歐盟數據保護新規對征信行業的影響

劉佳

摘 要：即將生效的《一般數據保護條例》對1995年的《歐盟數據保護指令》進行了大刀闊斧的改革，將適用的主體范圍擴大到了境外的企業，開創性地引入了數據被遺忘權/可攜帶權、數據保護官等。這項新規的實施，對于征信數據的完整性、處理數據的合法性以及既有征信業務模式帶來影響。我國應盡快建立系統完備的個人信息保護法律體系，結合互聯網征信趨勢設計信息保護條款，同時要兼顧個人數據保護與信用信息應用的平衡。

關鍵詞：歐盟；數據保護；征信；影響

中圖分類號：TP393 文獻標志碼：A 文章編號：1673-291X（2018）20-0194-03

兩年前歐洲議會投票通過的《一般數據保護條例》（General Data Protection Regulation，GDPR，以下簡稱“新規”）于今年5月25日生效。新規的出臺對征信行業帶來了深刻影響，對我國征信行業發展具有重要的啟示意義。

一、歐盟出臺數據保護新法以適應新形勢新要求

歐盟數據保護的歷史可以追溯到20世紀90年代。1995年《數據保護指令》通過，制定了成員國立法保護個人數據的最低標準。隨后，在2002和2009年發布《隱私與電子通訊指令》《歐洲Cookie指令》等數據保護修正指令，但這些修正內容仍是基于95指令的基本框架。隨著互聯網技術的發展和用戶數據控制需求的變化，這些傳統數據保護框架亟待重大更新。為適應新形勢，2012年1月25日，歐洲議會公布了《一般數據保護條例》草案，最終于2016年4月正式投票表決通過。

（一）順應大數據時代數據保護的新趨勢

95指令制定之初，使用互聯網的人數不多，個人數據的收集和處理僅限定于用戶名、地址及財務信息。隨著移動互聯網的普及和物聯網設備的應用，個人信息數據爆發式增長，個人在網絡空間由“匿名”逐步變成“透明”。在數據開發價值的驅使下，個人信息的流轉和交易形成鏈條，信息處理主體多元，傳播方式紛繁復雜，對個人權利的行使和政府監管帶來了挑戰。傳統的個人信息保護框架已無法應對大數據時代個人數據保護面臨的新問題。

（二）符合個人數據權利保護的新要求

95指令實施以來，個人數據權利的法律地位不斷提升。2000年頒布的《歐盟基本權利憲章》規定了個人享有數據受保護的權利，并明確規定了個人數據查閱權、更正權及法律規定的其他權利，以及需由獨立的數據保護機構行使數據保護職能。這是歐盟憲法層面首次宣示個人數據權利為基本人權。個人數據權利作為歐洲居民的一項基本人權需要得到有效保護，改革指令成為必然途徑。

（三）滿足成員國數據保護統一化的新訴求

95指令設定了最低標準和目標，成為歐盟數據保護法的基礎。但實際執行過程中，各成員國的程序和方式并不相同，加上各自獨特的法律制度和文化傳統，個人數據在不同的成員國享有的保護水平也各不相同，嚴重影響了數據保護的效果，也給歐盟內數據自由流動帶來阻礙。同時，95指令的內部分散性和跨國企業的多地域結構決定了企業必須關注和遵守多個國家及監管機構制定的數據保護規則，大大增加了開展業務的成本。歐盟需要一個更強大和一致的數據保護框架，弱化法律的分散性，提升個人的數據控制能力及保障市場的內部運作[1]。

二、《一般數據保護條例》的重要變革

與95指令相比，新規進行了大刀闊斧的改革，包括適用的主體范圍擴大到境外企業、賦予數據主體更大的權利、對數據控制者和處理者實施更嚴格監管、巨額的罰款上限等。

（一）適用范圍：區域劃分轉向數據內容劃分

95指令的適用范圍取決于區域因素，適用于機構設立地在歐盟，或者利用歐盟境內設備進行個人數據處理活動的企業和組織。而新規的適用范圍則是按照數據的分布來確定，適用于向歐盟居民提供產品或者服務，甚至只是收集或監測歐盟用戶數據的非歐盟企業和組織，而與它們的位置無關。非歐盟的境外互聯網企業和組織如果跨境向歐盟居民提供互聯網數據服務，采集和處理歐盟用戶數據，即使是免費的服務，也需要嚴格遵從新規的規定。

（二）數據主體權力：引入數據可攜帶權、被遺忘權

與95指令相比，新規對數據主體的權利規定更加細致。如知情權，新規規定數據控制者必須以清楚簡單的方式向個人說明其數據是如何被收集處理的，需要獲得數據所有者的明確同意，新規則不認可任何形式的“缺省同意”。

此外，新規還開創性地引入新型的權利類型，如可攜帶權和被遺忘權。數據可攜帶權是指數據主體可向數據控制者索要其數據，也可將其個人數據轉移至另一個數據控制者。例如，臉譜網的用戶可以將自己賬號中的資料轉移到其他社交網絡服務商。該規定不僅限于社交網絡服務，還包括云計算、網絡服務等自動數據處理系統。數據被遺忘權是指當個人數據與收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時，數據主體可隨時要求數據控制者刪除其個人數據。如果該數據被傳遞給任何第三方（或第三方網站），則數據控制者應通知第三方刪除該數據。

（三）數據控制者與處理者義務：完善問責機制

數據控制者是指有權決定收集、使用、處理個人信息的目的和手段的自然人、組織和政府機構等。與95指令明顯不同，新規明確要求數據控制者內部必須建立完善的問責機制。主要包括以下內容：一是設立數據保護專員（Data Protection Officer，DPO）。其任職期限至少為兩年并可連任，任命過程應該是透明的，向公眾及監管機構通報其姓名及詳細的聯系方式。DPO需確保企業遵從新規規定，并在企業違規操作個人數據時承擔相應的法律責任。二是數據使用記錄入檔。數據處理活動必須充分記錄，包括數據處理的目的、數據類型、數據接收者的類別、轉移至第三國的數據接收者、數據保存的時間、采取的安全保障措施等，以及保留有與數據處理者的合同附件。三是數據保護影響評估。要預先評估高風險數據處理活動中數據保護的影響，評估內容至少要包括對擬進行的數據處理活動的描述、對數據主體權利造成的風險、應對風險的舉措。四是數據泄露應及時報告。需在72小時內向監管機構報告。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時，必須立即通知數據主體。當發生嚴重的數據泄露時，條例要求公司及組織第一時間通知相關國家監管機構[2]。

數據處理者不直接決定收集、處理、使用個人信息的目的和方法，只是按照控制者的指示來具體操作。對數據處理者而言，新規發生了重大變化。95指令確立了以數據控制者為中心的責任體系，數據處理者主要通過合同的方式承擔數據保護責任。而新規對于數據控制者、數據處理者在多數情況下提出了相同的要求，如數據處理者也承擔對數據的安全保障義務，指定數據保護專員，在發生數據泄露事故時，應及時報告數據控制者等。

（四）違法處罰力度：設置巨額上限

依據95指令，歐盟境內各國關于違反個人信息保護的處理金額并不高，如英國法定最高處罰金額為50萬英鎊。新規大幅度地提高了處罰金額，雖然新規規定違法的懲罰金額由成員國決定，但懲罰上限卻相當高：對于一般性的違法，罰款上限是1 000萬歐元或上一年度企業全球營業收入的2%（兩者中取數額大者）；對于嚴重的違法，罰款上限是2 000萬歐元或上一年度企業全球營業收入的4%（兩者中取數額大者）[3]。

（五）跨境數據流通：放寬條件

根據95指令的一般原則，禁止將歐盟公民的個人數據向不具備適當數據保護水平的第三國轉移。在實施時，一些成員國針對跨境數據流動進一步增加了事前備案或者許可要求。而新規明確禁止增設許可，只要符合條例中規定的跨境數據流動條件，成員國不得予以限制。同時，新規關于跨境數據流動的條件也更加靈活。比如，歐盟委員會不僅可以對第三國的國家數據保護水平做出評估，還可對該國特定地區、行業領域、國際組織的保護水平單獨做評估判斷。

三、歐盟數據保護制度改革對征信行業的影響

新規將對一系列商業領域和活動中的數據應用產生影響。作為處理個人數據的行業，征信業也將受到沖擊。

（一）征信數據的完整性可能受到限制

新規增強了多項數據主體權利，如反對權、被遺忘權等。根據反對權，個人有權隨時拒絕征信機構根據合法利益處理其數據等。根據被遺忘權，個人有權利撤回向征信機構提供的同意其采集、處理和對外提供其數據的授權，并有權要求征信機構刪除其數據，并且如果征信機構對個人要求刪除了的數據在此前已經進行了公開傳播，也有責任通知其他第三方停止使用或刪除公開傳播的數據。這可能會對征信數據的完整性、客觀性帶來影響。

（二）處理數據的合法性可能受到威脅

與95指令一樣，新規還規定除了獲得同意以外的其他的數據處理的合法理由，包括為數據控制者或第三方的合法利益，反映了平衡數據主體與數據控制者之間的利益沖突的立法目的。然而新規中規定的反對權，實際上打破了這種利益平衡。此外，將數據控制者的合法利益作為數據處理的合法理由的情形在實踐中非常有限，除非數據控制者能夠證明其合法的利益顯著高于數據主體的個人權利和自由。這些都可能使征信機構數據處理的合法性受到限制。

（三）既有征信業務模式可能受到挑戰

一方面，用戶畫像及自動化處理是以自動化數據處理方式，對個人的信用風險、工作表現、經濟狀況、個人偏好、可信賴程度等進行評估的活動，在當前信用評分和信貸行業應用都很常見。新規對數字畫像和數據自動處理的限制，將影響自動化的個人數據收集、處理和應用實踐，尤其是大數據技術在征信領域的應用，以及基于此的個人信貸業務。另一方面，新規賦予信息主體數據可攜帶權，個人可以無障礙地將其個人數據以及其他數據資料從一個信息服務商轉移到另一個信息服務商，也可能會給未來征信機構的業務模式和征信機構之間的競爭關系帶來深刻變革。

四、歐盟數據保護制度改革對我國征信行業發展的啟示

（一）盡快建立系統完備的個人信息保護法律體系

目前，我國個人信息保護法還未正式出臺，有關個人信息保護的規定分散在刑法、民法通則等不同的法律當中，涉及互聯網個人信息安全的規定還局限在法規、條例、辦法層面。而全球已有近90個國家制定了其個人信息保護的立法[4]，歐盟的個人數據保護法更是結合互聯網發展趨勢進行了大刀闊斧的改革。建議我國盡快建立和完善互聯網個人信息安全保護法律體系，以基本法形式出臺個人數據權益保護或個人隱私權保護方面的專項法，并加大對侵害數據主體權益的處罰力度。

（二）把握互聯網征信趨勢，設計信息保護條款

在大數據、云計算等快速發展的技術背景下，互聯網征信作為一種新興征信模式正逐步進入個人征信領域。而與之相對應的個人信息保護制度卻相對滯后，表現在數據主體對數據的控制權嚴重削弱、數據安全風險和數據監控風險增加等方面。歐盟推行數據保護立法改革，也是為了應對新興技術發展帶來的挑戰。因此，建議借鑒歐盟新規，在征信相關的制度中對數據遺忘權和刪除權、數據的可攜帶權等進行設計，強化個人數據主體權利，增加企業數據安全保護責任。

（三）兼顧個人數據保護與信用信息應用的平衡

個人數據保護是數據保護立法的核心，但過分強調權利保護將削減數據自由流動的機會、增加商業成本。在征信行業也是這種狀況，嚴格的個人隱私保護將限制信用信息的應用，而信用信息過度應用又不利于個人隱私保護。此次新規充分體現了對個人數據權力保障與促進數據自由流動的兼顧平衡。建議借鑒歐盟個人數據保護立法經驗，構建符合國情的個人數據法律保護體系，在個人隱私保護的框架下，推進信用信息為社會和行業服務。

參考文獻：

[1] 何治樂，黃道麗.歐盟《一般數據保護條例》的出臺背景及影響[J].信息安全與通信保密，2014，（10）：72-75.

[2] 彭星.歐盟《一般數據保護條例》淺析及對大數據時代下我國征信監管的啟示[J].武漢金融，2016，（9）：42-45.

[3] 吳沈括.歐盟新一代數據保護規則意味著什么[J].中國信息安全，2016，（6）：96-97.

[4] 石佳友.網絡環境下的個人信息保護立法[J].蘇州大學學報：哲學社會科學版，2012，（6）：85-96.