《個人信息保護法》對信用信息市場的影響研究

張斌

當前，我國信用信息市場的數據公司主要包括數據源類、代理類和產品模型類。《個人信息保護法》作為我國首部針對個人信息保護的專門性立法，將對信用信息市場產生深遠的影響，數據源類公司須完善授權，代理類公司生存空間受限，而產品模型類公司將回歸技術本源。

背景

2021年8月20日，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）并于2021年11月1日起施行，作為全國人大常委會通過的首部保護個人信息的專門立法，《個人信息保護法》的施行標志著我國個人信息保護進入了新時代，對征信行業數據采集、加工和使用帶來深遠的影響。

《網絡安全法》《數據安全法》和《個人信息保護法》是我國征信行業關于個人數據安全和權益保護方面的重要上位法依據。2021年9月30日，人民銀行出臺了《征信業務管理辦法》（以下簡稱《辦法》），在個人信息保護層面與《個人信息保護法》全面銜接，以夯實我國信用體系建設的法律基礎，同時推動我國征信市場步入有規可循、公平競爭、高質量發展的正軌。

按照《辦法》，征信業務是指對企業和個人的信用信息進行采集、整理、保存、加工，并向信息使用者提供的活動。信用信息是指依法采集，為金融等活動提供服務，用于識別判斷企業和個人信用狀況的基本信息、借貸信息、其他相關信息，以及基于前述信息形成的分析評價信息。

《辦法》清晰界定了信用信息的定義及征信管理的邊界，將近年來廣泛應用的替代數據納入監管，且對信用信息采集、整理、保存、加工、提供、使用的業務全流程進行指導與規范?！掇k法》還要求金融機構不得與未取得合法征信業務資質的市場機構開展商業合作獲取征信服務，因此信用信息市場將在過渡期內完成整改，整改后信用信息主體必須嚴格通過持牌征信機構依法合規開展個人征信業務（圖1）。

圖1 整改前后信用信息市場個人征信業務模式

信用信息市場主體

當前，我國信用信息市場活躍的數據公司共計百余家，按照業務流程主要包括三大類型，分別是數據源類、代理類和產品模型類（圖2）。

圖2 信用信息市場主體數據公司分類

數據源類是指數據產業鏈前端的數據源供應商，其具備自有業務場景，包括互聯網平臺公司，其在電商或金融等場景下積累大量客戶流量和沉淀數據；還包括電信、交通、政務等各領域能夠產生并擁有大量數據資源的數據供應商。代理類是指作為數據通道，按客戶的請求調度到相應的數據資源，并把得到的結果返回給客戶的數據代理機構。產品模型類是指數據技術服務商自身沒有業務場景，主要依靠外部采買各類數據源，再通過數據加工、分析等環節向客戶提供精準營銷、風控模型、可視化數據工具等產品和服務。從實踐上看，數據公司可能存在不同業務經營范圍的交叉覆蓋。

《個人信息保法》對信用信息市場主體要求

《個人信息保護法》由八章七十四條組成，其內容涵蓋了個人信息處理規則、個人信息主體權益、個人信息處理者義務、信息保護職能部門等重要內容。經梳理，《個人信息保護法》中與信用信息市場主體有直接關聯的重點條款涉及以下六個方面：

明確個人授權同意要求

在個人信息處理中，“告知—同意”是《個人信息保護法》最基本也是最核心的規則。其中第十三條、第十七條、第二十一條和第二十三條分別涉及個人授權同意。數據公司在處理、委托處理、對外提供前應當取得用戶同意。依據第二十三條，各類數據公司向金融機構提供個人信用信息應當取得用戶的單獨同意。按照業務處理流程，目前部分信用信息市場主體不能直接從個人信息主體處直接取得同意，主要通過向下游金融機構端或者上游可信數據源端獲取個人授權同意。

保障自動化決策結果的公平公正

第二十四條明確個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。該條款有效回應了近年來熱議的“大數據殺熟”問題。信用信息市場主體不能設置歧視性定價策略，應當保證用戶評分、畫像等產品算法機制的透明性和應用結果的公平性，不斷完善算法模型的評估流程，對算法機制、風控模型和應用結果等進行定期評估。另外，針對自動化決策結果，本條還強調個人有權要求個人信息處理者予以說明，并有權拒絕該決定。在算法使用后，信用信息市場主體應當對用戶可能產生的權益影響情況進行持續監測和綜合評估，并且向個人提供便捷的拒絕方式，在信息處理的各環節中確保算法可解釋、可驗證，以降低可能產生的合規風險。

新設個人信息可攜帶權

《個人信息保護法》第四章第四十五條新設了個人信息可攜帶權。該條指出，個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑?？蓴y帶權的設立強化了用戶自主權，增強個人對個人信息轉移與再利用行為的控制。信用信息市場主體應當向用戶提供個人數據轉移的途徑，以用戶權益為出發點，有效破除個人信息流通障礙，起到防止大型平臺或者數據公司造成的“數據壟斷”現象，促進信用信息市場競爭的公平性。

明確個人異議處理權

第四十六條強調了個人異議處理權。該條指出，個人請求更正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，并及時更正、補充。根據該條款，信用信息市場主體需要提前建立有關信用報告的異議處理流程，以及用戶撤銷同意的相關處置機制。

履行信息保護和信息安全義務

《個人信息保護法》第五章主要細化個人信息處理者的具體責任與義務。根據第五十一條，信用信息市場主體應當采取相應措施確保個人信息處理活動符合法律法規要求，并有效防止個人信息的泄露、篡改、丟失以及未授權等情況發生。包括：制定內部管理制度和操作規程，對個人信息實行分類管理，采取相應的安全技術措施，合理確定個人信息處理的操作權限，定期教育培訓，應急預案等。

此外，第五十二條強調，處理個人信息達到國家網信部門規定數量的處理者應當指定個人信息保護負責人，對個人信息處理活動以及采取的保護措施等進行監督。負責人要公開聯系方式并報送履行個人信息保護職責的相關部門。第五十五、五十六條還明確要求個人信息處理者應當事前進行個人信息保護影響評估。

根據體量體現差異化管理要求

由于不同的信用信息市場主體規模不同，且在處理個人信息的技術水平和風控能力上都存在差異，為鼓勵數據的創新應用，《個人信息保護法》前瞻性地對大型和小型個人信息處理者進行區分規范要求。針對大型信用信息市場主體，第五十八條明確，提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當承擔額外的個人信息保護義務，包括成立外部獨立機構、制定平臺規則、停止違規者服務、定期發布社會責任報告。該條款進一步強化了對于大型互聯網平臺、科技公司等的個人信息保護義務，要求其應承擔起更高意義上的數據安全治理責任，也應做好互聯網數據的“守門人”。對于小型信用信息市場主體、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，第六十二條提出要制定專門的個人信息保護規則、標準，體現了法律對小型個人信息處理者和新技術應用創新的鼓勵。

《個人信息保護法》對信用信息市場主體的影響

《個人信息保護法》對信用信息市場主體收集、處理和提供個人信息將產生深遠的影響，其以“告知—同意”為核心的個人信息處理規則將給信用信息市場主體帶來巨大的挑戰。

數據源類公司須完善授權

對于數據源類公司，可以通過隱私協議、彈窗或其他交互形式來獲得用戶的授權同意，但要在個人充分知情的前提下自愿、明確做出。在對外提供時，應向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。由于大數據處理目的繁多且存在較大的可擴展性，如何滿足《個人信息保護法》的要求仍需公司在用戶界面、文本和交互形式等方面下足功夫。

在實際征信業務中，數據源類公司既不能直接將信用信息提供給金融機構（《辦法》要求），提供給非持牌征信機構又難以獲得個人同意，最終的結果幾乎只能提供給持牌征信機構。

代理類公司發展受限

代理類公司應遵循“三重授權”原則，即數據源事先取得個人同意再收集個人信用信息，單獨取得個人同意后數據源再將個人信息提供給代理類公司，代理類公司對外提供時再取得個人的單獨同意。或從后端使用方即金融機構處取得反向授權，同意其處理其個人信息。但后端授權方式的合規性還需要得到監管部門的認可。

由于授權鏈條較長、缺乏與個人直接交互的場景，且缺少合法的征信業務資質，代理類公司獲得個人單獨授權非常困難，市場前景堪憂。

產品模型類公司回歸技術本源

與上述代理類公司類似，產品模型類公司同樣需要遵循“三重授權”原則，或從后端使用方獲得反向授權。與代理類公司類似，產品模型類公司缺乏與個人直接交互的場景和合法的征信業務資質，難以獲得個人單獨授權來處理和提供信用信息。更加現實的方式是產品模型類公司申請征信牌照；或作為技術服務方進入數據源、持牌征信機構、金融機構的業務生產體系內，從而回歸技術服務本源。

展望

從短期看，《個人信息保護法》正式實施后會帶來信用信息市場規模一定程度的下降，一批不符合法律法規要求的市場主體將不能再提供服務。

但從長期來看，《個人信息保護法》將成為護持個人權益、激勵穩健發展、連接國家命運的數字時代基本法，為個人信息市場正本清源，促進社會信用信息的合法有序流通，有利于我國征信行業乃至整個金融行業的健康穩定。筆者估計，“劣幣”出清后，“良幣”將在2至3年內快速填滿市場需求。