大數據徵信與個人隱私保護——基於個人徵信視角

tencentccc

文 | 孔德超

大數據徵信是指運用大數據技術構建徵信模型及演算法，通過對海量數據進行採集、分析、整合和挖掘，多維度刻畫信用主體的違約率和信用狀況，形成對信用主體的信用評價。大數據徵信的核心是將大數據技術應用到徵信活動中，強調處理數據的數量大、刻畫信用的維度廣、信用狀況的動態呈現、交互性等特點。從運行機制上看，大數據徵信主要是對徵信信息進行自動採集、存儲、分析和結果輸出，對信用風險進行實時、動態的跟蹤和管理，注重對弱相關、非結構化和多維度的海量數據進行深入挖掘和相關分析，力圖客觀、準確、全面、動態地呈現信息主體的信用狀況。與傳統徵信相比，大數據徵信覆蓋了更為廣泛的人群，數據收集和處理效率有較大提升，在一定程度上避免了人為因素的干擾，防範了可能發生的道德風險，為普惠金融開闢了一條新路徑。

大數據徵信挑戰個人隱私邊界

第一，隱私邊界模糊。受大數據追求全數據、混雜性、相關關係和數據化的趨勢影響，大數據徵信大大地拓寬了個人信息的範圍，除了傳統的信用信息數據外，個人的互聯網大數據、感測數據、行為數據、地理位置數據等，都在被納入考察維度之中，都可通過演算法模型轉換成對個人的信用評價，個人信息、信用信息與隱私的邊界被進一步模糊。基於技術實現難度、市場需求、成本和效率的綜合考量，徵信機構在個人信息收集處理過程中，並沒有動力對個人信息、信用信息與隱私信息予以區別對待，信息主體享有的知情同意權、異議權、更正權、刪除權等，往往得不到充分尊重和保障。實踐中，複雜而充滿陷阱的隱私政策、為接受相關服務而被迫「讓渡」的個人信息控制權，以及個人隱私被侵犯后調查取證的複雜流程、高技術壁壘、高成本等，往往成為阻礙信息主體尋求司法救濟的主要障礙。在大數據徵信行業邁向自動化和智能化的道路上，個人信息和個人隱私正面臨著被無限制、無差別收集和使用的風險。

第二，立法相對滯后。當前，涉及個人信息與隱私保護的法律主要有《刑法》《侵權責任法》《網路安全法》（2017年6月實施）、《消費者權益保護法》《徵信業管理條例》《徵信機構管理辦法》《電信和互聯網用戶個人信息保護規定》《個人信用信息基礎資料庫管理暫行辦法》《徵信機構監管指引》《徵信機構信息安全規範》《信息安全技術公共及商用服務信息系統個人信息保護指南》，等等。總的來看，現行立法多是間接的、碎片化的、框架性的規定，存在執法部門許可權職責不清，個人信息的收集處理規則不科學、不合理，企業守法成本高，司法救濟渠道不暢，個人維權成本高昂且效率低下等諸多問題。特別是大數據背景下如何規範收集、處理個人信息，如何保障信息主體的合法權益，提供何種司法救濟手段，等等，都缺乏相應的具體規定，個人隱私保護面臨無法可依的窘境。

第三，行業自律不足。由於徵信信息種類繁多，來源渠道複雜，涉及公安、工商、電信、金融等多個監管部門，監管協同難度較大，監管機構尚未建立起科學有效的手段來實時判別徵信機構的信息採集行為是否合法合規。在此背景之下，行業自律作為隱私保護最重要的一道防火牆就顯得尤為重要。但從徵信業的總體情況來看，由於缺乏嚴格有效的監督制約機制和良好的行業自律環境，在行業准入、隱私保護標準、激勵機制以及社會輿論等方面尚未建立起科學合理的自律機制來保護個人隱私，行業組織能夠發揮的作用也非常有限。

完善個人信息及隱私立法保護體系

首先，應當對現行涉及個人信息保護和隱私保護的立法進行系統梳理，在尊重隱私觀念和傳統文化的基礎上，平衡協調好個人、企業與國家之間的關係，在促進社會誠信秩序建立、徵信市場健康發展的同時，確保各個層次的隱私保護得到落實。

其次，整合國內現有的關於個人信息保護、隱私保護、徵信信息規範等方面的法律法規，加快制定《個人信息保護條例》及《個人信用信息管理規定》等專門立法，將互聯網個人信息及隱私保護作為重要內容予以規定，賦予其優於一般條款的地位，同時確立隱私保護的基本原則作為兜底條款，確保立法在規範、調整現有社會關係的同時，對未來社會經濟、技術的發展具有一定的適應性和前瞻性。

最後，隱私權兼具私法性和公法性，在內容上經歷了從消極被動的獨處權利到積極主動的個人信息控制權利轉變的過程。在大數據時代，對隱私權的保護更應注重信息主體對個人信息的實際控制，充分尊重信息主體的「知情同意權」以及更正權、異議權、刪除權等，在完善行政責任和刑事責任的基礎上，構建一套科學合理的民事補償機制，使隱私權的保護更為全面和高效。

建設個人信息採集與利用的技術規則體系

第一，加大數據供給。提升數據開放水平，使個人數據在技術上可機讀、可導入、讀取和下載，在法律上可商業利用，即商業機構掌握的數據可在市場上交易，政府及公共服務機構掌握的非涉密數據向社會開放。政府及相關機構應當制定統一的數據供給標準，豐富數據形式，細化數據粒度，建立數據供給安全機制；建立層次分明的數據開放平台，鼓勵社會力量參與數據的開放及應用；建立統一的市場化數據交易規則和監管規則，確保個人隱私得到充分有效保障。

第二，完善個人信息採集標準。標準化的數據採集有利於統一數據格式、保障數據質量、便於數據的共享與傳播，也使數據保護更為透明。從歐美徵信市場發展的經驗看，徵信機構在激烈的市場競爭和快速發展中，其數據源也逐漸趨同。為確保數據採集的及時、準確和完整，並且能夠符合法律監管要求，數據採集的標準化必不可少。如美國徵信業信息採集標準《數據報送資源指南》即是在美國消費和數據行業協會的指導下，由環聯、艾克飛、益佰利等幾大徵信業巨頭共同制定的。就具體情況而言，可由徵信業主管機構組織制定強制性的徵信信息採集國家標準，確保信息採集的合法性、科學性和統一性。

第三，規範數據交易。在制度上，政府及相關機構應當發揮主導作用，明確可用於徵信的個人數據交易的類型、程序、規則等，建立個人數據交易許可制度、個人數據流轉登記制度和個人數據國際流動審查制度，從源頭上規範個人數據流出渠道，建立個人數據交易追蹤和溯源機制，維護國家數據主權、提升國際競爭優勢。在技術上，從隱私政策的透明度、用戶對個人數據的控制以及個人數據安全等角度出發，引入新型保護措施，強化對數據標識統一加密、轉譯處理，對特定個人的身份標識進行隔離，對互聯對象的敏感性、關聯度等進行約束，積極探索去中心化的區塊鏈技術在個人徵信中的應用，強化對個人隱私的甄別和技術保護。

強化政府監管企業自律和公眾自我保護

首先，政府主管機關應當充分認識到大數據技術給個人徵信市場帶來的影響，在依法加強行業監管的同時，在基礎數據供給上加大力度，促進大數據個人徵信與傳統徵信齊頭並進、互相配合、有序競爭。對於數據交易市場，相關政府機構應當從打擊非法數據交易產業鏈入手，強化掌握個人數據機構的內部治理和數據安全管控，在充分保護個人隱私的前提下，規範、引導合法的數據交易，防止「劣幣驅逐良幣」的現象發生。

其次，在法律法規尚不健全的情況下，大數據徵信機構應加強自律，主動採取措施保護個人隱私，維護自身及行業的權威性和社會影響。在產品設計上，構建一個類似美國FICO的可被廣泛採用的信用評分體系，解決隱私保護問題；建立企業自律組織，發出倡議或公約，提倡保護用戶隱私；組建企業保護個人隱私聯盟，推動隱私保護認證，發揮行業組織的作用；梳理企業內部可能泄露隱私的風險點，強化企業內部管控；完善技術保護工具，更新技術保護理念。

最後，信息主體對個人信息的控制權的實現還須對隱私政策，以及為實現這種控制而設計的程序規則有正確的理解。政府及相關社會機構應當發揮積極作用，通過典型案例等方式，讓公眾了解隱私泄露的途徑和方式；將隱私保護納入個人數據管理的範疇，堅持從小抓起，培養並提高青少年的素養；通過展示、案例、媒體曝光等形式讓公眾了解最新的隱私泄露途徑，提供可選擇的隱私保護手段和方法，為公眾實現個人隱私的自我保護提供科學合理的路徑和方式。

互聯網時代新興技術和業態的出現，往往伴隨著新規則的建立和對傳統規則的突破。大數據技術「侵入」人們生活的同時，「一切數據皆信用」正在成為現實，在悄然改變著人們對信用的認識和理解的同時，也在重塑著徵信的基礎規則。大數據徵信在服務經濟社會發展的同時，更需保障和尊重個人隱私，保護個人「退出公共生活和公眾視線」的自由。

孔德超，人民大學財政金融學院。

END