小心财务系统成数据风险“入口”

2020-07-17 14:15:22 环球时报 37

  中国社会科学院法学研究所《网络法治蓝皮书》项目组的最新研究发现,各单位的财务系统有可能成为个人信息和数据安全保护新的风险点。在不该收集个人信息的场合进行信息收集,收集个人信息时擅自扩大范围,收集很多不必要的个人信息,再加上网络安全观念淡薄、数据安全保护制度和措施缺位,是当前我国各类单位财务系统较为普遍的状况。

  个人信息是网络数据的主要来源。无论是涉及国家社会安全的数据,还是关于经济社会生活的数据,往往可以还原为个人数据。特别是以ABCDE(人工智能、区块链、云计算、数据科技和边缘计算)为代表的新型信息技术与经济社会生活深度融合,不仅产生了海量数据,还形成了以数据为驱动的新业态新模式新经济。围绕个人信息,既形成了一系列关于开发利用的技术、标准和规制体系,也导致了个人数据非法售卖、网络黑灰产、网络诈骗、侵犯个人隐私等大量网络违法犯罪情况的产生。

  个人信息在数据活动的各个环节都可能被泄露,但作为“入口”的搜集环节极其关键。随着税务、工商、金融等方面法治不断完善,强化要求,近年来,我国单位财务制度有显著变化,在信息化、规范化和网络化上有很大进步,单位财务与银行、税务系统等在很大程度上能够实现实时的数据交换。但问题在于,信息化的财务制度在很大程度既依赖于网络设施,也依赖于个人信息的广泛收集。除了本单位员工的工资发放、财务报销之外,向外单位购买商品和服务一般也都要进行银行转账。召开论证会后支付专家费、请外部计算机技术人员编写一段代码或程序,甚至某些时候雇用临时工,在支付专家费或劳务费时,一般都需要搜集对方身份、账号等信息。这中间,只要做好信息储存和保护,有些信息的收集是必要的。但许多单位财务为了“严谨”和“规范”,还要搜集对方工作单位、职务、职级甚至身份证和银行卡的正反面扫描件与照片等信息,就不仅涉嫌违法,还导致巨大的数据安全风险。

  一方提供商品或劳务,另一方支付费用,法律关系原本很简单。税务、工商等部门合法、合理划定收集个人信息的范围,如果各级单位的财务在上述范围之外收集个人信息,则主要出于自身的财务风险防控。但问题在于,过度的个人信息收集,一方面等于将自身财务风险防控的负担不适当地转嫁给他人;另一方面,实际上增加了本单位网络安全和数据安全风险防控的义务,将本单位置于高度法律风险之中。

  随着《数据安全法(草案)》上月在全国人大常委会初次提请审议,社会各界对互联网信息时代数据安全的重要性又有了新的认识。人们期待,在《网络安全法》之后,《数据安全法》和《个人信息保护法》能尽快出台,从而以总体国家安全观为指导,尽快形成个人信息与重要数据保护的“高压线”和“护城河”。

  (作者为中国社会科学院法学研究所研究员 支振锋)