要目
一、個(gè)人信息保護(hù)法下征信體系的根本旨向轉(zhuǎn)型
二、個(gè)人信息保護(hù)法助力征信合規(guī)體系功能升級(jí)
三、基于個(gè)人信息保護(hù)法的完善跨境征信合規(guī)建設(shè)
結(jié)語(yǔ)
伴隨個(gè)人信息保護(hù)法的頒布,我國(guó)進(jìn)一步強(qiáng)化對(duì)個(gè)人信用信息的保護(hù),調(diào)整并完善征信合規(guī)體系。個(gè)人信息保護(hù)法改變了征信體系的根本旨向,個(gè)人信用信息的內(nèi)涵定義與處理原則發(fā)生了變更,其對(duì)應(yīng)自然人的人格尊嚴(yán)和財(cái)產(chǎn)安全,并補(bǔ)充了合法、誠(chéng)信和有限制的公開(kāi)、透明處理原則。對(duì)應(yīng)征信體系的變更,征信合規(guī)體系的基本功能也進(jìn)行升級(jí),采用嚴(yán)進(jìn)嚴(yán)出的責(zé)任追究模式,協(xié)調(diào)征信機(jī)構(gòu)的合規(guī)運(yùn)行模式,補(bǔ)充對(duì)個(gè)人信用信息的預(yù)先評(píng)估模式和事后補(bǔ)救模式,預(yù)設(shè)自動(dòng)化決策和在公共場(chǎng)所中采集信息這兩種征信合規(guī)處理場(chǎng)景,并設(shè)立由國(guó)家網(wǎng)信部門(mén)、中國(guó)人民銀行、縣級(jí)以上地方人民政府有關(guān)部門(mén)組成的三級(jí)梯次化合規(guī)監(jiān)管體系。為了確保個(gè)人信用信息跨境傳輸合規(guī),征信合規(guī)體系需要在國(guó)內(nèi)進(jìn)行法律規(guī)范審查、規(guī)范信息處理流程并強(qiáng)化對(duì)硬件的合規(guī)監(jiān)管,在國(guó)際上倡導(dǎo)多元共治,注重保護(hù)信息安全和避免歧視內(nèi)容。
2021年11月1日,個(gè)人信息保護(hù)法正式施行,標(biāo)志著我國(guó)對(duì)個(gè)人信息的保護(hù)邁入全新時(shí)代。在個(gè)人信息中,與征信相關(guān)的個(gè)人信用信息是其中重要組成部分,而近年來(lái)大數(shù)據(jù)、元宇宙概念的提出,則從技術(shù)手段和適用場(chǎng)域兩個(gè)方面給征信業(yè)提供了發(fā)展的機(jī)遇和挑戰(zhàn),這就要求征信系統(tǒng)合理地利用與保護(hù)個(gè)人信息,尤其是個(gè)人信息保護(hù)法施行后,征信機(jī)構(gòu)在個(gè)人信用信息的采集、整理、保存、加工、提供、使用的全流程都需作出相應(yīng)調(diào)整,通過(guò)合規(guī)制度來(lái)緩和新型網(wǎng)絡(luò)信息法律義務(wù)之間的緊張關(guān)系。在元宇宙的語(yǔ)境下,人們不僅應(yīng)為元宇宙建設(shè)提供技術(shù)基礎(chǔ),還同時(shí)應(yīng)用法治為元宇宙的有序發(fā)展提供制度基礎(chǔ),而征信體系就是溝通現(xiàn)實(shí)性物理空間與數(shù)字虛擬社會(huì)之間的“橋梁”,征信合規(guī)體系則是橋梁的保障。征信合規(guī)體系的調(diào)整與完善需要貫徹民法典對(duì)個(gè)人信息的規(guī)定,配合專門(mén)的征信管理法規(guī),落實(shí)個(gè)人信息保護(hù)法的具體內(nèi)容。個(gè)人信息保護(hù)法強(qiáng)調(diào)了對(duì)互聯(lián)網(wǎng)金融業(yè)和創(chuàng)新性科技深度融合的有力監(jiān)管,而在合規(guī)氛圍濃厚的大環(huán)境下,個(gè)人信息保護(hù)法則為我國(guó)個(gè)人信用信息保護(hù)提供了規(guī)范支撐,并改變了其根本旨向,督促征信機(jī)構(gòu)履行合規(guī)義務(wù)。鑒于此,在個(gè)人信息保護(hù)法頒布后,優(yōu)化征信合規(guī)體系的構(gòu)建可以在個(gè)人信息保護(hù)、企業(yè)商業(yè)利益以及社會(huì)公共利益之間取得平衡,同時(shí)也為元宇宙空間未來(lái)的整體形塑提供基礎(chǔ)助力。
一、個(gè)人信息保護(hù)法下征信體系的根本旨向轉(zhuǎn)型
個(gè)人信息保護(hù)法明確個(gè)人信息的規(guī)范定義,而個(gè)人信用信息作為其中的重要類型,受其影響在根本旨向上發(fā)生了變更。個(gè)人信息保護(hù)法對(duì)征信體系根本旨向的影響體現(xiàn)在個(gè)人信用信息的內(nèi)涵定義與處理原則的變更,而根本旨向上的轉(zhuǎn)型同時(shí)也為個(gè)人信用信息征信合規(guī)體系的優(yōu)化作好鋪墊。
明確個(gè)人信用信息的內(nèi)涵定義
一直以來(lái),規(guī)范層面對(duì)個(gè)人信用信息的定義都聚訟不休,而這一爭(zhēng)議來(lái)源個(gè)人信息定義的爭(zhēng)議。民法典第1034條對(duì)個(gè)人信息的定義為:“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。”通過(guò)“概念+列舉”的方式來(lái)定義個(gè)人信息,將個(gè)人信息歸屬于具體的人格權(quán)范疇。而個(gè)人信用信息則歸屬其中,并在第1030條規(guī)定:“民事主體與征信機(jī)構(gòu)等信用信息處理者之間的關(guān)系,適用本編有關(guān)個(gè)人信息保護(hù)的規(guī)定和其他法律、行政法規(guī)的有關(guān)規(guī)定。”在專門(mén)法規(guī)上,征信業(yè)務(wù)管理辦法第3條規(guī)定:“信用信息,是指依法采集,為金融等活動(dòng)提供服務(wù),用于識(shí)別判斷企業(yè)和個(gè)人信用狀況的基本信息、借貸信息、其他相關(guān)信息,以及基于前述信息形成的分析評(píng)價(jià)信息。”試圖通過(guò)目的價(jià)值來(lái)定義信用信息。個(gè)人信息保護(hù)法中第4條對(duì)個(gè)人信息進(jìn)行整體定義:“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。”強(qiáng)調(diào)了信息的可識(shí)別性。由此觀之,個(gè)人信息是個(gè)人信用信息的上位概念,其在信息記錄方式和識(shí)別模式上影響了個(gè)人信用信息:在記錄方式上,個(gè)人信息包括電子或者其他方式,突出了多種渠道記錄模式,這同樣導(dǎo)致個(gè)人信用信息的記錄模式更加多樣,并借助時(shí)間效力來(lái)提升數(shù)據(jù)樣本記錄的細(xì)致程度,通過(guò)縮短數(shù)據(jù)樣本傳輸時(shí)間來(lái)提高信用法治的公信力。在識(shí)別模式上,個(gè)人信息要求已識(shí)別或者可識(shí)別,并排除了匿名化處理,這意味著個(gè)人信用信息不能匿名化后無(wú)法識(shí)別溯源,必須確保其來(lái)源可靠。進(jìn)一步說(shuō),個(gè)人信用信息屬于個(gè)人信息保護(hù)法中的敏感個(gè)人信息,主要對(duì)應(yīng)自然人的人格尊嚴(yán)和財(cái)產(chǎn)安全,對(duì)應(yīng)人格尊嚴(yán)是因?yàn)閭(gè)人信用信息的評(píng)價(jià)錯(cuò)誤會(huì)導(dǎo)致公眾對(duì)該信息所有者的社會(huì)評(píng)價(jià)變差,屬于侮辱人格尊嚴(yán),而因?yàn)樨?cái)產(chǎn)安全則是對(duì)應(yīng)個(gè)人信用信息和信用經(jīng)濟(jì)直接掛鉤,并和財(cái)產(chǎn)劃分、破產(chǎn)資格等密切聯(lián)系。
對(duì)于個(gè)人信用信息的具體內(nèi)涵,狹義經(jīng)濟(jì)學(xué)論者認(rèn)為個(gè)人信用信息是以償還為條件的價(jià)值運(yùn)動(dòng)的特殊形式,具體表現(xiàn)為債權(quán)債務(wù)關(guān)系及償還記錄,而這一論斷顯然不符合個(gè)人信用信息發(fā)展的現(xiàn)狀。與之相對(duì),廣義信息論者認(rèn)為個(gè)人信用信息的概念已經(jīng)超脫出狹義經(jīng)濟(jì)學(xué)論的觀點(diǎn),市場(chǎng)經(jīng)濟(jì)的高速發(fā)展催生出對(duì)個(gè)人信用信息的龐大需求,在社會(huì)信用體系語(yǔ)境下,不能狹隘地將個(gè)人信用信息理解為純粹的經(jīng)濟(jì)學(xué)概念,而是應(yīng)該拓展其價(jià)值內(nèi)涵。尤其是在大數(shù)據(jù)時(shí)代,除了傳統(tǒng)意義上的個(gè)人信用信息,個(gè)人的網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)、應(yīng)用程序使用數(shù)據(jù)、傳感數(shù)據(jù)、行為數(shù)據(jù)、地理位置數(shù)據(jù)等,都被納入個(gè)人信用信息的考察維度之中,兼具精神性與物質(zhì)性的綜合特征,個(gè)人信用信息的邊界進(jìn)一步擴(kuò)張。對(duì)比兩種觀點(diǎn)的爭(zhēng)論,個(gè)人信息保護(hù)法有力地支持了廣義信息論的觀點(diǎn),記錄方式和識(shí)別模式的擴(kuò)張意味著個(gè)人信用信息的定義受個(gè)人信息的影響呈現(xiàn)多樣化趨勢(shì),而多樣化趨勢(shì)本身就與廣義信息論的核心觀點(diǎn)不謀而合。退言之,民法典中對(duì)個(gè)人信息概念的開(kāi)放式列舉意味著國(guó)家層面對(duì)個(gè)人信息范圍的開(kāi)放態(tài)度,而個(gè)人信用信息屬于個(gè)人信息的下位概念,基于個(gè)人信息保護(hù)法的整體傾向,個(gè)人信用信息的范圍必然擴(kuò)張。總之,個(gè)人信息保護(hù)法頒布后,在運(yùn)行機(jī)制上,個(gè)人信用信息的形式范圍因?yàn)槭艿缴衔桓拍畹挠绊懚鴶U(kuò)張,傾向于通過(guò)多種形式來(lái)對(duì)個(gè)人信用信息進(jìn)行非結(jié)構(gòu)化、動(dòng)態(tài)化的多維度展示,力圖客觀準(zhǔn)確地呈現(xiàn)信息主體的信用狀況。
完善個(gè)人信用信息的處理原則
為了完善個(gè)人信用信息的處理流程,個(gè)人信息保護(hù)法第5至8條規(guī)定了信息處理的五項(xiàng)基本原則,即合法、正當(dāng)、必要、誠(chéng)信原則;目的限制原則;收集最小化原則;公開(kāi)、透明原則;完整性、準(zhǔn)確性原則。以上基本原則作為處理個(gè)人信息的整體性原則,可以用于個(gè)人信用信息的處理。以往對(duì)個(gè)人信用信息的處理原則主要是參考轉(zhuǎn)化后的行政法比例原則,相比于個(gè)人信息保護(hù)法中的五項(xiàng)基本原則存在一定差別,為了完善征信體系對(duì)個(gè)人信用信息的處理,應(yīng)該對(duì)基本處理原則進(jìn)行相應(yīng)調(diào)整。
第一,增加合法、誠(chéng)信原則作為個(gè)人信用信息采集的宏觀要旨。征信機(jī)構(gòu)采集個(gè)人信用信息必須堅(jiān)持合法、誠(chéng)信原則,確保采集的個(gè)人信用信息符合法律規(guī)范要求且具有真實(shí)參考價(jià)值。合法性原則要求采集個(gè)人信用信息的手段合法和范圍合法:手段合法是指采集過(guò)程不能違法犯罪,避免手段違規(guī)產(chǎn)生不真實(shí)的“信用畫(huà)像”,并確保信息采集分析的人工智能算法具備可解釋性。范圍合法是指?jìng)(gè)人信用信息的采集范圍合法,不能侵犯?jìng)(gè)人隱私,謹(jǐn)慎地采集可能影響個(gè)人信息安全的信息,尤其是在自動(dòng)化決策語(yǔ)境下,更要妥善處理信息采集范圍與二次轉(zhuǎn)化使用方式。堅(jiān)持誠(chéng)信原則是指?jìng)(gè)人信用信息的采集和利用應(yīng)該符合公眾在日常社會(huì)生活中的正常行為舉止,個(gè)人信用信息是用于反映個(gè)人的真實(shí)行為,如若違反誠(chéng)信原則,那么得出的信用評(píng)價(jià)就失去了參考價(jià)值。如為騙取銀行貸款而偽造銀行流水、假合同以及假證明的行為,就應(yīng)該在征信采集過(guò)程中予以制止,防止征信機(jī)構(gòu)產(chǎn)生錯(cuò)誤評(píng)價(jià)。
第二,有限制地在個(gè)人信用信息采集中適用公開(kāi)、透明原則。公開(kāi)、透明原則要求征信機(jī)構(gòu)在采集個(gè)人信用信息的過(guò)程中公開(kāi)個(gè)人信息處理規(guī)則,明示處理的目的、方式和范圍,體現(xiàn)了征信采集的全流程公開(kāi)、透明原則的適用;但同時(shí)也要考慮到個(gè)人信用信息和隱私權(quán)的密切聯(lián)系,所以限制公開(kāi)、透明的程度。公開(kāi)個(gè)人信用信息的處理規(guī)則要求征信機(jī)構(gòu)公開(kāi)采集規(guī)則,征信業(yè)務(wù)管理辦法、征信業(yè)管理?xiàng)l例也明確規(guī)定了具體業(yè)務(wù)規(guī)則。透明原則要求明示處理的目的、方式與范圍,其中明示處理的目的體現(xiàn)在征信業(yè)務(wù)管理辦法第12條規(guī)定的“征信機(jī)構(gòu)采集個(gè)人信用信息應(yīng)當(dāng)經(jīng)信息主體本人同意,并且明確告知信息主體采集信用信息的目的”,而明示處理的方式和范圍體現(xiàn)在征信業(yè)務(wù)管理辦法第11條規(guī)定的“征信機(jī)構(gòu)經(jīng)營(yíng)個(gè)人征信業(yè)務(wù),應(yīng)當(dāng)制定采集個(gè)人信用信息的方案,并就采集的數(shù)據(jù)項(xiàng)、信息來(lái)源、采集方式、信息主體合法權(quán)益保護(hù)制度等事項(xiàng)及其變化向中國(guó)人民銀行報(bào)告”。值得注意的是,雖然透明原則要求在目的、方式和范圍上都進(jìn)行明示,但明示的對(duì)象主體并不相同,明示目的針對(duì)被采集個(gè)人信用信息的個(gè)體,而明示方式和范圍則針對(duì)征信機(jī)構(gòu)的上級(jí)主管機(jī)關(guān)——中國(guó)人民銀行。之所以要有限制地適用公開(kāi)、透明原則,是為了防止公開(kāi)、透明原則的適用侵犯公眾的個(gè)人隱私。因?yàn)樾畔⑻幚砑夹g(shù)高速發(fā)展,導(dǎo)致碎片化的個(gè)人信用信息被不當(dāng)使用亦會(huì)侵害個(gè)人隱私,個(gè)人信用信息固然是可以公開(kāi)的個(gè)人信息憑證,但是在收集、處理模式上應(yīng)該避免其關(guān)鍵內(nèi)容被技術(shù)破解,防止個(gè)人“裸奔”于網(wǎng)絡(luò)社會(huì)。總之,有限制的公開(kāi)、透明原則,實(shí)際上有助于征信機(jī)構(gòu)保持對(duì)個(gè)人信息的高度敏感,明確自然人合理的隱私期待。
二、個(gè)人信息保護(hù)法助力征信合規(guī)體系功能升級(jí)
在征信體系受個(gè)人信息保護(hù)法的影響而發(fā)生根本旨向轉(zhuǎn)型之后,對(duì)應(yīng)的征信合規(guī)體系隨之更新。在協(xié)調(diào)已有的專業(yè)性較強(qiáng)的征信管理法規(guī)和個(gè)人信息保護(hù)法規(guī)定的基礎(chǔ)上,征信合規(guī)體系在法律責(zé)任追究、合規(guī)模式運(yùn)行、合規(guī)處理場(chǎng)景、合規(guī)監(jiān)管制度這四個(gè)方面都進(jìn)行了迭代升級(jí),打造以變應(yīng)變的動(dòng)態(tài)合規(guī)體系,強(qiáng)化了征信合規(guī)體系的基本功能。
采用嚴(yán)進(jìn)嚴(yán)出的責(zé)任追究模式
對(duì)于征信機(jī)構(gòu)合規(guī)追究違規(guī)處理個(gè)人信用信息的法律責(zé)任,在以往的征信管理法規(guī)中就有所提及。征信業(yè)管理?xiàng)l例第38條列舉了違規(guī)處理個(gè)人信用信息的八種情形和責(zé)任分配,而具體的處罰措施則包括限期整改和罰款,并處罰主要責(zé)任人員,追究其民事責(zé)任和刑事責(zé)任。已有的法律責(zé)任追究模式圍繞個(gè)人信用信息的采集、使用、備案三個(gè)環(huán)節(jié)展開(kāi),希望借助征信管理法規(guī)實(shí)現(xiàn)對(duì)個(gè)人信用信息的全流程監(jiān)管。與之相對(duì),個(gè)人信息保護(hù)法因?yàn)閷?duì)應(yīng)的范圍大于征信管理法規(guī),所以在法律責(zé)任追究上更加謹(jǐn)慎,可以將其規(guī)范內(nèi)容轉(zhuǎn)化在征信合規(guī)體系中,避免懲罰范圍無(wú)限擴(kuò)大。
域外對(duì)違規(guī)處理個(gè)人信用信息的法律責(zé)任追究規(guī)定得較為完備,并形成對(duì)應(yīng)的法律規(guī)范體系。美國(guó)是世界上最早保護(hù)個(gè)人信用信息的國(guó)家,1970年的公平信用報(bào)告法就規(guī)定了個(gè)人信用信息的正向可收集范圍和反向禁止收集范圍。在規(guī)定了收集范圍之后,由聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission,F(xiàn)TC)與消費(fèi)者金融保護(hù)委員會(huì)(Consumer Financial Protection Bureau,CFPB)聯(lián)合展開(kāi)追責(zé),借助信息自由法(Freedom of Information Act)、隱私法案(US Privacy Act of 1974)、公平信用報(bào)告法(Fair Credit Reporting Act)等法律規(guī)范構(gòu)建追責(zé)機(jī)制。FTC負(fù)責(zé)征信立法的監(jiān)督和執(zhí)行,受理征信信息異議和投訴,并開(kāi)發(fā)金融消費(fèi)者哨兵網(wǎng)絡(luò)投訴數(shù)據(jù)中心來(lái)處理個(gè)人信用信息被盜用、個(gè)人信用報(bào)告中信息錯(cuò)誤或不準(zhǔn)確、獲取個(gè)人信用報(bào)告或評(píng)分失敗等問(wèn)題,而CFPB則負(fù)責(zé)查明事實(shí),確保異議信息轉(zhuǎn)達(dá)及時(shí)并輔助法律追責(zé)與司法救濟(jì)。歐盟保護(hù)個(gè)人信用信息主要參照2018年發(fā)布的一般數(shù)據(jù)保護(hù)條例(General Data Protection Regulation,GDPR),其中將個(gè)人信息權(quán)視為具體人格權(quán)加以保護(hù),并限制“信用畫(huà)像”等新技術(shù),防止新技術(shù)破壞個(gè)人信用信息的正確采集,在技術(shù)標(biāo)準(zhǔn)上要求數(shù)據(jù)控制者定期評(píng)估匿名化技術(shù)帶來(lái)的個(gè)人信用信息泄露風(fēng)險(xiǎn),這和我國(guó)個(gè)人信息保護(hù)法中對(duì)匿名化后的個(gè)人信息進(jìn)行區(qū)分對(duì)待和技術(shù)規(guī)制的趨勢(shì)不謀而合。澳大利亞在1988年的隱私法第Ⅲ-A部分“信用報(bào)告”中規(guī)定了可以披露的個(gè)人信息類型、可以處理上述信息的機(jī)構(gòu)以及可以處理上述信息的目的,在2014年的隱私(信用報(bào)告)法規(guī)中則規(guī)定了如何約束信用信息提供者和認(rèn)證機(jī)構(gòu)。對(duì)比來(lái)看,歐盟和澳大利亞對(duì)于個(gè)人信用信息的收集使用實(shí)行嚴(yán)格監(jiān)管,采用嚴(yán)進(jìn)嚴(yán)出模式,而美國(guó)對(duì)個(gè)人信用信息的法律責(zé)任追究則傾向于市場(chǎng)化模式,在收集環(huán)節(jié)限制較少,主要規(guī)制使用環(huán)節(jié),采用寬進(jìn)嚴(yán)出模式。
在我國(guó)征信合規(guī)體系的法律責(zé)任追究功能上,個(gè)人信息保護(hù)法作為前置性立法在第七章法律責(zé)任中加以規(guī)定,整體上借鑒了嚴(yán)進(jìn)嚴(yán)出模式。在征信合規(guī)體系中,個(gè)人信息保護(hù)法的內(nèi)容需要與已有的征信合規(guī)體系協(xié)調(diào)適用,實(shí)現(xiàn)對(duì)個(gè)人信用信息處理的全流程法律規(guī)制。個(gè)人信息保護(hù)法第66條規(guī)定違反本法規(guī)定處理個(gè)人信息,責(zé)令暫停或者終止提供服務(wù),而對(duì)于拒不改正的,并處100萬(wàn)元以下罰款,并對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬(wàn)元以上10萬(wàn)元以下罰款,同時(shí)設(shè)置了“情節(jié)嚴(yán)重的”作為升格處罰措施的規(guī)范要件。與征信業(yè)管理?xiàng)l例中規(guī)定的處罰措施相比,個(gè)人信息保護(hù)法的主要差別在財(cái)產(chǎn)罰的數(shù)額選擇上,其中個(gè)人的處罰額度并無(wú)差別,但是在單位處罰金額上,征信業(yè)管理?xiàng)l例規(guī)定的是5萬(wàn)元以上50萬(wàn)元以下的罰款,在100萬(wàn)元以下的罰款空間內(nèi)。鑒于個(gè)人信息保護(hù)法規(guī)定的是拒不改正的情形,在情節(jié)惡劣程度上較高,所以此處的處罰額度以50萬(wàn)元為上限并無(wú)不妥,而在處罰金額下限上,因?yàn)檎餍艠I(yè)針對(duì)的是個(gè)人信用信息,相較于一般的個(gè)人信息普遍更具有保護(hù)價(jià)值,所以也不宜采用無(wú)下限模式,采用5萬(wàn)元為下限也更為妥當(dāng)。征信業(yè)務(wù)管理辦法第47條在處罰額度上參照征信業(yè)管理?xiàng)l例規(guī)定的5萬(wàn)元以上50萬(wàn)元以下作為罰款范圍更為協(xié)調(diào),且具有相應(yīng)的處罰依據(jù)。征信業(yè)務(wù)管理辦法也注意與征信業(yè)管理?xiàng)l例對(duì)直接負(fù)責(zé)的主管人員的處罰機(jī)制保持一致。除此以外,個(gè)人信息保護(hù)法中對(duì)“情節(jié)嚴(yán)重”的行為采用了更高額度的處罰金額,以5000萬(wàn)元為上限,同樣應(yīng)該適用征信業(yè),也就是對(duì)應(yīng)更加嚴(yán)重的情節(jié)升格處罰金額,而情節(jié)嚴(yán)重的判斷則參考個(gè)人信息保護(hù)法的標(biāo)準(zhǔn),這有助于實(shí)現(xiàn)對(duì)違規(guī)處理個(gè)人信用信息的嚴(yán)格監(jiān)管。
協(xié)調(diào)征信機(jī)構(gòu)的合規(guī)運(yùn)行模式
征信機(jī)構(gòu)是收集個(gè)人信用信息的主體,其工作內(nèi)容包括向內(nèi)收集個(gè)人信用信息,以及將收集好的個(gè)人信用信息進(jìn)行加工處理之后向外重新輸出使用,因此其在個(gè)人信用信息處理的全過(guò)程中扮演關(guān)鍵角色。實(shí)際上,當(dāng)前征信機(jī)構(gòu)的類型多樣,受市場(chǎng)化因素的影響,征信機(jī)構(gòu)步入發(fā)展的“快車道”。比如上海資信有限公司是全國(guó)首家從事個(gè)人征信業(yè)務(wù)的機(jī)構(gòu),構(gòu)建了網(wǎng)絡(luò)金融征信系統(tǒng)(NFCS)、商業(yè)信用征信系統(tǒng)(CCS)、融資租賃綜合服務(wù)平臺(tái)(LSP)等一系列專業(yè)征信平臺(tái),而這些平臺(tái)的協(xié)調(diào)運(yùn)行則需要征信合規(guī)體系發(fā)揮監(jiān)管效用。為了妥善應(yīng)對(duì)征信體系所面臨的挑戰(zhàn),征信機(jī)構(gòu)需要預(yù)先調(diào)試自身的合規(guī)運(yùn)行模式,涵括個(gè)人信用信息的采集、加工、使用等諸多方面,避免其工作范圍因逾矩而引發(fā)爭(zhēng)議,確保征信機(jī)構(gòu)能夠妥善運(yùn)行,在大數(shù)據(jù)時(shí)代轉(zhuǎn)型升級(jí)。
第一,補(bǔ)充征信機(jī)構(gòu)對(duì)個(gè)人信用信息預(yù)先評(píng)估的運(yùn)行模式,實(shí)現(xiàn)對(duì)個(gè)人信息采集、加工、使用風(fēng)險(xiǎn)的事先預(yù)防。個(gè)人信息保護(hù)法中對(duì)需要進(jìn)行預(yù)先評(píng)估的個(gè)人信息范圍限定為敏感個(gè)人信息、用于自動(dòng)化決策的個(gè)人信息、委托處理的個(gè)人信息、向境外提供的個(gè)人信息,并規(guī)定其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息作為兜底條款,個(gè)人信用信息屬于敏感個(gè)人信息,其中的信用內(nèi)容關(guān)系到社會(huì)對(duì)個(gè)人的評(píng)價(jià),并影響個(gè)人正常的生活,所以其收集等理應(yīng)需要預(yù)先評(píng)估。預(yù)先評(píng)估的處理模式包括評(píng)估個(gè)人信用信息的處理目的、處理方式等是否合法、正當(dāng)、必要,并評(píng)估對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)以及所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng),而影響評(píng)估報(bào)告和處理情況記錄的保存年限則至少為3年。通過(guò)預(yù)先評(píng)估模式,可以對(duì)個(gè)人信用信息形成全方位的立體化評(píng)估,由處理目的入手進(jìn)行分析,并就處理方式和風(fēng)險(xiǎn)程度進(jìn)行協(xié)同分析,制定最少的評(píng)估記錄保存年限,確保預(yù)先評(píng)估可追溯。
第二,補(bǔ)充征信機(jī)構(gòu)對(duì)個(gè)人信用信息事后補(bǔ)救的運(yùn)行模式,是為了防止個(gè)人信用信息的泄露、篡改、丟失所可能導(dǎo)致的無(wú)法彌補(bǔ)的后果,因此在征信機(jī)構(gòu)的運(yùn)行模式中增加對(duì)應(yīng)的事后補(bǔ)救環(huán)節(jié)。個(gè)人信息保護(hù)法中規(guī)定的補(bǔ)救措施主要是通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人,通知的內(nèi)容主要包括泄露、篡改、丟失損害后果、可以采取的減輕危害的措施以及個(gè)人信息處理者的聯(lián)系方式。征信機(jī)構(gòu)的事后補(bǔ)救措施整體而言并非是完全的事后彌補(bǔ),而是在已經(jīng)意識(shí)到損害后果發(fā)生的前提下,借助通知模式將損失限制在盡可能小的范圍內(nèi),并且尊重個(gè)人的知情權(quán),告知個(gè)人信用信息的所有者信息泄露、篡改、丟失的事實(shí),使信息所有者配合以減輕危害或者限制損失擴(kuò)張的措施。相比之下,原有的征信業(yè)務(wù)管理辦法強(qiáng)調(diào)在發(fā)生危機(jī)事件時(shí),征信機(jī)構(gòu)立即采取減損措施,并向上級(jí)分支機(jī)構(gòu)報(bào)告,而忽略了征信機(jī)構(gòu)應(yīng)當(dāng)履行的向個(gè)人信用信息所有者的通知義務(wù)。總之,征信機(jī)構(gòu)作為采集、加工、使用個(gè)人信息的機(jī)構(gòu),理應(yīng)在發(fā)生信息泄露、篡改、丟失的風(fēng)險(xiǎn)時(shí)作好事后補(bǔ)救措施,通過(guò)事后補(bǔ)救措施增強(qiáng)制度運(yùn)行的可靠性,實(shí)現(xiàn)對(duì)個(gè)人信用信息風(fēng)險(xiǎn)的及時(shí)監(jiān)管和補(bǔ)救。
預(yù)設(shè)征信合規(guī)體系的處理場(chǎng)景
當(dāng)下征信合規(guī)建設(shè),需要著眼于征信制度所處的特殊場(chǎng)景,將個(gè)人信息保護(hù)法中的規(guī)范要素作為合規(guī)要求內(nèi)化于合規(guī)體系建設(shè)中,從而提升金融信息領(lǐng)域的綜合治理能力,保證國(guó)家治理體系的現(xiàn)代化進(jìn)程。參考個(gè)人信息保護(hù)法中對(duì)于信息合規(guī)的兩個(gè)典型場(chǎng)景的描述,主要分為自動(dòng)化決策場(chǎng)景和公共場(chǎng)所采集場(chǎng)景,并在這兩種場(chǎng)景中強(qiáng)化征信合規(guī)建設(shè),注重合規(guī)制度對(duì)新技術(shù)、新場(chǎng)景的應(yīng)用。比如征信機(jī)構(gòu)進(jìn)行“斷直連”的工程,就是在征信流程上合規(guī),并將個(gè)人信用信息傳輸?shù)臄?shù)據(jù)鏈路納入監(jiān)管范疇,防止征信機(jī)構(gòu)在處理個(gè)人信用信息時(shí)因?yàn)閮?nèi)部合規(guī)管理不到位而導(dǎo)致征信機(jī)構(gòu)經(jīng)營(yíng)風(fēng)險(xiǎn)或者個(gè)人信用信息數(shù)據(jù)的瑕疵。
第一,在自動(dòng)化決策場(chǎng)景中探討個(gè)人信用信息的合規(guī)建設(shè),首先需要明確自動(dòng)化決策的定義,個(gè)人信息保護(hù)法第73條規(guī)定自動(dòng)化決策是指通過(guò)計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛(ài)好或者經(jīng)濟(jì)、健康、信用狀況等,并進(jìn)行決策的活動(dòng),而在這一過(guò)程中,個(gè)人信用信息是自動(dòng)化決策的運(yùn)行基礎(chǔ),沒(méi)有海量的個(gè)人信用信息作為支撐,自動(dòng)化決策技術(shù)就難以施展。在自動(dòng)化決策的過(guò)程中,合規(guī)建設(shè)的重心在于確保自動(dòng)化決策的技術(shù)透明、算法公正以及尊重被使用個(gè)人信用信息者的知情權(quán)。自動(dòng)化決策的技術(shù)合規(guī),要求在征信機(jī)構(gòu)進(jìn)行技術(shù)分析之前,將自動(dòng)化決策技術(shù)進(jìn)行報(bào)備,由上級(jí)主管機(jī)關(guān)判斷技術(shù)本身是否存在違規(guī)風(fēng)險(xiǎn),并構(gòu)建合規(guī)風(fēng)險(xiǎn)的評(píng)價(jià)模型,從而在根源上遏制潛在的技術(shù)風(fēng)險(xiǎn)。自動(dòng)化決策的算法合規(guī)要求技術(shù)算法公平公正,盡可能避免算法偏見(jiàn),征信機(jī)構(gòu)在處理采集個(gè)人信用信息時(shí),在技術(shù)選擇上要避免路徑依賴,規(guī)避那些受到自動(dòng)化決策技術(shù)“偏愛(ài)”的個(gè)人信用信息干擾整體結(jié)果的輸出。自動(dòng)化決策中尊重被使用個(gè)人信用信息者的知情權(quán),要求征信機(jī)構(gòu)在收集用戶個(gè)人信用信息時(shí),確保收集的用戶信息為對(duì)方知曉并同意,在其他征信管理法規(guī)中,也多次強(qiáng)調(diào)要獲得用戶的同意,否則貿(mào)然地收集用戶個(gè)人信用信息容易造成技術(shù)越軌,甚至構(gòu)成侵犯公民個(gè)人信息罪。
第二,在公共場(chǎng)所采集用戶的個(gè)人信用信息需要注重合規(guī)建設(shè),考慮到以區(qū)塊鏈、智能合約為代表的新興技術(shù)不斷融入公眾生活,公眾日常在公共場(chǎng)所的消費(fèi)記錄等都有可能成為征信記錄的數(shù)據(jù),所以需要對(duì)公共場(chǎng)所采集用戶個(gè)人信用信息進(jìn)行合規(guī)建設(shè)。個(gè)人信息保護(hù)法第26條規(guī)定:“在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國(guó)家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的,不得用于其他目的;取得個(gè)人單獨(dú)同意的除外。”這就從合規(guī)目的層面為合規(guī)建設(shè)提供了指引。征信機(jī)構(gòu)在公共場(chǎng)所收集的個(gè)人信用信息必須確保是以維護(hù)公共安全為目的,對(duì)于商業(yè)用途上的使用必須征得被采集人的同意,藉此避免公共場(chǎng)所個(gè)人信用信息收集范圍的擴(kuò)張。在公共場(chǎng)所收集流程上的合規(guī)建設(shè)需要確保征信機(jī)構(gòu)盡到了顯著提示的義務(wù),要求征信機(jī)構(gòu)的收集流程中包含顯著的提示流程,告知被采集人其在公共場(chǎng)所的個(gè)人信用信息被采集以及可能存在的風(fēng)險(xiǎn),為個(gè)人信用信息泄露增加了合規(guī)的“安全閥門(mén)”。
優(yōu)化征信合規(guī)監(jiān)管的制度建設(shè)
強(qiáng)化征信合規(guī)建設(shè)中的監(jiān)管制度,實(shí)際上是從監(jiān)管層面確保個(gè)人信息合規(guī)制度的正常運(yùn)行,并在保護(hù)策略上平衡個(gè)人利益與公共利益,通過(guò)合規(guī)制度努力構(gòu)建常態(tài)化的監(jiān)管模式。征信合規(guī)監(jiān)管制度的運(yùn)行核心在于判斷個(gè)人信用信息的性質(zhì)及其受損害程度,包括個(gè)人信用信息的識(shí)別性強(qiáng)弱、信息數(shù)量規(guī)模、侵權(quán)行為方式和用途去向、被侵權(quán)人的心理感受、對(duì)國(guó)家信息安全、社會(huì)公共利益的影響等因素,契合個(gè)人信息保護(hù)法第61條規(guī)定的個(gè)人信息保護(hù)職責(zé)中規(guī)定的監(jiān)督、處理、測(cè)評(píng)、調(diào)查四種行為類型,并希望藉此作好事先預(yù)防,而當(dāng)合規(guī)制度無(wú)法阻止損害結(jié)果擴(kuò)大時(shí),就應(yīng)該積極引入刑事制裁,體現(xiàn)了向行為本位回歸的積極刑法觀理念。
在具體監(jiān)管部門(mén)的構(gòu)成上,個(gè)人信息保護(hù)法第60條規(guī)定了三級(jí)監(jiān)管部門(mén)并規(guī)定其主要職責(zé),作為征信合規(guī)的監(jiān)管部門(mén)以期構(gòu)建梯次化治理體系,避免頂層治理的缺失和治理力量的分散。第一級(jí)是國(guó)家網(wǎng)信部門(mén),負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作,體現(xiàn)了國(guó)家層面的統(tǒng)籌監(jiān)管。第二級(jí)是國(guó)務(wù)院有關(guān)部門(mén),在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。就征信業(yè)務(wù)而言,中國(guó)人民銀行作為國(guó)務(wù)院征信業(yè)監(jiān)督管理部門(mén)負(fù)責(zé)征信業(yè)個(gè)人信息保護(hù)和監(jiān)督管理,符合征信業(yè)管理?xiàng)l例第4條的規(guī)定,體現(xiàn)了部門(mén)層面在職責(zé)范圍內(nèi)的專門(mén)監(jiān)管。第三級(jí)是縣級(jí)以上地方人民政府有關(guān)部門(mén),在日常工作中按照國(guó)家有關(guān)規(guī)定進(jìn)行監(jiān)管。比如,在2021年先后出臺(tái)的深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例和上海市數(shù)據(jù)條例,就體現(xiàn)出基層落實(shí)了地方監(jiān)管模式。個(gè)人信息保護(hù)法規(guī)定了三級(jí)監(jiān)管模式,既有中央層面提綱挈領(lǐng)的統(tǒng)籌監(jiān)管,也有部門(mén)和地方上的專門(mén)監(jiān)管和地方監(jiān)管,凸顯了由點(diǎn)到面、統(tǒng)籌兼顧的監(jiān)管模式,以求最大程度地提升征信合規(guī)的監(jiān)管效率。相較以往,個(gè)人信息保護(hù)法跳脫出專門(mén)監(jiān)督的桎梏,將信息安全合規(guī)監(jiān)管的部門(mén)層級(jí)向上下層級(jí)之間擴(kuò)張:向上擴(kuò)張包括將國(guó)家網(wǎng)信部門(mén)涵括在內(nèi),個(gè)人信用信息從屬于個(gè)人信息,既然后者需要國(guó)家網(wǎng)信部門(mén)監(jiān)管,那么前者作為后者中的有價(jià)值部分,自然更值得保護(hù)。向下擴(kuò)張則是指擴(kuò)大地方監(jiān)管的權(quán)限,征信業(yè)管理?xiàng)l例規(guī)定的監(jiān)管部門(mén)主要是國(guó)務(wù)院征信業(yè)監(jiān)督管理部門(mén),傾向于專門(mén)監(jiān)管的模式,而這在地方上容易有“鞭長(zhǎng)莫及”之嫌。地方監(jiān)管模式的介入,可以為征信合規(guī)制度的落實(shí)提供具體可靠的現(xiàn)實(shí)路徑,但同時(shí)也需要及時(shí)出臺(tái)配套的實(shí)施細(xì)則,避免不同層級(jí)的征信監(jiān)管部門(mén)在銜接過(guò)程中出現(xiàn)紕漏。總之,個(gè)人信息保護(hù)法設(shè)立的三級(jí)監(jiān)管部門(mén),能夠?qū)崿F(xiàn)對(duì)征信合規(guī)體系的有效監(jiān)管,既能貫徹國(guó)家層面對(duì)于個(gè)人信用信息的保護(hù),又能兼顧地方層面征信合規(guī)監(jiān)管工作的實(shí)際狀況,由此構(gòu)建的三級(jí)梯次化合規(guī)監(jiān)管體系,避免監(jiān)管力量的浪費(fèi),妥善應(yīng)對(duì)技術(shù)變革,在改革監(jiān)管模式的同時(shí)優(yōu)化執(zhí)法技術(shù),實(shí)現(xiàn)對(duì)合規(guī)體系的有效監(jiān)管。
三、基于個(gè)人信息保護(hù)法的完善跨境征信合規(guī)建設(shè)
我國(guó)的征信體系建設(shè)不僅是內(nèi)部的信息互通建設(shè),同時(shí)也需要和域外的征信體系進(jìn)行銜接,而這就涉及個(gè)人信用信息跨境傳輸?shù)暮弦?guī)體系建設(shè),尤其在元宇宙互聯(lián)互通的時(shí)代背景下,元宇宙中個(gè)人信用信息的傳輸會(huì)面臨更加復(fù)雜的跨境傳輸境況。在實(shí)際運(yùn)行過(guò)程中,我國(guó)個(gè)人信用信息跨境傳輸體系存在的問(wèn)題有兩:一是國(guó)內(nèi)傳輸治理機(jī)制單一且可操作性不強(qiáng);二是針對(duì)跨境傳輸?shù)膰?guó)際合作的銜接不暢,處理問(wèn)題不夠及時(shí),因此需要分別加以完善。
個(gè)人信用信息跨境傳輸?shù)膰?guó)內(nèi)合規(guī)建設(shè)
在個(gè)人信用信息跨境傳輸?shù)膰?guó)內(nèi)合規(guī)體系構(gòu)建中,首先要梳理已有的法律規(guī)范,通過(guò)制定嚴(yán)謹(jǐn)可行的合規(guī)任務(wù)來(lái)加強(qiáng)個(gè)人信用信息跨境傳輸?shù)膰?guó)內(nèi)監(jiān)管,作到未雨綢繆,預(yù)先發(fā)揮出合規(guī)制度的效用。現(xiàn)有征信法規(guī)中對(duì)國(guó)內(nèi)部分的合規(guī)監(jiān)管,主要集中在要求數(shù)據(jù)信息本地化、遵守中國(guó)法律規(guī)定、處理流程合規(guī)合法這三個(gè)部分。與之相對(duì),個(gè)人信息保護(hù)法則在現(xiàn)有征信法規(guī)的基礎(chǔ)上,構(gòu)建了兩類征信機(jī)構(gòu)個(gè)人信息跨境流動(dòng)制度:一是依據(jù)第38條對(duì)作為一般個(gè)人信息處理者征信機(jī)構(gòu)的監(jiān)管;二是著重強(qiáng)調(diào)了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的監(jiān)管,依據(jù)第40條對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和達(dá)標(biāo)的個(gè)人信息處理者的規(guī)定,從軟件和硬件兩個(gè)層面強(qiáng)調(diào)合規(guī)監(jiān)管,雙管齊下避免合規(guī)漏洞。
第一,合規(guī)任務(wù)中要求個(gè)人信用信息跨境傳輸在國(guó)內(nèi)進(jìn)行法律合規(guī)審查,而審查范圍包含了各種層級(jí)的法律規(guī)范,且在不同法規(guī)發(fā)生沖突時(shí)以高層級(jí)或者專業(yè)性的法律規(guī)范為準(zhǔn)。無(wú)論是征信業(yè)管理?xiàng)l例規(guī)定的“應(yīng)當(dāng)遵守法律、行政法規(guī)和國(guó)務(wù)院征信業(yè)監(jiān)督管理部門(mén)的有關(guān)規(guī)定”,還是征信業(yè)務(wù)管理辦法規(guī)定的“應(yīng)當(dāng)符合法律法規(guī)的規(guī)定”,都強(qiáng)調(diào)了對(duì)法律規(guī)范的遵守,其中征信業(yè)管理?xiàng)l例還列舉出了法律規(guī)范的類型。有鑒于此,在制定個(gè)人信用信息跨境傳輸?shù)暮弦?guī)任務(wù)時(shí),需要將法律審查作為合規(guī)內(nèi)容,審查信息傳輸?shù)膬?nèi)容和流程是否符合法律的規(guī)定,確保個(gè)人信用信息跨境傳輸有法可依。在法律審查的過(guò)程中,除了要嚴(yán)格審查包括民法典、個(gè)人信息保護(hù)法在內(nèi)的上位法,同時(shí)也要重視專門(mén)法規(guī)中對(duì)某一類型信息的規(guī)定。以金融信息為例,除了參考征信管理法規(guī),在專門(mén)法規(guī)上,2009年發(fā)布的外國(guó)機(jī)構(gòu)在中國(guó)境內(nèi)提供金融信息服務(wù)管理規(guī)定中對(duì)個(gè)人金融信息的跨境傳輸作出詳細(xì)規(guī)定,規(guī)定了金融信息的合同內(nèi)容、服務(wù)內(nèi)容、批準(zhǔn)文件有效期等,因此在制定具體的合規(guī)任務(wù)時(shí),必須將上述內(nèi)容涵括其中,確保制定的合規(guī)任務(wù)和個(gè)人信用信息跨境傳輸業(yè)務(wù)的實(shí)際運(yùn)行相協(xié)調(diào)。
第二,合規(guī)任務(wù)中應(yīng)該規(guī)定對(duì)個(gè)人信用信息的具體處理流程在國(guó)內(nèi)進(jìn)行,包括采集、整理、保存、加工、提供這五個(gè)環(huán)節(jié)。征信業(yè)務(wù)邊界不清晰一直是征信業(yè)市場(chǎng)主體和流程合規(guī)的難點(diǎn),征信業(yè)務(wù)管理辦法中明確了對(duì)征信業(yè)務(wù)的定義,可以據(jù)此制定刑事合規(guī)任務(wù)。在制定處理流程的合規(guī)任務(wù)時(shí),采用征信業(yè)務(wù)管理辦法第3條規(guī)定的“對(duì)企業(yè)和個(gè)人的信用信息進(jìn)行采集、整理、保存、加工,并向信息使用者提供的活動(dòng)”更為合適,可以準(zhǔn)確地涵括合規(guī)流程,實(shí)現(xiàn)對(duì)個(gè)人信用信息跨境傳輸?shù)娜鞒瘫O(jiān)管,強(qiáng)化征信合規(guī)制度的犯罪預(yù)防功效。在采集合規(guī)上,要求采集的跨境傳輸?shù)膫(gè)人信用信息作到形式合規(guī)和實(shí)質(zhì)合規(guī),形式合規(guī)是指采集的流程遵守專業(yè)征信法規(guī),而實(shí)質(zhì)合規(guī)是指采集的個(gè)人信用信息在內(nèi)容上不存在泄密的風(fēng)險(xiǎn),從而兼具形式合法性和實(shí)質(zhì)合理性。在整理合規(guī)上,要求對(duì)個(gè)人信用信息的整理和分類與現(xiàn)有的信息分級(jí)相匹配,參照個(gè)人信息保護(hù)法對(duì)個(gè)人信息的分類,強(qiáng)化對(duì)個(gè)人敏感信息的保護(hù),并對(duì)信息進(jìn)行預(yù)先的篩選審查和整理。在保存合規(guī)上,合規(guī)任務(wù)應(yīng)該設(shè)置在保存模式、保存年限、保存地點(diǎn)方面。保存模式合規(guī)要求個(gè)人信用信息在保護(hù)流程上符合專業(yè)技術(shù)規(guī)范,個(gè)人信用信息的記載、轉(zhuǎn)寫(xiě)方式符合相關(guān)規(guī)定,并和國(guó)際規(guī)范的要求相銜接。保存年限合規(guī)要求個(gè)人信用信息的跨境傳輸?shù)谋4婺晗薹戏ㄒ?guī)規(guī)定,在超出保存年限后,及時(shí)將個(gè)人信用信息作無(wú)害化處理。保存地點(diǎn)合規(guī)要求個(gè)人信用信息的保存地點(diǎn)遵循合規(guī)任務(wù)的強(qiáng)制要求,比如,人口健康信息管理辦法(試行)中規(guī)定“不得將人口健康信息在境外的服務(wù)器中存儲(chǔ),不得托管、租賃在境外的服務(wù)器”,那么上述規(guī)定就應(yīng)被納入此類信息保存地點(diǎn)合規(guī)任務(wù)。在加工合規(guī)上,要求對(duì)用于跨境傳輸?shù)膫(gè)人信用信息的加工方式合規(guī),在跨境傳輸過(guò)程中,個(gè)人信用信息出于保密需要會(huì)進(jìn)行預(yù)先加工,防止信息傳輸至域外后被破解,從而確保個(gè)人信用信息的轉(zhuǎn)移路徑可靠,形成良好的信任機(jī)制。在提供合規(guī)上,要求個(gè)人信用信息跨境傳輸?shù)奶峁┓绞椒戏ㄒ?guī)規(guī)定,對(duì)提供方式進(jìn)行預(yù)先的安全評(píng)估,并遵循個(gè)人信息保護(hù)法第39條的規(guī)定,將境外接收方的名稱或者姓名、聯(lián)系方式等提供要素都納入合規(guī)任務(wù),避免提供上出現(xiàn)銜接失誤造成信息泄露,塑造個(gè)人信用信息跨境傳輸?shù)目尚湃螤顟B(tài)。
第三,個(gè)人信息保護(hù)法中強(qiáng)調(diào)了對(duì)個(gè)人信息跨境傳輸?shù)挠布U希趥(gè)人信用信息的跨境傳輸過(guò)程中,因?yàn)閭(gè)人信用信息的特殊屬性,所以跨境傳輸?shù)挠布葹橹匾枰O(shè)置對(duì)應(yīng)的合規(guī)任務(wù),避免基礎(chǔ)硬件設(shè)施遭到外來(lái)入侵。早在2018年,中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心就開(kāi)展了個(gè)人信息安全管理體系認(rèn)證,希望借助認(rèn)證的模式確保個(gè)人信息的傳輸硬件合規(guī),將軟件合規(guī)拓展至傳輸硬件合規(guī)。實(shí)際上,個(gè)人信用信息跨境傳輸?shù)挠布弦?guī)首先需要明確個(gè)人信用信息的特殊之處,并體現(xiàn)在硬件合規(guī)中對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的監(jiān)管,做好信息保護(hù)工作。個(gè)人信用信息的特殊之處在于極高的敏感性和極強(qiáng)的時(shí)效性,個(gè)人信用信息和個(gè)人聯(lián)系緊密且非常敏感,所以需要對(duì)敏感內(nèi)容進(jìn)行特殊保護(hù),這就體現(xiàn)在硬件設(shè)施上對(duì)關(guān)鍵內(nèi)容的篩選和防護(hù),從而落實(shí)個(gè)人信息保護(hù)法第62條規(guī)定來(lái)制定處理敏感個(gè)人信息的保護(hù)規(guī)則與標(biāo)準(zhǔn),將合規(guī)的規(guī)則和標(biāo)準(zhǔn)應(yīng)用于硬件設(shè)施。此外,極強(qiáng)的時(shí)效性要求個(gè)人信用信息的跨境傳輸確保技術(shù)可靠且先進(jìn),能夠快速準(zhǔn)確地傳輸個(gè)人信用信息,同時(shí)避免在傳輸過(guò)程中信息被破譯,體現(xiàn)在合規(guī)任務(wù)中對(duì)傳輸設(shè)施的要求。具體來(lái)看,傳輸硬件合規(guī)主要包括以下三點(diǎn):一是實(shí)時(shí)監(jiān)測(cè),在硬件系統(tǒng)上增加對(duì)信息傳輸流程的全流程檢測(cè),預(yù)防對(duì)硬件的攻擊破壞行為;二是強(qiáng)化防御措施,針對(duì)攻擊威脅,結(jié)合個(gè)人信用信息的特征進(jìn)行針對(duì)性預(yù)防,及時(shí)修補(bǔ)漏洞;三是優(yōu)化處置模式,硬件設(shè)施需要簡(jiǎn)化處置風(fēng)險(xiǎn)的流程,并且作為跨境傳輸系統(tǒng),及時(shí)將風(fēng)險(xiǎn)信息上傳共享,配合其他硬件由社會(huì)共同抵御風(fēng)險(xiǎn)。總之,在硬件設(shè)施上優(yōu)化合規(guī)監(jiān)管需要結(jié)合跨境傳輸硬件的現(xiàn)實(shí)狀況和實(shí)際需求,將硬件合規(guī)落到實(shí)處,最大程度地發(fā)揮硬件系統(tǒng)的效用。
個(gè)人信用信息跨境傳輸?shù)膰?guó)際合規(guī)建設(shè)
在個(gè)人信用信息跨境傳輸?shù)膰?guó)外合作合規(guī)體系構(gòu)建中,跨境個(gè)人信用信息傳輸不僅是國(guó)內(nèi)一端的合規(guī)監(jiān)管,同時(shí)也要重視在國(guó)際領(lǐng)域的合規(guī)監(jiān)管合作,避免在元宇宙環(huán)境下可能出現(xiàn)的壟斷制裁、長(zhǎng)臂管轄以及空間權(quán)利義務(wù)運(yùn)行方式轉(zhuǎn)型困難等問(wèn)題。早在1980年,經(jīng)濟(jì)合作與發(fā)展組織(Organization for Economic Cooperation and Development,OECD)就制定了隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南,支持個(gè)人信息在成員間自由流動(dòng),并明確信息數(shù)據(jù)安全保障的八大原則,為個(gè)人信用信息跨境傳輸合規(guī)提供宏觀指引。目前國(guó)際社會(huì)主要有兩種主流跨境信息傳輸合規(guī)監(jiān)管方案:一是由歐美主導(dǎo)的單邊跨境信息傳輸合規(guī)監(jiān)管方案;二是中國(guó)和東盟促成的多元共治的跨境信息傳輸合規(guī)監(jiān)管方案。歐美等發(fā)達(dá)國(guó)家基于自身在個(gè)人信息保護(hù)領(lǐng)域的絕對(duì)影響力,主導(dǎo)著目前主流的國(guó)際信息跨境傳輸規(guī)則,其中美國(guó)強(qiáng)調(diào)流動(dòng)自由,歐盟則更注重隱私保護(hù),但兩者本質(zhì)上都是為了維護(hù)自身的利益,并未考慮其他國(guó)家的信息傳輸權(quán)益。有鑒于此,我國(guó)倡導(dǎo)的多元共治的跨境信息傳輸合規(guī)監(jiān)管方案實(shí)際上更加公平公正,不僅能保障個(gè)人信用信息的傳輸效率,而且能擺脫西方發(fā)達(dá)國(guó)家的“信息霸權(quán)”,提升跨境信息傳輸?shù)男剩煌瑫r(shí)積極提高合規(guī)水平,構(gòu)建現(xiàn)代化、創(chuàng)新型跨境數(shù)據(jù)合規(guī)體系。
2020年11月15日,中國(guó)和東盟諸國(guó)簽署區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定(Regional Comprehensive Economic Partnership,RCEP),在第8章“服務(wù)貿(mào)易”中的附件1“金融服務(wù)”和附件2“電信服務(wù)”以及第12章“電子商務(wù)”中對(duì)數(shù)據(jù)信息的跨境傳輸作出規(guī)定,在推動(dòng)信息跨境流動(dòng)的前提下,將合法的公共政策目標(biāo)和基本安全利益等作為數(shù)據(jù)信息跨境自由流動(dòng)的限制事由,并倡導(dǎo)設(shè)立多元化的信息跨境流動(dòng)爭(zhēng)議解決機(jī)制。與之對(duì)應(yīng),個(gè)人信息保護(hù)法中對(duì)個(gè)人信息跨境傳輸國(guó)際合作的規(guī)定主要是信息安全和避免歧視,而這也和RCEP相契合,可以將其作為個(gè)人信用信息跨境傳輸?shù)闹饕弦?guī)任務(wù),尤其是鑒于個(gè)人信用信息和個(gè)人社會(huì)評(píng)價(jià)密切相關(guān),所以更要避免其遭受歧視。第一,保障個(gè)人信用信息安全是合規(guī)任務(wù)的首要內(nèi)容,這要求在信息跨境傳輸?shù)钠鹗级撕徒Y(jié)束端都保障信息傳輸安全,尤其是在多元共治的模式下,個(gè)人信用信息在跨境傳輸?shù)母鲊?guó)都應(yīng)該接受相對(duì)統(tǒng)一的信息安全保障,將信息安全保障作為合規(guī)的具體內(nèi)容,貫徹于信息數(shù)據(jù)脫敏、信息數(shù)據(jù)監(jiān)管等諸多環(huán)節(jié)。第二,在合規(guī)任務(wù)中增加避免歧視的要求,可以消弭因?yàn)槠缫曀l(fā)的個(gè)人信用信息跨境傳輸爭(zhēng)端,最大程度地發(fā)揮個(gè)人信用信息的效用。個(gè)人信用信息和用戶個(gè)人聯(lián)系緊密,具有極強(qiáng)的人格屬性,但是在傳輸?shù)倪^(guò)程中,可能會(huì)因?yàn)闃?biāo)準(zhǔn)的不統(tǒng)一導(dǎo)致對(duì)同一信息的歧視性解讀,而這對(duì)個(gè)人信用信息的處理會(huì)十分不利,甚至?xí)驗(yàn)樗惴ㄆ缫晫?dǎo)致不正確的信用評(píng)價(jià)。有鑒于此,在避免歧視的合規(guī)任務(wù)中,要求跨境傳輸體系對(duì)于個(gè)人信用信息的解讀應(yīng)進(jìn)行反歧視審查工作,對(duì)關(guān)鍵信息數(shù)據(jù)進(jìn)行時(shí)空上的縱向?qū)Ρ群偷赜蛏系臋M向比對(duì),尊重信息來(lái)源地的風(fēng)俗習(xí)慣,有助于真正發(fā)揮個(gè)人信用信息所傳達(dá)的價(jià)值。
總之,在個(gè)人信用信息跨境傳輸?shù)膰?guó)際合規(guī)建設(shè)中,應(yīng)該依托多元共治的跨境信息傳輸監(jiān)管方案來(lái)構(gòu)建對(duì)應(yīng)的合規(guī)體系,充分發(fā)揮出合規(guī)制度的保障效用,在保障安全和消除歧視的前提下優(yōu)化個(gè)人信用信息的跨境傳輸流程。通過(guò)國(guó)際合規(guī)建設(shè),可以促進(jìn)不同國(guó)家和地區(qū)之間的個(gè)人信用信息交流,協(xié)調(diào)國(guó)際條約和國(guó)內(nèi)法規(guī),從而將合規(guī)體系貫徹信息跨境傳輸?shù)娜^(guò)程。
結(jié)語(yǔ)
個(gè)人信息保護(hù)法對(duì)我國(guó)征信合規(guī)體系建設(shè)產(chǎn)生了深遠(yuǎn)的影響,征信領(lǐng)域個(gè)人信用信息保護(hù)和利用就像一枚硬幣的正反兩面,需要在合規(guī)的前提下經(jīng)歷對(duì)立又統(tǒng)一的利益衡量過(guò)程,而個(gè)人信息保護(hù)法則應(yīng)以培育內(nèi)部合規(guī)治理機(jī)制為目標(biāo),輔以有效的外部執(zhí)法合規(guī)保障。為了維護(hù)征信金融秩序的穩(wěn)定協(xié)調(diào),在個(gè)人信用信息的采集、利用等環(huán)節(jié)構(gòu)建體系性、操作性和開(kāi)放性兼?zhèn)涞恼餍藕弦?guī)體系。當(dāng)個(gè)人信息保護(hù)法出臺(tái)后,個(gè)人信用信息在采集、加工、使用等環(huán)節(jié)必然會(huì)受其影響轉(zhuǎn)變運(yùn)行模式,而征信機(jī)關(guān)則應(yīng)該以此為契機(jī),配合已有的征信管理法規(guī),對(duì)現(xiàn)有征信合規(guī)體系進(jìn)行調(diào)整與完善,加強(qiáng)征信合規(guī)監(jiān)管,構(gòu)建合規(guī)計(jì)劃、建立合規(guī)組織、開(kāi)展員工合規(guī)業(yè)務(wù)培訓(xùn)、定期進(jìn)行合規(guī)審計(jì),并將個(gè)人信息保護(hù)合規(guī)文化融入征信業(yè)務(wù),打造更具個(gè)人信息保護(hù)意識(shí)的征信合規(guī)體系。