文/新浪财经意见领袖专栏作家 李春谊
相关阅读:
目录
征信业本质上属于数据处理产业
安全与发展并重的原则适用于征信业
信用数据开发利用的技术创新及交易市场
征信数据分类分级保护制度
征信数据来源合规要求
征信数据处理行为合规要求
征信数据出境合规要求
五、征信数据来源合规性要求
丰富全面的信用信息才可形成准确的信用评价。但信用信息的来源的合规性一直是困扰征信行业的难题。如前文所述,当前中国总体上仍处于征信数据孤岛的情况,缺乏合法有效的征信数据交易制度及交易市场,同时也未建立统一适用的数据来源合规标准。
本次数据安全法确立了四项数据采集合规性规定,可作为征信行业数据合规的依据:
数据安全法第三十二条:任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
本条重申了《网络安全法》《电信法》等法律关于数据收集合法、正当性的原则。
但需要强调的是,本条没有规定“必要”性原则。
数据安全法作为规范所有类型数据处理的重要法律,未将仅应适用于个人信息收集的“必要”原则适用于全部数据的收集,而仅规定了合法、正当原则,对于个人信息与企业信息采集原则的区分有重要规范作用。
《网络安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。而其他《电信条例》《电信和互联网用户个人信息保护规定》《App违法违规收集使用个人信息行为认定方法》《APP收集使用个人信息最小必要评估规范》等涉及信息采集的规范中,均仅将“合法、正当、必要”三原则或“最少、必要”二原则限于个人信息采集范畴,未扩大至企业信息。
在某些部门立法征求意见稿中,对于数据采集的“必要”性原则明显有扩大化趋势,将没有必要采取“必要”性原则保护的数据也冠以“必要性”保护,有违数据自由有序流动的原则。
从信息本质而言,个人信息与企业信息有本质的区别。个人信息应力求不公开、封闭,而企业信息应力求公开、透明,除非企业适用商业秘密的规则进行保护。
因此,征信数据中个人信用数据与企业信用数据的采集也应适用不同的原则:个人信用数据的采集应适用“合法、正当、必要”三原则,而企业信用信息的采集仅应适用“合法、正当”二原则。
数据安全法第三十三条:从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
数据安全法规定了“数据交易服务中介”的数据业务主体类型。虽然当前尚无该类机构是否需要行政许可以及设立要求的规定,但可以预想此类“数据交易服务中介”必然是数据安全法所设计的数据交易市场中重要的角色,在提供中介服务时还应承担要求提供数据来源、审核交易主体身份、并留存审核、交易记录的合规义务。
从此条规定也可推导出通过数据交易市场进行的数据交易,交易双方应提供数据来源说明、真实身份并留存交易记录的合规要求。
征信行业当前尚无数据交易服务中介机构。随着数据安全法的实施落地,征信数据交易中介服务有望成为潜力无限的市场热点。
数据安全法第三十四条:法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
该条款将数据处理相关服务的行政许可留出了将来立法的空间。
当前需要行政许可的数据处理相关服务仅有第二类增值电信业务中的“在线数据处理与交易处理业务”( 《电信业务分类目录(2015年版)》中编号B21),简称EDI经营许可证,一般适用于电子商务经营许可。
征信行业客观存在提供数据清洗、分析、建模等服务的机构,但企业资质尚无行政许可要求。《征信业务管理办法(征求意见稿)》有关于与征信机构合作,为金融经济活动提供个人或企业信用信息的其他信息处理者(“征信辅助机构”)应向央行“报备”的规定,但上位法的依据较不清晰。本次数据安全法从数据处理行为入手设定行政许可的方式,给征信立法带来从规制主体到规制行为的转变,会为征信辅助机构设定持牌要求提供上位法依据。
数据安全法第四十条:国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
众所周知,政务数据尤其是税务、海关、社保等涉及大量信用数据的政务数据,基于其采集的强制性、准确性、全面性,已成为包括征信行业在内的重要数据来源。当前有部分企业通涉及政务信息的技术服务、储存服务、分析服务等,可接触政务数据。实践中,也有一种观点认为可以利用此类合法获取的政务信息。但本次数据安全法对此设定了受托方“不得擅自留存、使用、泄露或者向他人提供政务数据”的禁止性规定,给政务数据处理者拉起了红线。因此,根据第四十条的规定,政务数据的处理者不得以任何理由和方式,在没有法律依据或行政机关同意的情况下,对所处理的政务数据进行留存、使用、泄露或者向他人提供。
六、征信数据处理行为的合规要求
数据安全法第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
数据安全法第二十九条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
数据安全法第三十条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
征信机构以及征信辅助机构是典型的数据处理者,应按数据安全法的要求建立数据处理的安全管理体系,其合规要求包括:
上述制度有待于国家及行业主管部门出台进一步的细则。但征信机构及征信数据服务商应未雨绸缪,提前做好准备。
七、征信数据出境合规要求
数据安全法第十一条:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
数据安全法第三十一条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《网络安全法》仅规定了关键信息基础设施的运营者就数据出境的评估义务,但未涉及其他数据处理者。尽管之后的《信息安全技术 数据出境安全评估指南》征求意见稿将全部“网络运营者”纳入数据出境评估范围,但该指南尚未正式颁布。
数据安全法将关键信息基础设施的运营者以外的其他数据处理者纳入数据出境的管理范畴,并授权国家网信部门会同国务院有关部门制定管理办法。
数据出境制度与数据分级分类保护制度密切相关。如前文所述,我国数据分级分类保护体系尚在建设完善中,没有最终确立各行业重要数据的目录;同时相应的重要数据出境的具体评估程序及标准也未最终确立。当前的数据出境的评估制度执行仍处于未落地的状态。
根据《金融数据安全 数据安全分级指南》《信息安全技术 数据出境安全评估指南(征求意见稿)》,重要数据指不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能对国家安全、国家经济和金融安全、社会公共利益、个人合法权益等造成相关严重后果的数据。构成重要数据的征信数据出境,也需要进行安全评估。
征信数据跨境安全、自由流动的目标,有赖于重要数据出境安全管理办法及征信行业相关实施细则的尽快制定。
综上,数据安全法在基本原则、数据开发利用、分类分级保护、来源合规要求、处理行为合规要求、出境合规要求等方面对中国征信业产生重大影响,征信从业机构应未雨绸缪,及时应对。
(本文作者介绍:北京市中咨律师事务所高级合伙人,首都经济贸易大学兼职研究生导师,中国政法大学法律硕士学院兼职教授,长期从事征信业法律实践及理论研究,担任多家征信机构法律顾问)
责任编辑:张玫
新浪财经意见领袖专栏文章均为作者个人观点,不代表新浪财经的立场和观点。
欢迎关注官方微信“意见领袖”,阅读更多精彩文章。点击微信界面右上角的+号,选择“添加朋友”,输入意见领袖的微信号“kopleader”即可,也可以扫描下方二维码添加关注。意见领袖将为您提供财经专业领域的专业分析。
