李春谊：数据安全法对于中国征信业的影响（上）

　　文/新浪财经意见领袖专栏作家 李春谊

　　近年来，中国征信行业一直热点不断。

　　2013年颁布的中国征信业的两部基本规范性法律文件——《征信业管理条例》《征信机构管理办法》，虽然解决了征信业无法可依的情况，但仍然面临着完善发展的大量问题。

　　2020年末，早期8家个人征信试点企业中的考拉征信、蚂蚁金服、鹏元征信或涉案、或被约谈、或被重罚。同时第2家个人征信持牌机构朴道征信在北京成立。

　　2021年1月11日，中国人民银行公布了《征信业务管理办法（征求意见稿）》，引起社会热议。在截止2月10日的为期一个月的意见反馈期内，包括笔者在内的业内人士、热心群众纷纷反馈建议，其中不乏对征求意见稿的若干具体条文甚至制度设计的修正意见。但时至今日，《征信业务管理办法》尚未正式颁布，其中具体条文以及制度安排与征求意见稿之异同尚不可知。

　　2021年5月26日，晋商消费金融“个人征信报告现侮辱字眼”事件再次使公众将目光投至征信行业。

　　2021年6月10日颁布的《中华人民共和国数据安全法》（以下简称数据安全法）将对中国征信业产生重大影响。

　　该法将于今年9月1日实施，在颁到实施不到3个月时间，中国征信从业机构应积极拥抱数据安全法所确定的监管体系、治理路径，开拓全新的商业机会，以完成征信行业的嬗变升级。

　　一、征信业本质上属于数据处理产业。

　　征信业务，是指对民事主体的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。

　　数据安全法第三条：本法所称数据，是指任何以电子或者其他方式对信息的记录。

　　数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

　　因此，征信业务属于典型的数据处理业务之一。征信业务所涉及的“信用信息”属于数据安全法所规定的“数据”；征信业务属于数据安全法所规定的“数据处理”。 征信业务适用数据安全法的规定。

　　二、安全与发展并重的原则适用于征信业

　　数据安全法第七条：国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。

　　数据安全法第十三条：国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。

　　当前的征信业法律规范，侧重于信息主体的权益保护及征信机构市场准入，目标在于“社会信用体系建设”。但征信业本身服务于实体经济，且属于数字经济的重要组成部分。如果没有信用数据的有序流动，如何能建设有效的“社会信用体系”。

　　保护信用主体权益是基础，促进信用数据的依法合理有效利用才是目的。

　　数据安全法关于保护与促进并重原则，确立了征信业在发展目标、制度建设上的重要目标。

　　笔者认为，征信业也应确立保护与促进并重的原则，在保护信息主体合法权益的同时，鼓励信用数据合理有效利用、保障信用数据依法有序流动。

　　而解决问题的关键，在于建立完善征信数据利用、流动的秩序。

　　三、信用数据开发利用的技术创新及交易市场

　　数据安全法第十六条：国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。

　　数据安全法第十九条：国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。

　　大数据时代的技术发展和创新深刻地影响着诸多行业和领域的革新，征信业便是其中之一。央行征信中心于2020年1月开始提供二代格式信用报告查询服务。与一代征信系统提供的信用报告相比，二代征信系统提供的信用报告丰富了基本信息和信贷信息内容，改进了信息展示形式，提升了信息更新效率。

　　但中国的征信数据依然未打破“数据孤岛”现状。信贷、保险、网购等多种信用数据分别为不同机构持有且壁垒森严，难以得到有效地整合。更有部分游走于灰色地带的所谓数据公司，以技术创新之名，通过爬虫、黑客等技术非法获取信用数据。解决上述症结，需要健立健全信用数据交易管理制度、让创新技术、创新产品在交易制度规范下提高征信产业的整体质量。

　　因此，鼓励数据技术创新、培育数据交易市场，也应成为征信业的既定目标、当务之急。

　　四、征信数据分类分级保护制度

　　数据安全法第二十一条：国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

　　关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

　　各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

　　数据安全法所创设的数据分类分级保护制度对于征信行业有重大影响。

　　数据分类，是指按数据的来源、内容、用途进行划分。数据分级，是指按数据的重要程度进行划分。

　　《网络安全法》确立了重要数据制度之后，全国信息安全标准化技术委员会先后于2017年5月27日、8月25日发布两版《信息安全技术 数据出境安全评估指南（征求意见稿）》，对各行业“重要数据”进行总结，其中界定了7项征信类的“重要数据”。

　　央行2020年9月23日发布的《金融数据安全 数据安全分级指南》，根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低划分为5级；其中将主体概况信息、信贷信息、税务信息等典型的征信信息归入不同安全级别。

　　数据安全法将数据分类分级保护制度列为国家层面制度，在国家层面制定的重要数据目录导引下，各地区、各部门分别制定重要数据的具体目录。征信行业也必然在国家层面的重要数据目录下，完成征信数据分级分类保护具体目录的制定。

　　数据分级分类保护制度与数据出境、数据安全评估制度密切相关。征信从业机构应密切关注国家层面重要数据目录、征信行业数据分级分类保护具体目录的制定，对本企业处理的数据采取相应合规保护措施。

　　未完待续

　　(本文作者介绍：北京市中咨律师事务所高级合伙人，首都经济贸易大学兼职研究生导师，长期从事征信业法律实践及理论研究，担任多家征信机构法律顾问)