信用与法:企业征信机构的数据合规问题探讨
征信业务及征信法规
一征信业务介绍
制定数据采集计划,确定需要采集的数据类型、采集方式等;
采集数据,在采集的数据过程中需兼顾数据的适用性和规模;
数据分析,在该阶段需要进行数据查证以保证征信产品的真实性、可信性以及补缺或纠错,进而利用数据挖掘技术和统计分析方法等方式对数据进行分析以形成征信报告。
金融信用信息基础数据库系由专业运行机构建设、运行和维护,该专门运行机构不以营利为目的,其他机构无法直接收集该类信息并运用于征信业务。
国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定,为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布,不属于《征信业管理条例》所定义的征信业务范畴。
二 征信业务主要相关法律规定
企业征信行业中的数据及数据合规
一数据类型
二数据来源渠道及合规要点
政府部门依法公开的数据
根据《中华人民共和国政府信息公开条例》《企业信息公示暂行条例》《最高人民法院关于人民法院在互联网公布裁判文书的规定》《国家知识产权局政府信息公开实施办法》等规定,对于政府部门依法公开的工商信息、司法信息、知识产权信息等,企业征信机构可以依法采集而无须单独取得相应信息主体授权。对于该类数据的采集,数据合规要点在于企业获取数据的方式,若从数据供应商处获得,企业应选择合格数据供应商,并且应在采购合同中明确约定数据提供方关于数据合规的相关责任;若系自行采集,如通过爬虫技术手段获取,则需要遵循Robots协议等规范。此外,《数据安全管理办法(征求意见稿)》规定:“网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。”
信息主体授权企业征信机构从政府部门或其他主体获取的数据
《民法典》在人格权编第六章专章规定隐私权和个人信息保护,并在第一千零三十五条规定了个人信息收集的同意规则。《民法典》并未对其他类型的数据收集原则进行规定,仅在第一千零三十条规定:“民事主体与征信机构等信用信息处理者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。”但该条款位于人格编中,系为保护人格权而作出的规定。目前而言,《征信业管理条例》系该条规定唯一所指的征信业专门行政法规,其仅规定了个人信息采集的同意规则。《民法典》《征信业管理条例》均未明确向企业主体采集企业信息是否需要获得企业主体授权。但是,《数据安全法(草案)》原则性规定,任何组织、个人收集数据, 必须采取合法、正当的方式, 不得窃取或者以其他非法方式获取数据。《征信业务管理办法(征求意见稿)》规定征信机构采集非公开的企业信用信息,应当采取适当的方式取得企业的同意。基于企业主体的法人人格独立以及意思自治,企业主体对自身数据亦拥有合法权益,征信机构在采集非依法公开的企业数据时应取得企业主体的授权同意。
对于通过该种方式取得的数据,除了需遵循授权同意规则,同时需参照使用个人信息保护规范,防范数据合规风险。在获得信息主体同意前,需公开收集、使用规则,明示收集、使用信息的目的、信息来源和信息范围,以及不同意收集可能产生的不利后果等。在收集使用信息过程中,不得收集与其提供的服务无关的信息,不得违反法律、行政法规的规定和双方的约定收集、使用信息,还需按照中国人民银行的监管要求进行报备,按照合法、正当、最小、必要的原则收集、使用信息。
信息主体自行提供的数据
信息主体自行提供的数据有广义与狭义之分,广义的自行提供还包括授权企业征信机构采集与信息主体相关的信息,狭义的自行提供仅包括由信息主体自行提供或在特定系统上传自身拥有的数据。基于大数据相关技术的运用及批量化、规模化分析的要求,实践中的自行提供数据多为广义的自行提供。信息主体自行提供数据的同时应签署授权同意协议,并且应当对数据收集、使用的目的、方式和范围以及是否允许共享或对外转让等事项进行明确。
企业向数据供应商采购的数据
贵阳、上海、武汉等地相继成立了大数据交易中心,不断探索相关数据交易方案和规则,但数据交易机制及规范性要求尚未成型。目前企业征信机构从数据供应商采购的数据主要系数据供应商整理的依法公开的政府部门信息或基于自身业务运营过程中积累的数据。《数据安全法(草案)》对数据交易的中介模式进行了肯定,要求从事数据交易中介服务的机构在提供交易中介服务时, 应当要求数据提供方说明数据来源, 审核交易双方的身份,并留存审核、交易记录。该规定在立法上肯定了中介模式的数据交易方式,明确数据交易中介机构的责任与义务,但该草案并未明确非中介模式的数据交易规范要求。
《征信业务管理办法(征求意见稿)》对直接交易模式的合规性审查进行了规定,要求征信机构应当对信息提供者的业务合法性、信息来源、信息质量、信息安全、信息主体授权等进行审核,以保障采集信用信息的合法、准确和可持续。
在双方直接交易的模式下,目前实践中通常采取由数据提供方承诺数据来源合法合规、不存在侵犯第三方权益等事项,在协议中明确约定违约或侵权事宜导致的赔偿责任等方式防范数据合规风险。
值得注意的是,《征信业务管理办法(征求意见稿)》不仅要求征信机构对数据供应商进行合规性审查,其还要求征信机构对使用方的身份、业务资质、使用目的、是否取得授权等事项进行必要的审查,进一步强化征信机构自身数据合规的管理要求。
客户提供并“委托加工”的数据
客户提供数据给企业征信机构供其分析形成报告,该种业务模式实质属于部分服务外包,在法律性质上类似于委托加工。对于企业征信机构通过该种方式获取的数据,合规重点在于自身数据安全管理的内控措施需符合数据提供方要求及数据安全保护的监管要求。通过规章制度保障、物理安全保障、技术安全保障等措施保障数据安全,重点关注企业敏感信息及商业秘密的保护,如涉及个人信息,需重点关注是否涉及个人隐私或敏感信息。企业征信机构应采取加密、脱敏、备份、审计等措施,对重要数据采集、传输、存储、处理和使用等各环节进行安全保护,不得将已脱敏数据进行再识别、处理完后应归还或及时删除、不得擅自将数据向第三方披露等。
需注意的是,在客户提供并“委托加工”模式下,基于存在两种授权模式,企业征信机构取得信息主体的授权同意存在特殊性。以信贷领域中的企业征信业务中的授权为例:第一种模式是企业征信机构直接与信息主体签订授权协议;第二种模式是由贷款机构取得信息主体授权,在贷款人申请贷款前取得“一揽子”授权,包括自身收集处理数据的授权,亦包括将数据提供给企业征信机构等第三方机构进行加工处理的授权。
《征信业务管理办法(征求意见稿)》仅明确征信机构通过信息提供者(如前述案例中的贷款机构)取得个人同意的,信息提供者应当明确告知信息主体征信机构的名称,该规定系重点规制个人信息的流转;对于企业信息的流转采取了概括式规定,其规定采集非公开企业信息应以适当的方式取得企业的同意。
数据作为征信领域必备的生产资料,其创造价值的基础在于流动性。数据在不同主体之间流动是否需取得相应信息主体的授权同意是探讨数据流动的合法合规性基础。然而,若每一次流动均需取得信息主体授权,则将限制数据流动以及数据经济价值释放,也给信息主体带来困扰;若无信息主体授权的数据流动,则有可能侵犯信息主体的知情权及其他权益。因此,数据流转需平衡数据安全保护及数据经济价值释放之间的关系。
结语
公安部备案号:京公网安备 11010502041527号
