嘉宾介绍:
史蕾:1998年毕业于复旦大学国际经济法专业,现柏杨云天(北京)企业咨询有限公司,合伙人。曾就职于纳斯达克B2B上市公司环球资源(NDSDAQ:GSOL)和奇虎360法务部。
密切关注大数据企业和大数据产品的创新性业务实践,为多家大数据公司产品合规分析、用户协议拟定、个人数据保护和隐私政策的制定、股权激励项目提供专项咨询意见。
讲座全文:
各位嘉宾下午好,首先感谢韩院长和清华大数据研究中心给我提供这次机会,也感谢微路演梁总的推荐。今天下午我带来的题目是《大数据征信时代的个人信息保护》,之前杨子君--杨总曾经提到了大数据和征信这两个词怎么联结在一起,我的题目叫做大数据征信时代是不是说的有点大了,能不能把我要讲的个人信息保护很好地放在大数据征信时代里面讲。
我尽量用我的语言和我粗浅的认识让大家能够了解我想表达的在大数据征信时代个人信息保护应该对应哪些方面,我们的企业如果你想做个人数据的采集、整理、加工,从国家的法规层面,你有哪些是需要注意的,哪些红线是不能踩的。
我理解大数据征信时代是从两个层面来理解的:
第一个是技术层面。
我们的时代是不停变化的,随着科技的进步,征信也是从工业化时代进展到电子化时代,现在我们已经进入了互联网时代.互联网时代大数据的应用已经非常广泛了,我们在做征信的过程中已经把大数据各种技术、模型、方法、思维已经全部应用到这个时代里了,云计算、人工智能模型的应用,从技术层面上我们已经进入到了一个大数据的征信时代。
第二,从法律层面上。
征信是分为两个角度的,一个是做企业征信,一个是做个人征信。今天我讲的是个人信息保护,所以我的主题围绕个人征信角度来讲。以前如果大家想拿到某一个人的征信报告,就只能找*银行。
当时的法律依据,2005年央行有一个个人信用信息基础数据库,2013年开始,一直到2015年,我们的法律层面上已经出台了相关的法律法规,来对个人征信法律层面的规定做了更完善的制度出台。
2013年1月,国务院颁布了《征信业管理条例》,2013年3月15日实施,也强调了国家对于个人信息保护的关注度。中国人民银行在2013年11月颁布了《征信机构管理办法》,2013年12月20日开始施行。
这个法制订了很多细节:哪些机构可以成为现行的合法的征信机构?他需要有什么样的条件和资质才能成为征信机构?大家刚才在田总那边已经看到了他们公司的征信牌照,但是那个牌照是一个备案制的。对于企业征信,我们国家实行的是备案制;对于个人征信,实行的是许可制。
目前个人征信的许可牌照还没有发出来,2015年1月人民银行印发《关于做好个人征信业务准备工作的通知》,准备期间是六个月,可能我们很快能够看到第一张有关个人征信牌照的下发。
我想跟大家比较一下大数据的个人征信和传统的个人征信有哪些不同,我的比较是从三个角度来进行的:
第一,个人征信机构。
传统时代个人征信机构只有一家就是中国人民银行的征信中心。但是在大数据的时代,根据我们刚才介绍的征信机构管理办法以及中国人民银行发出的通知,我们现在已经有8家的民营机构可以开闸了,大家非常熟悉的芝麻信用管理有限公司,如果使用支付宝的同志们可以去看看自己的芝麻信用分了。
腾讯基于互联网的大数据平台和其他的公司一直在关注企业征信的公司,还有拉卡拉,一直在做跟银联相关的合作。
第二,个人征信信息的类型。
传统时代个人征信信息非常简单,因为征信机构非常单一,信息来源的方式也是非常单一的。只有是从各个商业银行来组织,把他们商业银行的日常商业银行信用工作中搜集到的个人信用信息统一上报到中国人民银行。
由他们总结出来的基础数据库,里面包含三种:个人基本信息、个人信贷交易信息、 除了信贷交易信息以外,商业银行在日常中搜集的能够反应个人信用的其他信息。
这些信息都是跟商业银行的活动密切相关,商业银行在搜集这些信息的过程中也是通过我们填申请表单的方式获得的许可,同意他把所有信息上报给人民银行的信息中心。到了大数据时代,个人征信信息非常多种多样。
我们未来即将开闸的8家民营机构可能都会有自己的优势,有自己的信息来源。芝麻信用的董事长在采访的时候,他曾经给出了这样一个数据表,芝麻信用认为他们自己的征信数据是来自于四个方面:
第一,公共政务数据,这跟政务信息公开也是密切相关的。
我不知道芝麻信用目前的数据是怎么样得到的,但是将来公共信息的公开也是大趋势,我相信会有更多民营的征信机构可以获得这些数据。
第二,各级行业合作共创之间互换的数据。
通讯、婚恋、信用消费、租车租房记录、行业黑名单。未来的芝麻信用机构可能会跟其他的大数据公司,或者其他的互联网公司进行数据的互换或者购买。给我们大家提了一个问题:我这种互换的信息是不是合理合法?有没有符合在信息来源上要得到信息主体本人同意的原则?
第三,用户自主上传的信息。
从信息来源上这是非常合法的,我相信每一个用户如果想让自己的信用评估在这些征信机构非常好看,给他的信息使用者达到他想要的用途,他一定会主动的上传很多对于他本人非常有利的信用信息。
但是我目前没有看到芝麻信用提供的哪个渠道可以让用户把他自己的信息上传上去,我去看我的信用分,我自己是这么一个诚实守法的好人,为什么我的芝麻信用分刚刚到了良好的界限?芝麻信用未来有很多信用业务,可以根据这个信用分给你授权,很多业务的分数是600分起的,有些是650分期。我信用非常好,为什么650分都没有到?
原来在我的个人信用记录里面,这个打分是非常低的,5个维度,其他的分都能达到80分,但是在信用记录只有30或者40分左右,可能我这个人平时消费都是现实消费的,很少借款。
我将来想在这个系统里让我自己的信用分更高一些,我想享受他未来信用生活里的其他的信用功能,我怎么把我良好的信用卡还款记录传给他,我们还得继续了解征信机构未来的产品开发。
第四,互联网数据。有人说阿里巴巴你既是一个数据的提供方,你又是评价方,你是不是既是运动员又是裁判呢?也留给了大家关于个人信息保护的问题,阿里巴巴集团下面有不同的公司,有些公司会搜集到用户的电商消费、物流信息,做征信的机构是叫芝麻信用管理有限公司。
这个公司从你自己集团内部的其他公司里面获得这些数据,是不是得到了用户的授权?你这个信息采集即使是在集团内部的数据交流,是不是合法的?
关于大数据时代和传统时代第三个不同,我的想法是关于个人征信信息的使用,传统时代里个人信息只能向两个主体提供和使用,就是商业银行和他本人。
个人在日常生活中需要证明自己的征信良好的时候,你向*银行申请。在大数据征信时代,任何机构和个人,从信息主体本人那里得到了授权,都可以向个人征信机构那边获得征信信息。
这也会导致我们个人信息保护的另外一个问题:使用者多了,将来我的个人信息如果泄露了,到底从哪个使用者里泄露的,我怎么维护我的权利?
个人信息的保护,一直都是有垢病的。认为我们国家对于个人信息的保护没有一个整体的框架,有关个人信息的保护是散落在我们国家各个法律法规中,而且规定都是相当含糊,只是一些大原则的规定。
我这里罗列了几部法律法规,全国人大常委会的、工信部的、工商总局的。更多的会集中在2012到2015年,前面有一个专家在介绍我们的征信时代的时候,也是把我们国家的征信突飞猛进的时间点放在了2012到2015年,可见这个时期不仅仅是技术的、商业的、法律的,征信的内容都是有突飞猛进的发展。
2013年制订的《征信业务规则》里面对个人信息保护有哪些规则?
第一,信息主体本人同意原则;第二,信息采集的禁止性原则。在法规中是两个方面:第一方面是凡是涉及到信息主体本人的宗教信仰、血型、指纹、基因、病史、病例是不允许采集的。这是个人隐私的范围,个人隐私一定是受到保护的。其次,这些信息跟一个人的征信信息是没有任何关系的。
第二方面,有关信息主体本人的经济收入、纳税情况、保险情况、不动产情况,这些信息是不允许采集。但是如果告诉了这个信息主体说采集了以后有哪些不利的后果、而且信息主体本人是同意的,征信机构还是可以采集的。
第三,信息提供中不良信息告知原则,如果有人打印过自己的个人信息报告,或者房贷中遇到什么困难,你应该会了解不良信息保存的时间是五年。
第四,不良信息有限保存原则是五年。
第五,信息主体异议投诉权。这不仅是在传统的征信时代有,在未来的大数据时代也会有,但是这个权利如何去实现,会有一定的讨论。
大数据征信时代对于个人信息保护的挑战,把大数据征信时代征信的过程中有可能的主体分为四方:征信机构、信息使用者、信息提供方、信息主体。征信机构向信息提供方进行采集征信信息。
信息提供方的信息是怎么来的?
他会向信息主体这边采集,信息主体就把他的信息提供给信息采集方。很多时候信息提供方可能就是互联网公司,他在日常的运营中搜集了很多互联网的关于个人信息的数据。
信息使用者需要一份征信报告的时候,会向征信机构进行索取,索取的时候一定是要获得信息主体的授权。信息机构把相关的征信产品发送给信息使用者,信息使用者在使用的时候应该告知信息主体,他最后得到了一个什么样的信用报告,或者得到了一个什么样的信用信息。
采集的这一方,采集的时候最重要的原则是信息主体的同意。信息提供方现在基本上都是一些大数据的公司或者是互联网的平台公司,他们已经深刻的意识到数据是非常有价值的。
而且他们也想在尽可能广的范围内使用这些数据,甚至将来把这些数据作为一种可以交换的价值来获得他的最大的商业价值。
在这种情况下,信息提供方怎么获得信息主体的同意?
信息提供方想要采集信息主体的信息的时候,通常都是在隐私政策里通过隐私条款把他想要获得的信息主体的数据描绘成为信息提供方在提供相关业务的时候,他的业务必须合理地适当的搜集。
这样的情况下,他搜集的信息已经有了一个重要的来源。但是如果他将来想把这个信息给征信机构的时候,他也一定要在他的隐私政策中以格式条款形式告诉信息主体说:我这个信息将来会用于和第三方的数据交换,你以信息主体使用我的服务的时候,就已经同意了我未来数据的使用,你才能使用我的现有服务。这是目前大多数的平台公司和互联网公司采用的惯常的做法。
由此导致的所有的互联网网络服务商都采用这样一个标准化的隐私条款,导致了信息主体的同意完全已经形同虚设了。
这样格式化的条款是没有效力的,你必须明确地得到信息主体本人的同意,尤其是你将来要给征信机构的。但是从另一个角度想,我如果没有办法采集到这些信息,大数据时代的征信机构就失去了它的意义。
因为我们不只是从银行官方机构获得的正常的信用信息,大数据征信时代更关注的是这些信息主体在互联网时代里面通过各种各样的网络行为,他的信用情况。他的信用情况如果你不给我征信机构渠道获得这些信息,还有什么意义?
国家法律将来有没有可能给这样信息提供方一种特权:他所搜集的信息都可以作为征信机构将来使用的数据。目前的法律行为肯定是禁止的,他已经是明确地说要得到信息主体的同意了。
第二个问题,关于不良信息。
如果有不良信息,对于信息主体本人非常不利。法律上规定,如果信息提供方向征信机构提供不良信息的时候,他必须要向信息主体告知。
如果我是信息提供方获得信息主体的这些信息是通过一种格式化的情况,整体的概括性地获得了这些信息主体的同意的时候,我向征信机构提供不良信息,我告诉你的条款是不是又形同虚设了呢?
关于这个问题我的初步想法是这样的:我观察了一下阿里巴巴自己的隐私政策,阿里巴巴的隐私政策里面排除了一种情况---关于在阿里巴巴平台上投诉的信息是不适用隐私政策保护的。意味着这个信息应该是属于阿里巴巴一个特有的信息,我无需得到你的同意。
但是我认为阿里巴巴还应该再有其他的政策出来,是说明关于你在我的平台上的有关投诉或者是有关个人信用的不良记录的信息,我有权利向征信机构,或者这些信息已经得到你的同意了,我可以向征信机构提供。
第三个问题,实名制。
大数据时代进行个人征信的时候,征信机构建立的模型是保密,信用评分整体的结果是怎么出来的,是一个非常保密的情况,这两个之间是有矛盾的。
我认为对于信息主体的征信信息,如果要匹配到信息主体本人,就一定要符合他的实名制。在很多互联网平台上,微博、博客,目前法律要求他满足实名制的要求。其他没有实名制的要求的互联网公司,他搜集来的信息主体的个人信息如何跟信息主体本人实现密切的结合,如果不能实现密切结合,他这个数据的准确度、真实性都是有问题的。
如果他把这些数据提供给了征信机构,而且用在了征信机构的建模里面,我的芝麻分这么低,我是有异议的,我如何投诉?
如何给我一个救济通道?这也是未来需要进一步讨论和研究。刚才已经提到了我关于大数据时代的征信问题的观察与思考,抛砖引玉。
我希望能有更多的机会跟实践从事大数据征信的企业有更多的交流,了解你们的业务需求是什么,你们遇到的问题是什么,你们可能采取的创新方法是什么?在法律的规则下我们怎么样合理合法的实现个人信息的保护?才是最好的结合。
谢谢!
原文发布时间为:2017-03-08
本文来自云栖社区合作伙伴“数据派THU”,了解相关信息可以关注“数据派THU”微信公众号