文/新浪財經意見領袖專欄作家 王和

　　2021年08月27日在零壹財經“《個人信息保護法》解讀、合規落地與產業趨勢”閉門研討會上的發言。

　　首先，感謝“零壹財經”的邀請，讓我有機會來與大家分享關于金融保險業在《個人信息保護法》頒布實施背景下的一些思考。可以說，《個人信息保護法》的頒布，是我國數字經濟發展過程中的一個“里程碑”，確立了數字社會的基本原則和規則，同時，也將成為我國金融發展歷史上的一個“里程碑”，明確了金融數字化應當遵循的基本準則和行為規范，對此，金融業要有足夠的認識，足夠的重視和足夠的覺悟。

　　我的交流將圍繞“欲罷不能”這個“關鍵詞”展開，一層的意思是：金融業離不開“個人信息”，因為，“個人信息”是金融業存在的基礎，是“立業之本”。另一層的意思是：《個人信息保護法》的出臺，將為金融業開啟一個依法規范發展的時代，也是一個持續健康發展的時代，金融業要把握機遇，實現跨越式發展。總之，面對“個人信息保護”這一課題，金融業沒有退路，更不需要退路，而應當是與時俱進，把握機遇，乘勢而為，突破自我，在創新發展的道路上“欲罷不能”。

　　首先，要認識到：金融，屬于天然的“個人信息”行業。金融的資金融通，是建立在風險認知基礎上的，因此，對于信息，特別是個人信息的“觸碰”是金融業存在的基礎邏輯和必要前提。但《個人信息保護法》對個人信息保護和利用制定了一系列嚴格的規則， 作為“個人信息處理者”的金融企業，將面臨“高標準，嚴要求”的挑戰，傳統的經營理念、技術和模式面臨“難以為繼”的挑戰，因此，如果沿用傳統理念、技術和方法，進行簡單思維，得出的基本結論肯定是：做不到。

　　但金融業需要清醒地認識到：個人信息保護是時代潮流，是人心所向，是大勢所趨，金融業沒有選擇，只有順應時代，轉變觀念，提升能力，擁抱個人信息保護新時代，按照新要求，打造新能力，實現新發展。

　　與其他金融業態不同，保險，屬于典型的“個人信息”行業，即保險業對于個人信息的依賴程度更深更廣。一是大數法則決定了保險存在的前提和基礎是“個體”的集合，而且是“大數”的集合；二是風險的一個重要特征是基于信息不對稱，因此，保險在進行經營管理的過程中，勢必要更多地獲取信息，以破解信息不對稱問題，實現有效的風險管理。從這個視角看，保險與“個人信息”是密不可分的，更是“欲罷不能”的。

　　與其他行業不同，其他行業對個人信息的利用，更多是著眼于創新發展，而保險對個人信息的利用是“基因”決定的，是“生存必需”，因此，沒有選擇的余地，只能直面問題，解決問題。

　　用發展的眼光看，保險的“正外部性”特征，使得保險能夠在現代社會風險治理體系和能力現代化的過程中發揮更大的作用。近年來，通過“保險+”的模式創新，保險已經越來越多地扮演“社會風險管理者”的角色，發揮著獨特，且卓有成效的作用。而這些作用的發揮，離不開對個人信息的“觸碰”。

　　例如，在汽車保險中，全面導入基于智能網聯車技術，開展了“按使用付費（UBI）”的產品創新，這種保險產品，不僅能夠使汽車保險的定價更加科學，還能夠幫助駕駛人員糾正不良的駕駛習慣，確保行車安全，給社會的道路安全帶來積極的影響。而作為前提，保險公司需要獲得更多基于駕駛人員個人駕駛行為的信息。

　　再如，在健康保險中，保險公司可以利用個人體檢報告信息，結合穿戴式設備信息，動態分析和監控客戶的健康狀況，并及時給予專業化的指導意見，以改善不良的生活習慣，及時發現健康隱患，及時進行就醫和治療，為客戶提供有價值的保險服務，讓客戶的生活更健康。

　　保險公司在開展這些產品和服務創新過程中，勢必涉及大量的客戶個人信息，包括“生物識別信息”，其中許多都是“個人敏感信息”，因此，如何按照《個人信息保護法》的要求，處理和管理這些信息，是保險公司在未來必須面對和解決的問題。

　　面對“欲罷不能”的挑戰，金融業需要一種全面和系統反省，即過去那些相對粗放，乃至違規的客戶信息獲取和利用方式，是對數字經濟環境的破壞，是難以持續的。就數字經濟發展而言，只有保護好數字環境的“綠水青山”，才能夠有數字經濟發展的“金山銀山”，對此，需要一種基于行業集體共識的覺醒和覺悟。

　　首先，要認識、理解并敬畏“數權”，即公民基于個人信息的權益，“數權”應當得到充分的尊重和保護。這次《個人信息保護法》采用了“根據憲法，制定本法”的措辭，目的就是要提高“數權”的地位，其根本訴求是“確權”，而“確權”的本質是“還權于民”，即把原本屬于公民，基于“人格權”的“數權”歸還給公民，并強化數權的“神圣不可侵犯”，因此，從某種意義上講，《個人信息保護法》是一部“人權法”，它與14億中國人切身利益“息息相關”。

　　其次，要覺悟、涵養并強化“數商”。“數商”，是指基于“數權”的智慧，是“數權”的商數。金融企業的“數商”，集中體現為在理解“數權”和《個人信息保護法》的基礎上，確保對個人信息的“取之有道”和“用之有道”，秉持并堅守“技術倫理和道德”，堅持并確保“技術向善和向上”。

　　《個人信息保護法》的頒布與實施，從某種意義上講，是需要金融行業“重新做一遍”，因為，一直以來，人們“司空見慣”、“不以為然”和“習以為常”，甚至認為是“天經地義”的事，都可能面臨“不合法”的挑戰，而作為前提，需要金融行業“重新想一遍”，即重新想想：什么是“信息”，什么是“個人信息”，什么是“個人信息權益”，就“個人信息權益”而言，要認識和理解：什么是知情權、決定權、限制權、拒絕權、查閱復制權、可攜權、更正補充權、刪除遺忘權等。在《個人信息保護法》的框架下，金融企業作為“個人信息處理者”，應當遵循的原則是什么，責任和義務又是什么，包括什么是“最小必要原則”，什么是“知情同意原則”等。此外，為什么要對“自動化決策”提出專門和特別要求，以及一直以來人們熟悉的 “算法”、“人工智能”和“KYC（客戶畫像）”這些概念，也需要重新認識，并理解為什么一些西方國家開始提出要為人工智能專門立法，提出“算法透明”問題，這一切，又應當如何重新認識和理解。從根本上講，金融行業需要在《個人信息保護法》框架下，開啟的個人信息保護的新時代，重新思考金融的基礎要素和底層邏輯等一系列問題。

　　面向未來，金融傳統的商業“形態”面臨難以為繼的挑戰，特別是對于數據獲取和利用方式。解決商業“形態”的關鍵是技術“狀態”的調整，如簡單的“以我為主”和“大集中”思維模式，這種“狀態”是難以面對個人信息保護時代的基本要求，而分布式、邊緣計算、區塊鏈的底層邏輯，應當成為未來技術的基本“狀態”，而支撐技術“狀態”的關鍵是思想的“姿態”，包括數據利用要講究“度”的把握，數據不是“越多越好”，而是“夠用就好”，同時，“可用不擁”，“不求所有，但知所在，確保能用”，“數據不動，價值動”等，應當成為金融面向新時代的思想“姿態”。

　　面向未來，技術與思想將呈現一種“相輔相成”的關系，即思想進步，推動技術創新，而技術創新，又進一步助力思想進步。但從根本上看，突破自我的局限是關鍵，只有這樣，能夠去探索技術上的“形散神聚”狀態，而突破“我”的局限，最終目的和皈依是“為人民服務”，是真正“以客戶為中心”，這才是我國金融應有的思想“姿態”。

　　具體而言，金融業面對個人信息保護時代，宏觀層面的解決，是積極研究和探索“匿名化”技術，因為，按照《個人信息保護法》的相關規定，經過匿名化處理的個人信息，將不再是個人信息，而屬于處理者的信息，這將是金融業的核心財富。就保險而言，這些信息能夠滿足大數法則的需要，解決風險管理和保險經營“平均數”的需求。同時，為了更好地維護客戶利益，特別是強化客戶隱私保護，去標識化技術也應當予以高度重視與充分運用。

　　微觀層面的解決，是高度關注隱私計算技術，因為，僅僅靠制度和管理，是難以從根本上解決客戶數據的有效保護問題，因此，應當通過全面導入隱私計算，包括多方安全計算、可信計算、聯邦學習、差分隱私、同態加密等，從根本上，剛性地解決客戶信息安全和隱私保護問題。從行業和企業的視角看，特別是中小金融企業，要摒棄“單打獨斗”的思維模式，在確認真問題，明確真需求的基礎上，以一種更加開放的心態，開放業務場景，積極探索與相關領域的科技企業合作，打造基于個人信息保護的新商業模式。

　　就行業而言，借鑒“關鍵信息基礎設施”的理念，搭建具有行業公信力的隱私計算平臺是當務之急。平臺建設可以導入“可信執行環境（TEE）”和“聯盟鏈”等技術，同時，為下一步的“數據信托”模式，創造條件，營造環境。邊緣計算也是一種解決思路，即數據不動，算法動。在可信計算的基礎，探索可信計算的嵌套模式，以滿足不同環境和需求。

　　目前，金融行業面臨的最大挑戰是“短兵相接”，即《個人信息保護法》將于2021年11月1日正式實施，而無論是思想層面，還是技術層面，無論是宏觀層面，還是微觀層面的準備，均不是短時間內能夠完成的，而留給我們的時間不多，而許多金融企業，還仍處于觀望的狀態。

　　在《個人信息保護法》的推動下，金融的數字化轉型，已不再是一道“選擇題”，而是“必答題”。金融業要在進一步強化個人信息保護的框架下，劃定紅線，明確原則，建立覆蓋全生命周期的數據治理和安全管理體系，加快技術層面的數字化轉型，通過技術數字化，增強數據利用的安全性和合規性，推動經營理念的數字化轉型，最終實現商業（邏輯）模式的數字化轉型與創新。在這個過程中，比數字化技術能力更重要的是數字化的思維模式，以及企業內部的數字化交流語境，最終，形成一種基于“數商”的企業數字文化。

　　隨著《個人信息保護法》的正式頒布，實施已進入倒計時的狀態，留給金融企業的準備時間，只有兩個多月了，因此，行業需要“緊急總動員”，一方面是要全面和深入地開展行業《個人信息保護法》的學法和普法活動，確保知法、懂法、依法和用法。另一方面是要按照《個人信息保護法》的要求，結合《數據安全法》和《網絡安全法》，開展全面的梳理和規范。一是要按照2020年中國人民銀行頒布的《個人金融信息保護技術規范》標準，以及《銀行業金融機構數據治理指引》（2018）等文件和標準，全面規范和落實相關標準和要求。二是要結合歐盟《通用數據保護條例》（GDPR）的實踐情況，導入ISO27701“隱私信息管理體系”的治理框架，全面梳理并規范相關制度。三是要按照《個人信息保護法》的要求，結合企業的實際情況，搭建內部數據治理框架，制定和完善企業《數據合規管理手冊》，提升個人信息保護能力，確保要求和舉措的有效性和可操作性，確保落地和落實。

　　就金融而言，《個人信息保護法》的影響無疑是重大，且根本，可以說，就金融行業而言，怎么強調《個人信息保護法》的重要性都不過分。更為關鍵的是要理解并處理好保護與利用的關系，要明白：只有更好地保護，才有更好的利用。所以，金融行業要比其他行業，更重視個人信息保護問題。

　　目前，行業存在的最突出問題是認識不足，根源是學習不到位，因此，行業的當務之急是深入學習，通過深入學習，進一步深刻領會《個人信息保護法》的立法初衷、基本原則、基本要求、基本規則、基本義務和責任。只有學習和認識到位了，才能夠轉化為自覺行動，打造能力，突破自我，很好地破解“欲罷不能”的問題，不僅要認識到行業的“別無選擇”，更要意識到面對“依法治數”時代，對金融業的發展而言，應當是一個“欲罷不能”的機遇期，行業應當在全面提升“數商”和數字化能力的基礎上，更好地利用數字化社會帶來的機遇，開創一個全面融入數字化的新金融時代。

　　(本文作者介紹：保險學者，中國人保財險執行副總裁。)