要目
一、個人信息保護法下征信體系的根本旨向轉型
二、個人信息保護法助力征信合規體系功能升級
三、基于個人信息保護法的完善跨境征信合規建設
結語
伴隨個人信息保護法的頒布,我國進一步強化對個人信用信息的保護,調整并完善征信合規體系。個人信息保護法改變了征信體系的根本旨向,個人信用信息的內涵定義與處理原則發生了變更,其對應自然人的人格尊嚴和財產安全,并補充了合法、誠信和有限制的公開、透明處理原則。對應征信體系的變更,征信合規體系的基本功能也進行升級,采用嚴進嚴出的責任追究模式,協調征信機構的合規運行模式,補充對個人信用信息的預先評估模式和事后補救模式,預設自動化決策和在公共場所中采集信息這兩種征信合規處理場景,并設立由國家網信部門、中國人民銀行、縣級以上地方人民政府有關部門組成的三級梯次化合規監管體系。為了確保個人信用信息跨境傳輸合規,征信合規體系需要在國內進行法律規范審查、規范信息處理流程并強化對硬件的合規監管,在國際上倡導多元共治,注重保護信息安全和避免歧視內容。
2021年11月1日,個人信息保護法正式施行,標志著我國對個人信息的保護邁入全新時代。在個人信息中,與征信相關的個人信用信息是其中重要組成部分,而近年來大數據、元宇宙概念的提出,則從技術手段和適用場域兩個方面給征信業提供了發展的機遇和挑戰,這就要求征信系統合理地利用與保護個人信息,尤其是個人信息保護法施行后,征信機構在個人信用信息的采集、整理、保存、加工、提供、使用的全流程都需作出相應調整,通過合規制度來緩和新型網絡信息法律義務之間的緊張關系。在元宇宙的語境下,人們不僅應為元宇宙建設提供技術基礎,還同時應用法治為元宇宙的有序發展提供制度基礎,而征信體系就是溝通現實性物理空間與數字虛擬社會之間的“橋梁”,征信合規體系則是橋梁的保障。征信合規體系的調整與完善需要貫徹民法典對個人信息的規定,配合專門的征信管理法規,落實個人信息保護法的具體內容。個人信息保護法強調了對互聯網金融業和創新性科技深度融合的有力監管,而在合規氛圍濃厚的大環境下,個人信息保護法則為我國個人信用信息保護提供了規范支撐,并改變了其根本旨向,督促征信機構履行合規義務。鑒于此,在個人信息保護法頒布后,優化征信合規體系的構建可以在個人信息保護、企業商業利益以及社會公共利益之間取得平衡,同時也為元宇宙空間未來的整體形塑提供基礎助力。
一、個人信息保護法下征信體系的根本旨向轉型
個人信息保護法明確個人信息的規范定義,而個人信用信息作為其中的重要類型,受其影響在根本旨向上發生了變更。個人信息保護法對征信體系根本旨向的影響體現在個人信用信息的內涵定義與處理原則的變更,而根本旨向上的轉型同時也為個人信用信息征信合規體系的優化作好鋪墊。
明確個人信用信息的內涵定義
一直以來,規范層面對個人信用信息的定義都聚訟不休,而這一爭議來源個人信息定義的爭議。民法典第1034條對個人信息的定義為:“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”通過“概念+列舉”的方式來定義個人信息,將個人信息歸屬于具體的人格權范疇。而個人信用信息則歸屬其中,并在第1030條規定:“民事主體與征信機構等信用信息處理者之間的關系,適用本編有關個人信息保護的規定和其他法律、行政法規的有關規定。”在專門法規上,征信業務管理辦法第3條規定:“信用信息,是指依法采集,為金融等活動提供服務,用于識別判斷企業和個人信用狀況的基本信息、借貸信息、其他相關信息,以及基于前述信息形成的分析評價信息。”試圖通過目的價值來定義信用信息。個人信息保護法中第4條對個人信息進行整體定義:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。”強調了信息的可識別性。由此觀之,個人信息是個人信用信息的上位概念,其在信息記錄方式和識別模式上影響了個人信用信息:在記錄方式上,個人信息包括電子或者其他方式,突出了多種渠道記錄模式,這同樣導致個人信用信息的記錄模式更加多樣,并借助時間效力來提升數據樣本記錄的細致程度,通過縮短數據樣本傳輸時間來提高信用法治的公信力。在識別模式上,個人信息要求已識別或者可識別,并排除了匿名化處理,這意味著個人信用信息不能匿名化后無法識別溯源,必須確保其來源可靠。進一步說,個人信用信息屬于個人信息保護法中的敏感個人信息,主要對應自然人的人格尊嚴和財產安全,對應人格尊嚴是因為個人信用信息的評價錯誤會導致公眾對該信息所有者的社會評價變差,屬于侮辱人格尊嚴,而因為財產安全則是對應個人信用信息和信用經濟直接掛鉤,并和財產劃分、破產資格等密切聯系。
對于個人信用信息的具體內涵,狹義經濟學論者認為個人信用信息是以償還為條件的價值運動的特殊形式,具體表現為債權債務關系及償還記錄,而這一論斷顯然不符合個人信用信息發展的現狀。與之相對,廣義信息論者認為個人信用信息的概念已經超脫出狹義經濟學論的觀點,市場經濟的高速發展催生出對個人信用信息的龐大需求,在社會信用體系語境下,不能狹隘地將個人信用信息理解為純粹的經濟學概念,而是應該拓展其價值內涵。尤其是在大數據時代,除了傳統意義上的個人信用信息,個人的網絡訪問數據、應用程序使用數據、傳感數據、行為數據、地理位置數據等,都被納入個人信用信息的考察維度之中,兼具精神性與物質性的綜合特征,個人信用信息的邊界進一步擴張。對比兩種觀點的爭論,個人信息保護法有力地支持了廣義信息論的觀點,記錄方式和識別模式的擴張意味著個人信用信息的定義受個人信息的影響呈現多樣化趨勢,而多樣化趨勢本身就與廣義信息論的核心觀點不謀而合。退言之,民法典中對個人信息概念的開放式列舉意味著國家層面對個人信息范圍的開放態度,而個人信用信息屬于個人信息的下位概念,基于個人信息保護法的整體傾向,個人信用信息的范圍必然擴張。總之,個人信息保護法頒布后,在運行機制上,個人信用信息的形式范圍因為受到上位概念的影響而擴張,傾向于通過多種形式來對個人信用信息進行非結構化、動態化的多維度展示,力圖客觀準確地呈現信息主體的信用狀況。
完善個人信用信息的處理原則
為了完善個人信用信息的處理流程,個人信息保護法第5至8條規定了信息處理的五項基本原則,即合法、正當、必要、誠信原則;目的限制原則;收集最小化原則;公開、透明原則;完整性、準確性原則。以上基本原則作為處理個人信息的整體性原則,可以用于個人信用信息的處理。以往對個人信用信息的處理原則主要是參考轉化后的行政法比例原則,相比于個人信息保護法中的五項基本原則存在一定差別,為了完善征信體系對個人信用信息的處理,應該對基本處理原則進行相應調整。
第一,增加合法、誠信原則作為個人信用信息采集的宏觀要旨。征信機構采集個人信用信息必須堅持合法、誠信原則,確保采集的個人信用信息符合法律規范要求且具有真實參考價值。合法性原則要求采集個人信用信息的手段合法和范圍合法:手段合法是指采集過程不能違法犯罪,避免手段違規產生不真實的“信用畫像”,并確保信息采集分析的人工智能算法具備可解釋性。范圍合法是指個人信用信息的采集范圍合法,不能侵犯個人隱私,謹慎地采集可能影響個人信息安全的信息,尤其是在自動化決策語境下,更要妥善處理信息采集范圍與二次轉化使用方式。堅持誠信原則是指個人信用信息的采集和利用應該符合公眾在日常社會生活中的正常行為舉止,個人信用信息是用于反映個人的真實行為,如若違反誠信原則,那么得出的信用評價就失去了參考價值。如為騙取銀行貸款而偽造銀行流水、假合同以及假證明的行為,就應該在征信采集過程中予以制止,防止征信機構產生錯誤評價。
第二,有限制地在個人信用信息采集中適用公開、透明原則。公開、透明原則要求征信機構在采集個人信用信息的過程中公開個人信息處理規則,明示處理的目的、方式和范圍,體現了征信采集的全流程公開、透明原則的適用;但同時也要考慮到個人信用信息和隱私權的密切聯系,所以限制公開、透明的程度。公開個人信用信息的處理規則要求征信機構公開采集規則,征信業務管理辦法、征信業管理條例也明確規定了具體業務規則。透明原則要求明示處理的目的、方式與范圍,其中明示處理的目的體現在征信業務管理辦法第12條規定的“征信機構采集個人信用信息應當經信息主體本人同意,并且明確告知信息主體采集信用信息的目的”,而明示處理的方式和范圍體現在征信業務管理辦法第11條規定的“征信機構經營個人征信業務,應當制定采集個人信用信息的方案,并就采集的數據項、信息來源、采集方式、信息主體合法權益保護制度等事項及其變化向中國人民銀行報告”。值得注意的是,雖然透明原則要求在目的、方式和范圍上都進行明示,但明示的對象主體并不相同,明示目的針對被采集個人信用信息的個體,而明示方式和范圍則針對征信機構的上級主管機關——中國人民銀行。之所以要有限制地適用公開、透明原則,是為了防止公開、透明原則的適用侵犯公眾的個人隱私。因為信息處理技術高速發展,導致碎片化的個人信用信息被不當使用亦會侵害個人隱私,個人信用信息固然是可以公開的個人信息憑證,但是在收集、處理模式上應該避免其關鍵內容被技術破解,防止個人“裸奔”于網絡社會。總之,有限制的公開、透明原則,實際上有助于征信機構保持對個人信息的高度敏感,明確自然人合理的隱私期待。
二、個人信息保護法助力征信合規體系功能升級
在征信體系受個人信息保護法的影響而發生根本旨向轉型之后,對應的征信合規體系隨之更新。在協調已有的專業性較強的征信管理法規和個人信息保護法規定的基礎上,征信合規體系在法律責任追究、合規模式運行、合規處理場景、合規監管制度這四個方面都進行了迭代升級,打造以變應變的動態合規體系,強化了征信合規體系的基本功能。
采用嚴進嚴出的責任追究模式
對于征信機構合規追究違規處理個人信用信息的法律責任,在以往的征信管理法規中就有所提及。征信業管理條例第38條列舉了違規處理個人信用信息的八種情形和責任分配,而具體的處罰措施則包括限期整改和罰款,并處罰主要責任人員,追究其民事責任和刑事責任。已有的法律責任追究模式圍繞個人信用信息的采集、使用、備案三個環節展開,希望借助征信管理法規實現對個人信用信息的全流程監管。與之相對,個人信息保護法因為對應的范圍大于征信管理法規,所以在法律責任追究上更加謹慎,可以將其規范內容轉化在征信合規體系中,避免懲罰范圍無限擴大。
域外對違規處理個人信用信息的法律責任追究規定得較為完備,并形成對應的法律規范體系。美國是世界上最早保護個人信用信息的國家,1970年的公平信用報告法就規定了個人信用信息的正向可收集范圍和反向禁止收集范圍。在規定了收集范圍之后,由聯邦貿易委員會(Federal Trade Commission,FTC)與消費者金融保護委員會(Consumer Financial Protection Bureau,CFPB)聯合展開追責,借助信息自由法(Freedom of Information Act)、隱私法案(US Privacy Act of 1974)、公平信用報告法(Fair Credit Reporting Act)等法律規范構建追責機制。FTC負責征信立法的監督和執行,受理征信信息異議和投訴,并開發金融消費者哨兵網絡投訴數據中心來處理個人信用信息被盜用、個人信用報告中信息錯誤或不準確、獲取個人信用報告或評分失敗等問題,而CFPB則負責查明事實,確保異議信息轉達及時并輔助法律追責與司法救濟。歐盟保護個人信用信息主要參照2018年發布的一般數據保護條例(General Data Protection Regulation,GDPR),其中將個人信息權視為具體人格權加以保護,并限制“信用畫像”等新技術,防止新技術破壞個人信用信息的正確采集,在技術標準上要求數據控制者定期評估匿名化技術帶來的個人信用信息泄露風險,這和我國個人信息保護法中對匿名化后的個人信息進行區分對待和技術規制的趨勢不謀而合。澳大利亞在1988年的隱私法第Ⅲ-A部分“信用報告”中規定了可以披露的個人信息類型、可以處理上述信息的機構以及可以處理上述信息的目的,在2014年的隱私(信用報告)法規中則規定了如何約束信用信息提供者和認證機構。對比來看,歐盟和澳大利亞對于個人信用信息的收集使用實行嚴格監管,采用嚴進嚴出模式,而美國對個人信用信息的法律責任追究則傾向于市場化模式,在收集環節限制較少,主要規制使用環節,采用寬進嚴出模式。
在我國征信合規體系的法律責任追究功能上,個人信息保護法作為前置性立法在第七章法律責任中加以規定,整體上借鑒了嚴進嚴出模式。在征信合規體系中,個人信息保護法的內容需要與已有的征信合規體系協調適用,實現對個人信用信息處理的全流程法律規制。個人信息保護法第66條規定違反本法規定處理個人信息,責令暫停或者終止提供服務,而對于拒不改正的,并處100萬元以下罰款,并對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款,同時設置了“情節嚴重的”作為升格處罰措施的規范要件。與征信業管理條例中規定的處罰措施相比,個人信息保護法的主要差別在財產罰的數額選擇上,其中個人的處罰額度并無差別,但是在單位處罰金額上,征信業管理條例規定的是5萬元以上50萬元以下的罰款,在100萬元以下的罰款空間內。鑒于個人信息保護法規定的是拒不改正的情形,在情節惡劣程度上較高,所以此處的處罰額度以50萬元為上限并無不妥,而在處罰金額下限上,因為征信業針對的是個人信用信息,相較于一般的個人信息普遍更具有保護價值,所以也不宜采用無下限模式,采用5萬元為下限也更為妥當。征信業務管理辦法第47條在處罰額度上參照征信業管理條例規定的5萬元以上50萬元以下作為罰款范圍更為協調,且具有相應的處罰依據。征信業務管理辦法也注意與征信業管理條例對直接負責的主管人員的處罰機制保持一致。除此以外,個人信息保護法中對“情節嚴重”的行為采用了更高額度的處罰金額,以5000萬元為上限,同樣應該適用征信業,也就是對應更加嚴重的情節升格處罰金額,而情節嚴重的判斷則參考個人信息保護法的標準,這有助于實現對違規處理個人信用信息的嚴格監管。
協調征信機構的合規運行模式
征信機構是收集個人信用信息的主體,其工作內容包括向內收集個人信用信息,以及將收集好的個人信用信息進行加工處理之后向外重新輸出使用,因此其在個人信用信息處理的全過程中扮演關鍵角色。實際上,當前征信機構的類型多樣,受市場化因素的影響,征信機構步入發展的“快車道”。比如上海資信有限公司是全國首家從事個人征信業務的機構,構建了網絡金融征信系統(NFCS)、商業信用征信系統(CCS)、融資租賃綜合服務平臺(LSP)等一系列專業征信平臺,而這些平臺的協調運行則需要征信合規體系發揮監管效用。為了妥善應對征信體系所面臨的挑戰,征信機構需要預先調試自身的合規運行模式,涵括個人信用信息的采集、加工、使用等諸多方面,避免其工作范圍因逾矩而引發爭議,確保征信機構能夠妥善運行,在大數據時代轉型升級。
第一,補充征信機構對個人信用信息預先評估的運行模式,實現對個人信息采集、加工、使用風險的事先預防。個人信息保護法中對需要進行預先評估的個人信息范圍限定為敏感個人信息、用于自動化決策的個人信息、委托處理的個人信息、向境外提供的個人信息,并規定其他對個人權益有重大影響的個人信息作為兜底條款,個人信用信息屬于敏感個人信息,其中的信用內容關系到社會對個人的評價,并影響個人正常的生活,所以其收集等理應需要預先評估。預先評估的處理模式包括評估個人信用信息的處理目的、處理方式等是否合法、正當、必要,并評估對個人權益的影響及安全風險以及所采取的保護措施是否合法、有效并與風險程度相適應,而影響評估報告和處理情況記錄的保存年限則至少為3年。通過預先評估模式,可以對個人信用信息形成全方位的立體化評估,由處理目的入手進行分析,并就處理方式和風險程度進行協同分析,制定最少的評估記錄保存年限,確保預先評估可追溯。
第二,補充征信機構對個人信用信息事后補救的運行模式,是為了防止個人信用信息的泄露、篡改、丟失所可能導致的無法彌補的后果,因此在征信機構的運行模式中增加對應的事后補救環節。個人信息保護法中規定的補救措施主要是通知履行個人信息保護職責的部門和個人,通知的內容主要包括泄露、篡改、丟失損害后果、可以采取的減輕危害的措施以及個人信息處理者的聯系方式。征信機構的事后補救措施整體而言并非是完全的事后彌補,而是在已經意識到損害后果發生的前提下,借助通知模式將損失限制在盡可能小的范圍內,并且尊重個人的知情權,告知個人信用信息的所有者信息泄露、篡改、丟失的事實,使信息所有者配合以減輕危害或者限制損失擴張的措施。相比之下,原有的征信業務管理辦法強調在發生危機事件時,征信機構立即采取減損措施,并向上級分支機構報告,而忽略了征信機構應當履行的向個人信用信息所有者的通知義務。總之,征信機構作為采集、加工、使用個人信息的機構,理應在發生信息泄露、篡改、丟失的風險時作好事后補救措施,通過事后補救措施增強制度運行的可靠性,實現對個人信用信息風險的及時監管和補救。
預設征信合規體系的處理場景
當下征信合規建設,需要著眼于征信制度所處的特殊場景,將個人信息保護法中的規范要素作為合規要求內化于合規體系建設中,從而提升金融信息領域的綜合治理能力,保證國家治理體系的現代化進程。參考個人信息保護法中對于信息合規的兩個典型場景的描述,主要分為自動化決策場景和公共場所采集場景,并在這兩種場景中強化征信合規建設,注重合規制度對新技術、新場景的應用。比如征信機構進行“斷直連”的工程,就是在征信流程上合規,并將個人信用信息傳輸的數據鏈路納入監管范疇,防止征信機構在處理個人信用信息時因為內部合規管理不到位而導致征信機構經營風險或者個人信用信息數據的瑕疵。
第一,在自動化決策場景中探討個人信用信息的合規建設,首先需要明確自動化決策的定義,個人信息保護法第73條規定自動化決策是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動,而在這一過程中,個人信用信息是自動化決策的運行基礎,沒有海量的個人信用信息作為支撐,自動化決策技術就難以施展。在自動化決策的過程中,合規建設的重心在于確保自動化決策的技術透明、算法公正以及尊重被使用個人信用信息者的知情權。自動化決策的技術合規,要求在征信機構進行技術分析之前,將自動化決策技術進行報備,由上級主管機關判斷技術本身是否存在違規風險,并構建合規風險的評價模型,從而在根源上遏制潛在的技術風險。自動化決策的算法合規要求技術算法公平公正,盡可能避免算法偏見,征信機構在處理采集個人信用信息時,在技術選擇上要避免路徑依賴,規避那些受到自動化決策技術“偏愛”的個人信用信息干擾整體結果的輸出。自動化決策中尊重被使用個人信用信息者的知情權,要求征信機構在收集用戶個人信用信息時,確保收集的用戶信息為對方知曉并同意,在其他征信管理法規中,也多次強調要獲得用戶的同意,否則貿然地收集用戶個人信用信息容易造成技術越軌,甚至構成侵犯公民個人信息罪。
第二,在公共場所采集用戶的個人信用信息需要注重合規建設,考慮到以區塊鏈、智能合約為代表的新興技術不斷融入公眾生活,公眾日常在公共場所的消費記錄等都有可能成為征信記錄的數據,所以需要對公共場所采集用戶個人信用信息進行合規建設。個人信息保護法第26條規定:“在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。”這就從合規目的層面為合規建設提供了指引。征信機構在公共場所收集的個人信用信息必須確保是以維護公共安全為目的,對于商業用途上的使用必須征得被采集人的同意,藉此避免公共場所個人信用信息收集范圍的擴張。在公共場所收集流程上的合規建設需要確保征信機構盡到了顯著提示的義務,要求征信機構的收集流程中包含顯著的提示流程,告知被采集人其在公共場所的個人信用信息被采集以及可能存在的風險,為個人信用信息泄露增加了合規的“安全閥門”。
優化征信合規監管的制度建設
強化征信合規建設中的監管制度,實際上是從監管層面確保個人信息合規制度的正常運行,并在保護策略上平衡個人利益與公共利益,通過合規制度努力構建常態化的監管模式。征信合規監管制度的運行核心在于判斷個人信用信息的性質及其受損害程度,包括個人信用信息的識別性強弱、信息數量規模、侵權行為方式和用途去向、被侵權人的心理感受、對國家信息安全、社會公共利益的影響等因素,契合個人信息保護法第61條規定的個人信息保護職責中規定的監督、處理、測評、調查四種行為類型,并希望藉此作好事先預防,而當合規制度無法阻止損害結果擴大時,就應該積極引入刑事制裁,體現了向行為本位回歸的積極刑法觀理念。
在具體監管部門的構成上,個人信息保護法第60條規定了三級監管部門并規定其主要職責,作為征信合規的監管部門以期構建梯次化治理體系,避免頂層治理的缺失和治理力量的分散。第一級是國家網信部門,負責統籌協調個人信息保護工作和相關監督管理工作,體現了國家層面的統籌監管。第二級是國務院有關部門,在各自職責范圍內負責個人信息保護和監督管理工作。就征信業務而言,中國人民銀行作為國務院征信業監督管理部門負責征信業個人信息保護和監督管理,符合征信業管理條例第4條的規定,體現了部門層面在職責范圍內的專門監管。第三級是縣級以上地方人民政府有關部門,在日常工作中按照國家有關規定進行監管。比如,在2021年先后出臺的深圳經濟特區數據條例和上海市數據條例,就體現出基層落實了地方監管模式。個人信息保護法規定了三級監管模式,既有中央層面提綱挈領的統籌監管,也有部門和地方上的專門監管和地方監管,凸顯了由點到面、統籌兼顧的監管模式,以求最大程度地提升征信合規的監管效率。相較以往,個人信息保護法跳脫出專門監督的桎梏,將信息安全合規監管的部門層級向上下層級之間擴張:向上擴張包括將國家網信部門涵括在內,個人信用信息從屬于個人信息,既然后者需要國家網信部門監管,那么前者作為后者中的有價值部分,自然更值得保護。向下擴張則是指擴大地方監管的權限,征信業管理條例規定的監管部門主要是國務院征信業監督管理部門,傾向于專門監管的模式,而這在地方上容易有“鞭長莫及”之嫌。地方監管模式的介入,可以為征信合規制度的落實提供具體可靠的現實路徑,但同時也需要及時出臺配套的實施細則,避免不同層級的征信監管部門在銜接過程中出現紕漏。總之,個人信息保護法設立的三級監管部門,能夠實現對征信合規體系的有效監管,既能貫徹國家層面對于個人信用信息的保護,又能兼顧地方層面征信合規監管工作的實際狀況,由此構建的三級梯次化合規監管體系,避免監管力量的浪費,妥善應對技術變革,在改革監管模式的同時優化執法技術,實現對合規體系的有效監管。
三、基于個人信息保護法的完善跨境征信合規建設
我國的征信體系建設不僅是內部的信息互通建設,同時也需要和域外的征信體系進行銜接,而這就涉及個人信用信息跨境傳輸的合規體系建設,尤其在元宇宙互聯互通的時代背景下,元宇宙中個人信用信息的傳輸會面臨更加復雜的跨境傳輸境況。在實際運行過程中,我國個人信用信息跨境傳輸體系存在的問題有兩:一是國內傳輸治理機制單一且可操作性不強;二是針對跨境傳輸的國際合作的銜接不暢,處理問題不夠及時,因此需要分別加以完善。
個人信用信息跨境傳輸的國內合規建設
在個人信用信息跨境傳輸的國內合規體系構建中,首先要梳理已有的法律規范,通過制定嚴謹可行的合規任務來加強個人信用信息跨境傳輸的國內監管,作到未雨綢繆,預先發揮出合規制度的效用。現有征信法規中對國內部分的合規監管,主要集中在要求數據信息本地化、遵守中國法律規定、處理流程合規合法這三個部分。與之相對,個人信息保護法則在現有征信法規的基礎上,構建了兩類征信機構個人信息跨境流動制度:一是依據第38條對作為一般個人信息處理者征信機構的監管;二是著重強調了對關鍵信息基礎設施運營者的監管,依據第40條對關鍵信息基礎設施運營者和達標的個人信息處理者的規定,從軟件和硬件兩個層面強調合規監管,雙管齊下避免合規漏洞。
第一,合規任務中要求個人信用信息跨境傳輸在國內進行法律合規審查,而審查范圍包含了各種層級的法律規范,且在不同法規發生沖突時以高層級或者專業性的法律規范為準。無論是征信業管理條例規定的“應當遵守法律、行政法規和國務院征信業監督管理部門的有關規定”,還是征信業務管理辦法規定的“應當符合法律法規的規定”,都強調了對法律規范的遵守,其中征信業管理條例還列舉出了法律規范的類型。有鑒于此,在制定個人信用信息跨境傳輸的合規任務時,需要將法律審查作為合規內容,審查信息傳輸的內容和流程是否符合法律的規定,確保個人信用信息跨境傳輸有法可依。在法律審查的過程中,除了要嚴格審查包括民法典、個人信息保護法在內的上位法,同時也要重視專門法規中對某一類型信息的規定。以金融信息為例,除了參考征信管理法規,在專門法規上,2009年發布的外國機構在中國境內提供金融信息服務管理規定中對個人金融信息的跨境傳輸作出詳細規定,規定了金融信息的合同內容、服務內容、批準文件有效期等,因此在制定具體的合規任務時,必須將上述內容涵括其中,確保制定的合規任務和個人信用信息跨境傳輸業務的實際運行相協調。
第二,合規任務中應該規定對個人信用信息的具體處理流程在國內進行,包括采集、整理、保存、加工、提供這五個環節。征信業務邊界不清晰一直是征信業市場主體和流程合規的難點,征信業務管理辦法中明確了對征信業務的定義,可以據此制定刑事合規任務。在制定處理流程的合規任務時,采用征信業務管理辦法第3條規定的“對企業和個人的信用信息進行采集、整理、保存、加工,并向信息使用者提供的活動”更為合適,可以準確地涵括合規流程,實現對個人信用信息跨境傳輸的全流程監管,強化征信合規制度的犯罪預防功效。在采集合規上,要求采集的跨境傳輸的個人信用信息作到形式合規和實質合規,形式合規是指采集的流程遵守專業征信法規,而實質合規是指采集的個人信用信息在內容上不存在泄密的風險,從而兼具形式合法性和實質合理性。在整理合規上,要求對個人信用信息的整理和分類與現有的信息分級相匹配,參照個人信息保護法對個人信息的分類,強化對個人敏感信息的保護,并對信息進行預先的篩選審查和整理。在保存合規上,合規任務應該設置在保存模式、保存年限、保存地點方面。保存模式合規要求個人信用信息在保護流程上符合專業技術規范,個人信用信息的記載、轉寫方式符合相關規定,并和國際規范的要求相銜接。保存年限合規要求個人信用信息的跨境傳輸的保存年限符合法規規定,在超出保存年限后,及時將個人信用信息作無害化處理。保存地點合規要求個人信用信息的保存地點遵循合規任務的強制要求,比如,人口健康信息管理辦法(試行)中規定“不得將人口健康信息在境外的服務器中存儲,不得托管、租賃在境外的服務器”,那么上述規定就應被納入此類信息保存地點合規任務。在加工合規上,要求對用于跨境傳輸的個人信用信息的加工方式合規,在跨境傳輸過程中,個人信用信息出于保密需要會進行預先加工,防止信息傳輸至域外后被破解,從而確保個人信用信息的轉移路徑可靠,形成良好的信任機制。在提供合規上,要求個人信用信息跨境傳輸的提供方式符合法規規定,對提供方式進行預先的安全評估,并遵循個人信息保護法第39條的規定,將境外接收方的名稱或者姓名、聯系方式等提供要素都納入合規任務,避免提供上出現銜接失誤造成信息泄露,塑造個人信用信息跨境傳輸的可信任狀態。
第三,個人信息保護法中強調了對個人信息跨境傳輸的硬件保障,而在個人信用信息的跨境傳輸過程中,因為個人信用信息的特殊屬性,所以跨境傳輸的硬件尤為重要,需要設置對應的合規任務,避免基礎硬件設施遭到外來入侵。早在2018年,中國網絡安全審查技術與認證中心就開展了個人信息安全管理體系認證,希望借助認證的模式確保個人信息的傳輸硬件合規,將軟件合規拓展至傳輸硬件合規。實際上,個人信用信息跨境傳輸的硬件合規首先需要明確個人信用信息的特殊之處,并體現在硬件合規中對關鍵信息基礎設施的監管,做好信息保護工作。個人信用信息的特殊之處在于極高的敏感性和極強的時效性,個人信用信息和個人聯系緊密且非常敏感,所以需要對敏感內容進行特殊保護,這就體現在硬件設施上對關鍵內容的篩選和防護,從而落實個人信息保護法第62條規定來制定處理敏感個人信息的保護規則與標準,將合規的規則和標準應用于硬件設施。此外,極強的時效性要求個人信用信息的跨境傳輸確保技術可靠且先進,能夠快速準確地傳輸個人信用信息,同時避免在傳輸過程中信息被破譯,體現在合規任務中對傳輸設施的要求。具體來看,傳輸硬件合規主要包括以下三點:一是實時監測,在硬件系統上增加對信息傳輸流程的全流程檢測,預防對硬件的攻擊破壞行為;二是強化防御措施,針對攻擊威脅,結合個人信用信息的特征進行針對性預防,及時修補漏洞;三是優化處置模式,硬件設施需要簡化處置風險的流程,并且作為跨境傳輸系統,及時將風險信息上傳共享,配合其他硬件由社會共同抵御風險。總之,在硬件設施上優化合規監管需要結合跨境傳輸硬件的現實狀況和實際需求,將硬件合規落到實處,最大程度地發揮硬件系統的效用。
個人信用信息跨境傳輸的國際合規建設
在個人信用信息跨境傳輸的國外合作合規體系構建中,跨境個人信用信息傳輸不僅是國內一端的合規監管,同時也要重視在國際領域的合規監管合作,避免在元宇宙環境下可能出現的壟斷制裁、長臂管轄以及空間權利義務運行方式轉型困難等問題。早在1980年,經濟合作與發展組織(Organization for Economic Cooperation and Development,OECD)就制定了隱私保護和個人數據跨境流動指南,支持個人信息在成員間自由流動,并明確信息數據安全保障的八大原則,為個人信用信息跨境傳輸合規提供宏觀指引。目前國際社會主要有兩種主流跨境信息傳輸合規監管方案:一是由歐美主導的單邊跨境信息傳輸合規監管方案;二是中國和東盟促成的多元共治的跨境信息傳輸合規監管方案。歐美等發達國家基于自身在個人信息保護領域的絕對影響力,主導著目前主流的國際信息跨境傳輸規則,其中美國強調流動自由,歐盟則更注重隱私保護,但兩者本質上都是為了維護自身的利益,并未考慮其他國家的信息傳輸權益。有鑒于此,我國倡導的多元共治的跨境信息傳輸合規監管方案實際上更加公平公正,不僅能保障個人信用信息的傳輸效率,而且能擺脫西方發達國家的“信息霸權”,提升跨境信息傳輸的效率;同時積極提高合規水平,構建現代化、創新型跨境數據合規體系。
2020年11月15日,中國和東盟諸國簽署區域全面經濟伙伴關系協定(Regional Comprehensive Economic Partnership,RCEP),在第8章“服務貿易”中的附件1“金融服務”和附件2“電信服務”以及第12章“電子商務”中對數據信息的跨境傳輸作出規定,在推動信息跨境流動的前提下,將合法的公共政策目標和基本安全利益等作為數據信息跨境自由流動的限制事由,并倡導設立多元化的信息跨境流動爭議解決機制。與之對應,個人信息保護法中對個人信息跨境傳輸國際合作的規定主要是信息安全和避免歧視,而這也和RCEP相契合,可以將其作為個人信用信息跨境傳輸的主要合規任務,尤其是鑒于個人信用信息和個人社會評價密切相關,所以更要避免其遭受歧視。第一,保障個人信用信息安全是合規任務的首要內容,這要求在信息跨境傳輸的起始端和結束端都保障信息傳輸安全,尤其是在多元共治的模式下,個人信用信息在跨境傳輸的各國都應該接受相對統一的信息安全保障,將信息安全保障作為合規的具體內容,貫徹于信息數據脫敏、信息數據監管等諸多環節。第二,在合規任務中增加避免歧視的要求,可以消弭因為歧視所引發的個人信用信息跨境傳輸爭端,最大程度地發揮個人信用信息的效用。個人信用信息和用戶個人聯系緊密,具有極強的人格屬性,但是在傳輸的過程中,可能會因為標準的不統一導致對同一信息的歧視性解讀,而這對個人信用信息的處理會十分不利,甚至會因為算法歧視導致不正確的信用評價。有鑒于此,在避免歧視的合規任務中,要求跨境傳輸體系對于個人信用信息的解讀應進行反歧視審查工作,對關鍵信息數據進行時空上的縱向對比和地域上的橫向比對,尊重信息來源地的風俗習慣,有助于真正發揮個人信用信息所傳達的價值。
總之,在個人信用信息跨境傳輸的國際合規建設中,應該依托多元共治的跨境信息傳輸監管方案來構建對應的合規體系,充分發揮出合規制度的保障效用,在保障安全和消除歧視的前提下優化個人信用信息的跨境傳輸流程。通過國際合規建設,可以促進不同國家和地區之間的個人信用信息交流,協調國際條約和國內法規,從而將合規體系貫徹信息跨境傳輸的全過程。
結語
個人信息保護法對我國征信合規體系建設產生了深遠的影響,征信領域個人信用信息保護和利用就像一枚硬幣的正反兩面,需要在合規的前提下經歷對立又統一的利益衡量過程,而個人信息保護法則應以培育內部合規治理機制為目標,輔以有效的外部執法合規保障。為了維護征信金融秩序的穩定協調,在個人信用信息的采集、利用等環節構建體系性、操作性和開放性兼備的征信合規體系。當個人信息保護法出臺后,個人信用信息在采集、加工、使用等環節必然會受其影響轉變運行模式,而征信機關則應該以此為契機,配合已有的征信管理法規,對現有征信合規體系進行調整與完善,加強征信合規監管,構建合規計劃、建立合規組織、開展員工合規業務培訓、定期進行合規審計,并將個人信息保護合規文化融入征信業務,打造更具個人信息保護意識的征信合規體系。