国家征信业管理条例第十五条规定(个人信息保护法颁布后征信合规体系的调整与完善)
赵炳昊 中国政法大学民商经济法学院副教授、法学博士
内容摘要:伴随个人信息保护法的颁布,我国进一步强化对个人信用信息的保护,调整并完善征信合规体系。个人信息保护法改变了征信体系的根本旨向,个人信用信息的内涵定义与处理原则发生了变更,其对应自然人的人格尊严和财产安全,并补充了合法、诚信和有限制的公开、透明处理原则。对应征信体系的变更,征信合规体系的基本功能也进行升级,采用严进严出的责任追究模式,协调征信机构的合规运行模式,补充对个人信用信息的预先评估模式和事后补救模式,预设自动化决策和在公共场所中采集信息这两种征信合规处理场景,并设立由国家网信部门、中国人民银行、县级以上地方人民政府有关部门组成的三级梯次化合规监管体系。为了确保个人信用信息跨境传输合规,征信合规体系需要在国内进行法律规范审查、规范信息处理流程并强化对硬件的合规监管,在国际上倡导多元共治,注重保护信息安全和避免歧视内容。
关键词:个人信用信息 个人信息保护法 征信合规 征信体系 跨境传输信息 信息安全
2021年11月1日,个人信息保护法正式施行,标志着我国对个人信息的保护迈入全新时代。在个人信息中,与征信相关的个人信用信息是其中重要组成部分,而近年来大数据、元宇宙概念的提出,则从技术手段和适用场域两个方面给征信业提供了发展的机遇和挑战,这就要求征信系统合理地利用与保护个人信息,尤其是个人信息保护法施行后,征信机构在个人信用信息的采集、整理、保存、加工、提供、使用的全流程都需作出相应调整,通过合规制度来缓和新型网络信息法律义务之间的紧张关系。在元宇宙的语境下,人们不仅应为元宇宙建设提供技术基础,还同时应用法治为元宇宙的有序发展提供制度基础,而征信体系就是沟通现实性物理空间与数字虚拟社会之间的“桥梁”,征信合规体系则是桥梁的保障。征信合规体系的调整与完善需要贯彻民法典对个人信息的规定,配合专门的征信管理法规,落实个人信息保护法的具体内容。个人信息保护法强调了对互联网金融业和创新性科技深度融合的有力监管,而在合规氛围浓厚的大环境下,个人信息保护法则为我国个人信用信息保护提供了规范支撑,并改变了其根本旨向,督促征信机构履行合规义务。鉴于此,在个人信息保护法颁布后,优化征信合规体系的构建可以在个人信息保护、企业商业利益以及社会公共利益之间取得平衡,同时也为元宇宙空间未来的整体形塑提供基础助力。
一、个人信息保护法下征信体系的根本旨向转型
个人信息保护法明确个人信息的规范定义,而个人信用信息作为其中的重要类型,受其影响在根本旨向上发生了变更。个人信息保护法对征信体系根本旨向的影响体现在个人信用信息的内涵定义与处理原则的变更,而根本旨向上的转型同时也为个人信用信息征信合规体系的优化作好铺垫。
(一)明确个人信用信息的内涵定义
一直以来,规范层面对个人信用信息的定义都聚讼不休,而这一争议来源个人信息定义的争议。民法典第1034条对个人信息的定义为:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”通过“概念 列举”的方式来定义个人信息,将个人信息归属于具体的人格权范畴。而个人信用信息则归属其中,并在第1030条规定:“民事主体与征信机构等信用信息处理者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。”在专门法规上,征信业务管理办法第3条规定:“信用信息,是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。”试图通过目的价值来定义信用信息。个人信息保护法中第4条对个人信息进行整体定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”强调了信息的可识别性。由此观之,个人信息是个人信用信息的上位概念,其在信息记录方式和识别模式上影响了个人信用信息:在记录方式上,个人信息包括电子或者其他方式,突出了多种渠道记录模式,这同样导致个人信用信息的记录模式更加多样,并借助时间效力来提升数据样本记录的细致程度,通过缩短数据样本传输时间来提高信用法治的公信力。在识别模式上,个人信息要求已识别或者可识别,并排除了匿名化处理,这意味着个人信用信息不能匿名化后无法识别溯源,必须确保其来源可靠。进一步说,个人信用信息属于个人信息保护法中的敏感个人信息,主要对应自然人的人格尊严和财产安全,对应人格尊严是因为个人信用信息的评价错误会导致公众对该信息所有者的社会评价变差,属于侮辱人格尊严,而因为财产安全则是对应个人信用信息和信用经济直接挂钩,并和财产划分、破产资格等密切联系。
对于个人信用信息的具体内涵,狭义经济学论者认为个人信用信息是以偿还为条件的价值运动的特殊形式,具体表现为债权债务关系及偿还记录,而这一论断显然不符合个人信用信息发展的现状。与之相对,广义信息论者认为个人信用信息的概念已经超脱出狭义经济学论的观点,市场经济的高速发展催生出对个人信用信息的庞大需求,在社会信用体系语境下,不能狭隘地将个人信用信息理解为纯粹的经济学概念,而是应该拓展其价值内涵。尤其是在大数据时代,除了传统意义上的个人信用信息,个人的网络访问数据、应用程序使用数据、传感数据、行为数据、地理位置数据等,都被纳入个人信用信息的考察维度之中,兼具精神性与物质性的综合特征,个人信用信息的边界进一步扩张。对比两种观点的争论,个人信息保护法有力地支持了广义信息论的观点,记录方式和识别模式的扩张意味着个人信用信息的定义受个人信息的影响呈现多样化趋势,而多样化趋势本身就与广义信息论的核心观点不谋而合。退言之,民法典中对个人信息概念的开放式列举意味着国家层面对个人信息范围的开放态度,而个人信用信息属于个人信息的下位概念,基于个人信息保护法的整体倾向,个人信用信息的范围必然扩张。总之,个人信息保护法颁布后,在运行机制上,个人信用信息的形式范围因为受到上位概念的影响而扩张,倾向于通过多种形式来对个人信用信息进行非结构化、动态化的多维度展示,力图客观准确地呈现信息主体的信用状况。
(二)完善个人信用信息的处理原则
为了完善个人信用信息的处理流程,个人信息保护法第5至8条规定了信息处理的五项基本原则,即合法、正当、必要、诚信原则;目的限制原则;收集最小化原则;公开、透明原则;完整性、准确性原则。以上基本原则作为处理个人信息的整体性原则,可以用于个人信用信息的处理。以往对个人信用信息的处理原则主要是参考转化后的行政法比例原则,相比于个人信息保护法中的五项基本原则存在一定差别,为了完善征信体系对个人信用信息的处理,应该对基本处理原则进行相应调整。
第一,增加合法、诚信原则作为个人信用信息采集的宏观要旨。征信机构采集个人信用信息必须坚持合法、诚信原则,确保采集的个人信用信息符合法律规范要求且具有真实参考价值。合法性原则要求采集个人信用信息的手段合法和范围合法:手段合法是指采集过程不能违法犯罪,避免手段违规产生不真实的“信用画像”,并确保信息采集分析的人工智能算法具备可解释性。范围合法是指个人信用信息的采集范围合法,不能侵犯个人隐私,谨慎地采集可能影响个人信息安全的信息,尤其是在自动化决策语境下,更要妥善处理信息采集范围与二次转化使用方式。坚持诚信原则是指个人信用信息的采集和利用应该符合公众在日常社会生活中的正常行为举止,个人信用信息是用于反映个人的真实行为,如若违反诚信原则,那么得出的信用评价就失去了参考价值。如为骗取银行贷款而伪造银行流水、假合同以及假证明的行为,就应该在征信采集过程中予以制止,防止征信机构产生错误评价。
第二,有限制地在个人信用信息采集中适用公开、透明原则。公开、透明原则要求征信机构在采集个人信用信息的过程中公开个人信息处理规则,明示处理的目的、方式和范围,体现了征信采集的全流程公开、透明原则的适用;但同时也要考虑到个人信用信息和隐私权的密切联系,所以限制公开、透明的程度。公开个人信用信息的处理规则要求征信机构公开采集规则,征信业务管理办法、征信业管理条例也明确规定了具体业务规则。透明原则要求明示处理的目的、方式与范围,其中明示处理的目的体现在征信业务管理办法第12条规定的“征信机构采集个人信用信息应当经信息主体本人同意,并且明确告知信息主体采集信用信息的目的”,而明示处理的方式和范围体现在征信业务管理办法第11条规定的“征信机构经营个人征信业务,应当制定采集个人信用信息的方案,并就采集的数据项、信息来源、采集方式、信息主体合法权益保护制度等事项及其变化向中国人民银行报告”。值得注意的是,虽然透明原则要求在目的、方式和范围上都进行明示,但明示的对象主体并不相同,明示目的针对被采集个人信用信息的个体,而明示方式和范围则针对征信机构的上级主管机关——中国人民银行。之所以要有限制地适用公开、透明原则,是为了防止公开、透明原则的适用侵犯公众的个人隐私。因为信息处理技术高速发展,导致碎片化的个人信用信息被不当使用亦会侵害个人隐私,个人信用信息固然是可以公开的个人信息凭证,但是在收集、处理模式上应该避免其关键内容被技术破解,防止个人“裸奔”于网络社会。总之,有限制的公开、透明原则,实际上有助于征信机构保持对个人信息的高度敏感,明确自然人合理的隐私期待。
二、个人信息保护法助力征信合规体系功能升级
在征信体系受个人信息保护法的影响而发生根本旨向转型之后,对应的征信合规体系随之更新。在协调已有的专业性较强的征信管理法规和个人信息保护法规定的基础上,征信合规体系在法律责任追究、合规模式运行、合规处理场景、合规监管制度这四个方面都进行了迭代升级,打造以变应变的动态合规体系,强化了征信合规体系的基本功能。
(一)采用严进严出的责任追究模式
对于征信机构合规追究违规处理个人信用信息的法律责任,在以往的征信管理法规中就有所提及。征信业管理条例第38条列举了违规处理个人信用信息的八种情形和责任分配,而具体的处罚措施则包括限期整改和罚款,并处罚主要责任人员,追究其民事责任和刑事责任。已有的法律责任追究模式围绕个人信用信息的采集、使用、备案三个环节展开,希望借助征信管理法规实现对个人信用信息的全流程监管。与之相对,个人信息保护法因为对应的范围大于征信管理法规,所以在法律责任追究上更加谨慎,可以将其规范内容转化在征信合规体系中,避免惩罚范围无限扩大。
域外对违规处理个人信用信息的法律责任追究规定得较为完备,并形成对应的法律规范体系。美国是世界上最早保护个人信用信息的国家,1970年的公平信用报告法就规定了个人信用信息的正向可收集范围和反向禁止收集范围。在规定了收集范围之后,由联邦贸易委员会(Federal Trade Commission,FTC)与消费者金融保护委员会(Consumer Financial Protection Bureau,CFPB)联合展开追责,借助信息自由法(Freedom of Information Act)、隐私法案(US Privacy Act of 1974)、公平信用报告法(Fair Credit Reporting Act)等法律规范构建追责机制。FTC负责征信立法的监督和执行,受理征信信息异议和投诉,并开发金融消费者哨兵网络投诉数据中心来处理个人信用信息被盗用、个人信用报告中信息错误或不准确、获取个人信用报告或评分失败等问题,而CFPB则负责查明事实,确保异议信息转达及时并辅助法律追责与司法救济。欧盟保护个人信用信息主要参照2018年发布的一般数据保护条例(General DataProtection Regulation,GDPR),其中将个人信息权视为具体人格权加以保护,并限制“信用画像”等新技术,防止新技术破坏个人信用信息的正确采集,在技术标准上要求数据控制者定期评估匿名化技术带来的个人信用信息泄露风险,这和我国个人信息保护法中对匿名化后的个人信息进行区分对待和技术规制的趋势不谋而合。澳大利亚在1988年的隐私法第Ⅲ-A部分“信用报告”中规定了可以披露的个人信息类型、可以处理上述信息的机构以及可以处理上述信息的目的,在2014年的隐私(信用报告)法规中则规定了如何约束信用信息提供者和认证机构。对比来看,欧盟和澳大利亚对于个人信用信息的收集使用实行严格监管,采用严进严出模式,而美国对个人信用信息的法律责任追究则倾向于市场化模式,在收集环节限制较少,主要规制使用环节,采用宽进严出模式。
在我国征信合规体系的法律责任追究功能上,个人信息保护法作为前置性立法在第七章法律责任中加以规定,整体上借鉴了严进严出模式。在征信合规体系中,个人信息保护法的内容需要与已有的征信合规体系协调适用,实现对个人信用信息处理的全流程法律规制。个人信息保护法第66条规定违反本法规定处理个人信息,责令暂停或者终止提供服务,而对于拒不改正的,并处100万元以下罚款,并对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款,同时设置了“情节严重的”作为升格处罚措施的规范要件。与征信业管理条例中规定的处罚措施相比,个人信息保护法的主要差别在财产罚的数额选择上,其中个人的处罚额度并无差别,但是在单位处罚金额上,征信业管理条例规定的是5万元以上50万元以下的罚款,在100万元以下的罚款空间内。鉴于个人信息保护法规定的是拒不改正的情形,在情节恶劣程度上较高,所以此处的处罚额度以50万元为上限并无不妥,而在处罚金额下限上,因为征信业针对的是个人信用信息,相较于一般的个人信息普遍更具有保护价值,所以也不宜采用无下限模式,采用5万元为下限也更为妥当。征信业务管理办法第47条在处罚额度上参照征信业管理条例规定的5万元以上50万元以下作为罚款范围更为协调,且具有相应的处罚依据。征信业务管理办法也注意与征信业管理条例对直接负责的主管人员的处罚机制保持一致。除此以外,个人信息保护法中对“情节严重”的行为采用了更高额度的处罚金额,以5000万元为上限,同样应该适用征信业,也就是对应更加严重的情节升格处罚金额,而情节严重的判断则参考个人信息保护法的标准,这有助于实现对违规处理个人信用信息的严格监管。
(二)协调征信机构的合规运行模式
征信机构是收集个人信用信息的主体,其工作内容包括向内收集个人信用信息,以及将收集好的个人信用信息进行加工处理之后向外重新输出使用,因此其在个人信用信息处理的全过程中扮演关键角色。实际上,当前征信机构的类型多样,受市场化因素的影响,征信机构步入发展的“快车道”。比如上海资信有限公司是全国首家从事个人征信业务的机构,构建了网络金融征信系统(NFCS)、商业信用征信系统(CCS)、融资租赁综合服务平台(LSP)等一系列专业征信平台,而这些平台的协调运行则需要征信合规体系发挥监管效用。为了妥善应对征信体系所面临的挑战,征信机构需要预先调试自身的合规运行模式,涵括个人信用信息的采集、加工、使用等诸多方面,避免其工作范围因逾矩而引发争议,确保征信机构能够妥善运行,在大数据时代转型升级。
第一,补充征信机构对个人信用信息预先评估的运行模式,实现对个人信息采集、加工、使用风险的事先预防。个人信息保护法中对需要进行预先评估的个人信息范围限定为敏感个人信息、用于自动化决策的个人信息、委托处理的个人信息、向境外提供的个人信息,并规定其他对个人权益有重大影响的个人信息作为兜底条款,个人信用信息属于敏感个人信息,其中的信用内容关系到社会对个人的评价,并影响个人正常的生活,所以其收集等理应需要预先评估。预先评估的处理模式包括评估个人信用信息的处理目的、处理方式等是否合法、正当、必要,并评估对个人权益的影响及安全风险以及所采取的保护措施是否合法、有效并与风险程度相适应,而影响评估报告和处理情况记录的保存年限则至少为3年。通过预先评估模式,可以对个人信用信息形成全方位的立体化评估,由处理目的入手进行分析,并就处理方式和风险程度进行协同分析,制定最少的评估记录保存年限,确保预先评估可追溯。
第二,补充征信机构对个人信用信息事后补救的运行模式,是为了防止个人信用信息的泄露、篡改、丢失所可能导致的无法弥补的后果,因此在征信机构的运行模式中增加对应的事后补救环节。个人信息保护法中规定的补救措施主要是通知履行个人信息保护职责的部门和个人,通知的内容主要包括泄露、篡改、丢失损害后果、可以采取的减轻危害的措施以及个人信息处理者的联系方式。征信机构的事后补救措施整体而言并非是完全的事后弥补,而是在已经意识到损害后果发生的前提下,借助通知模式将损失限制在尽可能小的范围内,并且尊重个人的知情权,告知个人信用信息的所有者信息泄露、篡改、丢失的事实,使信息所有者配合以减轻危害或者限制损失扩张的措施。相比之下,原有的征信业务管理办法强调在发生危机事件时,征信机构立即采取减损措施,并向上级分支机构报告,而忽略了征信机构应当履行的向个人信用信息所有者的通知义务。总之,征信机构作为采集、加工、使用个人信息的机构,理应在发生信息泄露、篡改、丢失的风险时作好事后补救措施,通过事后补救措施增强制度运行的可靠性,实现对个人信用信息风险的及时监管和补救。
(三)预设征信合规体系的处理场景
当下征信合规建设,需要着眼于征信制度所处的特殊场景,将个人信息保护法中的规范要素作为合规要求内化于合规体系建设中,从而提升金融信息领域的综合治理能力,保证国家治理体系的现代化进程。参考个人信息保护法中对于信息合规的两个典型场景的描述,主要分为自动化决策场景和公共场所采集场景,并在这两种场景中强化征信合规建设,注重合规制度对新技术、新场景的应用。比如征信机构进行“断直连”的工程,就是在征信流程上合规,并将个人信用信息传输的数据链路纳入监管范畴,防止征信机构在处理个人信用信息时因为内部合规管理不到位而导致征信机构经营风险或者个人信用信息数据的瑕疵。
第一,在自动化决策场景中探讨个人信用信息的合规建设,首先需要明确自动化决策的定义,个人信息保护法第73条规定自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动,而在这一过程中,个人信用信息是自动化决策的运行基础,没有海量的个人信用信息作为支撑,自动化决策技术就难以施展。在自动化决策的过程中,合规建设的重心在于确保自动化决策的技术透明、算法公正以及尊重被使用个人信用信息者的知情权。自动化决策的技术合规,要求在征信机构进行技术分析之前,将自动化决策技术进行报备,由上级主管机关判断技术本身是否存在违规风险,并构建合规风险的评价模型,从而在根源上遏制潜在的技术风险。自动化决策的算法合规要求技术算法公平公正,尽可能避免算法偏见,征信机构在处理采集个人信用信息时,在技术选择上要避免路径依赖,规避那些受到自动化决策技术“偏爱”的个人信用信息干扰整体结果的输出。自动化决策中尊重被使用个人信用信息者的知情权,要求征信机构在收集用户个人信用信息时,确保收集的用户信息为对方知晓并同意,在其他征信管理法规中,也多次强调要获得用户的同意,否则贸然地收集用户个人信用信息容易造成技术越轨,甚至构成侵犯公民个人信息罪。
第二,在公共场所采集用户的个人信用信息需要注重合规建设,考虑到以区块链、智能合约为代表的新兴技术不断融入公众生活,公众日常在公共场所的消费记录等都有可能成为征信记录的数据,所以需要对公共场所采集用户个人信用信息进行合规建设。个人信息保护法第26条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”这就从合规目的层面为合规建设提供了指引。征信机构在公共场所收集的个人信用信息必须确保是以维护公共安全为目的,对于商业用途上的使用必须征得被采集人的同意,藉此避免公共场所个人信用信息收集范围的扩张。在公共场所收集流程上的合规建设需要确保征信机构尽到了显著提示的义务,要求征信机构的收集流程中包含显著的提示流程,告知被采集人其在公共场所的个人信用信息被采集以及可能存在的风险,为个人信用信息泄露增加了合规的“安全阀门”。
(四)优化征信合规监管的制度建设
强化征信合规建设中的监管制度,实际上是从监管层面确保个人信息合规制度的正常运行,并在保护策略上平衡个人利益与公共利益,通过合规制度努力构建常态化的监管模式。征信合规监管制度的运行核心在于判断个人信用信息的性质及其受损害程度,包括个人信用信息的识别性强弱、信息数量规模、侵权行为方式和用途去向、被侵权人的心理感受、对国家信息安全、社会公共利益的影响等因素,契合个人信息保护法第61条规定的个人信息保护职责中规定的监督、处理、测评、调查四种行为类型,并希望藉此作好事先预防,而当合规制度无法阻止损害结果扩大时,就应该积极引入刑事制裁,体现了向行为本位回归的积极刑法观理念。
在具体监管部门的构成上,个人信息保护法第60条规定了三级监管部门并规定其主要职责,作为征信合规的监管部门以期构建梯次化治理体系,避免顶层治理的缺失和治理力量的分散。第一级是国家网信部门,负责统筹协调个人信息保护工作和相关监督管理工作,体现了国家层面的统筹监管。第二级是国务院有关部门,在各自职责范围内负责个人信息保护和监督管理工作。就征信业务而言,中国人民银行作为国务院征信业监督管理部门负责征信业个人信息保护和监督管理,符合征信业管理条例第4条的规定,体现了部门层面在职责范围内的专门监管。第三级是县级以上地方人民政府有关部门,在日常工作中按照国家有关规定进行监管。比如,在2021年先后出台的深圳经济特区数据条例和上海市数据条例,就体现出基层落实了地方监管模式。个人信息保护法规定了三级监管模式,既有中央层面提纲挈领的统筹监管,也有部门和地方上的专门监管和地方监管,凸显了由点到面、统筹兼顾的监管模式,以求最大程度地提升征信合规的监管效率。相较以往,个人信息保护法跳脱出专门监督的桎梏,将信息安全合规监管的部门层级向上下层级之间扩张:向上扩张包括将国家网信部门涵括在内,个人信用信息从属于个人信息,既然后者需要国家网信部门监管,那么前者作为后者中的有价值部分,自然更值得保护。向下扩张则是指扩大地方监管的权限,征信业管理条例规定的监管部门主要是国务院征信业监督管理部门,倾向于专门监管的模式,而这在地方上容易有“鞭长莫及”之嫌。地方监管模式的介入,可以为征信合规制度的落实提供具体可靠的现实路径,但同时也需要及时出台配套的实施细则,避免不同层级的征信监管部门在衔接过程中出现纰漏。总之,个人信息保护法设立的三级监管部门,能够实现对征信合规体系的有效监管,既能贯彻国家层面对于个人信用信息的保护,又能兼顾地方层面征信合规监管工作的实际状况,由此构建的三级梯次化合规监管体系,避免监管力量的浪费,妥善应对技术变革,在改革监管模式的同时优化执法技术,实现对合规体系的有效监管。
三、基于个人信息保护法的完善跨境征信合规建设
我国的征信体系建设不仅是内部的信息互通建设,同时也需要和域外的征信体系进行衔接,而这就涉及个人信用信息跨境传输的合规体系建设,尤其在元宇宙互联互通的时代背景下,元宇宙中个人信用信息的传输会面临更加复杂的跨境传输境况。在实际运行过程中,我国个人信用信息跨境传输体系存在的问题有两:一是国内传输治理机制单一且可操作性不强;二是针对跨境传输的国际合作的衔接不畅,处理问题不够及时,因此需要分别加以完善。
(一)个人信用信息跨境传输的国内合规建设
在个人信用信息跨境传输的国内合规体系构建中,首先要梳理已有的法律规范,通过制定严谨可行的合规任务来加强个人信用信息跨境传输的国内监管,作到未雨绸缪,预先发挥出合规制度的效用。现有征信法规中对国内部分的合规监管,主要集中在要求数据信息本地化、遵守中国法律规定、处理流程合规合法这三个部分。与之相对,个人信息保护法则在现有征信法规的基础上,构建了两类征信机构个人信息跨境流动制度:一是依据第38条对作为一般个人信息处理者征信机构的监管;二是着重强调了对关键信息基础设施运营者的监管,依据第40条对关键信息基础设施运营者和达标的个人信息处理者的规定,从软件和硬件两个层面强调合规监管,双管齐下避免合规漏洞。
第一,合规任务中要求个人信用信息跨境传输在国内进行法律合规审查,而审查范围包含了各种层级的法律规范,且在不同法规发生冲突时以高层级或者专业性的法律规范为准。无论是征信业管理条例规定的“应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”,还是征信业务管理办法规定的“应当符合法律法规的规定”,都强调了对法律规范的遵守,其中征信业管理条例还列举出了法律规范的类型。有鉴于此,在制定个人信用信息跨境传输的合规任务时,需要将法律审查作为合规内容,审查信息传输的内容和流程是否符合法律的规定,确保个人信用信息跨境传输有法可依。在法律审查的过程中,除了要严格审查包括民法典、个人信息保护法在内的上位法,同时也要重视专门法规中对某一类型信息的规定。以金融信息为例,除了参考征信管理法规,在专门法规上,2009年发布的外国机构在中国境内提供金融信息服务管理规定中对个人金融信息的跨境传输作出详细规定,规定了金融信息的合同内容、服务内容、批准文件有效期等,因此在制定具体的合规任务时,必须将上述内容涵括其中,确保制定的合规任务和个人信用信息跨境传输业务的实际运行相协调。
第二,合规任务中应该规定对个人信用信息的具体处理流程在国内进行,包括采集、整理、保存、加工、提供这五个环节。征信业务边界不清晰一直是征信业市场主体和流程合规的难点,征信业务管理办法中明确了对征信业务的定义,可以据此制定刑事合规任务。在制定处理流程的合规任务时,采用征信业务管理办法第3条规定的“对企业和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动”更为合适,可以准确地涵括合规流程,实现对个人信用信息跨境传输的全流程监管,强化征信合规制度的犯罪预防功效。在采集合规上,要求采集的跨境传输的个人信用信息作到形式合规和实质合规,形式合规是指采集的流程遵守专业征信法规,而实质合规是指采集的个人信用信息在内容上不存在泄密的风险,从而兼具形式合法性和实质合理性。在整理合规上,要求对个人信用信息的整理和分类与现有的信息分级相匹配,参照个人信息保护法对个人信息的分类,强化对个人敏感信息的保护,并对信息进行预先的筛选审查和整理。在保存合规上,合规任务应该设置在保存模式、保存年限、保存地点方面。保存模式合规要求个人信用信息在保护流程上符合专业技术规范,个人信用信息的记载、转写方式符合相关规定,并和国际规范的要求相衔接。保存年限合规要求个人信用信息的跨境传输的保存年限符合法规规定,在超出保存年限后,及时将个人信用信息作无害化处理。保存地点合规要求个人信用信息的保存地点遵循合规任务的强制要求,比如,人口健康信息管理办法(试行)中规定“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器”,那么上述规定就应被纳入此类信息保存地点合规任务。在加工合规上,要求对用于跨境传输的个人信用信息的加工方式合规,在跨境传输过程中,个人信用信息出于保密需要会进行预先加工,防止信息传输至域外后被破解,从而确保个人信用信息的转移路径可靠,形成良好的信任机制。在提供合规上,要求个人信用信息跨境传输的提供方式符合法规规定,对提供方式进行预先的安全评估,并遵循个人信息保护法第39条的规定,将境外接收方的名称或者姓名、联系方式等提供要素都纳入合规任务,避免提供上出现衔接失误造成信息泄露,塑造个人信用信息跨境传输的可信任状态。
第三,个人信息保护法中强调了对个人信息跨境传输的硬件保障,而在个人信用信息的跨境传输过程中,因为个人信用信息的特殊属性,所以跨境传输的硬件尤为重要,需要设置对应的合规任务,避免基础硬件设施遭到外来入侵。早在2018年,中国网络安全审查技术与认证中心就开展了个人信息安全管理体系认证,希望借助认证的模式确保个人信息的传输硬件合规,将软件合规拓展至传输硬件合规。实际上,个人信用信息跨境传输的硬件合规首先需要明确个人信用信息的特殊之处,并体现在硬件合规中对关键信息基础设施的监管,做好信息保护工作。个人信用信息的特殊之处在于极高的敏感性和极强的时效性,个人信用信息和个人联系紧密且非常敏感,所以需要对敏感内容进行特殊保护,这就体现在硬件设施上对关键内容的筛选和防护,从而落实个人信息保护法第62条规定来制定处理敏感个人信息的保护规则与标准,将合规的规则和标准应用于硬件设施。此外,极强的时效性要求个人信用信息的跨境传输确保技术可靠且先进,能够快速准确地传输个人信用信息,同时避免在传输过程中信息被破译,体现在合规任务中对传输设施的要求。具体来看,传输硬件合规主要包括以下三点:一是实时监测,在硬件系统上增加对信息传输流程的全流程检测,预防对硬件的攻击破坏行为;二是强化防御措施,针对攻击威胁,结合个人信用信息的特征进行针对性预防,及时修补漏洞;三是优化处置模式,硬件设施需要简化处置风险的流程,并且作为跨境传输系统,及时将风险信息上传共享,配合其他硬件由社会共同抵御风险。总之,在硬件设施上优化合规监管需要结合跨境传输硬件的现实状况和实际需求,将硬件合规落到实处,最大程度地发挥硬件系统的效用。
(二)个人信用信息跨境传输的国际合规建设
在个人信用信息跨境传输的国外合作合规体系构建中,跨境个人信用信息传输不仅是国内一端的合规监管,同时也要重视在国际领域的合规监管合作,避免在元宇宙环境下可能出现的垄断制裁、长臂管辖以及空间权利义务运行方式转型困难等问题。早在1980年,经济合作与发展组织(Organization for Economic Cooperation and Development,OECD)就制定了隐私保护和个人数据跨境流动指南,支持个人信息在成员间自由流动,并明确信息数据安全保障的八大原则,为个人信用信息跨境传输合规提供宏观指引。目前国际社会主要有两种主流跨境信息传输合规监管方案:一是由欧美主导的单边跨境信息传输合规监管方案;二是中国和东盟促成的多元共治的跨境信息传输合规监管方案。欧美等发达国家基于自身在个人信息保护领域的绝对影响力,主导着目前主流的国际信息跨境传输规则,其中美国强调流动自由,欧盟则更注重隐私保护,但两者本质上都是为了维护自身的利益,并未考虑其他国家的信息传输权益。有鉴于此,我国倡导的多元共治的跨境信息传输合规监管方案实际上更加公平公正,不仅能保障个人信用信息的传输效率,而且能摆脱西方发达国家的“信息霸权”,提升跨境信息传输的效率;同时积极提高合规水平,构建现代化、创新型跨境数据合规体系。
2020年11月15日,中国和东盟诸国签署区域全面经济伙伴关系协定(Regional Comprehensive Economic Partnership,RCEP),在第8章“服务贸易”中的附件1“金融服务”和附件2“电信服务”以及第12章“电子商务”中对数据信息的跨境传输作出规定,在推动信息跨境流动的前提下,将合法的公共政策目标和基本安全利益等作为数据信息跨境自由流动的限制事由,并倡导设立多元化的信息跨境流动争议解决机制。与之对应,个人信息保护法中对个人信息跨境传输国际合作的规定主要是信息安全和避免歧视,而这也和RCEP相契合,可以将其作为个人信用信息跨境传输的主要合规任务,尤其是鉴于个人信用信息和个人社会评价密切相关,所以更要避免其遭受歧视。第一,保障个人信用信息安全是合规任务的首要内容,这要求在信息跨境传输的起始端和结束端都保障信息传输安全,尤其是在多元共治的模式下,个人信用信息在跨境传输的各国都应该接受相对统一的信息安全保障,将信息安全保障作为合规的具体内容,贯彻于信息数据脱敏、信息数据监管等诸多环节。第二,在合规任务中增加避免歧视的要求,可以消弭因为歧视所引发的个人信用信息跨境传输争端,最大程度地发挥个人信用信息的效用。个人信用信息和用户个人联系紧密,具有极强的人格属性,但是在传输的过程中,可能会因为标准的不统一导致对同一信息的歧视性解读,而这对个人信用信息的处理会十分不利,甚至会因为算法歧视导致不正确的信用评价。有鉴于此,在避免歧视的合规任务中,要求跨境传输体系对于个人信用信息的解读应进行反歧视审查工作,对关键信息数据进行时空上的纵向对比和地域上的横向比对,尊重信息来源地的风俗习惯,有助于真正发挥个人信用信息所传达的价值。
总之,在个人信用信息跨境传输的国际合规建设中,应该依托多元共治的跨境信息传输监管方案来构建对应的合规体系,充分发挥出合规制度的保障效用,在保障安全和消除歧视的前提下优化个人信用信息的跨境传输流程。通过国际合规建设,可以促进不同国家和地区之间的个人信用信息交流,协调国际条约和国内法规,从而将合规体系贯彻信息跨境传输的全过程。
结语
个人信息保护法对我国征信合规体系建设产生了深远的影响,征信领域个人信用信息保护和利用就像一枚硬币的正反两面,需要在合规的前提下经历对立又统一的利益衡量过程,而个人信息保护法则应以培育内部合规治理机制为目标,辅以有效的外部执法合规保障。为了维护征信金融秩序的稳定协调,在个人信用信息的采集、利用等环节构建体系性、操作性和开放性兼备的征信合规体系。当个人信息保护法出台后,个人信用信息在采集、加工、使用等环节必然会受其影响转变运行模式,而征信机关则应该以此为契机,配合已有的征信管理法规,对现有征信合规体系进行调整与完善,加强征信合规监管,构建合规计划、建立合规组织、开展员工合规业务培训、定期进行合规审计,并将个人信息保护合规文化融入征信业务,打造更具个人信息保护意识的征信合规体系。
,来源:《东方法学》2022年第3期(总第87期)
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com