• 信用信息
  • 统一社会信用代码
  • 站内文章

李春谊:数据安全法对于中国征信业的影响

发布时间:2021-07-07 06:35:03 | 来源:新浪财经

近年来,中国征信行业一直热点不断。

2013年颁布的中国征信业的两部基本规范性法律文件——《征信业管理条例》《征信机构管理办法》,虽然解决了征信业无法可依的情况,但仍然面临着完善发展的大量问题。

2020年末,早期8家个人征信试点企业中的考拉征信、蚂蚁金服、鹏元征信或涉案、或被约谈、或被重罚。同时第2家个人征信持牌机构朴道征信在北京成立。

2021年1月11日,中国人民银行公布了《征信业务管理办法(征求意见稿)》,引起社会热议。在截止2月10日的为期一个月的意见反馈期内,包括笔者在内的业内人士、热心群众纷纷反馈建议,其中不乏对征求意见稿的若干具体条文甚至制度设计的修正意见。但时至今日,《征信业务管理办法》尚未正式颁布,其中具体条文以及制度安排与征求意见稿之异同尚不可知。

2021年5月26日,晋商消费金融“个人征信报告现侮辱字眼”事件再次使公众将目光投至征信行业。

2021年6月10日颁布的《中华人民共和国数据安全法》(以下简称数据安全法)将对中国征信业产生重大影响。

该法将于今年9月1日实施,在颁到实施不到3个月时间,中国征信从业机构应积极拥抱数据安全法所确定的监管体系、治理路径,开拓全新的商业机会,以完成征信行业的嬗变升级。

 

一、征信业本质上属于数据处理产业

征信业务,是指对民事主体的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。

数据安全法第三条:本法所称数据,是指任何以电子或者其他方式对信息的记录。

数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

因此,征信业务属于典型的数据处理业务之一。征信业务所涉及的“信用信息”属于数据安全法所规定的“数据”;征信业务属于数据安全法所规定的“数据处理”。 征信业务适用数据安全法的规定。

 

二、安全与发展并重的原则适用于征信业

数据安全法第七条:国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。

数据安全法第十三条:国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。

当前的征信业法律规范,侧重于信息主体的权益保护及征信机构市场准入,目标在于“社会信用体系建设”。但征信业本身服务于实体经济,且属于数字经济的重要组成部分。如果没有信用数据的有序流动,如何能建设有效的“社会信用体系”。

保护信用主体权益是基础,促进信用数据的依法合理有效利用才是目的。

数据安全法关于保护与促进并重原则,确立了征信业在发展目标、制度建设上的重要目标。

笔者认为,征信业也应确立保护与促进并重的原则,在保护信息主体合法权益的同时,鼓励信用数据合理有效利用、保障信用数据依法有序流动。

而解决问题的关键,在于建立完善征信数据利用、流动的秩序。

 

三、信用数据开发利用的技术创新及交易市场

数据安全法第十六条:国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。

数据安全法第十九条:国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。

大数据时代的技术发展和创新深刻地影响着诸多行业和领域的革新,征信业便是其中之一。央行征信中心于2020年1月开始提供二代格式信用报告查询服务。与一代征信系统提供的信用报告相比,二代征信系统提供的信用报告丰富了基本信息和信贷信息内容,改进了信息展示形式,提升了信息更新效率。

但中国的征信数据依然未打破“数据孤岛”现状。信贷、保险、网购等多种信用数据分别为不同机构持有且壁垒森严,难以得到有效地整合。更有部分游走于灰色地带的所谓数据公司,以技术创新之名,通过爬虫、黑客等技术非法获取信用数据。解决上述症结,需要健立健全信用数据交易管理制度、让创新技术、创新产品在交易制度规范下提高征信产业的整体质量。

因此,鼓励数据技术创新、培育数据交易市场,也应成为征信业的既定目标、当务之急。

 

四、征信数据分类分级保护制度

数据安全法第二十一条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

数据安全法所创设的数据分类分级保护制度对于征信行业有重大影响。

数据分类,是指按数据的来源、内容、用途进行划分。数据分级,是指按数据的重要程度进行划分。

《网络安全法》确立了重要数据制度之后,全国信息安全标准化技术委员会先后于2017年5月27日、8月25日发布两版《信息安全技术 数据出境安全评估指南(征求意见稿)》,对各行业“重要数据”进行总结,其中界定了7项征信类的“重要数据”。

央行2020年9月23日发布的《金融数据安全 数据安全分级指南》,根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级;其中将主体概况信息、信贷信息、税务信息等典型的征信信息归入不同安全级别。

数据安全法将数据分类分级保护制度列为国家层面制度,在国家层面制定的重要数据目录导引下,各地区、各部门分别制定重要数据的具体目录。征信行业也必然在国家层面的重要数据目录下,完成征信数据分级分类保护具体目录的制定。

数据分级分类保护制度与数据出境、数据安全评估制度密切相关。征信从业机构应密切关注国家层面重要数据目录、征信行业数据分级分类保护具体目录的制定,对本企业处理的数据采取相应合规保护措施。

 

五、征信数据来源合规性要求

丰富全面的信用信息才可形成准确的信用评价。但信用信息的来源的合规性一直是困扰征信行业的难题。如前文所述,当前中国总体上仍处于征信数据孤岛的情况,缺乏合法有效的征信数据交易制度及交易市场,同时也未建立统一适用的数据来源合规标准。

本次数据安全法确立了四项数据采集合规性规定,可作为征信行业数据合规的依据:合法、正当原则

 

数据安全法第三十二条:任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。

本条重申了《网络安全法》《电信法》等法律关于数据收集合法、正当性的原则。

但需要强调的是,本条没有规定“必要”性原则。

数据安全法作为规范所有类型数据处理的重要法律,未将仅应适用于个人信息收集的“必要”原则适用于全部数据的收集,而仅规定了合法、正当原则,对于个人信息与企业信息采集原则的区分有重要规范作用。

《网络安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。而其他《电信条例》《电信和互联网用户个人信息保护规定》《App违法违规收集使用个人信息行为认定方法》《APP收集使用个人信息最小必要评估规范》等涉及信息采集的规范中,均仅将“合法、正当、必要”三原则或“最少、必要”二原则限于个人信息采集范畴,未扩大至企业信息。

在某些部门立法征求意见稿中,对于数据采集的“必要”性原则明显有扩大化趋势,将没有必要采取“必要”性原则保护的数据也冠以“必要性”保护,有违数据自由有序流动的原则。

从信息本质而言,个人信息与企业信息有本质的区别。个人信息应力求不公开、封闭,而企业信息应力求公开、透明,除非企业适用商业秘密的规则进行保护。

因此,征信数据中个人信用数据与企业信用数据的采集也应适用不同的原则:个人信用数据的采集应适用“合法、正当、必要”三原则,而企业信用信息的采集仅应适用“合法、正当”二原则。

 

数据交易服务中介的合规义务

数据安全法第三十三条:从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

数据安全法规定了“数据交易服务中介”的数据业务主体类型。虽然当前尚无该类机构是否需要行政许可以及设立要求的规定,但可以预想此类“数据交易服务中介”必然是数据安全法所设计的数据交易市场中重要的角色,在提供中介服务时还应承担要求提供数据来源、审核交易主体身份、并留存审核、交易记录的合规义务。

从此条规定也可推导出通过数据交易市场进行的数据交易,交易双方应提供数据来源说明、真实身份并留存交易记录的合规要求。

征信行业当前尚无数据交易服务中介机构。随着数据安全法的实施落地,征信数据交易中介服务有望成为潜力无限的市场热点。

 

数据处理相关服务的行政许可

数据安全法第三十四条:法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。

该条款将数据处理相关服务的行政许可留出了将来立法的空间。

当前需要行政许可的数据处理相关服务仅有第二类增值电信业务中的“在线数据处理与交易处理业务”( 《电信业务分类目录(2015年版)》中编号B21),简称EDI经营许可证,一般适用于电子商务经营许可。

征信行业客观存在提供数据清洗、分析、建模等服务的机构,但企业资质尚无行政许可要求。《征信业务管理办法(征求意见稿)》有关于与征信机构合作,为金融经济活动提供个人或企业信用信息的其他信息处理者(“征信辅助机构”)应向央行“报备”的规定,但上位法的依据较不清晰。本次数据安全法从数据处理行为入手设定行政许可的方式,给征信立法带来从规制主体到规制行为的转变,会为征信辅助机构设定持牌要求提供上位法依据。

 

受托处理政务数据的禁止性规定

数据安全法第四十条:国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。

众所周知,政务数据尤其是税务、海关、社保等涉及大量信用数据的政务数据,基于其采集的强制性、准确性、全面性,已成为包括征信行业在内的重要数据来源。当前有部分企业通涉及政务信息的技术服务、储存服务、分析服务等,可接触政务数据。实践中,也有一种观点认为可以利用此类合法获取的政务信息。但本次数据安全法对此设定了受托方“不得擅自留存、使用、泄露或者向他人提供政务数据”的禁止性规定,给政务数据处理者拉起了红线。因此,根据第四十条的规定,政务数据的处理者不得以任何理由和方式,在没有法律依据或行政机关同意的情况下,对所处理的政务数据进行留存、使用、泄露或者向他人提供。

 

六、征信数据处理行为的合规要求

数据安全法第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

数据安全法第二十九条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

数据安全法第三十条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

征信机构以及征信辅助机构是典型的数据处理者,应按数据安全法的要求建立数据处理的安全管理体系,其合规要求包括:

建立实施网络安全等级保护+数据安全保护之双保护制度

设立安全负责人和管理机构

建立实施数据安全风险监测、安全事件处置及报告制度

建立实施重要数据处理定期风险评估报告制度

上述制度有待于国家及行业主管部门出台进一步的细则。但征信机构及征信数据服务商应未雨绸缪,提前做好准备。

 

七、征信数据出境合规要求

数据安全法第十一条:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。

数据安全法第三十一条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

《网络安全法》仅规定了关键信息基础设施的运营者就数据出境的评估义务,但未涉及其他数据处理者。尽管之后的《信息安全技术 数据出境安全评估指南》征求意见稿将全部“网络运营者”纳入数据出境评估范围,但该指南尚未正式颁布。

数据安全法将关键信息基础设施的运营者以外的其他数据处理者纳入数据出境的管理范畴,并授权国家网信部门会同国务院有关部门制定管理办法。

数据出境制度与数据分级分类保护制度密切相关。如前文所述,我国数据分级分类保护体系尚在建设完善中,没有最终确立各行业重要数据的目录;同时相应的重要数据出境的具体评估程序及标准也未最终确立。当前的数据出境的评估制度执行仍处于未落地的状态。

根据《金融数据安全 数据安全分级指南》《信息安全技术 数据出境安全评估指南(征求意见稿)》,重要数据指不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能对国家安全、国家经济和金融安全、社会公共利益、个人合法权益等造成相关严重后果的数据。构成重要数据的征信数据出境,也需要进行安全评估。

征信数据跨境安全、自由流动的目标,有赖于重要数据出境安全管理办法及征信行业相关实施细则的尽快制定。

综上,数据安全法在基本原则、数据开发利用、分类分级保护、来源合规要求、处理行为合规要求、出境合规要求等方面对中国征信业产生重大影响,征信从业机构应未雨绸缪,及时应对。