教学项目

报考我们

教师与研究

学生发展

校友

合作伙伴

国家金融研究院

关于我们

English

吴晓灵:构建个人数据保护体系 夯实征信市场发展基础

时间:2017-04-24 来源: 作者: 浏览: 字号: 打印

——在个人信息保护和征信管理国际研讨会上的讲话

吴晓灵

2017421

尊敬的各位来宾,女士们,先生们、朋友们:

大家好!今天我很荣幸来谈一谈如何在信息化时代,建立中国的个人数据保护制度安排,夯实征信市场发展基础。

信息化时代,数据收集和数据共享的规模急剧增长,数据已经成为经济增长和社会价值创造的源泉。快速发展的数据挖掘与利用技术使个人在网络空间逐渐由“匿名”变为“透明”,传统方法已很难有效应对大数据环境下个人数据保护的新问题,而合理全面的新制度安排正是解决上述问题的一剂良药。所以,遵循个人数据保护的国际趋势,完善个人信息保护制度和征信制度,既是利用数据挖掘促进经济发展的基础,也是提高金融服务效率、扩大服务覆盖面和提升服务质量的基础。

一、关于个人数据保护的基本认知

个人数据与公共数据是一组相对的概念,在当前时代背景下,有必要明确其定义与属性。公共数据是指无“识别性”,即无主体指向的数据资源,比如社会资金流向地图、商品物资流向趋势图等等。而与此相对,个人数据的“识别性”构成了国际公认的个人信息一般特征。具体到我国, 2012 年全国人大的《关于加强网络信息保护的决定》第一条就明确规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。因此,个人数据是指与一个身份已经被识别或者身份可能被识别的自然人相关的任何信息, 包括个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。

个人数据具有双重权利属性。就法理权利属性而言,个人数据权具有类似肖像权、姓名权、名誉权等人格权的特征。随着社会发展,也逐渐具备了类似所有权、收益权、处分权等财产权的属性。所以,个人数据权被赋予兼具人格权与财产权双重属性的独立民事权利已成为国际趋势。

当前,数据资源正和土地、劳动力、资本等生产要素一样,成为促进全球经济增长和各国社会发展的基本要素。信息化对个人数据的挖掘和利用是一把双刃剑。一方面,信息化技术广泛应用,个人信息的开发和利用对于社会发展的进步意义重大,商业机构可以利用收集的个人信息为生产营销决策提供辅助信息;政府部门可以利用掌握的个人信息进行准确的政策决策,提高社会管理效果,预防和惩治犯罪。另一方面,由于个人信息的不当收集、滥用和泄露,会造成数据自主权逐步丧失、隐私更容易遭受侵犯、数据的经济利益不公平分配等问题。因而在法治轨道上开发利用个人信息是市场经济公平公正发展的基石。

二、我国个人数据保护的现状

为积极顺应大数据的时代潮流,《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》提出实施国家大数据战略,推进数据资源开放共享的理念。总体来看,中国个人数据保护仍处于起步阶段,发展速度较快,且实践走在立法前面。例如,政府部门已开始主动研究和实施个人信息保护体系;企业部门特别是互联网企业已经在加强技术手段主动保护客户信息;民众个人也提高了保护个人数据的意识,维权案例大幅增加。但也存在如下问题:

一是个人信息保护缺乏顶层设计。在大数据时代,数据已逐步产生出巨大的应用价值,个人信息保护开始被重视,但无论从理论还是实务上都还处于起步探索阶段,从现阶段实践来看,个人信息权还没有被确认为一项新生的独立权利。在制度设计层面上缺乏确权的过程,信息保护也就没有了生存的基础和灵魂。

二是个人数据保护专项立法滞后。我国现阶段个人数据保护主要体现在宪法的人格权利保护、民法的隐私权、名誉权保护以及如邮政法、银行法等部门法这三大类法律规定之中,尚无针对个人数据保护的专项立法。而且以现有法律体系,保护个人数据仅从传统隐私的角度进行,局限在属于隐私、姓名、肖像或专门法律法规所规定的范畴,超出范围的部分往往得不到有效的保护,这很难与高度发展的信息社会对个人数据安全要求相适应。

三是数据保护没有明确的监管机构。欧美日等都有关于数据保护机构实施监管的显著特点,如西班牙数据局、瑞典数据检查局等,它们的区别仅在于机构设立的具体形式。中国尚未构建类似的专业性监管机构和相应的组织体系,不仅降低了政府的治理效能,也使数据保护监管业务处于真空状态,最终造成了某些机构往往以拥有海量数据大肆炫耀,却拒绝履行保护责任的现状。

四是尚无数据保护的国际合作机制。数据作为新的市场要素,具有全球化流动趋势,未来必将成为国与国之间合作竞争的焦点。欧美之间关于数据跨境安全流通已有了成文的《安全港协议》或一系列的协商合作机制。中国在国际数据交流使用中缺少国际合作机制,数据在“走出去”与“引进来”过程中的保护障碍重重。

五是数据保护制度体系不完善。从欧美日较为成熟的经验来看,数据保护在专项立法后,需要一系列的相关制度体系配套来保证其有效运转。数据的流转保护、科技应用、行业自律、文化创建等制度在我国仍处于起步阶段,我们只有尽快建立完善、健全的个人信息保护制度, 才能回应信息化时代的挑战。

三、着力构建个人数据保护体系,夯实征信市场发展基础

当前,为最大限度地在保护个人数据的基础上,促进数据的合法使用,中国应充分借鉴国际趋势和考虑现实国情,着力构建个人数据保护体系,从确权立法、有效监管、国际合作、完善数据运转保护制度等方面进行系统性的安排。

(一)在民法体系中确立个人信息权。

个人信息权作为一项兼具人格和财产意义的民事权利,应当被确认为一项新生的独立权利。通过确权,在现行民法体系内明确规定个人信息的内涵,个人信息权益保护的基本原则,信息主体收集、利用和处理个人信息的基本规范等内容,并在如《征信业管理条例》等行业法规中,将个人信息权作为个人信息保护的基础, 更加清晰地界定个人信用信息的知情权、同意权、投诉和异议权等基本权利,进一步对个人数据信息的权能、保护和救济方法等进行规定。

(二)尽快制定《个人信息保护法》。

目前全球已有近90个国家和地区制定了个人信息保护的法律,个人信息保护的专项立法已经成为国际惯例。中国应借鉴他国做法,尽快制定专门的《个人信息保护法》,鉴于个人信息涉及各个行业,因此立法不仅要明晰个人信息的边界和责任,更需要精细化、具体化,要分类和分层对个人数据进行保护。与此同时,立法中要树立提高信用数据质量与信息保护同等重要的基本理念,要从数据完整性、及时性和准确性等方面保证征信数据准确有效,最大程度从源头堵住错误数据入库,提升信用数据的真实性、可靠性。

(三)设立数据保护监管机构。

建议设立国家层面的个人信息保护委员会,专门负责个人信息保护领域的工作,主要承担推动个人信息保护法律完善和实施、督促相关国家机关遵守个人信息保护法与落实执法监管责任、开展个人信息保护行政执法、宣传教育和国际交流合作等,个人信息保护委员会向国务院负责。同时由政府的相关部门按照法律法规的规定在自己的职责范围内负责个人信息保护和监督管理工作。如人民银行监管金融类数据、工信部监管电信类数据,卫生部监管医疗类数据等等。一方面要利用专门执行机构的主导作用,在全社会层面大力倡导数据的开放和利用,激发全社会的创新能力,提高政府治理效能;另一方面也要充分发挥相关部门职能进行“一站式”的服务与协调,更有效率地加强对个人数据权的保护。如人民银行征信管理部门要加强征信个人数据监管,按照《征信业管理条例》、《征信机构管理办法》的要求,更加细化相关内容,既要符合当前实际,又要符合未来制度变革的需要,最终实现相应法律规章能有效地落地执行。

(四)建立数据保护国际合作制度。

随着全球交往的日益频繁,跨境的数据流动将成为常态,全球数据保护是各国共同关注的话题。中国也应积极地与相关国家展开双边和多边磋商,签订类似于欧美的《安全港协议》或建立协商沟通机制,实现对国际数据流动保护的新突破。同时,以数据跨境流动为契机,推动征信业的多角度多层次国际合作,学习借鉴国际先进征信数据管理理念和方法,积极参与国际标准制定,并循序渐进地开放对外征信市场,找到国际征信数据合作的解决方案。

(五)健全数据运转保护制度体系。

1.在获得流转方面,一是要制定合理明晰的数据获得规则,分类和分层开放数据,避免数据行业垄断和分割。例如建立有效的信息采集机制,推动征信企业可持续的采集到政府部门掌握的信用数据等等。二是建立统一的流转平台,促进数据价值流通。以成立大数据交易所为契机,加快个人信息流转平台在保护主体人格利益的同时促进财产价值的流通。

2.在科技应用方面,一是利用科技保存数据。不仅依靠匿名保护、痕迹删除等新技术保护增量数据,同时也要应用加密技术加强存量数据的安全。在征信业中建立对信息系统技术防控的措施,确保征信系统的网络安全和系统安全,尤其要关注银行端系统管理,防止信息盗窃事件发生,避免信息泄露。二是利用科技合法使用数据。互联网和大数据为征信产品和服务创新提供了新的数据基础,在此背景下,要主动运用科学技术加强征信数据合法使用能力,如利用互联网科技为传统征信系统提供有益数据补充,利用互联网科技判断、评估信息主体信用状况等等。

3.在行业自律方面,首先是政府适时介入,使行业自律具有强制性,其次是异常事件报告机制,及时上报提起调查自纠。征信行业协会发挥行业自律管理职能,督促金融机构完善内部征信管理制度,保障征信业务依法合规。

4.在文化创建方面,通过广泛宣传,唤醒民众对个人数据保护的意识;通过走进课堂,学习自我数据保护的方法;通过法律帮助,进行征信数据保护的维权等等。征信从业者也要强化服务创新,让征信服务领先于市场,形成全社会范围内数据保护的良好文化氛围。

四、中国征信市场发展的展望

(一)国内公共征信机构和市场化征信机构协同发展是未来征信业的方向。个人征信主要与个人参与的金融信贷交易相关,信息共享是个人征信机构最核心的商业原则。由于金融业务和个人信息的敏感性,征信产品从经济学上来说是“有条件的公共产品”。因而由政府或行业成立公共征信机构成为各国的一种选择,在中国即为人民银行征信中心。但市场的要求是多样的,是多层次的,因而还需要一些商业化的征信机构作为补充,深耕细分领域,为市场提供灵活高效的服务,但这种机构是有限竞争的,不能太分散,而要有相当的门槛。

(二)独立第三方的地位是个人征信机构能够进行可持续商业运营的必要条件。从国际经验来看,独立第三方地位有利于个人征信机构获得社会公信力,实现信用信息共享;有利于消费者的公平授信;还有利于保护个人信息安全。国外许多个人征信机构实现独立第三方地位有着不同的路径,可以为国内市场化征信机构的未来发展提供参考。我们认为,独立第三方地位的特征是机构的股权独立、公司治理独立、征信业务独立和风险分析模型与数据源独立。

(三)对个人征信市场建立分类监管框架。征信是对客户还款意愿的评估,与社会诚信有所不同,大数据的行为分析与还款意愿的关联性还有待验证,因而我们要对以上活动有所区分,分类监管1)对于从事基础的消费者信贷信用信息服务的机构采用征信业全牌照监管;(2)对于利用消费者数据进行信贷信用风险分析服务的机构采用征信业专项牌照监管;(3)对于从事个人数据服务的机构,且规模较大的,建议采用事后备案管理,积极推动行业自律。

(四)个人征信系统建设需要社会各方共同努力。个人征信不是一个简单的资本逐利的新领域,而是一个专业性强、监管和合规性要求比较高的行业。成功运作的个人征信系统建设周期长、资金投入较大,需要长期的投入、大量的研发和艰苦的工作。国内的个人征信机构在未来发展中更应注意把基础性的工作做好、循序渐进,作为一项国家金融基础设施要把基础打牢,一味的追求跨越式发展并非是一件好事。

国内外的征信业都在发展之中,新技术的推动、新金融的发展、互联网给经济带来了新的活力。同时信息安全和消费者的权益保护也面对更多挑战。我们要坚守征信的基本准则,在征信活动中坚持公平正义,不能形成对客户的歧视,不能滥用客户信息,不能侵犯个人隐私。征信的结果也要区分应用场景,主要用于金融活动的领域而不要随意拓展。

个人信息保护是一个基础性的问题,需要多方参与,人大、法律界、媒体、消费者、社会公众、监管以及政府层面都要参与,而解决的过程需要多方面的博弈,我们在寻求信息保护和数据有效利用这对矛盾中权衡。

总之,大数据的应用和价值的挖掘不能以牺牲个人人格权、财产权为代价。科技的发展,社会的进步,终极目标是让人类更安全,更自由。通过构建数据保护制度,确保数据主体的充分权力,促进个人数据在产权清晰、保障有力的制度框架下发挥更大的价值,征信市场才会拥有稳定发展的基础,征信业才会拥有健康发展的未来。

谢谢大家!

教学项目

清华大学国家金融研究院