(作者:陈云峰)大数据时代的到来,一方面意味着个人数据、企业数据的扁平化,另一方面数据使用过程中的问题也逐渐暴露,个人数据孤岛、企业信息不对称、个人和企业信用隐私数据公开等问题亟待解决。区块链技术的出现,许多企业纷纷开始探索区块链技术和征信的结合以解决前述问题,在此过程中的数据使用合规和征信资质问题应当予以重视。
一、征信业中的区块链技术应用
(一)个人数据的收集和使用
《网络安全法》和《GB/T 35273—2017信息安全技术 个人信息安全规范》(“《个人信息安全规范》”)中明确规定了个人数据的收集和使用规范。
1.个人信息的范畴
根据《网络安全法》的规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
《个人信息安全规范》中规定,个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通讯联系地址方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
因此,个人信息不仅包括可以单独识别自然人个人身份的信息,如姓名、身份证号码、电话号码等,还包括与其他信息结合可以识别特定自然人个人身份或活动情况的信息,如住址、工作单位、邮箱地址、征信信息、健康生理信息等。是否具有“可识别性”是判断信息是否属于个人信息范畴的核心要件,而 “身份可识别性”的界限在我国并没有形成统一或具体的判断标准,实践中企业应当根据数据所属行业、具体的识别方法和手段合理性等因素综合判断。
2.明确授权
《民法总则》确立了两项重要的权利:第一,首次在法律上明确规定了隐私权的概念。第二,个人信息权。虽然民法总则没有明确提到“个人信息权”的概念,但是明确规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”因此,我国立法和司法中充分尊重信息主体的自决权。
《网络安全法》规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。因此,对于属于个人信息的数据,其收集、使用和处理都需要经过信息主体的明确同意。
《个人信息安全规范》中将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。根据规范,个人敏感信息指的是一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。个人敏感信息可以包括身份证号码、银行账号、通信记录和内容、行踪轨迹等。个人一般信息则是指除个人敏感信息以外的个人信息。
3.脱敏数据的交易和保存
对于收集后的信息的使用,根据《网络安全法》第四十条、四十二条、四十四条的规定,网络运营者应当承担严格的保密责任(包括必要的保密措施、补救措施及泄露后的通知义务),未经信息主体的同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
另外,在《个人信息安全规范》中提到“收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。”
因此,收集数据应当经过处理后无法识别特定个人且不能复原,并且与个人信息的“身份可识别性”相同,目前我国并没有统一的“不能复原”的判断标准,因此实践中应当根据数据的特殊适用范围综合考虑。
二、资质合规分析
对于计划通过收集用户数据的处理以提供征信服务的企业来说,根据我国现有法律规定,还应当具备一定的资质。
根据《征信业管理条例》和《征信机构管理办法》,我国境内个人征信机构的设立需要经过中国人民银行的批准,同时还需要同时具备以下条件:
出资额占公司资本总额5%以上或者持股占公司股份5%以上的股东信誉良好,最近3年无重大违法违规记录;
注册资本不少于人民币5000万元;
有符合中国人民银行规定的保障信息安全的设施、设备和制度、措施;
拟任董事、监事和高级管理人员应当熟悉与征信业务相关的法律法规,具有履行职责所需的征信业从业经验和管理能力,最近3年无重大违法违规记录,并取得中国人民银行核准的任职资格;
中国人民银行规定的其他审慎性条件。
另外,需要特别注意的是,根据上述法律规定,征信机构的信息系统应当按照国家信息安全保护等级测评标准,对信用信息系统的安全情况进行测评。征信机构信用信息系统安全保护等级为二级的,应当每两年进行测评;信用信息系统安全保护等级为三级以及以上的,应当每年进行测评。
因此,对于打算通过区块链技术突破现有征信数据应用问题的企业来说,一方面,在数据的获取、使用、保存过程中应当遵循我国数据保护法律的要求,另一方面,在综合技术测评后,应当建立符合业务需求,并且安全完备的信息系统。