摘要:数字时代是一个信息存在方式越来越趋向于数字形式,以数字技术为运作规则的时代。数字时代对信息的利用展现出高效率、多样化、智能化、虚拟化和安全隐私保护等多方面的特点。随着金融新技术、新业务、新场景的不断涌现,金融机构收集和利用信息的能力提升,金融机构收集和利用个人
原创 刘熠炯 上海市法学会 东方法学
数字时代是一个信息存在方式越来越趋向于数字形式,以数字技术为运作规则的时代。数字时代对信息的利用展现出高效率、多样化、智能化、虚拟化和安全隐私保护等多方面的特点。随着金融新技术、新业务、新场景的不断涌现,金融机构收集和利用信息的能力提升,金融机构收集和利用个人信用信息的数据量出现了爆炸性的增长,信贷领域个人信息非法收集、应用等问题频频发生。随着相关立法的完善,个人信用信息保护重要性日益凸显。在传统模式下,金融机构主要使用个人基本信息和借贷信息作为信用评估的基础。但随着技术的发展,这一范围已经扩展到更广泛的“其他相关信息”。当前金融机构在使用个人信用信息时面临最为突出的问题是个人的自决权极度缺乏,其次是金融机构在处理个人信用信息时的权利应对不足、确保算法的透明度和公正性。因此,首先要重构个人信用信息的自决规则,其次要对于个人信用信息权利的再认识,最后要加强算法的规制,确保其在金融服务中的合理和透明应用。
一、数字时代语境下个人征信信息的外延扩大
在传统语境下,金融机构使用的个人征信信息,一般以个人基本信息和借贷信息为主,金融机构利用借贷信息分析个人的信用状况并以之作为授信依据。进入数字时代以来,金融机构处理数据的能力极大增强,个人基本信息和借贷信息已无法满足金融机构的使用需求,除上述两种信息之外的其他信息的处理和使用在金融机构端更为频繁。
对于信用信息的定义,尚无现行有效的法律予以规定。2022年11月16日发布的社会信用体系建设法(向社会公开征求意见稿)将信用信息定义为:可用以识别具有完全民事行为能力的自然人、法人和非法人组织身份和信用状况的信息。而发改委的发文及各地地方政府颁布的有关社会信用的地方性法规中无单独的“信用信息”的定义,往往是对“社会信用信息”“公共信用信息”等进行了规定。
除上述规定外,对“信用信息”有明确规定的规范性文件仅有中国人民银行颁布的《征信业务管理办法》,其中规定:信用信息是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。
上述规定对信用信息的使用场景、具体内容等进行了更详细的阐述,由于《征信业务管理办法》的法律位阶是部门规章,故在人民银行的监管职责范围即“征信业”范围内,信用信息的定义基本明确。其包含两个层面的含义:一是信息的场景为金融活动中判别信用状况,这是由人民银行的职能定位决定的;二是信息的覆盖范围是基本信息、借贷信息、其他相关信息,这是由信息本身的性质决定的。
规定中的“其他相关信息”,一般包括水电费缴纳记录、法律诉讼记录、税务缴纳情况等。世界银行将借贷信息以外的征信数据定义为替代数据,故《征信业务管理办法》中的“其他相关信息”基本等同于世界银行通常定义的“替代数据”。替代数据通常来源于非传统征信渠道,如数字平台、市场研究等,其速度更快,准确性更高,是借贷信息的有益补充。数字时代中,替代数据在解决信息不对称问题、提升信用评估准确性方面发挥了重要作用。特别是在现代金融体系中,替代数据能够覆盖到更多的人群,特别是那些没有传统征信记录的“白户”。相比传统征信数据的更新周期,替代数据往往能够实时采集和应用,反映最新的信用状况。替代数据包含多个维度的信息,如消费习惯、支付行为等,使得信用评估更加全面和精确。
鉴于替代数据的覆盖范围极广,因此数字时代中,金融机构用以判断个人信用状况、还贷意愿的个人征信信息也随之扩大为个人信用信息。根据《征信业务管理办法》的规定,在征信行业中,个人信用信息已不再局限于个人基本信息、借贷信息,甚至无法以信息的类别来划定其外延,可以将应用于金融行业的个人信用状态评估的全部信息均判定为个人信用信息。
二、数字时代金融机构使用个人信用信息现状
在数字时代,个人信用信息的使用现状呈现出法律规范不断完善、保护意识增强以及个人信用信息使用面临挑战和机遇并存的态势。个人信息保护法的实施,标志着我国对个人信息保护进行了系统性规范,既保障了个人信息权益,又促进了数字经济的健康发展。然而,这也给个人信用信息的保护与数据安全带来了巨大风险。如何在保护个人隐私和促进信息共享之间找到平衡点,成为当前个人征信行业乃至我国法治建设必须面对的重要课题。
(一)
数字时代个人信用信息立法现状
在数字时代语境下,数据海量化处理的“刺猬困境”愈演愈烈,个人信息主体需要牺牲越来越多的个人隐私以换取各类的便利已成为不争的事实。随着网络安全法、数据安全法、个人信息保护法等一系列的法律法规相继颁布并投入实施,金融行业的数据与信息使用具备了较为扎实的法治基础。与此同时,各类致力于推动数据高效利用的政策性文件也陆续出台,金融行业本身也在不断健全和完善相关的标准体系,有序推进个人信用信息的利用工作。
1.国家及金融行业政策
2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,探索数据产权结构性分置、数据要素流通和交易制度。“数据二十条”的出台对个人信用信息的高效利用具有深远的意义。它不仅推动了征信数据采集的标准化和智能化,丰富了征信产品的供给,还促进了市场对个人信用信息需求的多元化,推动了全社会征信体系的构建,赋能实体经济的高质量发展,并探索了征信数据权属划分及交易流转的法律机制。
2023年12月,多部门联合发布《“数据要素X”三年行动计划(2024—2026年)》,并将“数据要素X金融服务”作为重点行动,要求在依法安全前提下,推动金融信用数据和公共信用数据、商业信用数据共享共用和高效流通,并从提高交易流通效率、打造安全可信流通环境、培育流通服务主体等方面优化数据流通环境。数据要素与金融服务的深度融合为金融机构提供了利用个人信用信息的新途径。这不仅促进了金融服务的创新和优化,还提高了金融市场的整体效率和安全性。
2.法律法规及规章
在法律层面,网络安全法、数据安全法、个人信息保护法于2017年至2021年实施。数据安全法明确促进数据开发利用为立法目的之一,并确立权益保护与促进利用原则,不仅保障了个人信用信息的安全和隐私权,也促进了数据的合法使用。使金融机构能够在保护个人权利的同时,有效利用个人信用信息提供更优质的服务,为个人信用信息的使用构建起一个更加安全、高效的宏观环境。个人信息保护法构建起以“告知-同意”为核心的个人信息处理规则体系,并在此基础上进一步加强和明确了个人在信息处理活动中的权利。在确保个人信用信息安全的同时,也促进了其合理、高效地利用。通过确立严格的法律框架和监管机制,推动个人信用信息处理活动的创新和发展,实现保护和利用的平衡。
在征信行业,继《征信业管理条例》颁布8年后,《征信业务管理办法》于2021年正式颁布。个人信用信息处理的全周期、全流程监管是征信业务的基础内容,《征信业务管理办法》贯彻个人信息保护法“告知-同意”的个人信息处理规则,加强对个人信息主体同意权、知情权的保护,进一步强化对征信机构、信息提供者、信息使用者的合法要求。《征信业务管理办法》颁布后,网络平台或外部数据源直接向金融机构提供信息的情况得到遏制,金融机构获取个人信用信息必须通过持牌征信机构进行。
(二)
数字时代金融机构使用个人信用信息的普遍特征
笔者曾于2022年参与一项调研,该项调研主要调查各类金融机构对个人信用信息的使用及保护情况。共有63家金融机构填写了问卷,类型涵盖商业银行、地方金融组织、消费金融公司、支付机构、信托机构、金融科技公司、网贷机构等。问卷内容涉及个人信用信息来源、查询使用、信息安全管理、信息主体授权、异议处理机制、跨境输出等方面共23个信息事项。
根据调查结果统计,数字时代金融机构使用个人信用信息的普遍特征包括:
1.个人信用信息来源复杂,使用范围广泛,数据使用量大
有近半数的金融机构对外采购数据作为使用个人信用信息的来源;三成以上的金融机构既自行采集数据,也对外采购数据。金融机构收集个人信用信息用途覆盖贷款审批、贷后管理、催收管理、客户精准分类等。调研对象数据使用量以十万量级为下限,约三成属于百万量级使用量,数据使用量达到千万和亿万量级的金融机构达到了机构总数的15%以上。
2.信息安全管理的标准和管理手段得到较好贯彻
几乎所有的金融机构均建立了重大网络安全事件应急预案,六成以上的机构信息系统安全防护等级为三级及以上,近九成的机构采取了一定信息安全管理手段,如ISO27000、PCI-DSS、JR/T0071-2012等。
3.个人信息知情同意成为最基本要求,授权细节日趋严谨规范
参与调研的全部机构均已取得个人信息采集、处理、提供授权,并在授权中明示采集、查询信息的范围和用途情况。绝大多数机构在授权方面较为严谨规范,明确了查询对象机构的具体名称和联系方式、对个人敏感信息的处理获得个人的单独同意。
4.使用自动化决策算法的比例高
使用自动化决策算法处理个人信用信息的机构占比超过七成,机构使用自动化决策算法的比例按机构处理数据的数量级呈正态分布,亿万级以上的机构全部使用自动化决策机制,千万级以上机构使用自动化决策机制占比为80%,百万级和十万级的机构使用自动化决策机制较低,均不足50%。
5.除知情同意外,对个人的权利保障等方面仍有不足
不足主要体现在个人同意的撤回、自动化决策的说明、死者近亲属的权利保障等。允许个人撤回同意的机构占比不到机构数量的一半、已建立或拟建立制度确保信息主体死亡后近亲属的相关权利的占比约六成、已建立或拟建立向信息主体说明算法的机制的国家,占比约七成左右。
综上,大多数金融机构对于个人信用信息使用中的数据安全均给予了相当程度的重视,信息处理的管理策略逐渐由“以系统为中心”向“以数据为中心”转变,由静态安全为主向数据全生命周期管控动态拓展。个人信用信息使用量越大的机构,在最小授权、分级保护、可审计、可追溯等管理上的措施和制度就越具体细致。
三、数字时代金融机构使用个人信用信息的法律困境
随着技术的不断进步,人工智能和大数据的广泛应用使得个人信息的收集和处理变得更为复杂。以往对个人没有意义的某些个人信息,在现代网络环境下可能具有重要的价值和意义。这种技术进步不仅带来了便利,也带来了新的隐私风险和安全隐患。金融机构的个人信息保护意识和保护手段落后于个人信息权利内容的变化。金融机构虽已制定专门的隐私及个人信息条款,但在超范围收集个人信息、过度索权等方面仍有大量纠纷,表明金融机构切实落实个人信用信息的保护仍任重道远。
(一)
个人自决在信息使用过程中极度缺位
在个人信息处理的法律机制上,“告知—同意”为最基础且最普遍一种机制,这也是金融机构高度重视授权使用个人信用信息的最重要原因。金融监督管理总局、中国人民银行等金融监管部门也均基于“告知—同意”这一法律机制对金融机构使用个人信用信息制定了详细的监管细则及要求。目前的“告知—同意”机制决定了个人主体在利用自身信用信息方面仍处于被动收集阶段,个人在信息流通和交易过程中的参与程度不足,这导致了个人信息权益保护困难,个人信用信息的价值释放不完整。
个人信用信息构成了个人金融数据的主体,在个人征信业务及金融服务中占据了极大的比重。征信信息属于法律和行政法规规定的敏感个人信息,应获得个人的单独同意方能处理。对于个人敏感信息,法律禁止一般同意或推定同意,而知情同意原则旨在实现和加强个人自决。同时,征信信息也是我国刑法规定的“侵犯公民个人信息罪”的高度敏感信息。它还受《征信业管理条例》《征信业务管理办法》《征信机构信息安全规范》和《个人金融信用信息基础数据库管理暂行办法》等专门法律规范的约束,其流通和使用有更严格的合法门槛,这在一定程度上阻碍了个人信用信息的良好循环利用。
对于个人信息权利的本质,民法典将个人信息权利归入人格权下,但无论是强调个人信息权利的财产属性抑或人格权属性,个人信息权利是自然人对其个人信息的收集、处理与利用的决定权、支配权和排除他人非法干预的权利。“告知-同意”的法律机制亦由此而生。随着数字化时代的来临,个人信息被越来越广泛地收集、处理与利用,个人信息权利的保护应首先尊重自然人的人格尊严、人格自由,考虑自然人的主观意愿,在此前提下,设立排除他人不正当干扰自然人行使个人信息权利的法律机制。
在目前的金融业务中,除征信业务场景以外,个人信用信息主要作为公共数据或数据产品传播,必须匿名化或使用技术匿名化个人标识。然而,由于完全匿名化不仅在技术上不易实现,而且会降低相关衍生产品的价值,作为公共数据流通中的个人信用信息不仅未必失去其自身的可识别性,还要受到个人信息保护法的约束,信息本身的价值无法得到完全释放。在“个人、信息处理者”之间的关系中,个人信用信息是被动收集的,收集内容和使用范围相当有限,信息内容除个人借贷信息外,主要是政府收集的公共数据。因此,迫切需要通过一定的方式加强个人主体的信息自主权,实现个人信用信息的被动收集到主动利用,并将可用个人信用信息的范围从与个人主体开展业务的金融机构扩大到其他金融机构持有的个人信用信息。这对现有的法律环境、系统和技术来说是一个更大的挑战。
(二)
金融机构对于与个人信用信息有关的权利发展应对不足
数字时代的特点决定了金融机构处理海量个人信息成为日常,金融机构凭借在传统时代中积累的经验、长期以来的合法操作惯性等优势,在部分权利或权利内容的保护方面尚能确保完善应对,但在随着数字时代的深入发展,在个人信息的部分权利内容与个人信用权的保护方面,金融机构经常会显示出无力应对情况。
1.个人信息部分权利内容的保护
在个人信息的权利内容中,信息的决定权、保密权、查询权、更正权等权利内容较为传统,法律法规的规定较具体,可执行性也较好;作为个人信息的一部分,个人信用信息在上述权利内容方面也得到了金融机构的保护,如以“告知—同意”为法律基础的金融机构个人信息处理授权文件、以征信异议处理为核心的信息更正机制、以信息主体处理每年可免费查询一定次数信用报告的信息查询机制等。
但在个人信息的可携带权、删除权、报酬请求权方面,鉴于金融业务的行业特质,金融机构在保护和使用之间往往处于两难的境地。以个人信息的删除权为例,如个人向金融机构要求撤回其同意的,金融机构应删除个人信息。但在实际的金融业务开展中,删除在金融机构或征信机构的全部数据会大大影响信用记录及基于个人信用信息生成的风控产品的可靠性,进而导致金融机构作出不适当的信贷决策,为此,欧洲征信协会(ACCIS)对于欧盟通用数据条例中的个人信息被遗忘权作出反应,呼吁给予征信机构豁免,其曾呼吁条例应当规定消费者形式被遗忘权需要有正当理由。并将自由裁量因素引入相关条款,从而把其他领域(例如社交网络)与征信业区别开来。又如报酬请求权,对于个人而言,其个人信用信息被采集、存储、分析、利用,自身却未获得任何实质收益。金融机构常以个人提供其信用信息可获得信贷支持作为报酬,但对于个人而言,借贷行为的法律实质是对外承担债务且须支付相应对价,实难将“获得信贷”作为个人信用信息的收益。
2.个人信用权的保护与利用
个人信用权源于民法典第1024条对自然人名誉包括民事主体信用的社会评价的规定,有一部分学者据此并结合数字时代的特点提出了个人信用权及其数字化特征。个人信用权是指个人所享有的在征信活动过程中从征信机构和信息提供者处获得客观真实的信用状况记载以及公正的信用评价的合法权益。同时,在数字时代下,个人信用权的载体由原先的借贷信息扩张为替代数据。金融机构原本在传统业务中以保护个人隐私的作为处理个人信息的法律出发点,随着金融业务的数字化转变,金融机构处理的资料内容由个人隐私转化为个人信息,数字化时代中个人信息保护更关注的是个人信息权利内容的自治、自决以及由此产生的扩张或限制利用。个人信用信息成为个人信用权的载体后,金融机构往往无法理解原本属于绝对权的个人隐私权益向公共性、社会性的转化,进而对个人信用信息的使用场景、使用方式、使用用途等的认识产生偏差。
个人信用信息作为个人信用权的载体,如其被不当地呈现,就会导致个人信用权的侵害或者滥用,进而给金融机构带来严重的信用风险。目前法律中对于个人信用权的特别保护仅见于民法典对查询、删除信用评价的规定。该条款体现的是个人有权保持自己的信用良好,而对于阻止信用侵害、获得财产收益、防止信用权滥用等并无更进一步的法律规定。这也导致金融机构在使用个人信用信息时,只能以传统的隐私权概念理解、执行,无法采用与数字时代特征相匹配的技术与方法进一步对个人信用信息的价值进行挖掘。
(三)
算法规制的不足阻碍个人信用信息的充分利用
数字时代中数据处理量的提升必然伴随算法的广泛应用,金融行业中,算法多被利用来提升服务效率、增强风险管理能力,而由此产生的算法风险往往具有隐蔽性和风险性,传统方式的金融监管具有很大的局限性。一方面,以算法为代表的自动化决策给金融业务带来了高效和便利;另一方面,算法歧视、信息操纵等问题也成为算法金融运用的阻碍。
在金融业务中,算法所产生的风险主要包括算法歧视、算法权力、算法共谋、算法趋同等,与个人消费者有关的主要是算法歧视和算法权力,前者侵害消费者的公平权,后者操控消费的自决权。在金融业务中,金融的复杂性与算法的专业性叠加,造成个人很难真正理解或掌握其个人信用信息的处理方式、使用目的等,金融机构仅以格式化的文本向个人披露上述内容,导致在数据的采集阶段“告知—同意”的法律机制形同虚设。在个人信用信息的处理阶段,数据挖掘、机器学习、分布式计算等技术被广泛应用,使脱敏化、匿名化等个人信息保护措施失去效力,原本在传统时代中已达到加密或匿名处理的信息在数字时代很有可能被还原,导致个人信息的泄露;而个人没有能力或者自己信息被处理的过程,导致个人信息的侵权难以获得救济。
由于算法的黑箱效应,个人消费者和金融监管机构对算法的追责难度加大,主要体现在行为与损害结果间的因果关系难以确定。如以最常见的个人征信侵权诉讼为例,金融机构常用的抗辩理由就包括信贷风控结果是由多种数据计算得出的,授信与否的决定并完全取决于个人信用信息是否及时、正确,故消费者未能获得授信或授信成本增加与金融机构使用错误的征信信息或报送征信信息错误之间并无必然的因果关系。由此,金融机构在算法的使用上形成了“技术中立”为挡箭牌的算法滥用与个人对金融机构算法的投诉与异议不断增加的矛盾。
四、国外使用个人信用信息的法律实践
从全球范围来看,各国的个人信用信息使用的体系和机制各有特色,但其核心目的都是通过扩大个人信用信息的范围来更好更快地提高信贷效率、降低金融风险;同时以立法和技术手段的进化在收集、处理和使用个人信用信息等方面保护消费者的隐私权益。
(一)
美国数据聚合商与金融数据共享九条原则
2017年10月18日,美国消费者金融保护局(CFPB)发布了经消费者授权的金融数据共享和整合原则。九条原则的具体内容全部都是原则性的内容,非强制性规则,每一条均可扩展成相当数量的法律条文或者执行标准。
在具体实践模式方面,美国的数据处理机构分为征信机构与数据集成商(Data Broker)。征信机构集中收集和维护与信贷相关的消费者数据。而数据集成商是数据专营机构,其涉猎的数据范围不局限于信用信息,包括个人识别信息、消费行为、社交媒体互动等,服务对象也更多样,包括但不限于营销人员、广告商、研究机构等。
具体监管环境方面,征信机构受到公平信用报告法(Fair Credit Reporting Act,FCRA)、不同的联邦与州法律的监管的严格约束,以保障消费者数据的准确性和安全性。与之不同,数据集成商在一个相对宽松的监管环境中运营,目前尚无联邦层级的法令直接将其列为监管对象,仅有一些州法律,例如2018年的加州消费者隐私法、2023年的加州隐私权法案和《佛蒙特州数据集成商法规》对其存在直接规定。
值得注意的是,监管的失位可能引发关于消费者隐私和数据保护的问题。此外,在个人不知情或不同意的情况下收集和出售个人信息,相关信息可能用来歧视某些群体和个人。目前,在全球范围内,对数据集成商加强监管的民意渐盛,存在一类声音呼吁参照信托模式建立“数据信托”监管模式,要求数据集成商将其所掌握的数据以信息主体的最大利益为出发点进行营利或非营利活动。美国消费者金融保护局(Consumer Financial Protection Bureau,CFPB)于2023年6月刚刚结束关于数据集成商的监管进行公众意见的专门垂询。
(二)
英国MIDATA实践与强监管模式
英国MIDATA是政府和行业合作的自主计划,所有参与主体都同意将数据返还给消费者的基本原则。在MIDATA中,只有数据账户所有者才能访问加密的个人数据,平台通过白名单的方式控制对企业和事业单位数据的访问。目前,包括Telefonica、BBC、Npower、Grapple等在内的25家各领域的企业及部门参与,在相关领域发布了5项创新应用,BIS在法规方面给予MIDATA充分支持。
在英国,MIDATA和数据共享的监管采用了强制性监管模式。通过法律强制规定的文件而非推荐性文件要求银行与第三方提供者共享数据。该模式的各个元素相互支持。第一是立法先行。英国在《支付服务指令2》及其协调指南中要求按照消费者指示转移“客户数据所有权”必须有合法基础。二是在整体监管模式的构建上,是监管为主导建立全新的数据共享法律关系,如在竞争与市场管理局在《零售银行调查指令》中要求市场份额最大的九家银行合资设立开放银行实施机构。三是建立监管主导的第三方准入认证机制,以保证金融数据共享始终处于强制性安全状态。四是建立统一的技术标准,以2016年开放银行工作组(OBWG)发布的《开放银行标准框架》为代表,其中核心内容为由数据标准、API标准、安全标准三大标准和一个治理模式组成,有利于削弱协调成本。但“脱欧”后英国的监管思路呈现出明显的宽松化趋势,并致力于促进贸易和削减数据流动壁垒。
(三)
韩国MyData实践与数据三法
在韩国的数据共享实践中,个人信用信息保护的法律体系主要是“数据三法”,即个人信息保护法、信用信息使用和保护法(以下简称“信用信息法”)和促进信息和通信网络利用和信息保护法(以下简称“信息通信网法”),并集中于2021年8月修订。其中,个人信息保护法是数据三法的核心,主要修订内容是在没有本人同意的情况下,可以将经过处理无法识别特定个人的假名信息用于统计和研究等目的。信用信息法修订案的主要内容是为制定商业性统计、研究、保存公益性记录等,在未经信用信息主体同意的情况下,可以利用或提供假名信息。信息通信网法修订案的主要内容是将个人信息相关内容全部移交至个人信息保护法。此外,韩国还依据“数据三法”制定了相应的施行令与技术指南。
韩国MyData的建设基于以上数据三法编制了《金融领域MyData服务指南》和《金融领域MyData技术指南》。上述指南的主要目的是保证MyData产业能够在围绕以实际保障客户个人信息自我决定权这一核心目的的前提下稳步发展。
作为率先推动MyData产业落地的国家,韩国MyData由政府主导,以自上而下的方式对相关法律法规进行了完善,从2016年初步开展开放API探索以来,通过制定监管沙盒制度、参与机构准入机制以及统一技术服务接口,通过牌照准入方式快速引进MyData产业。MyData以金融领域MyData服务先行,并计划逐步向能源、医疗、交通等生活不同领域推进,逐步扩大机构和数据获取范围。
五、数字时代促进金融机构正确使用个人信息信用信息的法律机制构建路径
在金融领域,个人信用信息的保护与合法利用始终是一个长期而复杂的议题。涉及信息的披露、共享与隐私权保护、算法合法与透明度、金融知识普及与权益保护意识提升等方面。而针对数字时代的特点,有关个人信用信息的保护与适用法律机制应着眼于个人信息自决权、个人信用信息在法律关系中的地位变化、个人主体在金融算法应用中的权利的保障等。
(一)
个人信用信息自决的新规则与“知情同意”规则的重构
数字时代下的金融业务是“去中心化金融”,指两方或多方之间的虚拟交易不需要中介组织,以可预测的智能合约取代传统金融活动中不可预测的人类决策。有学者指出,“Web3.0是对Web2.0数据使用权过度集中而发生的一场“权利下沉”的变革——权利由上层转移到基层”,通过形成分布式的系统,将集中式的中心分散到向下延伸的各个节点,平台只能有限访问和使用这些数据。同时,通过区块链技术对数据安全的保护,用户可拥有对其产生数据的高度控制权,自行决定是否使用、匿名或销毁数据等具体事项。因此,数字时代必然产生全新的个人信用信息自决规则。
在支持知情同意规则重构的方案中,风险评估和分层同意受到广泛支持。“风险评估模式”授权理论认为基于风险评估以分类授权,例如美国的“场景一致原则”要求“在与原始场景相一致的情形下的使用,可以免除信息控制者大量通知和再行请求授权的义务;一旦超出原始场景进行再利用时,必须尽可能向信息主体说明利用的情景,并征得信息主体的同意”。有鉴于此,可以依据识别度、稳定性、涵盖度将个人信息分为“一般个人信息、较重要个人信息、重要个人信息”,依次采用默示同意、告知使用的目的和范围后明示同意、一事一明示同意的方式,以改良知情同意规则。“基于场景风险的同意分层”观点主张依据《金融数据安全数据安全分级指南》和《个人金融信息保护技术规范》对个人金融数据的4级分类,结合引发风险的概率、风险造成后果的严重性两方面因素,提炼出识别度、稳定度、覆盖度三个维度的评估标准,最终划分为四层次风险场景:个人金融数据主体主动公开的数据、C1类数据、C2类数据、C3类数据,分别采用“免于同意、未明确反对视为同意、明确同意+撤回权、单独同意+撤回权”的同意规则。因此,对于个人信用信息的使用而言,动态分类的同意规则构建思路值得借鉴。
金融业务在数字化时代中具有极强的科技前沿性,区块链及Web3.0技术因能够提供一种开放、可信的协作环境在金融业务中被较广泛地使用,有关个人信用信息自决的评估标准和分类依据的选择上还须结合的技术特征加以考虑。
在国内外目前使用较多的“Mydata”的数据共享模式中,MyData模式强调个人数据流通利用的范式转换,个人可以获取、请求转移数据,从而加强个人的信息自决和控制,通过数据利用获得数字红利。
首先,个人成为整个个人信用信息共享的核心。MyData模式是基于个人的信息自决展开的,其基本模式是个人主动发起传输请求,经身份验证和同意后即可通过平台将数据提供者持有的个人数据传输给数据接收一方。在这过程中,个人享有请求传输个人信用信息的主动权。其次,相对于个人而言,信息提供方、信息需求方都是个人信息处理者,其处理行为须受个人信息保护法的约束。再次,MyData模式中设立了平台设施运营者这一职能承担“数据中介”的角色。在个人信用信息的利用中,信息处理者往往处于优势地位,为了实现个人信息自决,增强个人数据的控制能力,平台设施运营者成为独立的法律主体。平台设施运营者通过技术为个人提供整合信息的服务。如在韩国的金融业MyData应用中,MyData运营商提供另外的衍生金融服务,这类MyData运营商兼具管理型和辅助型数据中介的功能。
(二)
金融机构对于个人信用信息的重新认识与定位的改变
信息的披露和交易是金融业务进入数字时代后的必然选择。从另一个角度看,个人信息保护领域的相关立法和征信行业的行政规定的立法目的是划分信息收集、处理、保存、流动、共享边界,以平衡个人利益、金融机构利益和社会公益。个人信息保护法律制度及个人信用权的提出是名誉权、隐私权等人格权保护的法律制度的新发展,数字时代决定了金融机构在个人信用信息保护的工作机制必须在意识上和方法上进行一定的更新,对于法律的新规定应当从其本质进行理解并相应落实,监管机构也应有针对性地进行指导。
个人信用信息的保护利用属于金融消费者权益保护的重要工作,且央行和金融监督管理总局(原银保监)对于个人信用信息的行政处罚也主要是依据金融消费者权益保护相关规定进行,金融机构在业务开展过程中也会将个人信用信息保护纳入金融消费者权益保护相关部门的职责中,针对消费者权益保护工作,有些机构是在零售金融业务中独立设立部门负责,有些则是纳入法务部中。因此,金融机构的个人信用信息保护工作涉及监管部门与金融机构、金融机构内部之间的监督与合作,需要有整体的制度构建,统一筹划而不能割裂施行。
数字时代对个人信用信息保护,正在由“处理者义务本位”转向“信息主体权利本位”。作为个人信用信息保护的法理基础,数据化后的个人信息保护的利益权衡由单一演变为复合。信息主体的个人利益已经形成了与隐私权、名誉权等有关的个人信息权、个人信用权等新兴权利内容,数据作为个人信用信息的载体,势必在流通和共享中方能发挥最大的价值,在数字时代,个人信息和金融数据所代表的恰恰是个人利益与社会利益的价值冲突。
由于以上法律宗旨的变化,金融机构在处理个人信用信息时,需要同时注意到个人信用信息的两种属性,即个人属性和社会属性。个人属性是私法调节的范围,传统的授权条款、“知情同意”处理原则即源于此,然而在数字时代,仅关注个人属性是不够的,个人信用信息的社会属性要求处理机构在数据采集、存储、加工、提供各环节均需要理解数据作为信息载体在流通、共享方面发挥的巨大作用,并在此之上对于个人利用自身信用信息获益给予正向反馈,以促进个人信用信息在更广阔层面的运用。只有充分理解个人信用信息的个人及社会的双重属性,才能将个人信用信息更好地发挥作用。
随着新数据处理技术在金融领域的应用,数据安全领域痛点在技术层面上逐渐突破。如通过隐私计算等数据“可用不可见”的技术特点,保护信息主体隐私,就可以实现对大数据计算过程和结果的隐私保护。个人信用信息保护需要不断提升技术防护能力,保障数据全生命周期安全,强化物理安全、网络安全、系统安全、应用安全、数据安全技术防护措施;同时,金融机构从最大化利用个人信用的角度出发,仍具有不断探索新技术的积极性,这可以有效促进个人信用信息处理的全生命周期安全。另一方面,新技术的利用也有利于监管机构加强对金融科技、数据流通技术、数据交易方式方法的监管,促进个人利益与社会利益、风险防控与创新发展这两项基本矛盾间的平衡。
(三)
以强化算法个体权利突破传统算法规制局限
数字时代以来,数字金融算法的发展和监管始终是金融监管机构关注的重点,中国人民银行于2021年发布了《人工智能算法金融应用评价规范》、2023年发布了《人工智能算法金融应用信息披露指南》等行业标准。算法金融应用的系统化治理已逐步成为金融科技监管的核心。
基于算法对数据高度依赖,个人信用信息的质量直接影响着算法结果。通过在不同阶段赋予个人主体充分的权利与救济手段,可以建立健全个人信用信息的保护和安全机制,有效防止信息滥用,为金融算法提供可靠的数据基础,增强算法的安全性和可信度,减少因算法产生的金融纠纷。
在个人信用信息的采集阶段应强化算法信息披露机制,在“告知—同意”的基础上增强信息披露的透明度,以使消费者理解算法的使用目的、运用原理,及采集个人信用信息的必要性。除此之外,亦可参照金融业常用的投资者风险承受能力等级划分,对金融消费者对算法的接受和理解程度、个人信息采集范围的接受程度进行评估,建立针对不同背景、不同需求的金融消费者的选择进入机制,确保各类金融个体消费者均可获得能被自身接受的金融算法应用服务。
在个人信用信息的处理阶段应对金融消费者的算法公平进行重点保护。对于金融机构采集获得的个人信用信息,应按数据的分级分类要求限制不同级别、类别的信息的使用目的、保护个人信用信息免于滥用。金融机构更应提供信息主体更便捷的数据访问方式,便于金融消费者及时得知个人信用信息的使用状态。在宏观监管上,应由监管机关或委托第三方机构对金融机构使用的算法进行审计,核实算法和个人信用信息被正确使用,并将审计结果、金融消费者对算法的投诉处理情况等纳入监管考核的项目中。
在个人信用信息的输出阶段提供多元化、便捷的救济方法。可参照征信异议的模式建立金融消费者提出算法异议的处理机制,金融机构有义务及时处理消费者对算法滥用提出的投诉、异议,并应在限定的时间内按内部流程核查并回复消费者,必要时,应由金融消保部门介入,确保消费者的异议得到了正确处理。在此基础上,对于涉及金融消费者的重要决策、名誉权、财产权等重要事项,金融机构应向消费者解释算法决策的过程或向消费者提供报告,确保消费者能够理解算法决策的结果。
中国信息通信院在《人工智能白皮书(2022年)》中把算法的“可信安全”作为发展目标之一,对算法参与主体加强规范和保护,主要在于能够让个人面对技术能力、资金能力、资源获取能力均远胜己的金融机构时能够获得平等对话的权利,或以加重金融机构责任和负担的方式确保金融机构在新的技术领域正确履行社会责任,所有法律及监管机制的设计,其最终目的均是保证金融算法应用这一金融行业在数字时代最尖端、最普遍的应用能够保证规范和安全、能够实现金融公平、能够以自身进化完成技术治理。
结语
在数字时代,金融机构使用个人信用信息的法律困境及其突破路径的探讨,揭示了个人信息保护与合理利用之间的紧张关系。随着金融科技的快速发展,个人信用信息的外延不断扩大,涉及的信息类别和处理方式日益多样化。然而,这一发展同时带来了隐私侵犯、数据滥用等一系列法律和道德问题。
面对这些挑战,本文从多个角度提出了解决策略。首先,强调了重构个人自决权的重要性,提倡通过技术手段如区块链和Web3.0来增强个人的控制权。其次,指出需要对金融机构进行重新定位,促使其在处理个人信用信息时更加注重个人信息的保护与社会利益的平衡。此外,文中还提到了强化算法个体权利和突破传统算法规制局限的必要性。
综上所述,数字时代要求我们在享受信息便利的同时,也需不断完善法律体系和技术手段以保护个人信用信息安全。这既是对现行法律框架的挑战,也是对未来社会管理和技术创新的考验。只有在确保个人权益不受侵害的前提下,才能充分发挥个人信用信息在现代金融体系中的积极作用,实现保护与利用的双赢局面。
来源:澎湃新闻客户端
