˙
新闻与出版物
掘金“个人征信数据”的合规之道 ——评杭州互联网法院徐某诉芝麻信用管理公司隐私权纠纷案
2021年02月26日 发布人:华诚小编

掘金“个人征信数据”的合规之道——评杭州互联网法院徐某诉芝麻信用管理公司隐私权纠纷案[1]

王建英 吴月琴律师团队

引言:

在大数据征信行业中,掌握个人信息越多,信用主体画像越清晰,信贷风控能力越强。因此,相较其他行业,大数据征信行业有着更强烈的数据共享和数据融合需求。但是,个人征信市场仅有央行征信中心和百行征信及朴道征信三个合法经营主体,征信监管对象仍无法对实质性参与或开展征信业务的“类征信机构”进行有效覆盖。个人信息收集和共享融合必须以个人信息保护为必要前提,否则个人信息的非法获取和滥用,不仅会损害个人隐私、信息权益或者征信权益,也会对国家金融体系的运行安全构成威胁。

那么,法律法规禁止的个人征信数据使用行为有哪些?个人征信数据商用有哪些合规、风控要点?笔者将结合本案对有关问题进行引申、评述,希望为业务涉及个人征信数据的金融机构提供参考。

 

一、案情提要

201565日,原告徐某通过支付宝开通芝麻信用服务,同时签订《芝麻信用服务协议》,授权芝麻信用向可以合法提供用户信息的主体采集相关信息。

其后,徐某收到芝麻信用平台的信息,内容如下:记录详情:浙江高院。风险类型:被执行人;案件号:(2017)浙0104执3748号;执行单位:杭州市江干区人民法院;履行情况:已履行。过程记录:2017年11月6日立案,2017年12月1日结案。本记录于2017年12月27日更新。本记录由浙江高院提供,如对此负面记录信息有疑问,请致电司法服务热线12368或对应地方执行法院。

徐某以芝麻信用公司侵犯隐私权为由诉至法院,要求芝麻信用公司删除徐某的个人征信数据,赔偿徐某个人征信损失50000元,并由芝麻信用公司承担诉讼费。

二、诉辩主张

原告诉辩主张可总结为:

芝麻信用公司无个人征信业务经营许可证,工商登记信息中的经营范围亦不包含个人征信业务,违反《征信业管理条例》第七条规定,即征信机构需要国务院征信业监督管理部门颁发个人征信业务经营许可证并向公司登记机关办理登记。

第一、芝麻信用公司采集徐某个人征信数据并没有经过徐某的同意。本案中,芝麻信用公司在软件中设置各种引导链接致使徐某无意间打开并签订了《芝麻信用服务协议》,签订该协议并非徐某的真实意思表示。芝麻信用公司采集徐某个人征信数据的行为违反了《征信业管理条例》第十三条规定,即采集个人信息应当经信息主体本人同意,未经本人同意不得采集。

第二根据《征信业管理条例》第三十六条规定,未经批准擅自设立经营个人征信业务的,应当予以取缔并没收违法所得。本案中,芝麻信用公司没有获得个人征信业务许可证,因此该行为违法。

芝麻信用公司的抗辩主张可以总结为:

第一、芝麻信用公司向徐某提供相关信息服务获得了徐某的授权,徐某使用的“芝麻信用”服务为徐某通过本人名下账号以数据电文形式点击确认了《芝麻信用服务协议》后主动开通的;芝麻信用公司采集的徐某个人信息是根据《芝麻信用服务协议》通过合法渠道获取,不存在法律禁止收集的内容或者徐某未授权获取的内容;芝麻信用公司严格按照相关协议履行服务内容,未在授权范围外使用原告的相关信息。

第二、芝麻信用公司提供“芝麻信用”服务显示的信息获取途径合法,信息内容属合法公开内容,不存在任何侵犯原告隐私权的行为“芝麻信用”服务显示的“被执行信息”通过公开渠道可查,亦不属于非授权获取的个人隐私或法律禁止获取内容。根据《最高人民法院关于人民法院执行公开的若干规定》,案涉执行信息属于可公开内容,非隐私权范围;案涉“被执行信息”仅徐某本人可以查阅,芝麻信用公司并未主动向第三方提供或散播,不存在泄露徐某隐私或贬损其名誉的行为。

 

三、裁判思路

法院将案件争议焦点归纳为:徐某对其被执行案件信息是否享有隐私权;芝麻信用公司向徐某发送的被执行案件信息中的“案件状态”(包括履行情况和结案时间)是否侵害徐某的隐私权。


争议焦点一,徐某对其被执行案件信息是否享有隐私权

法院认为,根据《最高人民法院关于人民法院执行公开的若干规定》,执行公开,是指人民法院将案件执行过程和执行程序予以公开;人民法院应当通过通知、公告或者法院网络、新闻媒体等方式,依法公开案件执行各个环节和信息,但涉及国家秘密、商业秘密等法律禁止公开的信息除外。

本案中,从登录“浙江法院公开网”查询的结果来看,原告所诉的被执行案件信息中,除了案件状态外,执行案号、执行法院、当事人、立案时间等,均为人民法院依法向社会公众公开的内容。而芝麻信用平台向原告发送的执行案件信息,只有“履行情况”和结案时间是普通公众无法通过浙江法院公开网查询的。可见,除了“案件状态”外,执行案件的其他内容是法院依法向社会公众公开的内容,本案原告对该部分内容并不享有隐私权。


争议焦点二,芝麻信用公司向徐某发送的被执行案件信息中的“案件状态”(包括履行情况和结案时间)是否侵害徐某的隐私权。

法院认为,徐某所诉被侵权信息的披露主体为浙江省高级人民法院;徐某虽主张系芝麻信用公司诱导其注册并同意《芝麻信用服务协议》,但未提交相关证据予以证实;且《芝麻信用服务协议》虽为格式条款,但以加粗加黑字体这一合理方式提醒用户注意免除或者限制其责任的条款,应视为合法有效,对双方均有约束力。徐某未提交证据证明芝麻信用公司将其被执行案件信息,尤其是该案案件状态向其他人进行了披露,因此本案不存在公开披露的问题。


综上,法院认为原告未提交有效证据证明芝麻信用公司侵害其隐私权,据此驳回徐某全部诉讼请求


四、案件评析与合规启示

目前我国的征信体系以央行征信中心为核心、以民营征信机构为补充。20131月国务院发布《征信业管理条例》,明确征信业向第三方机构开放。然而随着互联网金融整治的不断深化,此后并没有向其颁发个人征信牌照。直至2018年5月、百行征信有限公司在深圳挂牌,这是国内第一家也是目前少数几家取得个人征信牌照的市场化的个人征信企业(去年朴道征信获批挂牌)


(一)个人征信数据商业使用合法吗?

个人征信数据通常包括个人身份识别信息、职业和居住地址、个人信贷交易信息、除信贷交易信息之外的反映个人信用状况的相关信息。


1无牌照经营个人征信业务等行为被行政监管风险增加

近期,我国对个人征信业务牌照的监管呈现收紧趋势,出现了因无牌照经营个人征信业务而受处罚的案例(银罚字【202028号)[2],也出现了因未经授权查询征信信息而被处罚的案例(银管罚【202013号),以及因未及时停用离职人员的个人征信系统用户查询权限而被处罚的案例(银管罚【202028号)。

但本案中,芝麻信用对徐某公开的执行案件相关信息,不属于芝麻信用公司利用自身的数据来源与评分体系进行评价得来(如芝麻信用分),不涉及应取得个人征信牌照才能公开和处理的个人征信信息,因此,本案法院并未就原告提出的无牌照经营进行评述、分析。


2、法律法规禁止的个人征信数据使用行为

1)非法获取、出售或者提供个人征信信息五十条以上即可构成侵犯公民个人信息罪规定的“情节严重”

根据《刑法》第二百五十三条之一及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释[2017]10号)第五条,非法获取、出售或者提供个人征信信息五十条以上的,应当认定为侵犯公民个人信息罪规定的“情节严重”;非法获取、出售或者提供个人征信信息五百条以上的,应当认定为侵犯公民个人信息罪规定的“情节特别严重”。


3、商业银行不得向未经信贷主管部门批准建立或变相建立的个人信用数据库提供个人信用信息

2005年8月18日中国人民银行发布的《个人信用信息基础数据库管理暂行办法》中国人民银行令【2005】第3号第七条规定:商业银行不得向未经信贷征信主管部门批准建立或变相建立的个人信用数据库提供个人信用信息。同时,第四十一条规定,征信服务中心工作人员泄露或非法使用个人信用信息的,由中国人民银行依法给予行政处分;涉嫌犯罪的,依法移交司法机关处理。


4、从数据合规角度,在数据收集、保存、使用、传输方面不合规的个人征信数据商业使用合规风险较大

个人征信数据属于个人敏感信息,对此类信息的收集、使用等有较高的合规要求,相关内容详见个人征信数据商业合规启示部分第(3)条。


(二)个人征信数据商用合规启示

关于个人征信数据商用合规,《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔201117号)[3]、《中国人民银行关于加强征信合规管理工作的通知》(银发【2016300号)[4]、《关于加强互联网借贷业务征信合规管理的通知》(渝银办发[2018]109号、《人民银行关于进一步加强征信信息安全管理的通知》(银发〔2018102号)[5]等均有详细的规定。


1)依法持牌、合法合规经营个人征信业务,保护个人数据隐私

民间征信机构收集的信息并不一定都是个人征信信息,因此,对于其收集的数据,在数据收集合规的基础上,首先需要判定其是否属于个人征信信息,对于个人征信信息的收集和处理,需满足依法持牌要求。在保护个人隐私的基础上,需尽量破除信息壁垒和信息孤岛。

依法持牌,是指根据《征信也管理条例》,经营个人征信业务必须获得个人征信业务经营许可证。这无疑是民间征信机构的痛点。

在行政监管层面收紧的同时,20201125日李克强总理在国务院常务会议中提出,“积极稳妥地推进个人征信机构准入,加大征信业开放力度。”因此,目前虽然个人征信业务牌照发放数量非常有限,但将来牌照开放加大力度如何落实将备受业界瞩目。

2021年1月11日,中国人民银行发布《征信业务管理办法(征求意见稿)》,其第四十三条规定:“与征信机构合作,为金融经济活动提供个人或企业信用信息的其他信息处理者,应当在签署合作协议后向中国人民银行或其副省级城市中心支行以上分支机构报备。”对此条款,如何解读较为关键。无持牌征信机构在与持牌征信机构合作时,应当履行相应的报备手续,但该报备手续是否使无持牌征信机构获取合法从事个人征信业务的资格,尚待明确。

但是,根据2020年2月13日中国人民银行发布的《个人金融信息保护技术规范》(银发【2020】45号)6.1.1 a)条,不应委托或授权无金融业相关资质的机构收集C2类别信息,且根据上述规范第4.2 b)条,c2类别信息包括借贷信息,因此,非持牌机构不得收集个人征信信息。


2)商业银行在为客户办理信贷有关业务时可以查询个人征信信息,但在查询前应当取得被查询人的书面授权

根据《个人信用信息基础数据库管理暂行办法》第十二条、第十三条,商业银行在为客户办理信贷有关业务时可以查询个人征信信息,但在查询前应当取得被查询人的书面授权。书面授权中应将免除或限制商业银行责任的条款以加粗加黑的形式提示。


3)从数据合规角度,在数据收集、保存、使用、传输上合法合规

个人征信数据因属于个人敏感信息,需获得个人信息主体的明示同意;保存上应做到去标识化,不能明确定位至个人;使用中应限制有资格访问的人员,对已经离职的有资格访问人员立即停止其访问权限;传输和存储时应采用加密等安全措施。具体到个人征信数据使用合规,可参考《征信业务管理办法(征求意见稿)》。


4)在采集按规定不需获得授权同意的信息时,因难以保证采集的信息仅包含上述不需获得授权同意的信息,建议在采集个人征信数据信息时获取数据主体的明示同意

根据《个人信息安全规范》,在七种情形下,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意。[6]

《征信业管理条例》中明确规定了除依法公开的信息外,采集个人信息应当经信息主体本人同意。但是在实务中,采集个人征信信息往往不一定仅局限于依法公开的信息,因此从减少法律风险的角度,建议在采集相关信息时获取个人征信数据主体的明示同意,即个人征信主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

根据《App违法违规收集使用个人信息行为认定方法》第1.2条,在App首次运行时应通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则。因此,实务中可以考虑在展示隐私政策等并阅读完毕后请用户勾选确认。此外,企业应将获得用户授权同意的页面妥善留存。

值得一提的是,与刑事侦查、起诉、审判和判决执行等直接相关的情况下,在配合相关部门提供个人征信数据时,需仔细审核相关资料并将相应资料留存,以避免被行政处罚的风险。


5)个人征信数据使用时应当与征信数据主体本人明确约定用途,并不得超范围使用

根据《征信业管理条例》第十八条以及《个人信息安全规范》的选择同意和最小必要原则,个人征信数据使用时应当与征信数据主体本人明确约定用途,并不得超范围使用。

参照《关于加强互联网借贷业务征信合规管理的通知》(渝银办发[2018]109号,还应当告知信息接收方的机构类型或身份和数据安全管理责任,并取得客户的明示同意。[7]

另外,《征信业管理条例》第二十条规定,不得未经个人信息主体同意向第三方提供个人信息。因此,如果出于业务要求,需要在某集团内共享个人征信数据时,在个人征信主体与信息采集主体间达成相关协议的情况下,信息采集主体仍需取得个人征信主体的明示同意后,方可共享该信息。[8]


6)中国境内采集的个人征信数据应当在中国境内保存,数据出境需合规,在个人征信数据商用时也需注意该要求

根据《征信业管理条例》第二十四条,中国境内采集的个人征信数据应当在中国境内保存,数据出境需合规。

《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔201117号)第六条也规定,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。


7)商用的个人征信信息需合法收集,在下述所有的收集信息行为中需合规,不应非法获取信息

根据《个人信息告知同意指南(征求意见稿)》第5.1条,收集个人信息时,需向个人信息主体告知收集、使用个人信息的类型、目的、方式和范围,并征得个人信息主体的明示同意,收集个人信息包括但不限于七种情形。[9]


8)对征信信息查询的规定

《征信机构信息安全规范》[银发[2014]346]9.7条对征信信息查询按照单笔信息查询、批量信息查询、发生异常查询时的处理作出了明确规定,需予以注意。[10]


五、结语

2018年有人将其称为数据保护元年,时至今日,数据保护依然炙手可热。《民法典》对个人信息以及隐私保护的详细规定、《个人信息保护法(草案)》的出台、以及监管机构对个人征信数据不合规行为的加大监管,都提醒我们,个人征信数据商业使用在操作上有较高的合规性要求,在不符合该合规性要求情况下,轻则引起民事纷争、对企业IPO造成阻碍,重则受刑法规制,因此,在掘金“个人征信数据”时,需严守合规之道。



[1]杭州互联网法院(2018)浙0192民初302

[2]行政处罚原文请见中国人民银行网站行政处罚公示链接:http://www.pbc.gov.cn/zhengwugongkai/4081330/4081344/4081407/4081705/4155892/index.html

[3]《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔201117号),法规全文请见:http://www.gov.cn/gongbao/content/2011/content_1918924.htm

[4]《中国人民银行关于加强征信合规管理工作的通知》(银发【2016300号),法规全文请见:http://www.pbc.gov.cn/zhengxinguanliju/128332/128342/128350/3265637/index.html

[5]《人民银行关于进一步加强征信信息安全管理的通知》(银发〔2018102号),法规全文请见:http://www.gov.cn/gongbao/content/2018/content_5323100.htm

[6]根据《个人信息安全规范》,在以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意:

a)与个人信息控制者履行法律法规规定的义务相关的;

b)与国家安全、国防安全直接相关的;

c)与公共安全、公共卫生、重大公共利益直接相关的;

d)与刑事侦查、起诉、审判和判决执行等直接相关的;

e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;

f)个人信息主体自行向社会公众公开的个人信息;

g)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。

[7]钟鑫,《互联网借贷业务中个人金融信息保护监管动态与合规建议》,全文链接请见:https://www.lexology.com/library/detail.aspx?g=92cc6d45-b17b-4576-b81c-297f7752649f

[8]钟鑫,《互联网借贷业务中个人金融信息保护监管动态与合规建议》,全文链接请见:https://www.lexology.com/library/detail.aspx?g=92cc6d45-b17b-4576-b81c-297f7752649f

[9]根据《个人信息告知同意指南(征求意见稿)》第5.1条,收集个人信息时,需向个人信息主体告知收集、使用个人信息的类型、目的、方式和范围,并征得个人信息主体的明示同意,收集个人信息包括但不限于以下情形:

a)      个人信息主体主动填写、选择、上传等主动提供个人信息的;

b)      个人信息控制者通过智能终端、APISDKIoT设备、浏览器、传感器等自动采集个人信息的;

c)      个人信息控制者通过与用户交互记录个人信息主体行为的;

d)      个人信息控制者从第三方间接接受、查询等方式间接获取的;

e)      个人信息控制者从非完全公开渠道搜集个人信息的;

f)       个人信息控制者从个人信息主体关联身份或账号收集个人信息的;

g)      个人信息控制者使用大数据、AI等技术分析、关联和生成个人信息的。

[10]《征信机构信息安全规范》[银发[2014]346]9.7条对征信信息查询规定如下:

  信息查询包括单笔查询和批量查询两种方式,具体要求如下:

  a)单笔信息查询

  • 征信系统应当对查询用户输入的查询条件设置一定的校验规则,并在用户查询时进行有效性检查。

  • 征信系统应当记录查询用户所属机构、查询用户、查询时间、查询原因、被查询对象等信息。

  b)批量信息查询

  •查询机构应当按照规定的格式填写批量查询请求文件,请求文件的内容至少应包括查询用户所属机构、查询用户、查询时间、查询原因、查询内容、被查询对象、查询请求记录数等,征信系统应当对上述内容予以记载。

  •征信机构应当通过专线、加密通道或专用存储设备等安全、可靠的方式将批量查询结果文件反馈给查询机构。

  c)信息使用者发生异常查询的,征信机构可以采取暂停查询权限等紧急措施,并及时核查异常查询产生的原因。


本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin