首页 观点正文

孔德超:大数据征信与个人隐私保护

  大数据征信是指运用大数据技术构建征信模型及算法,通过对海量数据进行采集、分析、整合和挖掘,多维度刻画信用主体的违约率和信用状况,形成对信用主体的信用评价。大数据征信的核心是将大数据技术应用到征信活动中,强调处理数据的数量大、刻画信用的维度广、信用状况的动态呈现、交互性等特点。从运行机制上看,大数据征信主要是对征信信息进行自动采集、存储、分析和结果输出,对信用风险进行实时、动态的跟踪和管理,注重对弱相关、非结构化和多维度的海量数据进行深入挖掘和相关分析,力图客观、准确、全面、动态地呈现信息主体的信用状况。与传统征信相比,大数据征信覆盖了更为广泛的人群,数据收集和处理效率有较大提升,在一定程度上避免了人为因素的干扰,防范了可能发生的道德风险,为普惠金融开辟了一条新路径。

  大数据征信挑战个人隐私边界

  第一,隐私边界模糊。受大数据追求全数据、混杂性、相关关系和数据化的趋势影响,大数据征信大大地拓宽了个人信息的范围,除了传统的信用信息数据外,个人的互联网大数据、传感数据、行为数据、地理位置数据等,都在被纳入考察维度之中,都可通过算法模型转换成对个人的信用评价,个人信息、信用信息与隐私的边界被进一步模糊。基于技术实现难度、市场需求、成本和效率的综合考量,征信机构在个人信息收集处理过程中,并没有动力对个人信息、信用信息与隐私信息予以区别对待,信息主体享有的知情同意权、异议权、更正权、删除权等,往往得不到充分尊重和保障。实践中,复杂而充满陷阱的隐私政策、为接受相关服务而被迫“让渡”的个人信息控制权,以及个人隐私被侵犯后调查取证的复杂流程、高技术壁垒、高成本等,往往成为阻碍信息主体寻求司法救济的主要障碍。在大数据征信行业迈向自动化和智能化的道路上,个人信息和个人隐私正面临着被无限制、无差别收集和使用的风险。

  第二,立法相对滞后。当前,涉及个人信息与隐私保护的法律主要有《刑法》《侵权责任法》《网络安全法》(2017年6月实施)、《消费者权益保护法》《征信业管理条例》《征信机构管理办法》《电信和互联网用户个人信息保护规定》《个人信用信息基础数据库管理暂行办法》《征信机构监管指引》《征信机构信息安全规范》《信息安全技术公共及商用服务信息系统个人信息保护指南》,等等。总的来看,现行立法多是间接的、碎片化的、框架性的规定,存在执法部门权限职责不清,个人信息的收集处理规则不科学、不合理,企业守法成本高,司法救济渠道不畅,个人维权成本高昂且效率低下等诸多问题。特别是大数据背景下如何规范收集、处理个人信息,如何保障信息主体的合法权益,提供何种司法救济手段,等等,都缺乏相应的具体规定,个人隐私保护面临无法可依的窘境。

  第三,行业自律不足。由于征信信息种类繁多,来源渠道复杂,涉及公安、工商、电信、金融等多个监管部门,监管协同难度较大,监管机构尚未建立起科学有效的手段来实时判别征信机构的信息采集行为是否合法合规。在此背景之下,行业自律作为隐私保护最重要的一道防火墙就显得尤为重要。但从征信业的总体情况来看,由于缺乏严格有效的监督制约机制和良好的行业自律环境,在行业准入、隐私保护标准、激励机制以及社会舆论等方面尚未建立起科学合理的自律机制来保护个人隐私,行业组织能够发挥的作用也非常有限。

  完善个人信息及隐私立法保护体系

  首先,应当对现行涉及个人信息保护和隐私保护的立法进行系统梳理,在尊重隐私观念和传统文化的基础上,平衡协调好个人、企业与国家之间的关系,在促进社会诚信秩序建立、征信市场健康发展的同时,确保各个层次的隐私保护得到落实。其次,整合国内现有的关于个人信息保护、隐私保护、征信信息规范等方面的法律法规,加快制定《个人信息保护条例》及《个人信用信息管理规定》等专门立法,将互联网个人信息及隐私保护作为重要内容予以规定,赋予其优于一般条款的地位,同时确立隐私保护的基本原则作为兜底条款,确保立法在规范、调整现有社会关系的同时,对未来社会经济、技术的发展具有一定的适应性和前瞻性。最后,隐私权兼具私法性和公法性,在内容上经历了从消极被动的独处权利到积极主动的个人信息控制权利转变的过程。在大数据时代,对隐私权的保护更应注重信息主体对个人信息的实际控制,充分尊重信息主体的“知情同意权”以及更正权、异议权、删除权等,在完善行政责任和刑事责任的基础上,构建一套科学合理的民事补偿机制,使隐私权的保护更为全面和高效。

  建设个人信息采集与利用的技术规则体系

  第一,加大数据供给。提升数据开放水平,使个人数据在技术上可机读、可导入、读取和下载,在法律上可商业利用,即商业机构掌握的数据可在市场上交易,政府及公共服务机构掌握的非涉密数据向社会开放。政府及相关机构应当制定统一的数据供给标准,丰富数据形式,细化数据粒度,建立数据供给安全机制;建立层次分明的数据开放平台,鼓励社会力量参与数据的开放及应用;建立统一的市场化数据交易规则和监管规则,确保个人隐私得到充分有效保障。

  第二,完善个人信息采集标准。标准化的数据采集有利于统一数据格式、保障数据质量、便于数据的共享与传播,也使数据保护更为透明。从欧美征信市场发展的经验看,征信机构在激烈的市场竞争和快速发展中,其数据源也逐渐趋同。为确保数据采集的及时、准确和完整,并且能够符合法律监管要求,数据采集的标准化必不可少。如美国征信业信息采集标准《数据报送资源指南》即是在美国消费和数据行业协会的指导下,由环联、艾克飞、益佰利等几大征信业巨头共同制定的。就中国具体情况而言,可由征信业主管机构组织制定强制性的征信信息采集国家标准,确保信息采集的合法性、科学性和统一性。

  第三,规范数据交易。在制度上,政府及相关机构应当发挥主导作用,明确可用于征信的个人数据交易的类型、程序、规则等,建立个人数据交易许可制度、个人数据流转登记制度和个人数据国际流动审查制度,从源头上规范个人数据流出渠道,建立个人数据交易追踪和溯源机制,维护国家数据主权、提升国际竞争优势。在技术上,从隐私政策的透明度、用户对个人数据的控制以及个人数据安全等角度出发,引入新型保护措施,强化对数据标识统一加密、转译处理,对特定个人的身份标识进行隔离,对互联对象的敏感性、关联度等进行约束,积极探索去中心化的区块链技术在个人征信中的应用,强化对个人隐私的甄别和技术保护。

  强化政府监管企业自律和公众自我保护

  首先,政府主管机关应当充分认识到大数据技术给个人征信市场带来的影响,在依法加强行业监管的同时,在基础数据供给上加大力度,促进大数据个人征信与传统征信齐头并进、互相配合、有序竞争。对于数据交易市场,相关政府机构应当从打击非法数据交易产业链入手,强化掌握个人数据机构的内部治理和数据安全管控,在充分保护个人隐私的前提下,规范、引导合法的数据交易,防止“劣币驱逐良币”的现象发生。

  其次,在法律法规尚不健全的情况下,大数据征信机构应加强自律,主动采取措施保护个人隐私,维护自身及行业的权威性和社会影响。在产品设计上,构建一个类似美国FICO的可被广泛采用的信用评分体系,解决隐私保护问题;建立企业自律组织,发出倡议或公约,提倡保护用户隐私;组建企业保护个人隐私联盟,推动隐私保护认证,发挥行业组织的作用;梳理企业内部可能泄露隐私的风险点,强化企业内部管控;完善技术保护工具,更新技术保护理念。

  最后,信息主体对个人信息的控制权的实现还须对隐私政策,以及为实现这种控制而设计的程序规则有正确的理解。政府及相关社会机构应当发挥积极作用,通过典型案例等方式,让公众了解隐私泄露的途径和方式;将隐私保护纳入个人数据管理的范畴,坚持从小抓起,培养并提高青少年的素养;通过展示、案例、媒体曝光等形式让公众了解最新的隐私泄露途径,提供可选择的隐私保护手段和方法,为公众实现个人隐私的自我保护提供科学合理的路径和方式。

  互联网时代新兴技术和业态的出现,往往伴随着新规则的建立和对传统规则的突破。大数据技术“侵入”人们生活的同时,“一切数据皆信用”正在成为现实,在悄然改变着人们对信用的认识和理解的同时,也在重塑着征信的基础规则。大数据征信在服务经济社会发展的同时,更需保障和尊重个人隐私,保护个人“退出公共生活和公众视线”的自由。

  (作者:中国人民大学财政金融学院 孔德超)

责任编辑:陈近梅

分享: