馬上消費研究院認為:數字化時代,伴隨數字技術的創新和應用,必將帶來生產、生活和社會治理的全新變革,同時,為了營造開放、健康、安全的數字生態和保障良性發展的有序秩序,需要高度重視數字化轉型帶來的一系列新領域的法律問題。因此,本次數字經濟系列報道,馬上消費研究院調研了大量實踐案例,以數字經濟涉及的三個核心法律合規問題為出發點,希望為監管部門、金融機構解決實際問題,給與一些啟發和思考。
數字化轉型是當前時代面臨的重大課題,2021年3月,我國發布了《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》(簡稱“《規劃綱要》”),提出“數字中國”與數字化轉型路徑。數字化轉型,就是以數據作為傳統行業轉型的核心驅動力。按照《規劃綱要》的表述,可以判斷的是,未來社會發展的重要主題包括:激活數據要素潛能,迎接數字時代,推進網絡強國建設,加快建設數字經濟、數字社會、數字政府,以數字化轉型整體驅動生產方式、生活方式和治理方式變革。
從具體的建設目標角度,關于數字中國,《規劃綱要》提出了四個方面的目標:(一)打造數字經濟新優勢。加強關鍵數字技術創新應用、加快推動數字產業化、推動產業數字化轉型;充分發揮海量數據(603138)和豐富應用場景優勢,促進數字技術與實體經濟深度融合,賦能傳統產業轉型升級,催生新產業新業態新模式,壯大經濟發展新引擎。(二)加快數字社會建設步伐。數字社會將提供智慧便捷的公共服務,建設智慧城市和數字鄉村,構筑美好數字生活新圖景;適應數字技術全面融入社會交往和日常生活新趨勢,促進公共服務和社會運行方式創新,構筑全民暢享的數字生活。(三)提高數字政府建設水平。加強公共數據開放共享,推動政務信息化共建共用,提高數字化政務服務效能;將數字技術廣泛應用于政府管理服務,推動政府治理流程再造和模式優化,不斷提高決策科學性和服務效率。(四)營造良好數字生態。建立健全數據要素市場規則,營造規范有序的政策環境,加強網絡安全保護,推動構建網絡空間命運共同體;堅持放管并重,促進發展與規范管理相統一,構建數字規則體系,營造開放、健康、安全的數字生態。
與數字化轉型的大趨勢相匹配,國家在金融領域也做了數字化轉型的規劃。2019年,中國人民銀行組織編寫并發布了《金融科技(FinTech)發展規劃(2019-2021年)》(簡稱《發展規劃》)。在這一規劃中,系統提出和規劃了金融科技發展的目標和重點任務。《發展規劃》指出,在新一輪科技革命和產業變革的背景下,金融科技蓬勃發展,人工智能、大數據、云計算、物聯網等信息技術與金融業務深度融合,為金融發展提供源源不斷的創新活力。
在數字化技術運用方面,《發展規劃》重點提到了以下幾個方面:一是科學規劃運用大數據;二是合理布局云計算;三是穩步應用人工智能;四是加強分布式數據庫研發應用;五是健全網絡身份認證體系。
2021年,中國人民銀行再次組織編寫并發布了《金融科技(FinTech)發展規劃(2022-2025年)》(簡稱《新發展規劃》)。在《新發展規劃》中,開宗明義指出,數字經濟的蓬勃興起為金融創新發展構筑廣闊舞臺,數字技術的快速演進為金融數字化轉型注入充沛活力,金融科技逐步邁入高質量發展的新階段。為貫徹落實黨中央、國務院決策部署,穩妥發展金融科技,加快金融機構數字化轉型,根據《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》,特編制本規劃。與《發展規劃》相比,《新發展規劃》明確將金融數字化轉型作為目標。
并且,《新發展規劃》在重點任務中,對于全面塑造數字化能力,提出了更為詳細和明確的舉措。具體包括:強化數據能力建設、推動數據有序共享、深化數據綜合應用、做好數據安全保護。
從國家《十四五規劃》及金融監管機構的相關規劃中,可以看出,金融數字化轉型是我國數字經濟發展中不可或缺的重要部分。而金融行業的重要客體是貨幣,在電子化交易甚至數字貨幣的背景下,金融行業也是數字化轉型最為典型的行業。
然而,數字化轉型對于社會和企業而言,仍處于習慣和逐漸接受的過程中,相關制度建設、社會心理適應、技術措施保障仍在不斷發展之中。特別是法律法規更新快、技術性強,這也給金融機構專項帶來一定的困擾。馬上消費研究院認為,在數字化轉型中,以下幾個方面是金融機構需要特別關注的:其一、遠程身份驗證問題;其二、電子合同與電子簽名問題;其三、數據合規與個人信息保護。當然,與此相關的還有諸多新興領域的法律問題,限于篇幅,本文不再展開論述。
一、遠程身份核驗的法律問題
金融數字化轉型過程中,非面對面交易(遠程交易)是重要的方式之一。當然,除了通常的遠程服務、遠程電子合同簽署等針對自然人的識別之外,還包括對法人或其他社會組織的身份識別,以及對物聯網設備(IoT)的識別。
對于數字化環境下的身份認證與核驗的問題,監管早有關注,這不僅是金融合規管理的基礎,也是金融交易得到法律支持的前提。《金融科技(FinTech)發展規劃(2019-2021年)》對于重要技術問題,提別提到了“健全網絡身份認證體系”。即構建適應互聯網時代的移動終端可信環境,充分利用可信計算、安全多方計算、密碼算法、生物識別等信息技術,建立健全兼顧安全與便捷的多元化身份認證體系,不斷豐富金融交易驗證手段,保障移動互聯環境下金融交易安全,提升金融服務的可得性、滿意度與安全水平。
在實踐中,金融交易的身份驗證通常包括以下幾方面:
1、個人遠程身份識別
對于個人的遠程身份識別,通常采用的方式包括:多要素交叉識別、數字證書識別、生物特征識別等。
(1)多要素交叉識別
多要素交叉驗證,是個人身份遠程識別的重要方式之一,即通過對身份證進行形式審核,并輔以其他信息交叉完成實名注冊注冊的身份認證。有的機構會要求提供身份證號碼,有的則會要求手持身份證上傳照片。根據身份證號碼與公安人口信息庫數據的比對,可以確認確實有這一自然人主體存在,但由于遠程操作中,無法確定身份證的真偽,或者無法確認操作者是否本人。因此,一般在實施網上實名注冊時,還需要用戶提供手機號碼、銀行卡卡號等信息。在手機號碼為實名注冊的情況下,通過發送手機短信驗證碼等方式進行實名注冊的身份核實。通過多要素交叉驗證方式進行的上述身份認證,需要通過繁瑣、復雜的證據鏈條鎖定主體身份。在實務操作中成本較高,且效力有限。
(2)生物特征識別
生物特征識別也是遠程身份識別過程中最常見的識別方式,在使用身份證注冊的同時,通過電腦或手機、移動智能終端的攝像頭掃描獲取用戶的面部特征數字模型,并將其與公安人口數據庫中的照片進行比對,從而對用戶進行識別。而虹膜信息、指紋信息等生物特征作為與人體相關性極強的一種特征,同樣具有識別準確率高等特點,可以用于遠程身份識別。
但是,生物特征識別如果沒有合規約束,也具有一定的危險性和潛在的社會危害性。生物特征識別的基礎是對用戶的生物特征實施掃描并建立數字模型,以數字模型與現有的生物特征比對,從而完成身份的認證。
(3)數字證書識別
用戶在實名注冊同時,通過數字證書的方式完成身份認證,也是一種可行的方法。數字證書的認證系統主要是基于非對稱加密技術建立的,通過第三方數字認證(300579)機構對用戶身份進行核驗,并發放數字認證證書,用戶基于證書的持有,做出的電子簽名,可以視為產生了手寫簽名或蓋章的法律效力。在現有的技術條件下,其所采用的不對稱加密技術被公認具有很高的安全性、不可篡改性和不可抵賴性。
2、法人或其他社會組織的身份識別
對于法人或其他社會組織而言,一般也可以通過數字證書等方式進行識別,比如由第三方電子認證機構為法人或者社會組織發放數字證書,在法人或者其他社會組織簽署文件、在線發出數據電文過程中,即可以完成對其的遠程身份驗證。
當然,另外一個解決方案則是由登記機關為法人或其他社會組織發放電子相關的電子身份證明。此類證明采取的技術原理與第三方電子認證機構(CA)的數字證書基本一致。總體而言,都可以采用非對稱加密技術,通過電子簽名方式,證明在線進行文件簽署主體的身份。
二、電子合同與電子簽名合規
電子合同是金融遠程交易的支撐文件,但是,以數據電文方式簽署的合同在傳輸、存儲中,如何證明其完整性與不可篡改性,不僅是合同履行中的重大問題,也是發生爭議時需要關注的核心法律問題之一。《金融科技(FinTech)發展規劃(2019-2021年)》指出,綜合運用數字簽名技術、共識機制等手段,強化金融交易報文規范管理,保障金融交易過程的可追溯和不可抵賴,提升金融交易信息的真實性、保密性和完整性。
1、金融電子合同的法律屬性
金融電子合同是指平等主體的自然人、法人或其他組織之間以數據電文為載體,并利用電子通信手段設立、變更、終止民事權利義務關系的協議。《民法典》第四百六十九條規定了當事人訂立合同,可以采用書面形式、口頭形式和其他形式,其第三款規定“以電子數據交換、電子郵件等方式能夠有形地表現所載內容,并可以隨時調取查用的數據電文,視為書面形式”,對于當事人以數據電文形式訂立電子合同的方式予以認可。雖然電子合同被視為符合法律要求的合同簽訂形式,但如何證明數據電文在傳輸、存儲過程中未被篡改,則是一個實踐中常見的技術問題。對此,一般認為,通過可靠電子簽名簽署的電子合同,其電子簽名具有與手寫簽名同等的效力。我們《電子簽名法》對于電子簽名的應用、可靠電子簽名、電子簽名的認證均做了相應的規定。
2、電子簽名的應用和法律注意事項
電子簽名的應用場景主要包括電子政務及金融、電子商務,尤其在網絡金融中有廣泛的適用。在網絡金融的應用場景中,金融行業成為電子簽名服務商的發力重點。除了在與客戶的交易中使用電子簽名外,金融機構內網在保證信息安全保密性的同時,在已建立的信息系統中嵌入電子簽名功能,有效防止機密信息在存儲和傳輸過程中來自內部的篡改、偽造,確保信息的真實性,完整性和簽名人的不可抵賴性。在電子簽名的應用中,最為核心的法律問題就是電子簽名的可靠性。
根據《電子簽名法》第13條的規定,“電子簽名同時符合下列條件的,視為可靠的電子簽名:(一)電子簽名制作數據用于電子簽名時,屬于電子簽名人專有;(二)簽署時電子簽名制作數據僅由電子簽名人控制;(三)簽署后對電子簽名的任何改動能夠被發現;(四)簽署后對數據電文內容和形式的任何改動能夠被發現。當事人也可以選擇使用符合其約定的可靠條件的電子簽名。”被賦予特殊法律地位的可靠電子簽名本身并不是一個技術概念,而是一個相對于一般電子簽名的法律范疇,即法律授予超過一般電子簽名效力的,被認為具有較高可靠性的電子簽名。但通常而言,可靠電子簽名往往是達到一定技術要求的數字簽名。
從司法實踐來看,法官可以從以下三個方面判斷是否符合上述可靠的電子簽名要素:一是考察電子簽名是否屬于簽名人專有和控制。主要查明如下事實:(1)頒發數字證書的過程是否合法有效,是否由依法設立的CA機構發放證書,有無進行身份實名驗證。二是考察在簽署數據電文時,數字證書是否由電子簽名人控制。三是考察電子簽名的技術方案,了解簽署后對于電子簽名本身或者數據電文內容與形式的改動是否能被發現,比如對于運用數字簽名技術的電子簽名,一般認為是可靠的。
三、數據合規問題
在實施數字化轉型過程中,數據安全及合規問題是無法回避的重要問題。金融機構由于其在國民經濟中的樞紐作用和重要節點作用,投融資活動、資金支付結算幾乎隨時都在高頻發生,與此相伴的則是大量金融數據的產生、收集、存儲、加工、利用、和流轉。而在數字化轉型過程中,金融機構通過全流程在線方式開展業務越來越普遍,金融數據成為金融數字營銷、金融產品設計、風險控制、反欺詐、自動化決策的基礎。
金融數據中,不乏對于國家安全、國民經濟運行、社會穩定產生影響的國家核心數據、重要數據。此外,金融數據中還包含大量個人信息,對于個人信息的保護,不僅涉及金融消費者的隱私,還涉及到金融交易中自動化程序對于金融消費者權利的侵害。
金融數據的安全及合法合規利用,不僅會對金融消費者的切身利益造成影響,并且大量的金融重要數據、核心數據的泄露、非法出境,可能還會對國家利益和社會穩定造成不可彌補的損失。
近些年來,在數字化轉型進程中,我國建立了較為完善的數據合規法律體系。包括《網絡安全法》、《數據安全法》、《個人信息保護法》及《關鍵信息基礎設施安全保護條例》,以及中國人民銀行、銀保監會的相關監管規則,共同構建了這一規則體系。
對于金融企業而言,應按照相關法律法規及監管規則的要求,建立完善的數據合規體系,對于金融領域的國家核心數據、重要數據、個人信息予以保護,并且建立健全相應的數據合規與個人信息保護的組織架構和管理體系。
總體而言,數字化轉型是金融企業能力重新構建的過程,涉及到的法律即合規問題紛繁復雜。受篇幅限制,本文僅對其中的部分內容做了粗淺的介紹。希望對實務有所裨益。
【免責聲明】本文僅代表合作供稿方觀點,不代表和訊網立場。投資者據此操作,風險請自擔。
最新評論