《個(gè)人信息保護(hù)法》對(duì)信用信息市場(chǎng)的影響研究

張斌

當(dāng)前，我國(guó)信用信息市場(chǎng)的數(shù)據(jù)公司主要包括數(shù)據(jù)源類(lèi)、代理類(lèi)和產(chǎn)品模型類(lèi)?！秱€(gè)人信息保護(hù)法》作為我國(guó)首部針對(duì)個(gè)人信息保護(hù)的專(zhuān)門(mén)性立法，將對(duì)信用信息市場(chǎng)產(chǎn)生深遠(yuǎn)的影響，數(shù)據(jù)源類(lèi)公司須完善授權(quán)，代理類(lèi)公司生存空間受限，而產(chǎn)品模型類(lèi)公司將回歸技術(shù)本源。

背景

2021年8月20日，十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)了《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》）并于2021年11月1日起施行，作為全國(guó)人大常委會(huì)通過(guò)的首部保護(hù)個(gè)人信息的專(zhuān)門(mén)立法，《個(gè)人信息保護(hù)法》的施行標(biāo)志著我國(guó)個(gè)人信息保護(hù)進(jìn)入了新時(shí)代，對(duì)征信行業(yè)數(shù)據(jù)采集、加工和使用帶來(lái)深遠(yuǎn)的影響。

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》是我國(guó)征信行業(yè)關(guān)于個(gè)人數(shù)據(jù)安全和權(quán)益保護(hù)方面的重要上位法依據(jù)。2021年9月30日，人民銀行出臺(tái)了《征信業(yè)務(wù)管理辦法》（以下簡(jiǎn)稱(chēng)《辦法》），在個(gè)人信息保護(hù)層面與《個(gè)人信息保護(hù)法》全面銜接，以夯實(shí)我國(guó)信用體系建設(shè)的法律基礎(chǔ)，同時(shí)推動(dòng)我國(guó)征信市場(chǎng)步入有規(guī)可循、公平競(jìng)爭(zhēng)、高質(zhì)量發(fā)展的正軌。

按照《辦法》，征信業(yè)務(wù)是指對(duì)企業(yè)和個(gè)人的信用信息進(jìn)行采集、整理、保存、加工，并向信息使用者提供的活動(dòng)。信用信息是指依法采集，為金融等活動(dòng)提供服務(wù)，用于識(shí)別判斷企業(yè)和個(gè)人信用狀況的基本信息、借貸信息、其他相關(guān)信息，以及基于前述信息形成的分析評(píng)價(jià)信息。

《辦法》清晰界定了信用信息的定義及征信管理的邊界，將近年來(lái)廣泛應(yīng)用的替代數(shù)據(jù)納入監(jiān)管，且對(duì)信用信息采集、整理、保存、加工、提供、使用的業(yè)務(wù)全流程進(jìn)行指導(dǎo)與規(guī)范。《辦法》還要求金融機(jī)構(gòu)不得與未取得合法征信業(yè)務(wù)資質(zhì)的市場(chǎng)機(jī)構(gòu)開(kāi)展商業(yè)合作獲取征信服務(wù)，因此信用信息市場(chǎng)將在過(guò)渡期內(nèi)完成整改，整改后信用信息主體必須嚴(yán)格通過(guò)持牌征信機(jī)構(gòu)依法合規(guī)開(kāi)展個(gè)人征信業(yè)務(wù)（圖1）。

圖1 整改前后信用信息市場(chǎng)個(gè)人征信業(yè)務(wù)模式

信用信息市場(chǎng)主體

當(dāng)前，我國(guó)信用信息市場(chǎng)活躍的數(shù)據(jù)公司共計(jì)百余家，按照業(yè)務(wù)流程主要包括三大類(lèi)型，分別是數(shù)據(jù)源類(lèi)、代理類(lèi)和產(chǎn)品模型類(lèi)（圖2）。

圖2 信用信息市場(chǎng)主體數(shù)據(jù)公司分類(lèi)

數(shù)據(jù)源類(lèi)是指數(shù)據(jù)產(chǎn)業(yè)鏈前端的數(shù)據(jù)源供應(yīng)商，其具備自有業(yè)務(wù)場(chǎng)景，包括互聯(lián)網(wǎng)平臺(tái)公司，其在電商或金融等場(chǎng)景下積累大量客戶(hù)流量和沉淀數(shù)據(jù)；還包括電信、交通、政務(wù)等各領(lǐng)域能夠產(chǎn)生并擁有大量數(shù)據(jù)資源的數(shù)據(jù)供應(yīng)商。代理類(lèi)是指作為數(shù)據(jù)通道，按客戶(hù)的請(qǐng)求調(diào)度到相應(yīng)的數(shù)據(jù)資源，并把得到的結(jié)果返回給客戶(hù)的數(shù)據(jù)代理機(jī)構(gòu)。產(chǎn)品模型類(lèi)是指數(shù)據(jù)技術(shù)服務(wù)商自身沒(méi)有業(yè)務(wù)場(chǎng)景，主要依靠外部采買(mǎi)各類(lèi)數(shù)據(jù)源，再通過(guò)數(shù)據(jù)加工、分析等環(huán)節(jié)向客戶(hù)提供精準(zhǔn)營(yíng)銷(xiāo)、風(fēng)控模型、可視化數(shù)據(jù)工具等產(chǎn)品和服務(wù)。從實(shí)踐上看，數(shù)據(jù)公司可能存在不同業(yè)務(wù)經(jīng)營(yíng)范圍的交叉覆蓋。

《個(gè)人信息保法》對(duì)信用信息市場(chǎng)主體要求

《個(gè)人信息保護(hù)法》由八章七十四條組成，其內(nèi)容涵蓋了個(gè)人信息處理規(guī)則、個(gè)人信息主體權(quán)益、個(gè)人信息處理者義務(wù)、信息保護(hù)職能部門(mén)等重要內(nèi)容。經(jīng)梳理，《個(gè)人信息保護(hù)法》中與信用信息市場(chǎng)主體有直接關(guān)聯(lián)的重點(diǎn)條款涉及以下六個(gè)方面：

明確個(gè)人授權(quán)同意要求

在個(gè)人信息處理中，“告知—同意”是《個(gè)人信息保護(hù)法》最基本也是最核心的規(guī)則。其中第十三條、第十七條、第二十一條和第二十三條分別涉及個(gè)人授權(quán)同意。數(shù)據(jù)公司在處理、委托處理、對(duì)外提供前應(yīng)當(dāng)取得用戶(hù)同意。依據(jù)第二十三條，各類(lèi)數(shù)據(jù)公司向金融機(jī)構(gòu)提供個(gè)人信用信息應(yīng)當(dāng)取得用戶(hù)的單獨(dú)同意。按照業(yè)務(wù)處理流程，目前部分信用信息市場(chǎng)主體不能直接從個(gè)人信息主體處直接取得同意，主要通過(guò)向下游金融機(jī)構(gòu)端或者上游可信數(shù)據(jù)源端獲取個(gè)人授權(quán)同意。

保障自動(dòng)化決策結(jié)果的公平公正

第二十四條明確個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。該條款有效回應(yīng)了近年來(lái)熱議的“大數(shù)據(jù)殺熟”問(wèn)題。信用信息市場(chǎng)主體不能設(shè)置歧視性定價(jià)策略，應(yīng)當(dāng)保證用戶(hù)評(píng)分、畫(huà)像等產(chǎn)品算法機(jī)制的透明性和應(yīng)用結(jié)果的公平性，不斷完善算法模型的評(píng)估流程，對(duì)算法機(jī)制、風(fēng)控模型和應(yīng)用結(jié)果等進(jìn)行定期評(píng)估。另外，針對(duì)自動(dòng)化決策結(jié)果，本條還強(qiáng)調(diào)個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕該決定。在算法使用后，信用信息市場(chǎng)主體應(yīng)當(dāng)對(duì)用戶(hù)可能產(chǎn)生的權(quán)益影響情況進(jìn)行持續(xù)監(jiān)測(cè)和綜合評(píng)估，并且向個(gè)人提供便捷的拒絕方式，在信息處理的各環(huán)節(jié)中確保算法可解釋、可驗(yàn)證，以降低可能產(chǎn)生的合規(guī)風(fēng)險(xiǎn)。

新設(shè)個(gè)人信息可攜帶權(quán)

《個(gè)人信息保護(hù)法》第四章第四十五條新設(shè)了個(gè)人信息可攜帶權(quán)。該條指出，個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑?？蓴y帶權(quán)的設(shè)立強(qiáng)化了用戶(hù)自主權(quán)，增強(qiáng)個(gè)人對(duì)個(gè)人信息轉(zhuǎn)移與再利用行為的控制。信用信息市場(chǎng)主體應(yīng)當(dāng)向用戶(hù)提供個(gè)人數(shù)據(jù)轉(zhuǎn)移的途徑，以用戶(hù)權(quán)益為出發(fā)點(diǎn)，有效破除個(gè)人信息流通障礙，起到防止大型平臺(tái)或者數(shù)據(jù)公司造成的“數(shù)據(jù)壟斷”現(xiàn)象，促進(jìn)信用信息市場(chǎng)競(jìng)爭(zhēng)的公平性。

明確個(gè)人異議處理權(quán)

第四十六條強(qiáng)調(diào)了個(gè)人異議處理權(quán)。該條指出，個(gè)人請(qǐng)求更正、補(bǔ)充其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息予以核實(shí)，并及時(shí)更正、補(bǔ)充。根據(jù)該條款，信用信息市場(chǎng)主體需要提前建立有關(guān)信用報(bào)告的異議處理流程，以及用戶(hù)撤銷(xiāo)同意的相關(guān)處置機(jī)制。

履行信息保護(hù)和信息安全義務(wù)

《個(gè)人信息保護(hù)法》第五章主要細(xì)化個(gè)人信息處理者的具體責(zé)任與義務(wù)。根據(jù)第五十一條，信用信息市場(chǎng)主體應(yīng)當(dāng)采取相應(yīng)措施確保個(gè)人信息處理活動(dòng)符合法律法規(guī)要求，并有效防止個(gè)人信息的泄露、篡改、丟失以及未授權(quán)等情況發(fā)生。包括：制定內(nèi)部管理制度和操作規(guī)程，對(duì)個(gè)人信息實(shí)行分類(lèi)管理，采取相應(yīng)的安全技術(shù)措施，合理確定個(gè)人信息處理的操作權(quán)限，定期教育培訓(xùn)，應(yīng)急預(yù)案等。

此外，第五十二條強(qiáng)調(diào)，處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。負(fù)責(zé)人要公開(kāi)聯(lián)系方式并報(bào)送履行個(gè)人信息保護(hù)職責(zé)的相關(guān)部門(mén)。第五十五、五十六條還明確要求個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。

根據(jù)體量體現(xiàn)差異化管理要求

由于不同的信用信息市場(chǎng)主體規(guī)模不同，且在處理個(gè)人信息的技術(shù)水平和風(fēng)控能力上都存在差異，為鼓勵(lì)數(shù)據(jù)的創(chuàng)新應(yīng)用，《個(gè)人信息保護(hù)法》前瞻性地對(duì)大型和小型個(gè)人信息處理者進(jìn)行區(qū)分規(guī)范要求。針對(duì)大型信用信息市場(chǎng)主體，第五十八條明確，提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)承擔(dān)額外的個(gè)人信息保護(hù)義務(wù)，包括成立外部獨(dú)立機(jī)構(gòu)、制定平臺(tái)規(guī)則、停止違規(guī)者服務(wù)、定期發(fā)布社會(huì)責(zé)任報(bào)告。該條款進(jìn)一步強(qiáng)化了對(duì)于大型互聯(lián)網(wǎng)平臺(tái)、科技公司等的個(gè)人信息保護(hù)義務(wù)，要求其應(yīng)承擔(dān)起更高意義上的數(shù)據(jù)安全治理責(zé)任，也應(yīng)做好互聯(lián)網(wǎng)數(shù)據(jù)的“守門(mén)人”。對(duì)于小型信用信息市場(chǎng)主體、處理敏感個(gè)人信息以及人臉識(shí)別、人工智能等新技術(shù)、新應(yīng)用，第六十二條提出要制定專(zhuān)門(mén)的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)，體現(xiàn)了法律對(duì)小型個(gè)人信息處理者和新技術(shù)應(yīng)用創(chuàng)新的鼓勵(lì)。

《個(gè)人信息保護(hù)法》對(duì)信用信息市場(chǎng)主體的影響

《個(gè)人信息保護(hù)法》對(duì)信用信息市場(chǎng)主體收集、處理和提供個(gè)人信息將產(chǎn)生深遠(yuǎn)的影響，其以“告知—同意”為核心的個(gè)人信息處理規(guī)則將給信用信息市場(chǎng)主體帶來(lái)巨大的挑戰(zhàn)。

數(shù)據(jù)源類(lèi)公司須完善授權(quán)

對(duì)于數(shù)據(jù)源類(lèi)公司，可以通過(guò)隱私協(xié)議、彈窗或其他交互形式來(lái)獲得用戶(hù)的授權(quán)同意，但要在個(gè)人充分知情的前提下自愿、明確做出。在對(duì)外提供時(shí)，應(yīng)向個(gè)人告知接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類(lèi)，并取得個(gè)人的單獨(dú)同意。由于大數(shù)據(jù)處理目的繁多且存在較大的可擴(kuò)展性，如何滿(mǎn)足《個(gè)人信息保護(hù)法》的要求仍需公司在用戶(hù)界面、文本和交互形式等方面下足功夫。

在實(shí)際征信業(yè)務(wù)中，數(shù)據(jù)源類(lèi)公司既不能直接將信用信息提供給金融機(jī)構(gòu)（《辦法》要求），提供給非持牌征信機(jī)構(gòu)又難以獲得個(gè)人同意，最終的結(jié)果幾乎只能提供給持牌征信機(jī)構(gòu)。

代理類(lèi)公司發(fā)展受限

代理類(lèi)公司應(yīng)遵循“三重授權(quán)”原則，即數(shù)據(jù)源事先取得個(gè)人同意再收集個(gè)人信用信息，單獨(dú)取得個(gè)人同意后數(shù)據(jù)源再將個(gè)人信息提供給代理類(lèi)公司，代理類(lèi)公司對(duì)外提供時(shí)再取得個(gè)人的單獨(dú)同意?；驈暮蠖耸褂梅郊唇鹑跈C(jī)構(gòu)處取得反向授權(quán)，同意其處理其個(gè)人信息。但后端授權(quán)方式的合規(guī)性還需要得到監(jiān)管部門(mén)的認(rèn)可。

由于授權(quán)鏈條較長(zhǎng)、缺乏與個(gè)人直接交互的場(chǎng)景，且缺少合法的征信業(yè)務(wù)資質(zhì)，代理類(lèi)公司獲得個(gè)人單獨(dú)授權(quán)非常困難，市場(chǎng)前景堪憂。

產(chǎn)品模型類(lèi)公司回歸技術(shù)本源

與上述代理類(lèi)公司類(lèi)似，產(chǎn)品模型類(lèi)公司同樣需要遵循“三重授權(quán)”原則，或從后端使用方獲得反向授權(quán)。與代理類(lèi)公司類(lèi)似，產(chǎn)品模型類(lèi)公司缺乏與個(gè)人直接交互的場(chǎng)景和合法的征信業(yè)務(wù)資質(zhì)，難以獲得個(gè)人單獨(dú)授權(quán)來(lái)處理和提供信用信息。更加現(xiàn)實(shí)的方式是產(chǎn)品模型類(lèi)公司申請(qǐng)征信牌照；或作為技術(shù)服務(wù)方進(jìn)入數(shù)據(jù)源、持牌征信機(jī)構(gòu)、金融機(jī)構(gòu)的業(yè)務(wù)生產(chǎn)體系內(nèi)，從而回歸技術(shù)服務(wù)本源。

展望

從短期看，《個(gè)人信息保護(hù)法》正式實(shí)施后會(huì)帶來(lái)信用信息市場(chǎng)規(guī)模一定程度的下降，一批不符合法律法規(guī)要求的市場(chǎng)主體將不能再提供服務(wù)。

但從長(zhǎng)期來(lái)看，《個(gè)人信息保護(hù)法》將成為護(hù)持個(gè)人權(quán)益、激勵(lì)穩(wěn)健發(fā)展、連接國(guó)家命運(yùn)的數(shù)字時(shí)代基本法，為個(gè)人信息市場(chǎng)正本清源，促進(jìn)社會(huì)信用信息的合法有序流通，有利于我國(guó)征信行業(yè)乃至整個(gè)金融行業(yè)的健康穩(wěn)定。筆者估計(jì)，“劣幣”出清后，“良幣”將在2至3年內(nèi)快速填滿(mǎn)市場(chǎng)需求。