劉佳
摘 要:即將生效的《一般數(shù)據(jù)保護(hù)條例》對(duì)1995年的《歐盟數(shù)據(jù)保護(hù)指令》進(jìn)行了大刀闊斧的改革,將適用的主體范圍擴(kuò)大到了境外的企業(yè),開創(chuàng)性地引入了數(shù)據(jù)被遺忘權(quán)/可攜帶權(quán)、數(shù)據(jù)保護(hù)官等。這項(xiàng)新規(guī)的實(shí)施,對(duì)于征信數(shù)據(jù)的完整性、處理數(shù)據(jù)的合法性以及既有征信業(yè)務(wù)模式帶來影響。我國應(yīng)盡快建立系統(tǒng)完備的個(gè)人信息保護(hù)法律體系,結(jié)合互聯(lián)網(wǎng)征信趨勢設(shè)計(jì)信息保護(hù)條款,同時(shí)要兼顧個(gè)人數(shù)據(jù)保護(hù)與信用信息應(yīng)用的平衡。
關(guān)鍵詞:歐盟;數(shù)據(jù)保護(hù);征信;影響
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1673-291X(2018)20-0194-03
兩年前歐洲議會(huì)投票通過的《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR,以下簡稱“新規(guī)”)于今年5月25日生效。新規(guī)的出臺(tái)對(duì)征信行業(yè)帶來了深刻影響,對(duì)我國征信行業(yè)發(fā)展具有重要的啟示意義。
一、歐盟出臺(tái)數(shù)據(jù)保護(hù)新法以適應(yīng)新形勢新要求
歐盟數(shù)據(jù)保護(hù)的歷史可以追溯到20世紀(jì)90年代。1995年《數(shù)據(jù)保護(hù)指令》通過,制定了成員國立法保護(hù)個(gè)人數(shù)據(jù)的最低標(biāo)準(zhǔn)。隨后,在2002和2009年發(fā)布《隱私與電子通訊指令》《歐洲Cookie指令》等數(shù)據(jù)保護(hù)修正指令,但這些修正內(nèi)容仍是基于95指令的基本框架。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和用戶數(shù)據(jù)控制需求的變化,這些傳統(tǒng)數(shù)據(jù)保護(hù)框架亟待重大更新。為適應(yīng)新形勢,2012年1月25日,歐洲議會(huì)公布了《一般數(shù)據(jù)保護(hù)條例》草案,最終于2016年4月正式投票表決通過。
(一)順應(yīng)大數(shù)據(jù)時(shí)代數(shù)據(jù)保護(hù)的新趨勢
95指令制定之初,使用互聯(lián)網(wǎng)的人數(shù)不多,個(gè)人數(shù)據(jù)的收集和處理僅限定于用戶名、地址及財(cái)務(wù)信息。隨著移動(dòng)互聯(lián)網(wǎng)的普及和物聯(lián)網(wǎng)設(shè)備的應(yīng)用,個(gè)人信息數(shù)據(jù)爆發(fā)式增長,個(gè)人在網(wǎng)絡(luò)空間由“匿名”逐步變成“透明”。在數(shù)據(jù)開發(fā)價(jià)值的驅(qū)使下,個(gè)人信息的流轉(zhuǎn)和交易形成鏈條,信息處理主體多元,傳播方式紛繁復(fù)雜,對(duì)個(gè)人權(quán)利的行使和政府監(jiān)管帶來了挑戰(zhàn)。傳統(tǒng)的個(gè)人信息保護(hù)框架已無法應(yīng)對(duì)大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)保護(hù)面臨的新問題。
(二)符合個(gè)人數(shù)據(jù)權(quán)利保護(hù)的新要求
95指令實(shí)施以來,個(gè)人數(shù)據(jù)權(quán)利的法律地位不斷提升。2000年頒布的《歐盟基本權(quán)利憲章》規(guī)定了個(gè)人享有數(shù)據(jù)受保護(hù)的權(quán)利,并明確規(guī)定了個(gè)人數(shù)據(jù)查閱權(quán)、更正權(quán)及法律規(guī)定的其他權(quán)利,以及需由獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)行使數(shù)據(jù)保護(hù)職能。這是歐盟憲法層面首次宣示個(gè)人數(shù)據(jù)權(quán)利為基本人權(quán)。個(gè)人數(shù)據(jù)權(quán)利作為歐洲居民的一項(xiàng)基本人權(quán)需要得到有效保護(hù),改革指令成為必然途徑。
(三)滿足成員國數(shù)據(jù)保護(hù)統(tǒng)一化的新訴求
95指令設(shè)定了最低標(biāo)準(zhǔn)和目標(biāo),成為歐盟數(shù)據(jù)保護(hù)法的基礎(chǔ)。但實(shí)際執(zhí)行過程中,各成員國的程序和方式并不相同,加上各自獨(dú)特的法律制度和文化傳統(tǒng),個(gè)人數(shù)據(jù)在不同的成員國享有的保護(hù)水平也各不相同,嚴(yán)重影響了數(shù)據(jù)保護(hù)的效果,也給歐盟內(nèi)數(shù)據(jù)自由流動(dòng)帶來阻礙。同時(shí),95指令的內(nèi)部分散性和跨國企業(yè)的多地域結(jié)構(gòu)決定了企業(yè)必須關(guān)注和遵守多個(gè)國家及監(jiān)管機(jī)構(gòu)制定的數(shù)據(jù)保護(hù)規(guī)則,大大增加了開展業(yè)務(wù)的成本。歐盟需要一個(gè)更強(qiáng)大和一致的數(shù)據(jù)保護(hù)框架,弱化法律的分散性,提升個(gè)人的數(shù)據(jù)控制能力及保障市場的內(nèi)部運(yùn)作[1]。
二、《一般數(shù)據(jù)保護(hù)條例》的重要變革
與95指令相比,新規(guī)進(jìn)行了大刀闊斧的改革,包括適用的主體范圍擴(kuò)大到境外企業(yè)、賦予數(shù)據(jù)主體更大的權(quán)利、對(duì)數(shù)據(jù)控制者和處理者實(shí)施更嚴(yán)格監(jiān)管、巨額的罰款上限等。
(一)適用范圍:區(qū)域劃分轉(zhuǎn)向數(shù)據(jù)內(nèi)容劃分
95指令的適用范圍取決于區(qū)域因素,適用于機(jī)構(gòu)設(shè)立地在歐盟,或者利用歐盟境內(nèi)設(shè)備進(jìn)行個(gè)人數(shù)據(jù)處理活動(dòng)的企業(yè)和組織。而新規(guī)的適用范圍則是按照數(shù)據(jù)的分布來確定,適用于向歐盟居民提供產(chǎn)品或者服務(wù),甚至只是收集或監(jiān)測歐盟用戶數(shù)據(jù)的非歐盟企業(yè)和組織,而與它們的位置無關(guān)。非歐盟的境外互聯(lián)網(wǎng)企業(yè)和組織如果跨境向歐盟居民提供互聯(lián)網(wǎng)數(shù)據(jù)服務(wù),采集和處理歐盟用戶數(shù)據(jù),即使是免費(fèi)的服務(wù),也需要嚴(yán)格遵從新規(guī)的規(guī)定。
(二)數(shù)據(jù)主體權(quán)力:引入數(shù)據(jù)可攜帶權(quán)、被遺忘權(quán)
與95指令相比,新規(guī)對(duì)數(shù)據(jù)主體的權(quán)利規(guī)定更加細(xì)致。如知情權(quán),新規(guī)規(guī)定數(shù)據(jù)控制者必須以清楚簡單的方式向個(gè)人說明其數(shù)據(jù)是如何被收集處理的,需要獲得數(shù)據(jù)所有者的明確同意,新規(guī)則不認(rèn)可任何形式的“缺省同意”。
此外,新規(guī)還開創(chuàng)性地引入新型的權(quán)利類型,如可攜帶權(quán)和被遺忘權(quán)。數(shù)據(jù)可攜帶權(quán)是指數(shù)據(jù)主體可向數(shù)據(jù)控制者索要其數(shù)據(jù),也可將其個(gè)人數(shù)據(jù)轉(zhuǎn)移至另一個(gè)數(shù)據(jù)控制者。例如,臉譜網(wǎng)的用戶可以將自己賬號(hào)中的資料轉(zhuǎn)移到其他社交網(wǎng)絡(luò)服務(wù)商。該規(guī)定不僅限于社交網(wǎng)絡(luò)服務(wù),還包括云計(jì)算、網(wǎng)絡(luò)服務(wù)等自動(dòng)數(shù)據(jù)處理系統(tǒng)。數(shù)據(jù)被遺忘權(quán)是指當(dāng)個(gè)人數(shù)據(jù)與收集處理的目的無關(guān)、數(shù)據(jù)主體不希望其數(shù)據(jù)被處理或數(shù)據(jù)控制者已沒有正當(dāng)理由保存該數(shù)據(jù)時(shí),數(shù)據(jù)主體可隨時(shí)要求數(shù)據(jù)控制者刪除其個(gè)人數(shù)據(jù)。如果該數(shù)據(jù)被傳遞給任何第三方(或第三方網(wǎng)站),則數(shù)據(jù)控制者應(yīng)通知第三方刪除該數(shù)據(jù)。
(三)數(shù)據(jù)控制者與處理者義務(wù):完善問責(zé)機(jī)制
數(shù)據(jù)控制者是指有權(quán)決定收集、使用、處理個(gè)人信息的目的和手段的自然人、組織和政府機(jī)構(gòu)等。與95指令明顯不同,新規(guī)明確要求數(shù)據(jù)控制者內(nèi)部必須建立完善的問責(zé)機(jī)制。主要包括以下內(nèi)容:一是設(shè)立數(shù)據(jù)保護(hù)專員(Data Protection Officer,DPO)。其任職期限至少為兩年并可連任,任命過程應(yīng)該是透明的,向公眾及監(jiān)管機(jī)構(gòu)通報(bào)其姓名及詳細(xì)的聯(lián)系方式。DPO需確保企業(yè)遵從新規(guī)規(guī)定,并在企業(yè)違規(guī)操作個(gè)人數(shù)據(jù)時(shí)承擔(dān)相應(yīng)的法律責(zé)任。二是數(shù)據(jù)使用記錄入檔。數(shù)據(jù)處理活動(dòng)必須充分記錄,包括數(shù)據(jù)處理的目的、數(shù)據(jù)類型、數(shù)據(jù)接收者的類別、轉(zhuǎn)移至第三國的數(shù)據(jù)接收者、數(shù)據(jù)保存的時(shí)間、采取的安全保障措施等,以及保留有與數(shù)據(jù)處理者的合同附件。三是數(shù)據(jù)保護(hù)影響評(píng)估。要預(yù)先評(píng)估高風(fēng)險(xiǎn)數(shù)據(jù)處理活動(dòng)中數(shù)據(jù)保護(hù)的影響,評(píng)估內(nèi)容至少要包括對(duì)擬進(jìn)行的數(shù)據(jù)處理活動(dòng)的描述、對(duì)數(shù)據(jù)主體權(quán)利造成的風(fēng)險(xiǎn)、應(yīng)對(duì)風(fēng)險(xiǎn)的舉措。四是數(shù)據(jù)泄露應(yīng)及時(shí)報(bào)告。需在72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告。當(dāng)數(shù)據(jù)泄露可能會(huì)給數(shù)據(jù)主體的權(quán)利或自由帶來巨大風(fēng)險(xiǎn)時(shí),必須立即通知數(shù)據(jù)主體。當(dāng)發(fā)生嚴(yán)重的數(shù)據(jù)泄露時(shí),條例要求公司及組織第一時(shí)間通知相關(guān)國家監(jiān)管機(jī)構(gòu)[2]。
數(shù)據(jù)處理者不直接決定收集、處理、使用個(gè)人信息的目的和方法,只是按照控制者的指示來具體操作。對(duì)數(shù)據(jù)處理者而言,新規(guī)發(fā)生了重大變化。95指令確立了以數(shù)據(jù)控制者為中心的責(zé)任體系,數(shù)據(jù)處理者主要通過合同的方式承擔(dān)數(shù)據(jù)保護(hù)責(zé)任。而新規(guī)對(duì)于數(shù)據(jù)控制者、數(shù)據(jù)處理者在多數(shù)情況下提出了相同的要求,如數(shù)據(jù)處理者也承擔(dān)對(duì)數(shù)據(jù)的安全保障義務(wù),指定數(shù)據(jù)保護(hù)專員,在發(fā)生數(shù)據(jù)泄露事故時(shí),應(yīng)及時(shí)報(bào)告數(shù)據(jù)控制者等。
(四)違法處罰力度:設(shè)置巨額上限
依據(jù)95指令,歐盟境內(nèi)各國關(guān)于違反個(gè)人信息保護(hù)的處理金額并不高,如英國法定最高處罰金額為50萬英鎊。新規(guī)大幅度地提高了處罰金額,雖然新規(guī)規(guī)定違法的懲罰金額由成員國決定,但懲罰上限卻相當(dāng)高:對(duì)于一般性的違法,罰款上限是1 000萬歐元或上一年度企業(yè)全球營業(yè)收入的2%(兩者中取數(shù)額大者);對(duì)于嚴(yán)重的違法,罰款上限是2 000萬歐元或上一年度企業(yè)全球營業(yè)收入的4%(兩者中取數(shù)額大者)[3]。
(五)跨境數(shù)據(jù)流通:放寬條件
根據(jù)95指令的一般原則,禁止將歐盟公民的個(gè)人數(shù)據(jù)向不具備適當(dāng)數(shù)據(jù)保護(hù)水平的第三國轉(zhuǎn)移。在實(shí)施時(shí),一些成員國針對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)一步增加了事前備案或者許可要求。而新規(guī)明確禁止增設(shè)許可,只要符合條例中規(guī)定的跨境數(shù)據(jù)流動(dòng)條件,成員國不得予以限制。同時(shí),新規(guī)關(guān)于跨境數(shù)據(jù)流動(dòng)的條件也更加靈活。比如,歐盟委員會(huì)不僅可以對(duì)第三國的國家數(shù)據(jù)保護(hù)水平做出評(píng)估,還可對(duì)該國特定地區(qū)、行業(yè)領(lǐng)域、國際組織的保護(hù)水平單獨(dú)做評(píng)估判斷。
三、歐盟數(shù)據(jù)保護(hù)制度改革對(duì)征信行業(yè)的影響
新規(guī)將對(duì)一系列商業(yè)領(lǐng)域和活動(dòng)中的數(shù)據(jù)應(yīng)用產(chǎn)生影響。作為處理個(gè)人數(shù)據(jù)的行業(yè),征信業(yè)也將受到?jīng)_擊。
(一)征信數(shù)據(jù)的完整性可能受到限制
新規(guī)增強(qiáng)了多項(xiàng)數(shù)據(jù)主體權(quán)利,如反對(duì)權(quán)、被遺忘權(quán)等。根據(jù)反對(duì)權(quán),個(gè)人有權(quán)隨時(shí)拒絕征信機(jī)構(gòu)根據(jù)合法利益處理其數(shù)據(jù)等。根據(jù)被遺忘權(quán),個(gè)人有權(quán)利撤回向征信機(jī)構(gòu)提供的同意其采集、處理和對(duì)外提供其數(shù)據(jù)的授權(quán),并有權(quán)要求征信機(jī)構(gòu)刪除其數(shù)據(jù),并且如果征信機(jī)構(gòu)對(duì)個(gè)人要求刪除了的數(shù)據(jù)在此前已經(jīng)進(jìn)行了公開傳播,也有責(zé)任通知其他第三方停止使用或刪除公開傳播的數(shù)據(jù)。這可能會(huì)對(duì)征信數(shù)據(jù)的完整性、客觀性帶來影響。
(二)處理數(shù)據(jù)的合法性可能受到威脅
與95指令一樣,新規(guī)還規(guī)定除了獲得同意以外的其他的數(shù)據(jù)處理的合法理由,包括為數(shù)據(jù)控制者或第三方的合法利益,反映了平衡數(shù)據(jù)主體與數(shù)據(jù)控制者之間的利益沖突的立法目的。然而新規(guī)中規(guī)定的反對(duì)權(quán),實(shí)際上打破了這種利益平衡。此外,將數(shù)據(jù)控制者的合法利益作為數(shù)據(jù)處理的合法理由的情形在實(shí)踐中非常有限,除非數(shù)據(jù)控制者能夠證明其合法的利益顯著高于數(shù)據(jù)主體的個(gè)人權(quán)利和自由。這些都可能使征信機(jī)構(gòu)數(shù)據(jù)處理的合法性受到限制。
(三)既有征信業(yè)務(wù)模式可能受到挑戰(zhàn)
一方面,用戶畫像及自動(dòng)化處理是以自動(dòng)化數(shù)據(jù)處理方式,對(duì)個(gè)人的信用風(fēng)險(xiǎn)、工作表現(xiàn)、經(jīng)濟(jì)狀況、個(gè)人偏好、可信賴程度等進(jìn)行評(píng)估的活動(dòng),在當(dāng)前信用評(píng)分和信貸行業(yè)應(yīng)用都很常見。新規(guī)對(duì)數(shù)字畫像和數(shù)據(jù)自動(dòng)處理的限制,將影響自動(dòng)化的個(gè)人數(shù)據(jù)收集、處理和應(yīng)用實(shí)踐,尤其是大數(shù)據(jù)技術(shù)在征信領(lǐng)域的應(yīng)用,以及基于此的個(gè)人信貸業(yè)務(wù)。另一方面,新規(guī)賦予信息主體數(shù)據(jù)可攜帶權(quán),個(gè)人可以無障礙地將其個(gè)人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個(gè)信息服務(wù)商轉(zhuǎn)移到另一個(gè)信息服務(wù)商,也可能會(huì)給未來征信機(jī)構(gòu)的業(yè)務(wù)模式和征信機(jī)構(gòu)之間的競爭關(guān)系帶來深刻變革。
四、歐盟數(shù)據(jù)保護(hù)制度改革對(duì)我國征信行業(yè)發(fā)展的啟示
(一)盡快建立系統(tǒng)完備的個(gè)人信息保護(hù)法律體系
目前,我國個(gè)人信息保護(hù)法還未正式出臺(tái),有關(guān)個(gè)人信息保護(hù)的規(guī)定分散在刑法、民法通則等不同的法律當(dāng)中,涉及互聯(lián)網(wǎng)個(gè)人信息安全的規(guī)定還局限在法規(guī)、條例、辦法層面。而全球已有近90個(gè)國家制定了其個(gè)人信息保護(hù)的立法[4],歐盟的個(gè)人數(shù)據(jù)保護(hù)法更是結(jié)合互聯(lián)網(wǎng)發(fā)展趨勢進(jìn)行了大刀闊斧的改革。建議我國盡快建立和完善互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)法律體系,以基本法形式出臺(tái)個(gè)人數(shù)據(jù)權(quán)益保護(hù)或個(gè)人隱私權(quán)保護(hù)方面的專項(xiàng)法,并加大對(duì)侵害數(shù)據(jù)主體權(quán)益的處罰力度。
(二)把握互聯(lián)網(wǎng)征信趨勢,設(shè)計(jì)信息保護(hù)條款
在大數(shù)據(jù)、云計(jì)算等快速發(fā)展的技術(shù)背景下,互聯(lián)網(wǎng)征信作為一種新興征信模式正逐步進(jìn)入個(gè)人征信領(lǐng)域。而與之相對(duì)應(yīng)的個(gè)人信息保護(hù)制度卻相對(duì)滯后,表現(xiàn)在數(shù)據(jù)主體對(duì)數(shù)據(jù)的控制權(quán)嚴(yán)重削弱、數(shù)據(jù)安全風(fēng)險(xiǎn)和數(shù)據(jù)監(jiān)控風(fēng)險(xiǎn)增加等方面。歐盟推行數(shù)據(jù)保護(hù)立法改革,也是為了應(yīng)對(duì)新興技術(shù)發(fā)展帶來的挑戰(zhàn)。因此,建議借鑒歐盟新規(guī),在征信相關(guān)的制度中對(duì)數(shù)據(jù)遺忘權(quán)和刪除權(quán)、數(shù)據(jù)的可攜帶權(quán)等進(jìn)行設(shè)計(jì),強(qiáng)化個(gè)人數(shù)據(jù)主體權(quán)利,增加企業(yè)數(shù)據(jù)安全保護(hù)責(zé)任。
(三)兼顧個(gè)人數(shù)據(jù)保護(hù)與信用信息應(yīng)用的平衡
個(gè)人數(shù)據(jù)保護(hù)是數(shù)據(jù)保護(hù)立法的核心,但過分強(qiáng)調(diào)權(quán)利保護(hù)將削減數(shù)據(jù)自由流動(dòng)的機(jī)會(huì)、增加商業(yè)成本。在征信行業(yè)也是這種狀況,嚴(yán)格的個(gè)人隱私保護(hù)將限制信用信息的應(yīng)用,而信用信息過度應(yīng)用又不利于個(gè)人隱私保護(hù)。此次新規(guī)充分體現(xiàn)了對(duì)個(gè)人數(shù)據(jù)權(quán)力保障與促進(jìn)數(shù)據(jù)自由流動(dòng)的兼顧平衡。建議借鑒歐盟個(gè)人數(shù)據(jù)保護(hù)立法經(jīng)驗(yàn),構(gòu)建符合國情的個(gè)人數(shù)據(jù)法律保護(hù)體系,在個(gè)人隱私保護(hù)的框架下,推進(jìn)信用信息為社會(huì)和行業(yè)服務(wù)。
參考文獻(xiàn):
[1] 何治樂,黃道麗.歐盟《一般數(shù)據(jù)保護(hù)條例》的出臺(tái)背景及影響[J].信息安全與通信保密,2014,(10):72-75.
[2] 彭星.歐盟《一般數(shù)據(jù)保護(hù)條例》淺析及對(duì)大數(shù)據(jù)時(shí)代下我國征信監(jiān)管的啟示[J].武漢金融,2016,(9):42-45.
[3] 吳沈括.歐盟新一代數(shù)據(jù)保護(hù)規(guī)則意味著什么[J].中國信息安全,2016,(6):96-97.
[4] 石佳友.網(wǎng)絡(luò)環(huán)境下的個(gè)人信息保護(hù)立法[J].蘇州大學(xué)學(xué)報(bào):哲學(xué)社會(huì)科學(xué)版,2012,(6):85-96.