小心财务系统成数据风险“入口”

　　中国社会科学院法学研究所《网络法治蓝皮书》项目组的最新研究发现，各单位的财务系统有可能成为个人信息和数据安全保护新的风险点。在不该收集个人信息的场合进行信息收集，收集个人信息时擅自扩大范围，收集很多不必要的个人信息，再加上网络安全观念淡薄、数据安全保护制度和措施缺位，是当前我国各类单位财务系统较为普遍的状况。

　　个人信息是网络数据的主要来源。无论是涉及国家社会安全的数据，还是关于经济社会生活的数据，往往可以还原为个人数据。特别是以ABCDE(人工智能、区块链、云计算、数据科技和边缘计算)为代表的新型信息技术与经济社会生活深度融合，不仅产生了海量数据，还形成了以数据为驱动的新业态新模式新经济。围绕个人信息，既形成了一系列关于开发利用的技术、标准和规制体系，也导致了个人数据非法售卖、网络黑灰产、网络诈骗、侵犯个人隐私等大量网络违法犯罪情况的产生。

　　个人信息在数据活动的各个环节都可能被泄露，但作为“入口”的搜集环节极其关键。随着税务、工商、金融等方面法治不断完善，强化要求，近年来，我国单位财务制度有显著变化，在信息化、规范化和网络化上有很大进步，单位财务与银行、税务系统等在很大程度上能够实现实时的数据交换。但问题在于，信息化的财务制度在很大程度既依赖于网络设施，也依赖于个人信息的广泛收集。除了本单位员工的工资发放、财务报销之外，向外单位购买商品和服务一般也都要进行银行转账。召开论证会后支付专家费、请外部计算机技术人员编写一段代码或程序，甚至某些时候雇用临时工，在支付专家费或劳务费时，一般都需要搜集对方身份、账号等信息。这中间，只要做好信息储存和保护，有些信息的收集是必要的。但许多单位财务为了“严谨”和“规范”，还要搜集对方工作单位、职务、职级甚至身份证和银行卡的正反面扫描件与照片等信息，就不仅涉嫌违法，还导致巨大的数据安全风险。

　　一方提供商品或劳务，另一方支付费用，法律关系原本很简单。税务、工商等部门合法、合理划定收集个人信息的范围，如果各级单位的财务在上述范围之外收集个人信息，则主要出于自身的财务风险防控。但问题在于，过度的个人信息收集，一方面等于将自身财务风险防控的负担不适当地转嫁给他人;另一方面，实际上增加了本单位网络安全和数据安全风险防控的义务，将本单位置于高度法律风险之中。

　　随着《数据安全法(草案)》上月在全国人大常委会初次提请审议，社会各界对互联网信息时代数据安全的重要性又有了新的认识。人们期待，在《网络安全法》之后，《数据安全法》和《个人信息保护法》能尽快出台，从而以总体国家安全观为指导，尽快形成个人信息与重要数据保护的“高压线”和“护城河”。

　　(作者为中国社会科学院法学研究所研究员 支振锋)