《中国金融》|征信业个人信息可携带权保护

1评论 2022-01-14 17:43:40

  2021年8月20日,全国人大常委会通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),首次从法律上提出了个人信息的可携带权,赋予公民自主支配个人信息的权利。2021年10月18日,习近平总书记在中央政治局第三十四次集体学习时强调,数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。个人信息可携带权作为数字经济时代的新型权利,关系到个人信息主体权益保护和数字经济业态健康发展。

  欧盟对个人信息可携带权的相关规定

  个人信息可携带权是指个人有权请求个人信息处理者将其个人信息转移至指定的个人信息处理者的权利。个人信息可携带权使个人信息主体具有自由转移数据的权利,极大地增强了个人信息主体对其个人信息的控制力和再利用空间。

  欧盟的《通用数据保护条例》(GDPR)对个人信息可携带权从定义、应用范围和适用前提等方面制定了相对详细的规则。根据GDPR第20条,在规定的情形下,个人信息主体有权获得其提供给信息控制者的个人信息,或者有权将这类信息转移给另一个信息控制者。

  GDPR严格限定可携带权的权利行使。第一,严格限定权利行使主体和内容。首先,GDPR的个人信息可携带权限定由本人行使,信息控制者或者其他第三人都无权替本人行使权利。其次,信息可携带权只能携带本人的个人信息,包含第三方信息主体的个人信息不适用该条款。

  第二,严格限定适用条件。GDPR对个人信息可携带权设立了比较严格的适用条件。一是明确适用基础,在个人信息主体“同意”或者“与信息控制者签订合同”的基础上,个人信息以“自动化方式”处理。二是列举四种不适用情形:妨碍GDPR第17条关于被遗忘权的规定、妨碍公共利益、信息控制者依法处理个人信息、对他人权利或自由产生不利影响。

  第三,严格限定数据控制者的义务。一是GDPR对信息控制者提供个人信息提出了结构化、常用、机器可读、可互操作的格式要求。在此,机器可读是指计算机可以自动读取和处理的数据格式。可互操作是指不同机构之间可实现数据交换和信息共享。二是对信息控制者的信息传输义务提出了“无障碍传输”和“技术上可行”两个要求。目前GDPR尚未对“技术上可行”作出明确规定。

  GDPR的个人信息可携带权对我国立法具有借鉴意义。2020年6月28日,欧盟对GDPR实施了第一次评估,认为个人信息可携带权将个人放在数据经济的中心,使个人可以在不同的数据之间切换服务提供商,间接促进竞争和支持创新。学界的正面评论认为个人信息可携带权有助于破除用户锁定效应,促进市场竞争、消除平台垄断壁垒等;负面评论认为个人信息可携带权的行使可能带来技术性难题、增加企业负担和责任、不利于市场良性竞争等。我们要肯定欧盟GDPR的个人信息可携带权实施效果,借鉴其制度创新有益经验,考量其对数字经济带来的长期和短期影响,形成具有时代性、国际性和本土性特征的我国个人信息可携带权立法规则。

  我国个人信息可携带权的立法情况

  个人信息可携带权的立法内涵。第一,《信息安全技术个人信息安全规范》(GB/T35273-2020)首次引入个人信息可携带权。该规范在国家标准层面将个人信息可携带权解释为:个人信息控制者应个人信息主体的请求,在技术可行的前提下将基本信息和健康信息等个人信息副本传输给指定的第三方。第二,《个人信息保护法》首次对个人信息可携带权进行法律确权。该法第四十五条对个人信息可携带权给出了原则性规定:个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。第三,我国的个人信息可携带权具备四个要素:发起主体是个人,信息范围是个人信息,要符合国家网信部门的规定条件,个人信息处理者具有配合转移义务。

  个人信息可携带权的立法目的。欧盟GDPR以个人信息权利保护的全面、措施的切实可行、违规后果的严厉而著称。GDPR第29条数据保护工作组在《关于数据可携带权的指引》中指出,数据可携带的目标是强化个人对数据的控制并确保他们在数据生态系统中扮演关键的角色。在美国互联网平台占据欧盟绝大部分市场的背景下,GDPR设立个人信息可携带权,有助于借助市场影响力渗透,抢占数据保护立法和数字经济发展规则制定权制高点。我国的个人信息可携带权立法未全盘照抄欧盟规则,在部分借鉴了GDPR立法理念的基础上,充分考虑了我国的国情。《个人信息保护法》在强调个人对自身信息控制权的同时,设定了“符合国家网信部门规定条件”的前提,授权国家网信部门根据我国信息技术发展、行业惯例等合理因素灵活设定相应的条件,在个人信息主体和信息处理者之间进行审慎平衡,有助于打破数字寡头垄断局面、促进市场竞争和优化市场结构,充分体现了我国对个人信息保护与使用、安全与发展、自由流动与管理约束的立法理念。

  我国个人信息可携带权在立法层面存在的问题

  《个人信息保护法》只对个人信息可携带权作出了较为笼统的原则性规定,尚未出台详细规则,在实施层面存在一定的问题。

  一是数据的法律权属不清问题。数据是信息的载体,《个人信息保护法》对个人信息可携带权的法律确权,不可避免地引发个人信息法律权属问题。迄今为止,我国现有的法律法规没有对数据权属的规定。实践中,司法界的数据确权案件走在了理论的前面,除了个人基本信息,有些法院认为企业对自己挖掘、加工形成的个人增值数据拥有处分权。我国作为以制定法为主导的国家,实定法的缺失为个人信息可携带权中的数据确权问题带来司法裁判困难。

  二是与第三方权益的矛盾问题。个人信息在转移中会涉及第三人的隐私和知识产权,例如,本人与他人的合影、涉及第三人的文章和视频等,这些信息一旦被转移至其他信息控制者,极有可能侵犯第三人的隐私权或者知识产权。目前,我国的法律未明确转移个人信息是否需要经过第三方主体的同意,这样容易引发与第三方的权益冲突问题。

  三是与公共利益的冲突问题。我国民法明确了“公益”优先于“私益”的原则,违反公共利益的民事行为无效。个人信息可携带权可能涉及军事与政治、国家金融安全、贸易安全、公共卫生安全等领域的公共利益,在《个人信息保护法》尚未明确划分个人行使信息支配权与国家公权的边界时,会产生个人信息保护与公权行使之间的冲突与争议。

  四是对信息控制者的考验问题。学界常将个人信息可携带权纳入竞争法领域,个人信息主体转移和传输其个人信息,或为企业带来一定经济负担。据学者估计,2019年,GDPR的个人信息可携带权的规定导致欧盟的中小企业年度支出总额达到163亿欧元,平均增加成本在565欧元到2049欧元不等。中小企业付出更高的成本,耗费更大的财力物力执行个人信息可携带权规定,一定程度上会抑制其创新和服务的意愿。

  五是对信息安全的挑战问题。个人信息从原有的信息控制者转移至其他信息控制者,可能面临信息丢失、泄露、冒领等风险。一些信息控制者由于技术能力有限或身份验证能力不足,易遭受黑客恶意攻击,不法分子利用虚假身份盗取个人信息的风险会显著增加。一旦黑色产业利用高技术手段冒用他人身份转移信息,存在海量个人信息泄露的风险。

  我国个人信息可携带权对征信业的影响

  《个人信息保护法》对个人信息可携带权设定了“符合国家网信部门规定条件”的前提,在具体规定没有出台前,对我国征信业的影响有待进一步评估。根据GDPR第20条规定对欧洲征信机构的影响,初步预估个人信息可携带权对我国征信业将会产生如下影响。

  一是对金融信用信息基础数据库的影响。欧洲公共征信机构处理个人信息的基础是GDPR第3条“履行法定义务”、第5条“保护公共利益”,GDRP将公共征信机构强制采集数据作为个人信息可携带权的例外条款。金融信用信息基础数据库具有“防范金融风险、促进金融业发展”的法定义务,在此可类比欧洲公共征信机构。可以预期在当前数据治理法治框架下,未来个人可携带权实施细则可能将金融信用信息基础数据库作为例外条款。

  二是对市场征信机构的影响。欧洲的市场化征信机构运营的法律依据为GDPR第6条“合法利益”原则,一般只需通知借款人,不要获取个人明确同意。个人信息可携带权不会对欧洲的市场征信机构造成实质性影响。我国的《个人信息保护法》规定了信息处理须个人信息主体同意的规则,未设立市场征信机构的例外规则。《征信业管理条例》也未赋予市场征信机构法定职责。在相关配套规则进一步明确之前,市场征信机构将严格执行《个人信息保护法》关于个人信息可携带权的规定要求,对我国市场征信机构的业务开展将会产生较大影响。

  完善我国征信领域个人信息可携带权的建议

  一是明确可携带的信息内容边界。现有的国外法律和国内行业规范均明确可携带的个人信息为本人信息。GDPR第20条明确可携带的信息为信息主体的个人信息,我国《信息安全技术个人信息安全规范》也明确了可传输的信息为本人的基本资料和健康教育等信息。我国征信领域的个人信息可携带权的立法理念应明确可携带的信息边界为本人的个人信息。出于保护隐私权、商业秘密等,涉及第三方的个人信息应排除在可携带的信息边界之外。

  二是明确可携带权的适用范围。如果征信领域施行个人信息可携带权与国家的金融稳定和经济安全发生冲突,将会影响到国家经济正常外部环境与秩序。所以,有必要明确可携带权在征信领域的适用范围。在此可参照欧盟第20条第3款的例外规定,将征信领域为了公共利益和履行法定职责而采集的个人信用信息排除于可携带权适用范围之外。

  三是明确可携带权的信息安全要求。信用信息涉及敏感个人信息,个人转移信息时一旦发生信息泄露或者冒名转移等情况,对个人的隐私权和财产安全都会造成风险隐患。有必要建立征信领域信用信息转移的信息安全规则,防范个人信息转移过程中发生丢失、泄露或冒领等安全事故。

  2021年11月3日,中国人民银行行长易纲在2021年香港金融科技周上指出,个人信息保护的最终目的是促进数据的合理使用。要在充分保护个人信息的前提下,探索更加精确的数据确权、更便捷的数据交易、更合理的数据使用,激发市场主体活力和科技创新能力。在征信领域施行个人信息可携带权,关乎我国征信业的健康有序发展,将对征信机构的业务开展产生较大影响。立足我国数字治理法治环境,对欧盟GDPR的个人信息可携带权的研究分析可以为更好地保护信息主体权益、促进征信业发展提供参考。

【来源:中国金融杂志 作者:时东 杨晖(责任编辑:申雪娇 RF13056)

关键词阅读:征信业 个人信息

快来分享:
评论 已有 0 条评论
更多>> 以下为您的最近访问股
理财产品快速查询