孔德超：大數(shù)據(jù)征信與個人隱私保護

來源：中國社會科學報 時間：2017-05-17 13:52:31 作者：孔德超

　　大數(shù)據(jù)征信是指運用大數(shù)據(jù)技術構建征信模型及算法，通過對海量數(shù)據(jù)進行采集、分析、整合和挖掘，多維度刻畫信用主體的違約率和信用狀況，形成對信用主體的信用評價。大數(shù)據(jù)征信的核心是將大數(shù)據(jù)技術應用到征信活動中，強調處理數(shù)據(jù)的數(shù)量大、刻畫信用的維度廣、信用狀況的動態(tài)呈現(xiàn)、交互性等特點。從運行機制上看，大數(shù)據(jù)征信主要是對征信信息進行自動采集、存儲、分析和結果輸出，對信用風險進行實時、動態(tài)的跟蹤和管理，注重對弱相關、非結構化和多維度的海量數(shù)據(jù)進行深入挖掘和相關分析，力圖客觀、準確、全面、動態(tài)地呈現(xiàn)信息主體的信用狀況。與傳統(tǒng)征信相比，大數(shù)據(jù)征信覆蓋了更為廣泛的人群，數(shù)據(jù)收集和處理效率有較大提升，在一定程度上避免了人為因素的干擾，防范了可能發(fā)生的道德風險，為普惠金融開辟了一條新路徑。

　　大數(shù)據(jù)征信挑戰(zhàn)個人隱私邊界

　　第一，隱私邊界模糊。受大數(shù)據(jù)追求全數(shù)據(jù)、混雜性、相關關系和數(shù)據(jù)化的趨勢影響，大數(shù)據(jù)征信大大地拓寬了個人信息的范圍，除了傳統(tǒng)的信用信息數(shù)據(jù)外，個人的互聯(lián)網大數(shù)據(jù)、傳感數(shù)據(jù)、行為數(shù)據(jù)、地理位置數(shù)據(jù)等，都在被納入考察維度之中，都可通過算法模型轉換成對個人的信用評價，個人信息、信用信息與隱私的邊界被進一步模糊?；诩夹g實現(xiàn)難度、市場需求、成本和效率的綜合考量，征信機構在個人信息收集處理過程中，并沒有動力對個人信息、信用信息與隱私信息予以區(qū)別對待，信息主體享有的知情同意權、異議權、更正權、刪除權等，往往得不到充分尊重和保障。實踐中，復雜而充滿陷阱的隱私政策、為接受相關服務而被迫“讓渡”的個人信息控制權，以及個人隱私被侵犯后調查取證的復雜流程、高技術壁壘、高成本等，往往成為阻礙信息主體尋求司法救濟的主要障礙。在大數(shù)據(jù)征信行業(yè)邁向自動化和智能化的道路上，個人信息和個人隱私正面臨著被無限制、無差別收集和使用的風險。

　　第二，立法相對滯后。當前，涉及個人信息與隱私保護的法律主要有《刑法》《侵權責任法》《網絡安全法》（2017年6月實施）、《消費者權益保護法》《征信業(yè)管理條例》《征信機構管理辦法》《電信和互聯(lián)網用戶個人信息保護規(guī)定》《個人信用信息基礎數(shù)據(jù)庫管理暫行辦法》《征信機構監(jiān)管指引》《征信機構信息安全規(guī)范》《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》，等等。總的來看，現(xiàn)行立法多是間接的、碎片化的、框架性的規(guī)定，存在執(zhí)法部門權限職責不清，個人信息的收集處理規(guī)則不科學、不合理，企業(yè)守法成本高，司法救濟渠道不暢，個人維權成本高昂且效率低下等諸多問題。特別是大數(shù)據(jù)背景下如何規(guī)范收集、處理個人信息，如何保障信息主體的合法權益，提供何種司法救濟手段，等等，都缺乏相應的具體規(guī)定，個人隱私保護面臨無法可依的窘境。

　　第三，行業(yè)自律不足。由于征信信息種類繁多，來源渠道復雜，涉及公安、工商、電信、金融等多個監(jiān)管部門，監(jiān)管協(xié)同難度較大，監(jiān)管機構尚未建立起科學有效的手段來實時判別征信機構的信息采集行為是否合法合規(guī)。在此背景之下，行業(yè)自律作為隱私保護最重要的一道防火墻就顯得尤為重要。但從征信業(yè)的總體情況來看，由于缺乏嚴格有效的監(jiān)督制約機制和良好的行業(yè)自律環(huán)境，在行業(yè)準入、隱私保護標準、激勵機制以及社會輿論等方面尚未建立起科學合理的自律機制來保護個人隱私，行業(yè)組織能夠發(fā)揮的作用也非常有限。

　　完善個人信息及隱私立法保護體系

　　首先，應當對現(xiàn)行涉及個人信息保護和隱私保護的立法進行系統(tǒng)梳理，在尊重隱私觀念和傳統(tǒng)文化的基礎上，平衡協(xié)調好個人、企業(yè)與國家之間的關系，在促進社會誠信秩序建立、征信市場健康發(fā)展的同時，確保各個層次的隱私保護得到落實。其次，整合國內現(xiàn)有的關于個人信息保護、隱私保護、征信信息規(guī)范等方面的法律法規(guī)，加快制定《個人信息保護條例》及《個人信用信息管理規(guī)定》等專門立法，將互聯(lián)網個人信息及隱私保護作為重要內容予以規(guī)定，賦予其優(yōu)于一般條款的地位，同時確立隱私保護的基本原則作為兜底條款，確保立法在規(guī)范、調整現(xiàn)有社會關系的同時，對未來社會經濟、技術的發(fā)展具有一定的適應性和前瞻性。最后，隱私權兼具私法性和公法性，在內容上經歷了從消極被動的獨處權利到積極主動的個人信息控制權利轉變的過程。在大數(shù)據(jù)時代，對隱私權的保護更應注重信息主體對個人信息的實際控制，充分尊重信息主體的“知情同意權”以及更正權、異議權、刪除權等，在完善行政責任和刑事責任的基礎上，構建一套科學合理的民事補償機制，使隱私權的保護更為全面和高效。

　　建設個人信息采集與利用的技術規(guī)則體系

　　第一，加大數(shù)據(jù)供給。提升數(shù)據(jù)開放水平，使個人數(shù)據(jù)在技術上可機讀、可導入、讀取和下載，在法律上可商業(yè)利用，即商業(yè)機構掌握的數(shù)據(jù)可在市場上交易，政府及公共服務機構掌握的非涉密數(shù)據(jù)向社會開放。政府及相關機構應當制定統(tǒng)一的數(shù)據(jù)供給標準，豐富數(shù)據(jù)形式，細化數(shù)據(jù)粒度，建立數(shù)據(jù)供給安全機制；建立層次分明的數(shù)據(jù)開放平臺，鼓勵社會力量參與數(shù)據(jù)的開放及應用；建立統(tǒng)一的市場化數(shù)據(jù)交易規(guī)則和監(jiān)管規(guī)則，確保個人隱私得到充分有效保障。

　　第二，完善個人信息采集標準。標準化的數(shù)據(jù)采集有利于統(tǒng)一數(shù)據(jù)格式、保障數(shù)據(jù)質量、便于數(shù)據(jù)的共享與傳播，也使數(shù)據(jù)保護更為透明。從歐美征信市場發(fā)展的經驗看，征信機構在激烈的市場競爭和快速發(fā)展中，其數(shù)據(jù)源也逐漸趨同。為確保數(shù)據(jù)采集的及時、準確和完整，并且能夠符合法律監(jiān)管要求，數(shù)據(jù)采集的標準化必不可少。如美國征信業(yè)信息采集標準《數(shù)據(jù)報送資源指南》即是在美國消費和數(shù)據(jù)行業(yè)協(xié)會的指導下，由環(huán)聯(lián)、艾克飛、益佰利等幾大征信業(yè)巨頭共同制定的。就中國具體情況而言，可由征信業(yè)主管機構組織制定強制性的征信信息采集國家標準，確保信息采集的合法性、科學性和統(tǒng)一性。

　　第三，規(guī)范數(shù)據(jù)交易。在制度上，政府及相關機構應當發(fā)揮主導作用，明確可用于征信的個人數(shù)據(jù)交易的類型、程序、規(guī)則等，建立個人數(shù)據(jù)交易許可制度、個人數(shù)據(jù)流轉登記制度和個人數(shù)據(jù)國際流動審查制度，從源頭上規(guī)范個人數(shù)據(jù)流出渠道，建立個人數(shù)據(jù)交易追蹤和溯源機制，維護國家數(shù)據(jù)主權、提升國際競爭優(yōu)勢。在技術上，從隱私政策的透明度、用戶對個人數(shù)據(jù)的控制以及個人數(shù)據(jù)安全等角度出發(fā)，引入新型保護措施，強化對數(shù)據(jù)標識統(tǒng)一加密、轉譯處理，對特定個人的身份標識進行隔離，對互聯(lián)對象的敏感性、關聯(lián)度等進行約束，積極探索去中心化的區(qū)塊鏈技術在個人征信中的應用，強化對個人隱私的甄別和技術保護。

　　強化政府監(jiān)管企業(yè)自律和公眾自我保護

　　首先，政府主管機關應當充分認識到大數(shù)據(jù)技術給個人征信市場帶來的影響，在依法加強行業(yè)監(jiān)管的同時，在基礎數(shù)據(jù)供給上加大力度，促進大數(shù)據(jù)個人征信與傳統(tǒng)征信齊頭并進、互相配合、有序競爭。對于數(shù)據(jù)交易市場，相關政府機構應當從打擊非法數(shù)據(jù)交易產業(yè)鏈入手，強化掌握個人數(shù)據(jù)機構的內部治理和數(shù)據(jù)安全管控，在充分保護個人隱私的前提下，規(guī)范、引導合法的數(shù)據(jù)交易，防止“劣幣驅逐良幣”的現(xiàn)象發(fā)生。

　　其次，在法律法規(guī)尚不健全的情況下，大數(shù)據(jù)征信機構應加強自律，主動采取措施保護個人隱私，維護自身及行業(yè)的權威性和社會影響。在產品設計上，構建一個類似美國FICO的可被廣泛采用的信用評分體系，解決隱私保護問題；建立企業(yè)自律組織，發(fā)出倡議或公約，提倡保護用戶隱私；組建企業(yè)保護個人隱私聯(lián)盟，推動隱私保護認證，發(fā)揮行業(yè)組織的作用；梳理企業(yè)內部可能泄露隱私的風險點，強化企業(yè)內部管控；完善技術保護工具，更新技術保護理念。

　　最后，信息主體對個人信息的控制權的實現(xiàn)還須對隱私政策，以及為實現(xiàn)這種控制而設計的程序規(guī)則有正確的理解。政府及相關社會機構應當發(fā)揮積極作用，通過典型案例等方式，讓公眾了解隱私泄露的途徑和方式；將隱私保護納入個人數(shù)據(jù)管理的范疇，堅持從小抓起，培養(yǎng)并提高青少年的素養(yǎng)；通過展示、案例、媒體曝光等形式讓公眾了解最新的隱私泄露途徑，提供可選擇的隱私保護手段和方法，為公眾實現(xiàn)個人隱私的自我保護提供科學合理的路徑和方式。

　　互聯(lián)網時代新興技術和業(yè)態(tài)的出現(xiàn)，往往伴隨著新規(guī)則的建立和對傳統(tǒng)規(guī)則的突破。大數(shù)據(jù)技術“侵入”人們生活的同時，“一切數(shù)據(jù)皆信用”正在成為現(xiàn)實，在悄然改變著人們對信用的認識和理解的同時，也在重塑著征信的基礎規(guī)則。大數(shù)據(jù)征信在服務經濟社會發(fā)展的同時，更需保障和尊重個人隱私，保護個人“退出公共生活和公眾視線”的自由。

　　（作者：中國人民大學財政金融學院 孔德超)

責任編輯：陳近梅