欧盟数据保护条例对独立第三方征信的影响
欧盟数据保护改革背景
大数据时代,新的数据采集与使用方式不断颠覆传统,在为商业机构带来巨大营利想象空间的同时,也模糊了个人隐私保护的法律边界,为各国的数据保护框架提出了前所未有的挑战。在一直以严格的个人数据保护制度著称的欧洲,面对互联网时代的隐私保护需求,传统的数据保护手段也力有不逮。如何构建一个既能满足互联网时代在线个人隐私保护需要,同时促进数字化经济发展的数据保护新框架,成为欧盟立法机构决心解决的重要问题。
2012年1月,欧盟启动了对当前个人数据保护立法框架的全面改革,着手制定统一、严格的个人数据保护条例,以取代1995年的《欧盟数据保护指令》 (EU Data Protection Directive)。历经3年的争议和讨论,欧盟理事会于2014年底公布了代表其立场的条例草案最新文本。虽然各方对此次文本内容还存在很多分歧 ,但条例的核心内容已经基本确定。
个人数据保护立法是欧洲征信业遵循的最重要法律,其改革必将对征信数据采集和使用造成影响,欧盟征信业对立法内容及其关注。那么根据最新的意见文本,新条例的主要变化有哪些?体现出什么样的立法主旨?对征信业又会产生哪些潜在影响?
新条例主要变化
新增个人数据处理原则
现行指令规定了数据控制者必须遵守5个原则,分别是数据处理的合法性、公平性原则;数据采集目的描述具体、清晰、合法原则;数据处理的相关性、充分且不过度原则;数据准确性以及必要情况下的及时性原则;数据保存不得超过一定期限(指为了某一目的进行数据处理所需要的时间)原则。
在新条例草案中,新增了数据处理对数据主体透明原则。后面我们将提到新赋予数据主体的被遗忘权、可携带权,以及数据控制人的通知义务,都基于该原则设立。
此外,条例还新增了一条“确保数据处理的适当安全性”原则,对数据控制人的安全措施提出了更高要求。
严格限制个人数据处理的合法性
在数据控制人进行数据处理的合法性方面,条例在原指令所规定的6种情形(必须至少符合其中一种)的基础上,提出了额外的要求或限制条件。
首先,根据原指令,数据控制者如果取得数据主体明确同意即可进行数据处理。但根据新条例,数据主体还必须取得数据主体对处理目的(一种或几种)的明确同意。
其次,原指令允许数据控制者为了承担其“法定义务”进行数据处理,或者是为追求自身或第三方的“合法权益”进行数据处理。但新条例则提出,所谓的“法定义务”,必须是所欧盟或成员国的法律中所规定的。在满足以上条件的情况下,数据控制人还必须履行通知义务。明确、单独地把数据处理事宜通知相关个人。而且,当数据控制人的“合法权益”超越个人权益、个人基本权利和自由的时候,必须要对外公布相关理由。
此外,当数据控制者在请求数据主体的授权书中还涉及其他事项时,请求同意授权的条款必须清晰突出,与其他事项区别开来。数据主体可以随时取消其同意授权。
进一步加强数据主体的权利
新条例强化了数据主体的权利,其中最引人注目的是新增了可携权和被遗忘权,用以应对大数据时代社交媒体和其他在线服务对个人带来的不确定风险。
可携权使得个人可以无障碍地以通用的电子格式将个人数据从一个数据服务提供者转移到另外一个数据服务提供者,强化了数据主体获取自身数据的权利,减少了转换服务提供商的成本。
被遗忘权使得数据主体有权要求数据控制者删除其不喜欢的个人信息;进一步限制数据控制者利用数据进行个人特征分析;此外,要求数据控制者使用多层次办法向个人提供其隐私政策;
数据控制者的义务相应增加
获取明确授权。原指令没有对授权做出单独要求。但条例第7条单独对授权做出了要求,要求数据主体对数据处理的同意授权必须能够清晰地表达出其个人意愿。如果数据控制者为了多种目的进行数据加工时,必须取得消费者对每一种目的的明确同意授权。
设置数据保护专员。条例要求数据控制者任命专门的数据保护专员,以增加当责性和透明度。数据保护专员的职责是监测企业活动,确保数据控制者和处理者遵从条例,并成为数据主体行使其权利的中间人,同时承担与监管机构之间进行联络与合作的工作。
处理数据外泄。条例还新增数据外泄通知要求。一旦数据控制者发生数据外泄,必须在24小时内向监管机构报告。如果可能对数据主体隐私带来不利影响,必须及时通知数据主体,以便其采取措施。
对个人数据的重新定义
个人数据是条例的核心概念,是法律适用的最基本前提。过去,法律对个人数据有明确界定,一般以“可识别身份”为核心标准。在新条例中,数据保护原则适用于所有与“已识别身份”和“可识别身份”的个人相关的任何信息。也就是说,不仅包括能够确认个人身份的信息,还包括可以标记出个人、但不一定确认个人身份的信息,比如经过匿名化处理,但通过使用其他数据可以定位到个人的信息,也被认为归为“可识别个人”的信息。
对于个人使用上网设备和工具,在网上浏览时产生的足迹信息,如网端地址、cookies 等信息,当与唯一身份识别信息和其他信息结合使用时,可能被用于创建个人档案并识别个人身份。如果身份号码、地址数据、在线识别信息或其他特定信息不会个人身份或让个人身份可识别,不应该被认为是个人信息。
适用范围不仅限于欧盟企业
新条例扩大了数据保护的领土范围,除了欧盟企业和机构之外,对于不在欧盟境内,但却向欧盟公民提供产品或服务的数据控制者,其所有相关业务活动也必须遵守该条例的规范。否则,将面临最高全球营业额2%的罚款。因此,企业,特别是掌握有个人信息的互联网公司,要想确保欧盟业务的持续运营和扩展,必须在数据处理的初期建立更完备、透明的数据保护流程。
对独立第三方征信机构的潜在冲击和影响
新条例对商业、研究和一系列商业领域和活动中的数据应用将产生巨大影响,并因此引发巨大争议。特别是日常运营中需要使用个人数据的几个代表性行业,如直接营销、在线行为广告、网络分析、信用信息行业等,将受到最明显的冲击和影响。在欧盟,作为征信服务的主要提供方,大多数国家对成年人口的覆盖率最大的是私营征信机构,这意味着,欧盟私营征信机构将是征信业中受潜在冲击和影响最大的。主要影响体现在以下几个方面:
征信机构数据处理的合法性受到威胁
根据现行的1995年指令,信用信息的采集建立在利益平衡条款的基础之上。在此基础上,即便商业机构最开始收集数据并非为了向征信机构报送,它们向征信机构报送还款违约信息还是合法的,此外,金融机构等用户从征信机构获取信息服务符合其合法权益,优于违约数据主体的合法权益,这一点在指令中得到承认。但根据新条例中个人数据处理合法的几种情况,征信机构数据处理的合法性受到了限制。
一是私营征信机构出于消费者保护和确保金融市场稳定的目的进行数据处理缺少法律基础。这些目的并不属于条例第6(c)款所要求的、法律层面规定的“法定义务“范畴,而往往体现在监管机构制定的金融法规和要求中。所以,如果不能将“法定义务”的范围扩大,私营征信机构进行数据处理的合法性和可持续性将受到威胁。
二是征信机构增值服务开发中进行的数据再处理受到限制。新条例中,数据控制者对数据再处理时,必须符合数据处理合法条款中规定的前5种情况之一,而第6种情况——“为追求自身或第三方的合法权益进行数据再处理”则被排除在外。对征信机构而言,进一步处理数据的目的是在符合信贷机构“合法权益”(负责任放贷)的基础上所进行的活动。因此,如果第6种情况被排除在数据再处理的法律依据之外,或者条例没有对征信机构的数据再处理做出例外性规定,征信机构的增值服务开发将没有合法依据。
此外,条例第6条规定的“数据控制人为了实现其法定义务所进行的数据处理是合法的“,内涵着平衡数据主体与数据控制人之间的利益冲突的立法目的。但在条例第19条中,规定了消费者不需要任何提供任何合理理由就可以行使其反对权,实际上等于打破了原指令中数据主体与数据控制者之间的这种利益平衡。
三是征信机构为满足金融监管机构的要求进行数据处理缺乏法律依据。条例规定,数据控制人为了公共利益而进行数据处理的,必须有欧盟或成员国的法定条款作为合法依据,而且处理主体必须是法定条款中明确的公共机构、专业协会或者以健康为目的。但是,当征信机构为满足监管机构的要求而进行数据处理的,虽然是为了公共利益的目的,但并没有法定条款作为依据,而且征信机构并不属于上述合法的数据处理主体范畴。
被遗忘权可能限制征信机构采集负面数据
条例建议稿第17条提出了一项新权利——消费者的被遗忘权(Right to be forgotten),即消费者有权要求数据控制着删除自己不喜欢的信息。对征信机构而言,这意味着消费者有权要求它删除自己的坏账信息,这将影响征信机构采集信贷决策所需的数据,给信用记录的可靠性带来很大风险,进而导致信贷机构做出不适当的决策。下图显示了德勤对消费者删除信用历史记录的不同意愿的调查结果。
欧洲征信协会(ACCIS)认为,条例应当规定消费者形式被遗忘权需要有正当理由。并将自由裁量因素引入相关条款,从而把其他领域(例如社交网络)与征信业区别开来——对于其他领域,数据主体应有权在任何情况下要求清除其数据;而对于征信行业,要想删除数据,数据主体应对数据的保存提出合理的反对理由(比如数据存储时间超过法律允许的期限或数据有误)。
影响信用评分的开发使用
条例草案第20条限制利用个人数据进行自动化特征分析(profiling)。制定这一条款的目的是限制数据控制商利用数据分析对人群进行有针对性的营销活动。
根据当前的条例文本,信用评分中利用个人历史信用记录进行线性回归很可能被定性为属于“特征分析”(profiling)。如今信用评分开发已经成为整个征信行业的通用做法,这一限制势必对评分开发造成很大负面影响。欧洲征信协会认为,使用信用评分是保证信贷决策的公平性和可靠性的重要工具,一旦其使用受限,将对整个信贷业产生不利影响。因此,条例应该对征信机构这种利用数据进行特征分析的特殊情况做出豁免性规定,即对第20条(2)(a)、(3)、(5)进行相应修改。
执行新条例将带来高昂的实施成本
新条例的措辞主要针对互联网企业,但没有对征信机构这类特殊机构做出豁免性规定。这意味着征信机构要与互联网公司采取同样的条例执行力度,这将对其形成巨大的操作性挑战,并且带来高昂的实施成本。
来源:信用中国