告知;第二,对第三方尽到必要的监督责任。不难理解,终端用户为个人信息主体,App对信息的使用受制于权利人的授权,故信息共享需告知并取得权利主体同意,“明明是三个人的电影,请告知他姓名”;在App、终端用户与第三方关系图中(如图1所示),App为连结三方的关键所在,处于对第三方风险披露的最佳位置。同时,收益永远与风险并存,为提高效率、享受便利引入第三方,则监督第三方为应有之责,失责的风险如影相随。 (图1终端用户、App与第三方关系) 鉴于尚未有法律法规对App与第三方的权利义务关系作出系统性规定,“告知”与“监督”的具体内容需要从第三方类型、App与第三方的法律关系两个维度展开。 首先,App中第三方包括嵌入的第三方代码、插件、小程序、第三方应用等,App与第三方共享用户个人信息,应当告知用户以下内容,征得用户同意:(1)逐一列出第三方收集使用个人信息的目的、方式、范围等;(2)数据接收方的类型以及可能产生的后果;(3)共享个人敏感信息,还应告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;(4)人生物识别信息原则上不应共享。因业务需要,确需共享,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。 (图2:个人敏感信息与个人生物识别信息,源于《个人信息安全规范》(GB/T 35273—2020)) 其次,App与第三方除了具有共享关系外,还可能成立委托处理、共同控制、第三方管理三种关系(如图3所示)。通俗的说,委托处理即App将收集的个人信息委托第三方处理;共同控制是指App通过合同等形式与第三方达成合意,共同对用户个人信息进行控制。值得注意的是,App如果部署了收集个人信息的第三方插件,例如软件开发工具包sdk,且该第三方未单独向用户告知并征得同意,则默认App与第三方sdk属于共同控制关系;如果App未委托第三方也未与第三方约定共同控制,只是接入了客观上具备收集个人信息功能的第三方,就属于第三方接入管理。 (图3,源于《个人信息安全规范》(GB/T 35273—2020)) 合规要求总体包括厘清权责、告知用户、监督第三方(如审计、技术检测、记录留痕等),因法律关系不同,各有侧重。例如,委托处理侧重于对第三方进行监督;共同控制侧重于向用户告知第三方身份以及各自责任,否则将承担因第三方引起的个人信息安全责任;对接入的第三方如若管理不慎,极可能引发信息泄露,因此既要求App向用户明确说明产品或服务由第三方提供,又要求对第三方加强监督。需要关注的是,《数据安全管理办法(征求意见稿)》第30条规定,如果第三方应用发生数据安全事件对用户造成损失,除非网络运营者能证明自己无过错,否则应当承担部分或全部责任。 三、落地困境与探寻 为保障用户个人信息安全,实现终端用户、App与第三方之间良性互动,合规的信息共享流程应当是:App筛选第三方合作伙伴→App向用户告知并获得授权→App监督第三方。落实该流程在实践中举步维艰,至少存在以下几方面的问题: 第一,专业人员配备。筛选合作伙伴是否需要配备专业人员?当前筛选第三方合作伙伴,例如软件开发工具包sdk通常由技术人员进行,因涉及法律问题,是否需要法务人员提前介入,或安排专人与第三方对接? 第二,App筛选合作对象的判断标准。如何判断第三方合作伙伴是否可靠,在安全性、个人信息保护程度方面有哪些指标?如何获知第三方可能存在的违法违规行为或安全隐患? 第三,App与第三方权责不对等。筛选、告知、监督的行使,都以App知悉第三方收集、使用个人信息的情况为前提。然而,现行法律规范仅聚焦于App,尚未溯及上游第三方。若第三方不明确收集、使用个人信息的目的、方式、范围,App该如何向用户告知? 第四,告知方式。第三方合作伙伴数量庞大,如何有效告知? 第五,App与第三方地位不对等。App与第三方sdk的合作,通常是第三方sdk提供服务开放平台,在线签署开发者服务协议。面对此类第三方,App何尝不是用户。在监管缺位的情况下,App难以与第三方博弈,对第三方监督。 毋庸置疑,在信息共享流程中,任一环节监管的缺失必将导致个人信息保护流于形式。可以预见,监管的触角必将延伸至第三方,在此之前,App该如何作为?建议如下。 1.筛选合作伙伴。应当重视第三方的信息安全合规意识和安全措施,包括背景调查、了解隐私政策(关注是否明确收集信息的目的、方式、范围;共享信息;是否转委托;是否收集敏感信息以及采取的安全措施等),有条件的可对第三方收集信息进行技术验证、安全评估。另外,尽可能在合作协议明确双方权责。若能对第三方拟收集的信息进行协商,建议对第三方数据请求的必要性进行评估,拒绝不必要的个人信息收集请求。 值得一提的是,部分第三方sdk具有较强的合规意识,例如极光sdk,制定了一系列合规文件,包括《极光合规指南》、《极光合规指南之极光开发者服务——安全与合规政策解读》、《极光SDK隐私政策合规落地指引》,将其收集、使用App最终用户个人信息的相关情况绘制成表,涵盖sdk产品名称、App产品所应用系统、场景描述、收集方式、个人信息类型、个人信息字段、用途或目的、是否为必要信息、信息处理方式(替换、匿名化处理),并要求APP在隐私政策中列明。 2.告知用户。如前所述,告知内容至少包含第三方类型与身份、收集使用个人信息的目的、方式、范围,可以采用隐私政策、弹窗提示、文字备注、文本链接等告知方式,已有部分App做出了大胆尝试,例如,曾因“私自共享第三方”被要求整改的绿城生活与人人视频,在最新的隐私政策中采用直接列明的方式(如图4所示);度小满(有钱花)在隐私政策“如何共享个人信息”第三方合作机构处附上超链接,超链接内列明第三方sdk嵌入情况(如图5所示);抖音采用在隐私政策中附上超链接,超链接内附上接入第三方sdk名称、使用目的以及官网链接(如图6所示)。 (图4,绿城生活和人人视频隐私政策) (图6,抖音隐私政策) 3.监督第三方。监督方式包括但不限于:通过合同明确对第三方的数据安全、信息保护的要求和责任、对第三方进行审计、合作过程中技术检测、记录和存储第三方收集、使用个人信息的情况,通过留存证据证明已对第三方尽到必要的注意义务。 中信银行事件揭示公众个人信息保护意识觉醒,以及对信息安全的焦虑。在这场个人信息保卫战中,App是中坚力量,守住用户个人信息的安全线,是对当下“守信”最好的诠释。 (本文作者介绍:北京和昶律师事务所是一家以刑事辩护和刑事风险防控为主的专业型、研究型律师事务所)
编辑 | 佟亚云 5月22日,搜狐财经获悉,Faraday Future(FF)创始人兼CPUO贾跃亭的个人破产重组在洛杉矶当地时间5月21日举行的听证会上获得了加州中区破产重组法院的最终确认和通过。 据悉,听证会上,多数债权人和法官均表达支持,有个别债权人依然持反对意见。 此次贾跃亭破产重组获通过意味着贾跃亭个人破产重组正式进入生效流程,有望在六月初正式生效,此后贾跃亭将把目前个人所持的全部FF股权转入债权人信托,贾跃亭作为FF创始人也不再拥有任何一股FF股权,公司日常管理权也交付给FF全球CEO毕福康,但将继续以FF全球CPUO和全球合伙人身份继续推动FF走向成功。 FF方面表示,该公司融资最大的障碍得以解除,FF中美双主场策略也进入了实质推进阶段。贾跃亭将继续以创始人和CPUO的身份推动FF公司成功融资以及产品交付。 FF内部人士透露,除了跟美国混合动力公司达成动力总成的战略合作之外,FF与另外一家美国重量级合作伙伴也已经进入了签约阶段,与中国的一家重量级企业的合作谈判进展顺利,即将进入落地阶段。
作者 | 佟亚云 近期,江苏淮安警方破获了一起特大贩卖公民个人信息案,其中一名嫌疑人系建设银行员工,仅靠帮忙查询银行卡信息,一年黑色收入超30万元,每查询1条银行卡相关信息,可获80至100元不等的报酬。 除建设银行以外,中信银行也于近期陷入隐私泄露风波。脱口秀演员池子举报称,中信银行违规泄露其个人流水。最终该事件以中信银行道歉、支行行长撤职收场。 今年以来,银行泄露客户隐私的类似事件频发,引发公众对于银行隐私保护的关注与担忧。从信息泄露的方式看,银行内部员工成为信息贩卖黑色产业链的源头,而末端多为网贷机构或诈骗团伙。此外,不法分子利用系统漏洞进行网络攻击也成为银行信息泄露的一大原因。 专家与律师认为,此类客户信息遭泄露事件反映出银行在内部管控仍存在不足,除当事员工外,银行也应在法律方面承担责任。 建行支行行长非法泄露127条贷款客户财产信息 公开报道显示,江苏淮安警方破获的特大贩卖公民个人信息案中,在建设银行丁某背后,有着一条涉及9省12市的产业链,涉及公民个人信息数据5万多条,涉案金额2000多万,被抓获的犯罪嫌疑人共26名。 据悉,建行员工丁某系信息贩卖黑产链条的第一环,一般出于安全起见仅与一至两名中间商联系,下面还有各层分销商,从银行内部员工到销售末端,一条信息的价格可能会翻数倍。 裁判文书网披露的判决书也揭露了类似的信息贩卖黑产运作模式:以银行内部员工为源头,信息经多层流转倒卖。 (2020)皖1822刑初38号判决书显示,有7名被告人参与工商银行储户个人信息贩卖,信息至少经过两次转手,参与者“有很多上线和下线,联系面广” 7名被告人中,其中一人郝某系中国工商银行西夏支行职工,其利用工作便利查询该行储户个人信息,具体包括姓名、身份证号码、预留手机号码和银行卡号四要素,以70元至100元不等的价格通过QQ出售给他人,查询银行储户信息共200条,收取费用20.7万元。 法院判决郝某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金21万元。 图片源自中国裁判文书网 在个人信息买卖黑产的下游,或是网络贷款及诈骗团伙。 (2020)赣0825刑初1号判决书显示,两名被告人合伙开办从事小额贷款、收取高额利息的小贷公司。二人先是以4万余元购买、再是以违规拷贝的方式,最终得到近2万条客户个人信息,并将信息分割成多份发给小贷公司业务员,业务员通过电话联系客户、推荐放贷业务。 (2020)晋0726刑初56号判决书显示,去年6月至9月,邱某非法获取了包括姓名、身份证号码、电话、银行卡号、住址等公民个人信息10.28万条,并将上述公民信息贩卖给网络贷款诈骗团伙用以牟利,获利4万余元。 一则判决书显示,建设银行一支行行长也参与信息泄露案件,目的在于为他人招揽业务。 图片源自中国裁判文书网 (2020)浙0281刑初62号判决书显示,建设银行余姚城建支行时任行长沈某将受理的贷款客户财产信息共计127条提供给周某,用于招揽业务。此前,沈某还应周某要求,将从他人处非法获取的余姚市东城名苑业主的1111条财产信息通过邮箱提供给周某用于招揽业务。 因沈某犯侵犯公民个人信息罪,被判处有期徒刑三年,缓刑三年,并处以罚金6000元。 攻击网站漏洞导致6万条银行信息泄露 除了内部员工违规操作,银行大规模客户信息泄露还与网络攻击有关。 今年4月,有消息称,上海银行80万行客户数据、兴业银行46万信用卡资料、20 万上海理财 VIP 客户数据和10万上海浦发银行客户资料遭遇泄露,并在网络出售。 对此,上述银行回应称不属实,网曝数据并非由其泄露,且存在数据不匹配的情形。 图片源自网络 然而网络攻击造成的信息泄露确实时有发生,网站漏洞或为非法窃取信息提供可乘之机。 去年6月,北京市公安局网安部门工作发现,网民“yuhong”在“暗网”贩卖国内某银行6.02万条用户个人信息。经审查,犯罪嫌疑人交代了其利用网站漏洞非法窃取了某银行等单位网站上存储的公民个人信息,截至被抓获,非法牟利3万余元。 目前,公安机关已着手对此类犯罪进行严厉打击。在“净网2019”专项行动中,全国公安机关全年破获侵犯公民个人信息类案件5000余起,抓获各行业“内鬼”900余名,破获黑客攻击破坏类案件2200余起。 对于银行客户个人信息遭泄露事件频发,有业内人士认为,这反映出银行内部管控的诸多不足。“比如客户信息可能交由理财部门进行理财产品销售,但如何交接的信息,是否会产生泄露的风险,都应当考虑,信息监管也还需要完善”。 首创证券研究所所长、首席经济学家王剑辉表示,银行客户信息遭泄露与业务发展和风控合规二者的平衡有关。现阶段,金融系统的考核权重多向盈利能力倾斜,合规、风控方面的重视程度可能有所不足。 王剑辉建议银行在人才培养、制度完善、科技手段方面进行完善,以减少此类事件发生。在人才培养方面,银行应加大对风控环节的教育,在制度方面强调刚性约束,在科技手段方面进行权限分级、操作留痕、预警系统等部署,实时应用最新科技。 多家银行因违规泄露客户信息受处罚 不论是由银行“内鬼”还是网络攻击导致客户隐私泄露,上海汉联律师事务所宋一欣律师认为,在此类事件中,银行都应承担防护责任。 “银行在此类信息泄露事件中负有行政责任乃至刑事责任,在查证客户无责任的情况下,银行应对客户的损失承担全部责任。” 今年以来,监管多次对银行信息泄露作出表态。 随着“池子”流水泄露事件发酵,5月9日,银保监会发布通报称,中信银行在未经客户本人授权的情况下,向第三方提供个人银行账户交易明细,违背为存款人保密的原则,涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定。银保监会消费者权益保护局将按照相关法律法规,启动立案调查程序。 图片源自中国银保监会官网 此前,3月11日,中国人民银行重庆营业管理部公示行政处罚决定书,对重庆富民银行“侵害消费者个人信息依法得到保护的权利”等7项违规行为予以处罚,没收其违法所得30.35万元,并处罚款184.5万元。 4月23日,岱山农商银行因违规泄露客户信息被舟山监管局处罚30万元,相关责任人处以禁止从事银行业工作3年的处罚。 4月22日,在国新办2020年一季度银行业保险业运行发展情况发布会上,中国银保监会副主席黄洪表示,近年来银保监会印发一系列政策文件,查处不少案件,要求各银行保险机构认真贯彻落实个人信息保护方面的法律法规,加强客户隐私保护,对客户信息严格实行从采集到储存等全流程的制度化管理。
文/新浪财经议价领袖专栏作家 薛洪言 过去十年,消费升级,零售崛起,有的银行大鹏展翅乘风起,有的银行只是喝了口汤。 2010-2019年间,有的银行年均利润增速超过25%,也有些银行不足5%,曾经你追我赶的小伙伴,天差地别。 如托尔斯泰所说,“幸福的家庭都是相似的,不幸的家庭各有各的不幸”,逆势而起的机构无一例外握住了用户增长的红利,被甩在后面的机构则陷入各种各样的问题——风控问题、资金问题、科技问题、人才问题。 用户增长,变成领先者的看家本领,也成为掉队者的阿喀琉斯之踵。差距因何而生呢?先容许我卖个关子。 “我是你大爷” 一百多年前,广告巨擘克劳德·霍普金斯在《科学的广告》中劝诫道:“让别人冒着风险来买你的产品,人家肯定不愿意。主动冒着风险卖东西给别人,结果就很顺利。我跟别人做交易总是自己来担风险,我会仔细分析自己的提议,确保对方是最得利的那一方。” 对于上门推销员,霍普金斯强烈反对自吹自擂,强调要站在消费者的视角为其提供价值,他评价道,“如果你只为自己的利益着想,无论说什么,人们都会抵抗到底的。” 在一个正常的商业生态中,合作共赢本就是唯一正确的经营策略。但是,就国内银行业而言,长期过着“躺着赚钱”的舒服日子,广告都不必做(想一想多少银行都没有专门的市场营销部门),臭着脸都能把商品卖出去,自然体会不到“合作共赢”的意义。 比如说,十年前用户要办业务,只能去银行网点排队,一边抱怨体验差,一边不得不去,没得选——换一家也一样,何必折腾。 那个阶段,用户所有的不适、不爽都只能自己承担。银行骨子里并不重视用户体验,潜移默化之下形成一种“我是你大爷”的经营文化:无论是谁,都必须求着我,我的产品体验差,你要忍着;我的IT排期长,你要等着;我的利益要100%保障,合作方的利益我管不着,爱合作不合作。 “我是你大爷”当然不是一种健康的商业心态,是长期不充分竞争环境下的畸形产物,迟早要被丢入“故纸堆”。于是,当时代发生变化时,秉持“我是你大爷”心态的金融机构,批量陷入转型困境。 互联网金融崛起后,消费者有了选择权,体验不爽时可以卸载APP,越来越挑剔。而很多银行并未意识到这种根本性的变化——话语权正在转交给用户,仍然按照“我是你大爷”的经营理念,不咸不淡地推出几个宝宝理财产品,利率比活期存款高,但仅限新用户,与运营商“杀熟”如出一辙。 在“傲娇”的银行看来,自己都这么吐血让利了,用户总得感激涕零吧。但想象中的新用户“蜂拥而至”并未出现,老用户被“杀熟”,也都愤愤然离去,不再回头。 时代变了,用户话语权变了,而银行依旧躺在过去的虚幻地位中看待用户,当然会碰壁。用户一旦有了选择权,希望看到昔日高高在上的银行“大出血”,对“嗟来之食”似的些许优惠不感兴趣。 同样的事情还发生在银行与第三方机构的合作中。 2016年,在与互联网流量平台的合作中,个别银行看到了甜头。赚钱效应下,越来越多的银行终于允许业务部门与互联网平台合作。但按照“我是你大爷”的经营理念,自己都放低姿态抛出橄榄枝了,互联网平台还不得闻讯赶来吗?但想象中的“踏破门槛”并未出现,互联网平台更喜欢与“姿态更低”的中小银行合作。 傲慢者,终究要为傲慢付出代价,这种傲慢,并非某个人、某个部门的傲慢,而是深入金融机构文化层面的自大心理。 时代变了,普通用户开始掌握话语权,互联网平台开始掌握话语权,这个时候,如霍普金斯所说,金融机构还凡事为自己着想,想着利益通吃,不能开放心态接受分润让利的现状,自然是愈发寸步难行了。 两看两相厌的银行与用户 从躺着赚钱到辛苦赚钱,姿势不同,文化、机制和流程的要求也不同。零售金融市场正从“垄断竞争”走向“充分竞争”,金融机构亟需调整经营理念和心态。 回过头来看过去十年金融机构之间的差距,那些实现逆袭的金融机构,都在一定程度上抛弃了“我是你大爷”的经营理念,或主动或被动地选择了开放共赢,所以能一飞冲天。 一直以来,金融机构都强调“麻雀虽小五脏俱全”,什么都要握在自己手里。线下经营时代,“肥水不流外人田”的理念没有问题。但时代变了,新时代呼唤新的经营理念,那些仍固守“利益通吃”的机构,大多被时代大潮抛在了后面。 与谁共赢呢?首先是与用户共赢。与用户共赢的前提,是为用户提供价值。 我们看看金融机构的典型心理状态:用户需要什么价值呢?需要贷款的,视条件给予贷款;有存款理财需求的,大可以去买,我们也没拦着,还要提供什么价值?还能提供什么价值?那些不满足风控条件的借款人,总不能让我亏本去做吧? 我想,这大概是多数金融机构的心声。指责没赶上风口,是客观事实,还能忍气吞声;指责不能为用户提供价值,真是“是可忍孰不可忍”了。 问题是,这样远远不够啊。 想一想大消费行业的厂商,想想宝洁、可口可乐、耐克、阿迪等公司,它们为用户做了什么,可不仅仅是生产了商品,用户来买就行了。从包装、口感、营销,到文化、情感、潮流,它们不只生产好产品,还在想方设法让用户注意到自己、爱上自己。 当行业竞争从卖方市场步入买方市场,作为卖方,要做的从来不仅仅是把产品生产出来这么简单。作为金融产品提供商,银行除了提供产品,还为用户做过什么呢? 事实上,银行也为客户付出很多,只是习惯区别对待——愿意满足“大客户”的各种要求,对普通用户习惯冷眼相待。后果是什么呢?如我在文章《很多年轻人,并不爱银行》中所说,银行戴着有色眼镜看用户,年轻人则带着嘲讽看银行。 相看两相厌,如何能共赢? 如果在心态上不重视用户,就更不会重视合作机构了。 银行可以不重视第三方合作机构,但分工在细化、第三方合作机构在崛起,趋势如此,不以银行意愿为转移,要么与之共舞,要么被它抛弃。 真正的共赢 最重要的共赢,是与员工共赢。 一如陈春花教授所观察到的:“企业中忽略个体的现象比比皆是,组织订立很多制度,不断分解目标,强调效率和服从,但是没有考虑到个人是组织协作成功的关键因素。” 近年来,为应对环境变革,很多金融机构开始抓执行力管理,潜台词是“经是好经,和尚念错了”,管理层的战略决策是对的,是员工不行,执行不力。 在很多管理学大师看来,管理者通常会犯一个错误,即把组织的投入产出等同于个人的投入产出之和。实际情况则是,组织关心的是成本和利润,而个人则关心薪资和个人价值实现,两者存在天然差异,并不能自动契合。 不能正视这种差异性,就会产生一种经营悖论——越是强调组织目标,越会忽视个人目标,导致组织目标也不可能达成。 比如一些银行以“压榨员工”闻名业内,短期内的确提高了效率和产出,却从根本上损害了创造性与可持续性,也损害了组织稳定性。员工频繁跳槽、流动性大,这种组织,力争中游还可勉力为之,追求优秀和卓越简直是做梦,且时间一长,矛盾集中爆发,很容易一夜回到解放前。 从契约关系看,员工应该卖力工作,但这种“工厂计件式”管理思维早被丢入历史的故纸堆,管理大师巴纳德曾一针见血地评论道:“组织能否发挥效用,取决于组织本身能否带动形成组织成员一致性的行为。……如果注重个人只是企业的噱头,目的是为了刺激生产,激发士气,那么这只能以失败告终”。 很多人把“先看你为银行创造了什么价值,再要求银行为你提供发展平台”作为金科玉律,很多领导者更是拿这句话来谆谆教导年轻人。理性来看,这个要求一点也不过分,问题是,员工都是普通人,人往往是不理性的。 唯有重视员工个人目标,才能更好地达成组织目标,很多优秀互联网企业的崛起已经证明了这一点。如果不能事先考虑员工个人的“投入产出”评估以及在此基础上的个人行为选择,一味盯着组织目标,就不可能成功。 现实则是,银行的员工激励机制仍远远不够,无论是物质激励还是个人价值实现,都缺乏实质突破——绩效工资形同虚设,前台部门略好,中后台仍是大锅饭,哪怕是内部被无限抬高的“金融科技部门”,也是大锅饭;经济激励有限,自我价值实现更难,已经数不清有多少优秀的小伙伴因为在银行升职难且不透明而离开。 不能与员工共赢,就不能为员工搭建发挥自我价值的舞台。员工的个人潜力被封印,银行又如何能跟上这个快速迭代的时代? 所以,时代变了,你真的看到了吗?你真的改变了吗? (本文作者介绍:苏宁金融研究院副院长,硕士生导师。)
文/新浪财经意见领袖专栏作家 黄大智 最近,脱口秀演员池子(真名“王越池”)举报某银行“泄露客户个人信息”,一时间冲上微博热搜。“大客户”、“全国知名银行”、“知名艺人”、“泄露个人隐私”……爆点实在太多,引来众多吃瓜群众。不过,与金融相关的瓜,历来都不是简单的吃完这个就去吃另一个,而是要秉承“顺藤吃瓜”的原则,吃到更多更甜更有营养的瓜。 “这是配合大客户的要求” 虽然该微博热搜已经广为人知,但是为了完整性,我们还是先简述一下该事件。 5月6日晚,知名脱口秀演员池子在其个人微博发布长文,回应与笑果文化解约一事,还顺带嘲讽了已经过了风口的P2P,以及发展尚处于早期的脱口秀“水浅甲鱼多”,并表示目前情况就是“没法开展任何工作,一直在和笑果文化打官司”。 但随后一转,池子指出在笑果文化寄给他的案件材料里面,发现了其本人在某银行的个人账户交易明细。他去咨询了律师,认为笑果文化和涉事银行的行为涉嫌“侵犯公民个人信息”。他给银行打了电话讨说法,竟被告知 “这是配合大客户的要求”。 在池子发布的这条微博最后,附上了对笑果文化和该银行支行的律师函。 随后,5月7日凌晨,涉事银行对此致歉,称经核实该行员工未严格按规定办理,在笑果文化要求查询时提供了王先生(池子)的收款记录,并对相关人员进行了惩罚处理。 “顺藤吃瓜” 基本了解上述事件后,可以看到,个中重点并不在于池子与笑果文化的纠纷,而是被牵连进来的第三方——银行。在没有经过池子本人允许的情况下,笑果文化拿到了池子在该银行的个人账户交易明细。该银行及笑果文化都涉嫌“侵犯公民个人信息”。 想要吃到明确的瓜,那就必须要明确其中的几个关键点。 关键点一:一般情况下,个人账户交易信息要如何打印 一般说来,个人账户交易信息中涉及大量的重要信息,银行都要求必须本人办理打印业务,无法进行代办。所以,想要打印个人账户交易信息,有以下几种方法: 第一种是线上方式,用户可以通过手机银行/网上银行,自助选择账户交易信息进行打印。这种打印文件印有电子公章,具有法律效力。然而,在实践中,仅有部分银行而非所有银行支持这种线上的服务方式。同时,鉴于这种信息的重要性,打印文件发送到电子邮箱中是进行加密传输,用户需要在手机银行/网上银行上获取解锁方式后,才可打开文件。 第二种是线下自助方式,也就是通过银行网点中的自助服务终端打印机,用户只需要有银行卡和密码,即可自行打印。但在实践中,各银行有不同规定,有的银行需要网点中的相关主管人员进行授权操作;有的银行无需授权,但可选择的账单期限有限,如只能打印3个月内的交易明细。 第三种就是到银行柜台打印,无论是银行的高柜(带有防弹玻璃的)还是低柜(开放式的),都可以办理该业务。在这种情况下,必须是本人持银行卡、身份证,部分银行甚至需要进行人脸识别等多重验证方式,才可以打印。 当然,在特殊情况下,如银行账户的本人是老人、小孩或不具备行动能力、民事行为能力等情况下,监护人可以在提供相关证明后,代为办理。但这种过于特殊的情况,我们暂且不做讨论。 以上这些方式都是基于合法合规的前提下,用户本人进行个人银行账户交易信息打印的方法。 但是根据银行给池子的反馈“这是配合大客户的要求”,可以说明打印的交易信息并非是基于池子本人的意愿,这也就有了接下来的关(ji)键(xu)点(chi)二(gua)。 关键点二:非常规手段,个人账户交易信息的打印和获取 非常规手段进行交易信息的获取和打印,既有合法合规的方式,也有违规的方式。 第一种是合法合规情况下,公安机关、法院等权力机构进行“财产保全”(俗称冻结财产)。财产保全的关键问题在于提供被保全人的财产线索及申请人提供相应的担保。在池子与笑果文化的合同纠纷中,若笑果文化作为申请人,向人民法院提请对被保全人(池子)做财产保全申请,除了需要提交担保、保全申请书等材料外,最重要的便是“被保全人的财产线索”,而与之相关的除了房、车相关信息外,便属银行账户交易信息最为重要。当无法提供相关线索,便可申请法院等相关机构进行对被保全人的财产线索进行查询。 但是需要注意的是,即便如此,这种个人的账户交易信息也不应被笑果文化掌握。也就是说,即便笑果文化的保全申请执行了,其所提请的“财产线索”不可能、也不应该出现在笑果文化公司的掌控中。 第二种,违法违规的方式,也是众多网友猜测的最可能的一种,银行员工应笑果文化请求,私自为其打印池子的个人交易信息,而这也被该银行随后“对池子的致歉信”回复所证实。其中的原因也很简单,正如“这是配合大客户的要求”的回复一样,笑果文化作为该支行的重要企业客户,且知晓池子的姓名、身份证、银行账户等信息,银行员工出于维护大客户的心理,应其所求也不足为怪。而这种方式显然是违背了人民银行及银保监会的有关规定,甚至涉嫌触犯《刑法》235条之一的规定“侵犯公民个人信息罪”。 至于有人奇怪,既然笑果文化可以通过法院执行查控系统查询被申请人(池子)的财产线索,为何要甘冒风险,自己去查询池子的账户交易信息。其中涉及到,在申请财产保全后,从银行及不动产交易中心等机构反馈查询结果需要一定的时间,时间成本很大,所以以申请人自己提交的相关的财产线索为最佳。 一般情况下,吃瓜行动也就到此为止了,接下来就是处罚甚至赔偿、监管进场整治、事件平息等情况。 但鉴于金融活动和金融信息的特殊性,我们仍然有必要做一些进一步的说明。 这个放在奇葩说里,大概就是升华的部分了,要脱离事件本身,提高境界。 而需要探讨的,自然是池子及大众所关注的“侵犯个人隐私”的问题,特别是金融消费者个人金融信息保护的问题。 任重道远的个人金融信息保护 如果将“银行个人账户交易信息”进一步细分,其实质上是个人金融信息。在央行2020年2月最新发布的《个人金融信息保护技术规范》中指出: 个人金融信息是指金融机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人某些情况的信息。 与其他个人信息相比,个人金融信息与个人资产、信用状况等高度相关,一旦泄露,对消费者的财产安全造成的威胁更大。因此,监管十分重视对于个人金融信息的保护。 事实上,早在2007年,央行就开始陆续通过《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等文件,开始了对个人金融信息的保护。据不完全统计,至今已有十部相关的部门规范、规章制度等监管办法,对个人金融信息的保护做出了相关规定(见表1)。 除了正式的监管文件之外,央行的各级领导也在各种论坛、工作会议中强调要加强个人金融信息的保护,这些无一不显示了监管对这项工作的重视,并且也透露着“个人金融信息安全监管趋严”的信号。 但从实践来看,我国目前在个人金融信息保护方面仍存在很大不足。例如,缺乏统一的上位法,对于违法机构和个人的法律追究机制也尚不健全,进而频繁出现金融机构、外包机构员工利用客户个人金融信息非法牟利的现象,也间接的导致了数据的大面积泄露,危害金融体系的安全运行。 远的不说,今年4月份就流传着涉及国内多家银行的数百万条客户数据资料,在暗网被标价兜售。尽管经过涉事银行的核查比对,与真实数据信息不符,但银行用户个人金融信息的安全如何保障,仍在持续引发全民关注。 此次“池子诉银行侵犯个人信息”事件引起广泛关注,绝不仅仅是一个娱乐圈+金融圈的八卦,而是大众对于自身信息,特别是个人金融信息保护意识的进一步提高。 值得期待的是, 2019年下发征求意见稿后,正式的《个人金融信息(数据)保护试行办法》或许将在2020年出台,这意味着金融机构将有“法”可依,个人金融信息也将得到更好的保护。 或许,类似此次“池子诉银行”的事件也将不再发生。
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估