劉佳

摘 要：即將生效的《一般數(shù)據(jù)保護條例》對1995年的《歐盟數(shù)據(jù)保護指令》進行了大刀闊斧的改革，將適用的主體范圍擴大到了境外的企業(yè)，開創(chuàng)性地引入了數(shù)據(jù)被遺忘權(quán)/可攜帶權(quán)、數(shù)據(jù)保護官等。這項新規(guī)的實施，對于征信數(shù)據(jù)的完整性、處理數(shù)據(jù)的合法性以及既有征信業(yè)務(wù)模式帶來影響。我國應(yīng)盡快建立系統(tǒng)完備的個人信息保護法律體系，結(jié)合互聯(lián)網(wǎng)征信趨勢設(shè)計信息保護條款，同時要兼顧個人數(shù)據(jù)保護與信用信息應(yīng)用的平衡。

關(guān)鍵詞：歐盟；數(shù)據(jù)保護；征信；影響

中圖分類號：TP393 文獻標志碼：A 文章編號：1673-291X（2018）20-0194-03

兩年前歐洲議會投票通過的《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR，以下簡稱“新規(guī)”）于今年5月25日生效。新規(guī)的出臺對征信行業(yè)帶來了深刻影響，對我國征信行業(yè)發(fā)展具有重要的啟示意義。

一、歐盟出臺數(shù)據(jù)保護新法以適應(yīng)新形勢新要求

歐盟數(shù)據(jù)保護的歷史可以追溯到20世紀90年代。1995年《數(shù)據(jù)保護指令》通過，制定了成員國立法保護個人數(shù)據(jù)的最低標準。隨后，在2002和2009年發(fā)布《隱私與電子通訊指令》《歐洲Cookie指令》等數(shù)據(jù)保護修正指令，但這些修正內(nèi)容仍是基于95指令的基本框架。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和用戶數(shù)據(jù)控制需求的變化，這些傳統(tǒng)數(shù)據(jù)保護框架亟待重大更新。為適應(yīng)新形勢，2012年1月25日，歐洲議會公布了《一般數(shù)據(jù)保護條例》草案，最終于2016年4月正式投票表決通過。

（一）順應(yīng)大數(shù)據(jù)時代數(shù)據(jù)保護的新趨勢

95指令制定之初，使用互聯(lián)網(wǎng)的人數(shù)不多，個人數(shù)據(jù)的收集和處理僅限定于用戶名、地址及財務(wù)信息。隨著移動互聯(lián)網(wǎng)的普及和物聯(lián)網(wǎng)設(shè)備的應(yīng)用，個人信息數(shù)據(jù)爆發(fā)式增長，個人在網(wǎng)絡(luò)空間由“匿名”逐步變成“透明”。在數(shù)據(jù)開發(fā)價值的驅(qū)使下，個人信息的流轉(zhuǎn)和交易形成鏈條，信息處理主體多元，傳播方式紛繁復雜，對個人權(quán)利的行使和政府監(jiān)管帶來了挑戰(zhàn)。傳統(tǒng)的個人信息保護框架已無法應(yīng)對大數(shù)據(jù)時代個人數(shù)據(jù)保護面臨的新問題。

（二）符合個人數(shù)據(jù)權(quán)利保護的新要求

95指令實施以來，個人數(shù)據(jù)權(quán)利的法律地位不斷提升。2000年頒布的《歐盟基本權(quán)利憲章》規(guī)定了個人享有數(shù)據(jù)受保護的權(quán)利，并明確規(guī)定了個人數(shù)據(jù)查閱權(quán)、更正權(quán)及法律規(guī)定的其他權(quán)利，以及需由獨立的數(shù)據(jù)保護機構(gòu)行使數(shù)據(jù)保護職能。這是歐盟憲法層面首次宣示個人數(shù)據(jù)權(quán)利為基本人權(quán)。個人數(shù)據(jù)權(quán)利作為歐洲居民的一項基本人權(quán)需要得到有效保護，改革指令成為必然途徑。

（三）滿足成員國數(shù)據(jù)保護統(tǒng)一化的新訴求

95指令設(shè)定了最低標準和目標，成為歐盟數(shù)據(jù)保護法的基礎(chǔ)。但實際執(zhí)行過程中，各成員國的程序和方式并不相同，加上各自獨特的法律制度和文化傳統(tǒng)，個人數(shù)據(jù)在不同的成員國享有的保護水平也各不相同，嚴重影響了數(shù)據(jù)保護的效果，也給歐盟內(nèi)數(shù)據(jù)自由流動帶來阻礙。同時，95指令的內(nèi)部分散性和跨國企業(yè)的多地域結(jié)構(gòu)決定了企業(yè)必須關(guān)注和遵守多個國家及監(jiān)管機構(gòu)制定的數(shù)據(jù)保護規(guī)則，大大增加了開展業(yè)務(wù)的成本。歐盟需要一個更強大和一致的數(shù)據(jù)保護框架，弱化法律的分散性，提升個人的數(shù)據(jù)控制能力及保障市場的內(nèi)部運作[1]。

二、《一般數(shù)據(jù)保護條例》的重要變革

與95指令相比，新規(guī)進行了大刀闊斧的改革，包括適用的主體范圍擴大到境外企業(yè)、賦予數(shù)據(jù)主體更大的權(quán)利、對數(shù)據(jù)控制者和處理者實施更嚴格監(jiān)管、巨額的罰款上限等。

（一）適用范圍：區(qū)域劃分轉(zhuǎn)向數(shù)據(jù)內(nèi)容劃分

95指令的適用范圍取決于區(qū)域因素，適用于機構(gòu)設(shè)立地在歐盟，或者利用歐盟境內(nèi)設(shè)備進行個人數(shù)據(jù)處理活動的企業(yè)和組織。而新規(guī)的適用范圍則是按照數(shù)據(jù)的分布來確定，適用于向歐盟居民提供產(chǎn)品或者服務(wù)，甚至只是收集或監(jiān)測歐盟用戶數(shù)據(jù)的非歐盟企業(yè)和組織，而與它們的位置無關(guān)。非歐盟的境外互聯(lián)網(wǎng)企業(yè)和組織如果跨境向歐盟居民提供互聯(lián)網(wǎng)數(shù)據(jù)服務(wù)，采集和處理歐盟用戶數(shù)據(jù)，即使是免費的服務(wù)，也需要嚴格遵從新規(guī)的規(guī)定。

（二）數(shù)據(jù)主體權(quán)力：引入數(shù)據(jù)可攜帶權(quán)、被遺忘權(quán)

與95指令相比，新規(guī)對數(shù)據(jù)主體的權(quán)利規(guī)定更加細致。如知情權(quán)，新規(guī)規(guī)定數(shù)據(jù)控制者必須以清楚簡單的方式向個人說明其數(shù)據(jù)是如何被收集處理的，需要獲得數(shù)據(jù)所有者的明確同意，新規(guī)則不認可任何形式的“缺省同意”。

此外，新規(guī)還開創(chuàng)性地引入新型的權(quán)利類型，如可攜帶權(quán)和被遺忘權(quán)。數(shù)據(jù)可攜帶權(quán)是指數(shù)據(jù)主體可向數(shù)據(jù)控制者索要其數(shù)據(jù)，也可將其個人數(shù)據(jù)轉(zhuǎn)移至另一個數(shù)據(jù)控制者。例如，臉譜網(wǎng)的用戶可以將自己賬號中的資料轉(zhuǎn)移到其他社交網(wǎng)絡(luò)服務(wù)商。該規(guī)定不僅限于社交網(wǎng)絡(luò)服務(wù)，還包括云計算、網(wǎng)絡(luò)服務(wù)等自動數(shù)據(jù)處理系統(tǒng)。數(shù)據(jù)被遺忘權(quán)是指當個人數(shù)據(jù)與收集處理的目的無關(guān)、數(shù)據(jù)主體不希望其數(shù)據(jù)被處理或數(shù)據(jù)控制者已沒有正當理由保存該數(shù)據(jù)時，數(shù)據(jù)主體可隨時要求數(shù)據(jù)控制者刪除其個人數(shù)據(jù)。如果該數(shù)據(jù)被傳遞給任何第三方（或第三方網(wǎng)站），則數(shù)據(jù)控制者應(yīng)通知第三方刪除該數(shù)據(jù)。

（三）數(shù)據(jù)控制者與處理者義務(wù)：完善問責機制

數(shù)據(jù)控制者是指有權(quán)決定收集、使用、處理個人信息的目的和手段的自然人、組織和政府機構(gòu)等。與95指令明顯不同，新規(guī)明確要求數(shù)據(jù)控制者內(nèi)部必須建立完善的問責機制。主要包括以下內(nèi)容：一是設(shè)立數(shù)據(jù)保護專員（Data Protection Officer，DPO）。其任職期限至少為兩年并可連任，任命過程應(yīng)該是透明的，向公眾及監(jiān)管機構(gòu)通報其姓名及詳細的聯(lián)系方式。DPO需確保企業(yè)遵從新規(guī)規(guī)定，并在企業(yè)違規(guī)操作個人數(shù)據(jù)時承擔相應(yīng)的法律責任。二是數(shù)據(jù)使用記錄入檔。數(shù)據(jù)處理活動必須充分記錄，包括數(shù)據(jù)處理的目的、數(shù)據(jù)類型、數(shù)據(jù)接收者的類別、轉(zhuǎn)移至第三國的數(shù)據(jù)接收者、數(shù)據(jù)保存的時間、采取的安全保障措施等，以及保留有與數(shù)據(jù)處理者的合同附件。三是數(shù)據(jù)保護影響評估。要預先評估高風險數(shù)據(jù)處理活動中數(shù)據(jù)保護的影響，評估內(nèi)容至少要包括對擬進行的數(shù)據(jù)處理活動的描述、對數(shù)據(jù)主體權(quán)利造成的風險、應(yīng)對風險的舉措。四是數(shù)據(jù)泄露應(yīng)及時報告。需在72小時內(nèi)向監(jiān)管機構(gòu)報告。當數(shù)據(jù)泄露可能會給數(shù)據(jù)主體的權(quán)利或自由帶來巨大風險時，必須立即通知數(shù)據(jù)主體。當發(fā)生嚴重的數(shù)據(jù)泄露時，條例要求公司及組織第一時間通知相關(guān)國家監(jiān)管機構(gòu)[2]。

數(shù)據(jù)處理者不直接決定收集、處理、使用個人信息的目的和方法，只是按照控制者的指示來具體操作。對數(shù)據(jù)處理者而言，新規(guī)發(fā)生了重大變化。95指令確立了以數(shù)據(jù)控制者為中心的責任體系，數(shù)據(jù)處理者主要通過合同的方式承擔數(shù)據(jù)保護責任。而新規(guī)對于數(shù)據(jù)控制者、數(shù)據(jù)處理者在多數(shù)情況下提出了相同的要求，如數(shù)據(jù)處理者也承擔對數(shù)據(jù)的安全保障義務(wù)，指定數(shù)據(jù)保護專員，在發(fā)生數(shù)據(jù)泄露事故時，應(yīng)及時報告數(shù)據(jù)控制者等。

（四）違法處罰力度：設(shè)置巨額上限

依據(jù)95指令，歐盟境內(nèi)各國關(guān)于違反個人信息保護的處理金額并不高，如英國法定最高處罰金額為50萬英鎊。新規(guī)大幅度地提高了處罰金額，雖然新規(guī)規(guī)定違法的懲罰金額由成員國決定，但懲罰上限卻相當高：對于一般性的違法，罰款上限是1 000萬歐元或上一年度企業(yè)全球營業(yè)收入的2%（兩者中取數(shù)額大者）；對于嚴重的違法，罰款上限是2 000萬歐元或上一年度企業(yè)全球營業(yè)收入的4%（兩者中取數(shù)額大者）[3]。

（五）跨境數(shù)據(jù)流通：放寬條件

根據(jù)95指令的一般原則，禁止將歐盟公民的個人數(shù)據(jù)向不具備適當數(shù)據(jù)保護水平的第三國轉(zhuǎn)移。在實施時，一些成員國針對跨境數(shù)據(jù)流動進一步增加了事前備案或者許可要求。而新規(guī)明確禁止增設(shè)許可，只要符合條例中規(guī)定的跨境數(shù)據(jù)流動條件，成員國不得予以限制。同時，新規(guī)關(guān)于跨境數(shù)據(jù)流動的條件也更加靈活。比如，歐盟委員會不僅可以對第三國的國家數(shù)據(jù)保護水平做出評估，還可對該國特定地區(qū)、行業(yè)領(lǐng)域、國際組織的保護水平單獨做評估判斷。

三、歐盟數(shù)據(jù)保護制度改革對征信行業(yè)的影響

新規(guī)將對一系列商業(yè)領(lǐng)域和活動中的數(shù)據(jù)應(yīng)用產(chǎn)生影響。作為處理個人數(shù)據(jù)的行業(yè)，征信業(yè)也將受到?jīng)_擊。

（一）征信數(shù)據(jù)的完整性可能受到限制

新規(guī)增強了多項數(shù)據(jù)主體權(quán)利，如反對權(quán)、被遺忘權(quán)等。根據(jù)反對權(quán)，個人有權(quán)隨時拒絕征信機構(gòu)根據(jù)合法利益處理其數(shù)據(jù)等。根據(jù)被遺忘權(quán)，個人有權(quán)利撤回向征信機構(gòu)提供的同意其采集、處理和對外提供其數(shù)據(jù)的授權(quán)，并有權(quán)要求征信機構(gòu)刪除其數(shù)據(jù)，并且如果征信機構(gòu)對個人要求刪除了的數(shù)據(jù)在此前已經(jīng)進行了公開傳播，也有責任通知其他第三方停止使用或刪除公開傳播的數(shù)據(jù)。這可能會對征信數(shù)據(jù)的完整性、客觀性帶來影響。

（二）處理數(shù)據(jù)的合法性可能受到威脅

與95指令一樣，新規(guī)還規(guī)定除了獲得同意以外的其他的數(shù)據(jù)處理的合法理由，包括為數(shù)據(jù)控制者或第三方的合法利益，反映了平衡數(shù)據(jù)主體與數(shù)據(jù)控制者之間的利益沖突的立法目的。然而新規(guī)中規(guī)定的反對權(quán)，實際上打破了這種利益平衡。此外，將數(shù)據(jù)控制者的合法利益作為數(shù)據(jù)處理的合法理由的情形在實踐中非常有限，除非數(shù)據(jù)控制者能夠證明其合法的利益顯著高于數(shù)據(jù)主體的個人權(quán)利和自由。這些都可能使征信機構(gòu)數(shù)據(jù)處理的合法性受到限制。

（三）既有征信業(yè)務(wù)模式可能受到挑戰(zhàn)

一方面，用戶畫像及自動化處理是以自動化數(shù)據(jù)處理方式，對個人的信用風險、工作表現(xiàn)、經(jīng)濟狀況、個人偏好、可信賴程度等進行評估的活動，在當前信用評分和信貸行業(yè)應(yīng)用都很常見。新規(guī)對數(shù)字畫像和數(shù)據(jù)自動處理的限制，將影響自動化的個人數(shù)據(jù)收集、處理和應(yīng)用實踐，尤其是大數(shù)據(jù)技術(shù)在征信領(lǐng)域的應(yīng)用，以及基于此的個人信貸業(yè)務(wù)。另一方面，新規(guī)賦予信息主體數(shù)據(jù)可攜帶權(quán)，個人可以無障礙地將其個人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個信息服務(wù)商轉(zhuǎn)移到另一個信息服務(wù)商，也可能會給未來征信機構(gòu)的業(yè)務(wù)模式和征信機構(gòu)之間的競爭關(guān)系帶來深刻變革。

四、歐盟數(shù)據(jù)保護制度改革對我國征信行業(yè)發(fā)展的啟示

（一）盡快建立系統(tǒng)完備的個人信息保護法律體系

目前，我國個人信息保護法還未正式出臺，有關(guān)個人信息保護的規(guī)定分散在刑法、民法通則等不同的法律當中，涉及互聯(lián)網(wǎng)個人信息安全的規(guī)定還局限在法規(guī)、條例、辦法層面。而全球已有近90個國家制定了其個人信息保護的立法[4]，歐盟的個人數(shù)據(jù)保護法更是結(jié)合互聯(lián)網(wǎng)發(fā)展趨勢進行了大刀闊斧的改革。建議我國盡快建立和完善互聯(lián)網(wǎng)個人信息安全保護法律體系，以基本法形式出臺個人數(shù)據(jù)權(quán)益保護或個人隱私權(quán)保護方面的專項法，并加大對侵害數(shù)據(jù)主體權(quán)益的處罰力度。

（二）把握互聯(lián)網(wǎng)征信趨勢，設(shè)計信息保護條款

在大數(shù)據(jù)、云計算等快速發(fā)展的技術(shù)背景下，互聯(lián)網(wǎng)征信作為一種新興征信模式正逐步進入個人征信領(lǐng)域。而與之相對應(yīng)的個人信息保護制度卻相對滯后，表現(xiàn)在數(shù)據(jù)主體對數(shù)據(jù)的控制權(quán)嚴重削弱、數(shù)據(jù)安全風險和數(shù)據(jù)監(jiān)控風險增加等方面。歐盟推行數(shù)據(jù)保護立法改革，也是為了應(yīng)對新興技術(shù)發(fā)展帶來的挑戰(zhàn)。因此，建議借鑒歐盟新規(guī)，在征信相關(guān)的制度中對數(shù)據(jù)遺忘權(quán)和刪除權(quán)、數(shù)據(jù)的可攜帶權(quán)等進行設(shè)計，強化個人數(shù)據(jù)主體權(quán)利，增加企業(yè)數(shù)據(jù)安全保護責任。

（三）兼顧個人數(shù)據(jù)保護與信用信息應(yīng)用的平衡

個人數(shù)據(jù)保護是數(shù)據(jù)保護立法的核心，但過分強調(diào)權(quán)利保護將削減數(shù)據(jù)自由流動的機會、增加商業(yè)成本。在征信行業(yè)也是這種狀況，嚴格的個人隱私保護將限制信用信息的應(yīng)用，而信用信息過度應(yīng)用又不利于個人隱私保護。此次新規(guī)充分體現(xiàn)了對個人數(shù)據(jù)權(quán)力保障與促進數(shù)據(jù)自由流動的兼顧平衡。建議借鑒歐盟個人數(shù)據(jù)保護立法經(jīng)驗，構(gòu)建符合國情的個人數(shù)據(jù)法律保護體系，在個人隱私保護的框架下，推進信用信息為社會和行業(yè)服務(wù)。

參考文獻：

[1] 何治樂，黃道麗.歐盟《一般數(shù)據(jù)保護條例》的出臺背景及影響[J].信息安全與通信保密，2014，（10）：72-75.

[2] 彭星.歐盟《一般數(shù)據(jù)保護條例》淺析及對大數(shù)據(jù)時代下我國征信監(jiān)管的啟示[J].武漢金融，2016，（9）：42-45.

[3] 吳沈括.歐盟新一代數(shù)據(jù)保護規(guī)則意味著什么[J].中國信息安全，2016，（6）：96-97.

[4] 石佳友.網(wǎng)絡(luò)環(huán)境下的個人信息保護立法[J].蘇州大學學報：哲學社會科學版，2012，（6）：85-96.