——在個人信息保護和征信管理國際研讨會上的講話

吳曉靈

2017年4月21日

尊敬的各位來賓，女士們，先生們、朋友們：

大家好！今天我很榮幸來談一談如何在信息化時代，建立中國的個人數據保護制度安排，夯實征信市場發展基礎。

信息化時代，數據收集和數據共享的規模急劇增長，數據已經成為經濟增長和社會價值創造的源泉。快速發展的數據挖掘與利用技術使個人在網絡空間逐漸由“匿名”變為“透明”，傳統方法已很難有效應對大數據環境下個人數據保護的新問題，而合理全面的新制度安排正是解決上述問題的一劑良藥。所以，遵循個人數據保護的國際趨勢，完善個人信息保護制度和征信制度，既是利用數據挖掘促進經濟發展的基礎，也是提高金融服務效率、擴大服務覆蓋面和提升服務質量的基礎。

一、關于個人數據保護的基本認知

個人數據與公共數據是一組相對的概念，在當前時代背景下，有必要明确其定義與屬性。公共數據是指無“識别性”，即無主體指向的數據資源，比如社會資金流向地圖、商品物資流向趨勢圖等等。而與此相對，個人數據的“識别性”構成了國際公認的個人信息一般特征。具體到我國, 2012 年全國人大的《關于加強網絡信息保護的決定》第一條就明确規定“國家保護能夠識别公民個人身份和涉及公民個人隐私的電子信息”。因此,個人數據是指與一個身份已經被識别或者身份可能被識别的自然人相關的任何信息, 包括個人姓名、住址、出生日期、身份證号碼、醫療記錄、人事記錄、照片等單獨或與其他信息對照可以識别特定的個人的信息。

個人數據具有雙重權利屬性。就法理權利屬性而言,個人數據權具有類似肖像權、姓名權、名譽權等人格權的特征。随着社會發展,也逐漸具備了類似所有權、收益權、處分權等财産權的屬性。所以，個人數據權被賦予兼具人格權與财産權雙重屬性的獨立民事權利已成為國際趨勢。

當前，數據資源正和土地、勞動力、資本等生産要素一樣，成為促進全球經濟增長和各國社會發展的基本要素。信息化對個人數據的挖掘和利用是一把雙刃劍。一方面，信息化技術廣泛應用，個人信息的開發和利用對于社會發展的進步意義重大，商業機構可以利用收集的個人信息為生産營銷決策提供輔助信息；政府部門可以利用掌握的個人信息進行準确的政策決策，提高社會管理效果，預防和懲治犯罪。另一方面，由于個人信息的不當收集、濫用和洩露，會造成數據自主權逐步喪失、隐私更容易遭受侵犯、數據的經濟利益不公平分配等問題。因而在法治軌道上開發利用個人信息是市場經濟公平公正發展的基石。

二、我國個人數據保護的現狀

為積極順應大數據的時代潮流,《中共中央關于制定國民經濟和社會發展第十三個五年規劃的建議》提出實施國家大數據戰略,推進數據資源開放共享的理念。總體來看，中國個人數據保護仍處于起步階段，發展速度較快，且實踐走在立法前面。例如，政府部門已開始主動研究和實施個人信息保護體系；企業部門特别是互聯網企業已經在加強技術手段主動保護客戶信息；民衆個人也提高了保護個人數據的意識，維權案例大幅增加。但也存在如下問題：

一是個人信息保護缺乏頂層設計。在大數據時代，數據已逐步産生出巨大的應用價值，個人信息保護開始被重視，但無論從理論還是實務上都還處于起步探索階段，從現階段實踐來看，個人信息權還沒有被确認為一項新生的獨立權利。在制度設計層面上缺乏确權的過程，信息保護也就沒有了生存的基礎和靈魂。

二是個人數據保護專項立法滞後。我國現階段個人數據保護主要體現在憲法的人格權利保護、民法的隐私權、名譽權保護以及如郵政法、銀行法等部門法這三大類法律規定之中，尚無針對個人數據保護的專項立法。而且以現有法律體系，保護個人數據僅從傳統隐私的角度進行，局限在屬于隐私、姓名、肖像或專門法律法規所規定的範疇，超出範圍的部分往往得不到有效的保護，這很難與高度發展的信息社會對個人數據安全要求相适應。

三是數據保護沒有明确的監管機構。歐美日等都有關于數據保護機構實施監管的顯著特點，如西班牙數據局、瑞典數據檢查局等，它們的區别僅在于機構設立的具體形式。中國尚未構建類似的專業性監管機構和相應的組織體系，不僅降低了政府的治理效能，也使數據保護監管業務處于真空狀态，最終造成了某些機構往往以擁有海量數據大肆炫耀，卻拒絕履行保護責任的現狀。

四是尚無數據保護的國際合作機制。數據作為新的市場要素，具有全球化流動趨勢，未來必将成為國與國之間合作競争的焦點。歐美之間關于數據跨境安全流通已有了成文的《安全港協議》或一系列的協商合作機制。中國在國際數據交流使用中缺少國際合作機制，數據在“走出去”與“引進來”過程中的保護障礙重重。

五是數據保護制度體系不完善。從歐美日較為成熟的經驗來看，數據保護在專項立法後，需要一系列的相關制度體系配套來保證其有效運轉。數據的流轉保護、科技應用、行業自律、文化創建等制度在我國仍處于起步階段，我們隻有盡快建立完善、健全的個人信息保護制度, 才能回應信息化時代的挑戰。

三、着力構建個人數據保護體系，夯實征信市場發展基礎

當前，為最大限度地在保護個人數據的基礎上，促進數據的合法使用，中國應充分借鑒國際趨勢和考慮現實國情，着力構建個人數據保護體系，從确權立法、有效監管、國際合作、完善數據運轉保護制度等方面進行系統性的安排。

（一）在民法體系中确立個人信息權。

個人信息權作為一項兼具人格和财産意義的民事權利,應當被确認為一項新生的獨立權利。通過确權,在現行民法體系内明确規定個人信息的内涵,個人信息權益保護的基本原則，信息主體收集、利用和處理個人信息的基本規範等内容，并在如《征信業管理條例》等行業法規中,将個人信息權作為個人信息保護的基礎, 更加清晰地界定個人信用信息的知情權、同意權、投訴和異議權等基本權利，進一步對個人數據信息的權能、保護和救濟方法等進行規定。

（二）盡快制定《個人信息保護法》。

目前全球已有近90個國家和地區制定了個人信息保護的法律，個人信息保護的專項立法已經成為國際慣例。中國應借鑒他國做法，盡快制定專門的《個人信息保護法》，鑒于個人信息涉及各個行業，因此立法不僅要明晰個人信息的邊界和責任，更需要精細化、具體化，要分類和分層對個人數據進行保護。與此同時，立法中要樹立提高信用數據質量與信息保護同等重要的基本理念，要從數據完整性、及時性和準确性等方面保證征信數據準确有效，最大程度從源頭堵住錯誤數據入庫，提升信用數據的真實性、可靠性。

（三）設立數據保護監管機構。

建議設立國家層面的個人信息保護委員會，專門負責個人信息保護領域的工作，主要承擔推動個人信息保護法律完善和實施、督促相關國家機關遵守個人信息保護法與落實執法監管責任、開展個人信息保護行政執法、宣傳教育和國際交流合作等，個人信息保護委員會向國務院負責。同時由政府的相關部門按照法律法規的規定在自己的職責範圍内負責個人信息保護和監督管理工作。如人民銀行監管金融類數據、工信部監管電信類數據，衛生部監管醫療類數據等等。一方面要利用專門執行機構的主導作用,在全社會層面大力倡導數據的開放和利用,激發全社會的創新能力，提高政府治理效能;另一方面也要充分發揮相關部門職能進行“一站式”的服務與協調,更有效率地加強對個人數據權的保護。如人民銀行征信管理部門要加強征信個人數據監管，按照《征信業管理條例》、《征信機構管理辦法》的要求，更加細化相關内容，既要符合當前實際，又要符合未來制度變革的需要，最終實現相應法律規章能有效地落地執行。

（四）建立數據保護國際合作制度。

随着全球交往的日益頻繁，跨境的數據流動将成為常态，全球數據保護是各國共同關注的話題。中國也應積極地與相關國家展開雙邊和多邊磋商，簽訂類似于歐美的《安全港協議》或建立協商溝通機制，實現對國際數據流動保護的新突破。同時，以數據跨境流動為契機，推動征信業的多角度多層次國際合作，學習借鑒國際先進征信數據管理理念和方法，積極參與國際标準制定，并循序漸進地開放對外征信市場，找到國際征信數據合作的解決方案。

（五）健全數據運轉保護制度體系。

1.在獲得流轉方面，一是要制定合理明晰的數據獲得規則，分類和分層開放數據，避免數據行業壟斷和分割。例如建立有效的信息采集機制，推動征信企業可持續的采集到政府部門掌握的信用數據等等。二是建立統一的流轉平台，促進數據價值流通。以成立大數據交易所為契機，加快個人信息流轉平台在保護主體人格利益的同時促進财産價值的流通。

2.在科技應用方面，一是利用科技保存數據。不僅依靠匿名保護、痕迹删除等新技術保護增量數據，同時也要應用加密技術加強存量數據的安全。在征信業中建立對信息系統技術防控的措施，确保征信系統的網絡安全和系統安全，尤其要關注銀行端系統管理，防止信息盜竊事件發生，避免信息洩露。二是利用科技合法使用數據。互聯網和大數據為征信産品和服務創新提供了新的數據基礎，在此背景下，要主動運用科學技術加強征信數據合法使用能力，如利用互聯網科技為傳統征信系統提供有益數據補充，利用互聯網科技判斷、評估信息主體信用狀況等等。

3.在行業自律方面，首先是政府适時介入，使行業自律具有強制性，其次是異常事件報告機制，及時上報提起調查自糾。征信行業協會發揮行業自律管理職能，督促金融機構完善内部征信管理制度，保障征信業務依法合規。

4.在文化創建方面，通過廣泛宣傳，喚醒民衆對個人數據保護的意識；通過走進課堂，學習自我數據保護的方法；通過法律幫助，進行征信數據保護的維權等等。征信從業者也要強化服務創新，讓征信服務領先于市場，形成全社會範圍内數據保護的良好文化氛圍。

四、中國征信市場發展的展望

（一）國内公共征信機構和市場化征信機構協同發展是未來征信業的方向。個人征信主要與個人參與的金融信貸交易相關，信息共享是個人征信機構最核心的商業原則。由于金融業務和個人信息的敏感性，征信産品從經濟學上來說是“有條件的公共産品”。因而由政府或行業成立公共征信機構成為各國的一種選擇，在中國即為人民銀行征信中心。但市場的要求是多樣的，是多層次的，因而還需要一些商業化的征信機構作為補充，深耕細分領域，為市場提供靈活高效的服務,但這種機構是有限競争的，不能太分散，而要有相當的門檻。

（二）獨立第三方的地位是個人征信機構能夠進行可持續商業運營的必要條件。從國際經驗來看，獨立第三方地位有利于個人征信機構獲得社會公信力，實現信用信息共享；有利于消費者的公平授信；還有利于保護個人信息安全。國外許多個人征信機構實現獨立第三方地位有着不同的路徑，可以為國内市場化征信機構的未來發展提供參考。我們認為，獨立第三方地位的特征是機構的股權獨立、公司治理獨立、征信業務獨立和風險分析模型與數據源獨立。

（三）對個人征信市場建立分類監管框架。征信是對客戶還款意願的評估，與社會誠信有所不同，大數據的行為分析與還款意願的關聯性還有待驗證，因而我們要對以上活動有所區分，分類監管:  （1）對于從事基礎的消費者信貸信用信息服務的機構采用征信業全牌照監管；（2）對于利用消費者數據進行信貸信用風險分析服務的機構采用征信業專項牌照監管；（3）對于從事個人數據服務的機構，且規模較大的，建議采用事後備案管理，積極推動行業自律。

（四）個人征信系統建設需要社會各方共同努力。個人征信不是一個簡單的資本逐利的新領域，而是一個專業性強、監管和合規性要求比較高的行業。成功運作的個人征信系統建設周期長、資金投入較大，需要長期的投入、大量的研發和艱苦的工作。國内的個人征信機構在未來發展中更應注意把基礎性的工作做好、循序漸進，作為一項國家金融基礎設施要把基礎打牢，一味的追求跨越式發展并非是一件好事。

國内外的征信業都在發展之中，新技術的推動、新金融的發展、互聯網給經濟帶來了新的活力。同時信息安全和消費者的權益保護也面對更多挑戰。我們要堅守征信的基本準則，在征信活動中堅持公平正義，不能形成對客戶的歧視，不能濫用客戶信息，不能侵犯個人隐私。征信的結果也要區分應用場景，主要用于金融活動的領域而不要随意拓展。

個人信息保護是一個基礎性的問題，需要多方參與，人大、法律界、媒體、消費者、社會公衆、監管以及政府層面都要參與，而解決的過程需要多方面的博弈，我們在尋求信息保護和數據有效利用這對矛盾中權衡。

總之，大數據的應用和價值的挖掘不能以犧牲個人人格權、财産權為代價。科技的發展，社會的進步，終極目标是讓人類更安全，更自由。通過構建數據保護制度，确保數據主體的充分權力，促進個人數據在産權清晰、保障有力的制度框架下發揮更大的價值，征信市場才會擁有穩定發展的基礎，征信業才會擁有健康發展的未來。

謝謝大家！