欧盟数据保护新规对征信行业的影响

刘佳

摘 要：即将生效的《一般数据保护条例》对1995年的《欧盟数据保护指令》进行了大刀阔斧的改革，将适用的主体范围扩大到了境外的企业，开创性地引入了数据被遗忘权/可携带权、数据保护官等。这项新规的实施，对于征信数据的完整性、处理数据的合法性以及既有征信业务模式带来影响。我国应尽快建立系统完备的个人信息保护法律体系，结合互联网征信趋势设计信息保护条款，同时要兼顾个人数据保护与信用信息应用的平衡。

关键词：欧盟；数据保护；征信；影响

中图分类号：TP393 文献标志码：A 文章编号：1673-291X（2018）20-0194-03

两年前欧洲议会投票通过的《一般数据保护条例》（General Data Protection Regulation，GDPR，以下简称“新規”）于今年5月25日生效。新规的出台对征信行业带来了深刻影响，对我国征信行业发展具有重要的启示意义。

一、欧盟出台数据保护新法以适应新形势新要求

欧盟数据保护的历史可以追溯到20世纪90年代。1995年《数据保护指令》通过，制定了成员国立法保护个人数据的最低标准。随后，在2002和2009年发布《隐私与电子通讯指令》《欧洲Cookie指令》等数据保护修正指令，但这些修正内容仍是基于95指令的基本框架。随着互联网技术的发展和用户数据控制需求的变化，这些传统数据保护框架亟待重大更新。为适应新形势，2012年1月25日，欧洲议会公布了《一般数据保护条例》草案，最终于2016年4月正式投票表决通过。

（一）顺应大数据时代数据保护的新趋势

95指令制定之初，使用互联网的人数不多，个人数据的收集和处理仅限定于用户名、地址及财务信息。随着移动互联网的普及和物联网设备的应用，个人信息数据爆发式增长，个人在网络空间由“匿名”逐步变成“透明”。在数据开发价值的驱使下，个人信息的流转和交易形成链条，信息处理主体多元，传播方式纷繁复杂，对个人权利的行使和政府监管带来了挑战。传统的个人信息保护框架已无法应对大数据时代个人数据保护面临的新问题。

（二）符合个人数据权利保护的新要求

95指令实施以来，个人数据权利的法律地位不断提升。2000年颁布的《欧盟基本权利宪章》规定了个人享有数据受保护的权利，并明确规定了个人数据查阅权、更正权及法律规定的其他权利，以及需由独立的数据保护机构行使数据保护职能。这是欧盟宪法层面首次宣示个人数据权利为基本人权。个人数据权利作为欧洲居民的一项基本人权需要得到有效保护，改革指令成为必然途径。

（三）满足成员国数据保护统一化的新诉求

95指令设定了最低标准和目标，成为欧盟数据保护法的基础。但实际执行过程中，各成员国的程序和方式并不相同，加上各自独特的法律制度和文化传统，个人数据在不同的成员国享有的保护水平也各不相同，严重影响了数据保护的效果，也给欧盟内数据自由流动带来阻碍。同时，95指令的内部分散性和跨国企业的多地域结构决定了企业必须关注和遵守多个国家及监管机构制定的数据保护规则，大大增加了开展业务的成本。欧盟需要一个更强大和一致的数据保护框架，弱化法律的分散性，提升个人的数据控制能力及保障市场的内部运作[1]。

二、《一般数据保护条例》的重要变革

与95指令相比，新规进行了大刀阔斧的改革，包括适用的主体范围扩大到境外企业、赋予数据主体更大的权利、对数据控制者和处理者实施更严格监管、巨额的罚款上限等。

（一）适用范围：区域划分转向数据内容划分

95指令的适用范围取决于区域因素，适用于机构设立地在欧盟，或者利用欧盟境内设备进行个人数据处理活动的企业和组织。而新规的适用范围则是按照数据的分布来确定，适用于向欧盟居民提供产品或者服务，甚至只是收集或监测欧盟用户数据的非欧盟企业和组织，而与它们的位置无关。非欧盟的境外互联网企业和组织如果跨境向欧盟居民提供互联网数据服务，采集和处理欧盟用户数据，即使是免费的服务，也需要严格遵从新规的规定。

（二）数据主体权力：引入数据可携带权、被遗忘权

与95指令相比，新规对数据主体的权利规定更加细致。如知情权，新规规定数据控制者必须以清楚简单的方式向个人说明其数据是如何被收集处理的，需要获得数据所有者的明确同意，新规则不认可任何形式的“缺省同意”。

此外，新规还开创性地引入新型的权利类型，如可携带权和被遗忘权。数据可携带权是指数据主体可向数据控制者索要其数据，也可将其个人数据转移至另一个数据控制者。例如，脸谱网的用户可以将自己账号中的资料转移到其他社交网络服务商。该规定不仅限于社交网络服务，还包括云计算、网络服务等自动数据处理系统。数据被遗忘权是指当个人数据与收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时，数据主体可随时要求数据控制者删除其个人数据。如果该数据被传递给任何第三方（或第三方网站），则数据控制者应通知第三方删除该数据。

（三）数据控制者与处理者义务：完善问责机制

数据控制者是指有权决定收集、使用、处理个人信息的目的和手段的自然人、组织和政府机构等。与95指令明显不同，新规明确要求数据控制者内部必须建立完善的问责机制。主要包括以下内容：一是设立数据保护专员（Data Protection Officer，DPO）。其任职期限至少为两年并可连任，任命过程应该是透明的，向公众及监管机构通报其姓名及详细的联系方式。DPO需确保企业遵从新规规定，并在企业违规操作个人数据时承担相应的法律责任。二是数据使用记录入档。数据处理活动必须充分记录，包括数据处理的目的、数据类型、数据接收者的类别、转移至第三国的数据接收者、数据保存的时间、采取的安全保障措施等，以及保留有与数据处理者的合同附件。三是数据保护影响评估。要预先评估高风险数据处理活动中数据保护的影响，评估内容至少要包括对拟进行的数据处理活动的描述、对数据主体权利造成的风险、应对风险的举措。四是数据泄露应及时报告。需在72小时内向监管机构报告。当数据泄露可能会给数据主体的权利或自由带来巨大风险时，必须立即通知数据主体。当发生严重的数据泄露时，条例要求公司及组织第一时间通知相关国家监管机构[2]。

数据处理者不直接决定收集、处理、使用个人信息的目的和方法，只是按照控制者的指示来具体操作。对数据处理者而言，新规发生了重大变化。95指令确立了以数据控制者为中心的责任体系，数据处理者主要通过合同的方式承担数据保护责任。而新规对于数据控制者、数据处理者在多数情况下提出了相同的要求，如数据处理者也承担对数据的安全保障义务，指定数据保护专员，在发生数据泄露事故时，应及时报告数据控制者等。

（四）违法处罚力度：设置巨额上限

依据95指令，欧盟境内各国关于违反个人信息保护的处理金额并不高，如英国法定最高处罚金额为50万英镑。新规大幅度地提高了处罚金额，虽然新规规定违法的惩罚金额由成员国决定，但惩罚上限却相当高：对于一般性的违法，罚款上限是1 000萬欧元或上一年度企业全球营业收入的2%（两者中取数额大者）；对于严重的违法，罚款上限是2 000万欧元或上一年度企业全球营业收入的4%（两者中取数额大者）[3]。

（五）跨境数据流通：放宽条件

根据95指令的一般原则，禁止将欧盟公民的个人数据向不具备适当数据保护水平的第三国转移。在实施时，一些成员国针对跨境数据流动进一步增加了事前备案或者许可要求。而新规明确禁止增设许可，只要符合条例中规定的跨境数据流动条件，成员国不得予以限制。同时，新规关于跨境数据流动的条件也更加灵活。比如，欧盟委员会不仅可以对第三国的国家数据保护水平做出评估，还可对该国特定地区、行业领域、国际组织的保护水平单独做评估判断。

三、欧盟数据保护制度改革对征信行业的影响

新规将对一系列商业领域和活动中的数据应用产生影响。作为处理个人数据的行业，征信业也将受到冲击。

（一）征信数据的完整性可能受到限制

新规增强了多项数据主体权利，如反对权、被遗忘权等。根据反对权，个人有权随时拒绝征信机构根据合法利益处理其数据等。根据被遗忘权，个人有权利撤回向征信机构提供的同意其采集、处理和对外提供其数据的授权，并有权要求征信机构删除其数据，并且如果征信机构对个人要求删除了的数据在此前已经进行了公开传播，也有责任通知其他第三方停止使用或删除公开传播的数据。这可能会对征信数据的完整性、客观性带来影响。

（二）处理数据的合法性可能受到威胁

与95指令一样，新规还规定除了获得同意以外的其他的数据处理的合法理由，包括为数据控制者或第三方的合法利益，反映了平衡数据主体与数据控制者之间的利益冲突的立法目的。然而新规中规定的反对权，实际上打破了这种利益平衡。此外，将数据控制者的合法利益作为数据处理的合法理由的情形在实践中非常有限，除非数据控制者能够证明其合法的利益显著高于数据主体的个人权利和自由。这些都可能使征信机构数据处理的合法性受到限制。

（三）既有征信业务模式可能受到挑战

一方面，用户画像及自动化处理是以自动化数据处理方式，对个人的信用风险、工作表现、经济状况、个人偏好、可信赖程度等进行评估的活动，在当前信用评分和信贷行业应用都很常见。新规对数字画像和数据自动处理的限制，将影响自动化的个人数据收集、处理和应用实践，尤其是大数据技术在征信领域的应用，以及基于此的个人信贷业务。另一方面，新规赋予信息主体数据可携带权，个人可以无障碍地将其个人数据以及其他数据资料从一个信息服务商转移到另一个信息服务商，也可能会给未来征信机构的业务模式和征信机构之间的竞争关系带来深刻变革。

四、欧盟数据保护制度改革对我国征信行业发展的启示

（一）尽快建立系统完备的个人信息保护法律体系

目前，我国个人信息保护法还未正式出台，有关个人信息保护的规定分散在刑法、民法通则等不同的法律当中，涉及互联网个人信息安全的规定还局限在法规、条例、办法层面。而全球已有近90个国家制定了其个人信息保护的立法[4]，欧盟的个人数据保护法更是结合互联网发展趋势进行了大刀阔斧的改革。建议我国尽快建立和完善互联网个人信息安全保护法律体系，以基本法形式出台个人数据权益保护或个人隐私权保护方面的专项法，并加大对侵害数据主体权益的处罚力度。

（二）把握互联网征信趋势，设计信息保护条款

在大数据、云计算等快速发展的技术背景下，互联网征信作为一种新兴征信模式正逐步进入个人征信领域。而与之相对应的个人信息保护制度却相对滞后，表现在数据主体对数据的控制权严重削弱、数据安全风险和数据监控风险增加等方面。欧盟推行数据保护立法改革，也是为了应对新兴技术发展带来的挑战。因此，建议借鉴欧盟新规，在征信相关的制度中对数据遗忘权和删除权、数据的可携带权等进行设计，强化个人数据主体权利，增加企业数据安全保护责任。

（三）兼顾个人数据保护与信用信息应用的平衡

个人数据保护是数据保护立法的核心，但过分强调权利保护将削减数据自由流动的机会、增加商业成本。在征信行业也是这种状况，严格的个人隐私保护将限制信用信息的应用，而信用信息过度应用又不利于个人隐私保护。此次新规充分体现了对个人数据权力保障与促进数据自由流动的兼顾平衡。建议借鉴欧盟个人数据保护立法经验，构建符合国情的个人数据法律保护体系，在个人隐私保护的框架下，推进信用信息为社会和行业服务。

参考文献：

[1] 何治乐，黄道丽.欧盟《一般数据保护条例》的出台背景及影响[J].信息安全与通信保密，2014，（10）：72-75.

[2] 彭星.欧盟《一般数据保护条例》浅析及对大数据时代下我国征信监管的启示[J].武汉金融，2016，（9）：42-45.

[3] 吴沈括.欧盟新一代数据保护规则意味着什么[J].中国信息安全，2016，（6）：96-97.

[4] 石佳友.网络环境下的个人信息保护立法[J].苏州大学学报：哲学社会科学版，2012，（6）：85-96.