个人信息保护法、征信业务管理办法出台虽仅月余,但影响之深、之剧烈前所未有。我们看到,第三方汇集、倒卖数据的商业模式遭受灭顶之灾;以此为基础的模型、风控能力输出业务如水上浮萍,风雨飘摇;金融机构数据外采茫然无措,涉外数据的量化分析工作面临重新解构。
我们结合对三大基本法和征信业务管理办法的解读,对金融业常见数据外采操作的合法性进行辨析,提出问题和建议,供各位讨论。
单向查询场景
按照个保法规定,当前以要素核验为主的单向查询操作模式存在着法律瑕疵,隐含着两个法律风险:
数据来源及应用是否合法;
客户告知与授权是否充分。
下面我们分情况讨论。
被查询方为一手数据源
我们首先要看数据源公司获取的个人信息是否直接从个人获取,如果是,当时的处理目的和处理方式是什么,是否获得了个人客户对外提供其个人信息的授权,授权的范围是什么,是否涵盖了查询输出的服务,是否告知了拟输出单位(查询方)的名称、联系方式、处理目的、处理方式、处理的信息类型。这一点很重要,决定了一手数据源在输出查询服务时是否重新获得授权。
根据个保法第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
在单向查询场景下,数据查询方在告知并取得个人客户的授权后,方可将个人信息提供给被查询方(数据源厂商);而作为被查询方,在其将自己处理的个人信息反馈给查询方时(无论是否标签化),同样也是个人信息处理者,同样应当向个人告知查询方的相关情况并取得授权。作为数据源公司(拥有海量个人数据的被查询方),不能仅依据查询方的单方面告知义务和单方向授权,而免去自身的处理告知义务及应取得的授权,除非,数据源公司曾经明确告知过客户其对外输出的服务方式,输出单位的名称、联系方式、处理目的、处理方式、处理的信息类型。
结合个保法的授权与告知要义,单向查询的标准流程应如下图:
被查询方为二手数据源
有些被查询方的个人信息并不是从个人客户直接获取,而是通过代理、技术服务、信息服务甚至授权的方式从一手数据源处转接而来,或是多次转接而来,我们统称为二手数据源。此类场景适用于个保法中委托处理个人信息(个保法第二十一条)和向外提供处理个人信息(个保法第二十三条)的条款。
按照个保法第二十一条规定,首先,一手数据源要有合理的理由采取委托方式委托第三方(受托人)处理个人信息(此时的第三方即为二手数据源),双方要约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。其次,第三方(受托人)不能超出委托范围处理个人信息。最后,未经个人信息处理者(一手数据源)同意,第三方(受托人)不得转委托他人处理个人信息。
也就是说,如果二手数据源采取委托方式从一手数据源处获得了个人信息的,应确保委托原因合情合理,且不超出委托合同范畴处理个人信息。最为重要的,未经一手数据源同意,二手数据源不得再行转委托,一手数据源厂商还要对整个过程承担监督和管理责任。我们知道,常见的合理委托关系主要有技术服务、信息服务、代理服务,若无公权力赋予,很难作为二手数据源广泛对外提供数据查询转接服务的理由。无合理、合法授权同意,二手数据源厂商以委托名义广泛对外提供数据服务,不合理,也不合法。
如果二手数据源厂商将自身定义为个人信息处理者,这又回到了上一个场景的逻辑。其应该提前获得个人客户对外提供其个人信息的授权及范围,并告知了拟输出单位(查询方)的名称、联系方式、处理目的、处理方式、处理的信息类型。而查询方还要评估其获取信息的方式的合理性、合法性,以及其与一手数据源厂商的服务关系。
例外的情况
上述场景下有例外的情况,按照个保法第十三条,符合第2至7项规定情形的,不需取得个人同意。具体内容如下:
为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
为履行法定职责或者法定义务所必需;
为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
法律、行政法规规定的其他情形。
归纳来说,可以不需征得个人同意的处理人或场景只有几个:合同缔约方、政府部门、新闻媒体以及在突发公共安全事件条件下。
合同缔约方令我们想起了银行联合贷款,由于两家银行均与个人客户签订了借款合同,因此无需再遵循上图的告知与授权流程。但是两家银行需要在协议中约定各自的权利和义务,并将处理分工告知个人客户。
这里重点讲一下政府部门对个人信息的收集,由于其履行法定职责或义务收集了大量的个人信息,同时按照法律、行政法规的规定,对外提供了个人信息,因此均无需取得个人同意。只需查询方履行提前告知和授权义务即可完成整个查询过程。
举一个例子,2021年12月22日,国务院办公厅印发《加强信用信息共享应用促进中小微企业融资实施方案》的通知,要求各地区、各部门认真贯彻落实党中央、国务院关于加强社会信用体系建设、促进中小微企业融资的决策部署,加快信用信息共享步伐,深化数据开发利用,创新优化融资模式,助力银行等金融机构提升服务中小微企业能力,有效降低融资成本。其中鼓励市县级政府横向联通国家企业信用信息公示系统,纵向对接地方各级融资信用服务平台,构建全国一体化融资信用服务平台。支持有需求的银行、保险、担保、信用服务等机构接入融资信用服务平台。
案例中,虽然数据共享服务对象是中小微企业,但企业是由个人构成,此外个体工商户、微小企业主要涉及企业法人个人,避免不了收集个人信息。因此,各部委和各级政府建立的政务平台及融资信用服务平台在处理个人信息时无需征得个人同意。
合法改造建议
作为金融业基础核验类数据服务,人脸识别、二要素、三要素、四要素的现有核验方式虽被广泛应用,但整个过程是否存在法律瑕疵,还需结合以上三种常见情况进行剖析,重点对数据源厂商的数据获取方式、告知及授权情况进行仔细判断,这也是个人信息处理者进行个人信息安全影响评估的应含内容。
如果数据源厂商不是各部委、各级政府通过法定义务收集,或是经过公权力委托,除非数据源厂商在主业服务过程中明确告知了个人客户(拟转输出的其他个人信息处理者的名称、联系方式、处理目的、处理方式和个人信息的种类)并取得授权,否则,数据源厂商应取得个人客户的重新授权。
具体操作方面,对于需要重新授权的情况,建议查询方在履行告知义务并取得授权后,设定界面再行跳转至数据源厂商告知及授权界面进行重新授权。对于数据源厂商来说,对外告知和授权界面可以设定为统一接口,同一场景下的内容也是标准化的,只需灵活配置告知对象名称和联系方式。至于数据源厂商如何识别客户的真实性,建议信任查询方的核实结果并在协议中对相关责任进行明确,尽量保证客户体验的同时,避免发生额外的重复核验成本。
不同用途下的数据外采和联合建模
金融业数据应用还受到了《征信业务管理办法》的规定,其中最核心的要求是:金融机构用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息,必须从征信持牌机构获得。这里隐含着按照数据用途定义数据性质和获取方式的深层逻辑。也就是,如果金融机构外采数据是用于评估信用状况的,那么必须从1家中心(央行征信中心运营的国家金融信用信息基础数据库)、3家个人征信牌照和133家企业征信牌照获取数据,否则金融机构面临违规风险,将会收到央行处罚。其它用途的数据外采将不受《征信业务管理办法》的约束。
我们在此讨论两个行业疑难点问题。
基础核验类查询服务是否需要遵循《征信业务管理办法》?
按照现有的行业实操现状和执法尺度判断,以人脸识别、二要素、三要素、四要素为主的身份核验类数据,是线上服务业态下识别和确定个人身份的普遍、基础操作,在风控以外场景同样需要,因此不应被划分为信用数据范畴,不算做征信数据,自然不用遵循《征信业务管理办法》的约束。
但是类似多头借贷、黑灰名单等其他查询数据,若应用于识别个人或企业风险状况的,应该遵循。
各部委、各级政府建立的融资信用服务平台与《征信业务管理办法》是否存在矛盾?
答案:不矛盾。
首先,各部委、各级政府建立的融资信用服务平台是与全国一体化政务服务有效衔接的全国一体化融资信用服务平台的重要组成部分和必经发展阶段,而构建全国一体化融资信用服务平台是经中共中央办公厅、国务院办公厅多次印发的包括政府工作报告在内的多个行政发文确定下来的,属于国务院制定的行政法规,其效力要高于《征信业务管理办法》(中国人民银行令〔2021〕第4号)部、委、办、局制定的部门规章。
其次,各部委、各级政府建立的融资信用服务平台中,均有央行各级分支机构机构或国家金融信用信息基础数据库的参与,其操作符合上位法《征信业务管理条例》的规定。
隐私计算有助于解决“告知-授权”和去标识化义务
《个人信息保护法》和《征信业务管理办法》出台后,数据合规性要求提高,金融机构无法随心所欲地运用外部大数据,应用于风控决策和模型的数据源数量骤减,同时由于征信机构短期内无法满足全部数据需求,因此金融机构的线上风控决策和风控模型效果短期内遭遇巨大挑战。而营销或其他目的的数据外采,虽不受《征信业务管理办法》约束,但由于合规、合法数据源骤然减少,同样处于无数可用的尴尬境地。
为解决上述问题,头部金融机构广泛尝试运用隐私计算方式,通过近“匿名化”和去标识化方式,采取更为合法的、较为安全的方式引入外部数据,补充风控决策和模型入参变量维度,提升量化决策效果。笔者文章《金融机构如何选择隐私计算技术和公司》(“高声谈”公众号进门左转)中罗列了大量金融机构隐私计算项目,从结果看基本实现了提升模型效果的既定目标。
需要强调的是,正如信通院《隐私计算法律与合规研究白皮书》所说,隐私计算并不完全等同于匿名化,只是实现了一定条件下的匿名化,在某些场景的技术方案下可以实现匿名化。而匿名化的信息不属于个人信息范畴,自然不用遵循个保法要求,也不用提前告知个人客户并取得授权了。因此,可以实现匿名化的特定场景的隐私计算技术不用履行“告知-授权”义务。
个保法要求个人信息处理者应采取相应的加密、去标识化技术确保个人信息的存储和传输安全,这是每个企业应该遵循的基本义务。根据《信息安全技术 个人信息去标识化指南》(国家标准),隐私计算概念下的很多底层技术属于保密级别较高的去标识化技术,有助于解决很多金融场景下的保密、加密需求,已经成为金融行业去标识化操作的主流操作。
笔者个人公众号:高声谈,Inter-FinanceCow
欢迎读者多交流!
声明:本文来自高声谈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。