纪正坦|个人信用信息跨境流动的规制困境与化解进路
2024-02-21 09:34

在信用经济时代,个人信用信息的经济价值日益凸显,成为一种新兴资产,个人信用信息跨境流动有助于推动信用经济的发展。同时,个人信用信息跨境流动牵涉国家的金融安全与数据安全。在保障个人信用信息安全的基础上,实现个人信用信息的有序自由流动是应然状态。目前,我国个人信用信息跨境流动面临法律规范不健全、跨境流动监管不足、事后救济不力以及欧美范式的挑战等多重困境。为此,应完善个人信用信息跨境流动的专项法律规范,厘清监管机构职责,加强企业信息合规建设,规范个人信用信息跨境流程,改善救济乏力的局面,深化信息跨境流动的国际合作。

引言

随着个人信息保护法的颁布实施,我国不断提高对个人信息保护的重视程度,个人信息保护已迈入全面法治的阶段。在信用经济时代,个人信用信息成为各类主体争夺的重要资源。2021年9月30日,中国人民银行出台《征信业务管理办法》,作为征信行业最新的顶层设计,该办法承继了个人信息保护法的理念,助力我国实现个人信用信息的精细保护。当前,国际社会上存在以欧盟和美国为代表的信用信息跨境模式:首先,欧盟中央信贷分析系统的公共主导模式,旨在实现从欧洲中央银行到成员国中央银行的标准化信用信息跨境合作。其次,美国私营征信机构诺瓦(nova)征信实行“信用护照”的个人信用信息跨境模式,通过先进技术将获取的移民个人信用信息转换为美国的评级标准和报告格式。可见,欧美已在个人信用信息跨境流动领域形成了颇具特色的模式,享受着信用经济带来的红利。由于个人信用信息兼具多元利益,与个人信用信息权益、社会公共利益以及国家安全密不可分,我国在个人信用信息领域长期坚持本地化原则,对个人信用信息跨境流动进行限制。然而,作为一种新兴资产,个人信用信息只有不断流动才能充分发挥经济价值,严格限制个人信用信息跨境流动不利于我国拓展信用业务范围,阻碍信用经济的发展。故此,平衡个人信用信息跨境流动的自由与安全具有必要性。纵观学界研究成果,虽不乏真知灼见,但多以传统数据的跨境流动和个人信用信息的国内保护为研究视角,对个人信用信息跨境流动的研究多停留在宏观的“个人金融信息”层面,对微观层面的个人信用信息跨境流动尚待深入探讨。是故,本文创新性地以个人信用信息跨境流动为研究视角,探讨我国个人信用信息跨境流动的规制困境与化解进路,以期丰富我国个人信用信息跨境流动的理论与实践。

一、个人信用信息内涵与外延的边界厘清

鉴于数据和信息的范围具有高度重合性,二者通常作同义使用,因而本文所提到的数据同于信息。商业信誉关系到企业的生存和发展,承载个体信誉的信用信息对自然人同样意义非凡。作为重要的敏感个人信息,个人信用信息兼具私权和公权属性。在私权属性方面,个人信用信息涉及个体的人格利益和财产利益,庞德认为人格利益为“物质或精神的需求”,而财产利益为“个人经济生活的需求”。一方面,一旦发生个人信用信息被泄露、篡改等情形,会直接影响个体的社会评价,进而损害人格利益;另一方面,个人信用信息直接关联个体的信用评价,信用评价的结果决定了信用主体能否在经济活动中获取相应收益,涉及公民的财产安全。在公权属性方面,个人信用信息跨境流动直接对数据主权和国家安全产生影响。换言之,个人信用信息兼具个人利益和国家利益,囊括个人财产状况、信用状况等敏感个人信息,处理这类信息有着较高的要求。实践中,个人信用信息内涵与外延的边界模糊,具体指涉的范围并未盖棺定论,导致个人信用信息的内涵泛化和边界扩张,易滋争议,影响个人信用信息跨境流动的保护范围和程度。为正本清源,宜厘清个人信用信息的内涵与外延边界,这是个人信用信息跨境流动规制的前置性工作。

纵观当前法律规范体系,个人信用信息的概念似乎有迹可循。首先,民法典第1034条和个人信息保护法第4条对个人信息的概念进行了规定,而个人信息则是个人信用信息的上位概念。为了厘清“信用信息”的概念,《征信业务管理办法》第3条采取了“原则+列举”的方式:“本办法所称信用信息,是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。”笔者认为,个人信用信息是为消费者提供金融服务进行综合价值判断的各种信息,包括身份信息、商业信用情况(财产、债务、消费、支付等)、违法记录等可以评价个人信用状况的信息。换言之,个人信用信息是各类个人信息碎片化的集合,用以评判个人的财富状况、信用情况、社会评价等,最终为消费者提供精准的金融服务。然则,个人信用信息的内涵与外延并非一成不变,会随着时代和技术的发展而不断扩张边界。在信用经济市场中,个人信用信息的重要性日益凸显,合理利用个人信用信息能产生巨大的经济和社会效益,不仅能促进消费者理性消费,还能帮助市场主体作出精准判断,更能成为行政、司法机关进行失信惩戒的依据。

二、个人信用信息跨境流动规制困境

如何实现跨境流动自由与安全的二元平衡是数据法学面临的重要议题,作为信用经济发展的核心动力,个人信用信息跨境流动概莫能外。然则,目前我国缺少专门规制个人信用信息跨境流动的法律规范,通用数据跨境流动的规制标准呈现泛化样态,尚未廓清的监管机构权责范围以及传统监管方式的弊端在大数据与人工智能时代显得力不从心。此外,传统的公法与私法救济手段在介入实力悬殊的当事人之间难以发挥实效,欧美数据跨境流动规则肆意扩张筑起的“小院高墙”,深刻影响着国际数据跨境流动的格局与阵营。凡此种种,皆是我国个人信用信息跨境流动亟需化解的困境。


(一)

个人信用信息跨境流动专项规则缺失


相较于一般个人信息,个人信用信息携带重要的敏感个人数据,在跨境流动中的价值大、保护难度高、与国家利益密切相关,应从国家安全的层面给予保护。换言之,需要对我国的个人信用信息跨境流动进行合理规制,尽可能减少流动过程中的安全隐患,同时发挥个人信用信息的经济价值,促进我国信用经济发展。然而,虽然我国拥有庞大的信用经济市场,但个人信用信息保护的法律规范却滞后于实践需求,有关个人信用信息跨境流动的规则散见于不同的法律规范中,呈现碎片化样态,导致国内法律规范与国际规则衔接不畅,适用标准不够明确,不利于个人信用信息权益的维护。此外,由于缺少标准化的信用报告格式,个人信用信息在不同接收国形成的信用评级结果往往存在差异,导致个人信用信息跨境流动的合规成本增加。当前,我国个人信息保护法、数据安全法仅对一般个人信息和传统数据的跨境流动作出了原则性规定,缺少个人信用信息跨境流动的适用细则。此外,专门规定尚不明确,如《征信业务管理办法》第36条虽然区分了个人与企业信用信息的跨境流动,但只规定了征信机构向境外提供个人信用信息应当符合法律法规,没有具体的操作细则,也缺少重要个人信用信息目录,难以指导实践。


(二)

个人信用信息跨境流动监管不足


首先,监管机构之间的权责范围不够清晰。虽然个人信息保护法对个人信息跨境流动作出规定,但较为原则性的规定难以应对个人信用信息跨境流动的监管实践。例如,未具体规定各监管机构的职权和责任,容易出现职权分散和职权重叠,导致监管机构的职能弱化和权力真空。为了保障个人信用信息跨境流动的安全,亟需厘清监管机构之间的权责范围。其次,传统监管模式在互联网和大数据时代存在弊端。随着大数据和人工智能等技术手段不断渗入到金融领域,由此衍生出一些新型互联网平台。以数据为基础的新型平台参与到个人信用信息的处理中,一些平台具有海量的数据优势,掌握大量金融消费者的信用信息。由于线上采集个人信用信息的成本低,市场接入率高,平台可以通过大量信用信息形成的“用户画像”为消费者提供金融服务。由于缺乏有效监管,在加速个人信用信息流转的同时,平台也存在过度采集、加工、滥用等违规处理个人信用信息的情形,严重威胁消费者的信用信息权益。例如,一些平台在最初的用户协议中,采取较为隐蔽的“格式条款”不当扩大了个人信用信息的征集范围,事实上侵犯了用户的“知情同意权”。在个人信用信息跨境流动的过程中,传统监管模式的弊端暴露无遗,一些平台缺少数据合规理念,所采集的个人信用信息容易发生泄漏、篡改等事故,不仅会损害个人信用权益,也严重威胁中国的数据主权和国家安全。


(三)

个人信用信息跨境流动救济不力


个人信用信息跨境流动的应然状态是在保障个人信用信息安全的基础上,实现个人信用信息的有序自由流动。然而,当个人信用信息在跨境传输中遭到破坏时,传统的公法和私法救济手段往往难以见效。一方面,传统私力救济的诉讼成本高、举证困难、判决执行难度大;另一方面,刑法和行政法的公法保护手段需要造成严重的损害后果,实践中往往无法满足程序启动的最低条件。在互联网和大数据背景下,个体与信用信息处理者的地位和实力悬殊,导致个体往往处于被动局面。在个人信用信息跨境流动过程中,如果发生泄漏、篡改、非法利用等不法行为,个人难以对抗平台、征信机构等,导致以往的救济手段难以奏效,经常出现救济乏力的局面。


(四)

欧美数据跨境流动规则的冲击与挑战


“当一种新兴事物进入国际法领域时,每个国家首先争夺的就是权力划分”,权力争夺在数据跨境流动领域概莫能外。在大数据时代,国家主权已经延伸至数据领域,衍生出“数据主权”等概念,为各国争夺数据资源提供了合法依据。早在1980年,经合组织(oecd)就在《隐私保护及个人数据跨境流动指南》中对数据在不同成员间的自由流动作出规定,并提出数据保护的八项原则。然而,由于不同国家之间的法律现状、历史传统、数字经济规模等存在较大差异,当前尚未形成统一的数据跨境流动国际规则体系。

当前,欧盟和美国的数据跨境流动规制范式影响力不断扩张。首先,欧盟以通用数据保护条例对数据跨境流动作出了细致规定,并在数据法规《隐私与电子通信条例》和专门法规《信息主体信用指令》中对信用信息保护进行了规定。欧盟通过消除成员国之间的壁垒,对非成员国的数据流动加以限制,形成了数据“对内自由流动、对外严格限制”的模式,以严格的标准保障欧盟居民的数据权利,不断延伸数据保护法的域外效力,将数据保护的欧洲标准传输至全球,迫使其他国家接受并达到该标准。其次,美国在加州消费者隐私法(ccpa)和消费者隐私权利法案(cpra)中赋予消费者知情权、选择退出权、可携带权等保护公民的数据隐私,通过澄清境外数据合法使用法(cloud act)的“长臂管辖”规则和外国投资风险审查现代化法的“国家安全审查”规则意图掌控全球数据资源,并将数据自由流动的理念贯彻至《美加墨协定》(uscma)等多边协议中。此外,美国的公平信用报告法(fcra)提出保护个人信用信息,并在1996年修订后赋予个人拒绝提供信用信息的权利,要求征信机构在尊重消费者隐私下公平合理地进行信用报告。美国实施较为宽松的政策吸引境外数据流向境内,通过监控数据和抢占全球数据市场,攫取数据的经济价值,维护自身在全球数字贸易中的主导地位。由于欧美数据跨境流动范式形成时间较早且较为完善,因而掌握了较多的话语权,掌控着全球数据跨境流动规则的走向。

欧美数据跨境流动规则范式都旨在维护自身利益,欧盟强化了数据跨境流动中的隐私保护,美国则对国内立法进行了修补完善,双方之间的矛盾与分歧不断革新着全球数据跨境流动环境。在此背景下,不同国家和地区相继采取因应措施,中国亦概莫能外。由于立法背景、理念和现状的差异,中国数据跨境流动规则体系未能与国际规则良好衔接,导致我国在个人信用信息跨境流动上处于不利局面。例如,网络安全法第37条、数据安全法第31条、个人信息保护法第40条都体现了数据本地化存储原则,对数据出境施以严格限制条件,尽管数据本地化存储并不等于禁止数据跨境流动,初衷在于保障我国数据安全和国家安全,但客观上阻碍了我国的数据跨境流动,成为我国加入《全面与进步跨太平洋伙伴关系协定》(cptpp)与《数字经济伙伴关系协定》(depa)的阻力之一。

三、个人信用信息跨境流动规制进路

当驶入信用经济的高速公路时,就注定了在享受信用红利的同时会遇到传统与现代交织的困局。破局的关键在于法律修缮、效果在于监管实施、归宿在于信息合规与流程规范,保障在于救济途径与国际合作。鉴于此,需要从多维度保障个人信用信息跨境流动的自由与安全、妥善化解个人信用信息跨境流动的规制困局。


(一)

健全个人信用信息跨境流动法律规则


在国内立法中,我国形成了以网络安全法、数据安全法、个人信息保护法为统领,《数据出境安全评估办法》为有益补充的规范体系;在专门法规方面,《征信业务管理办法》《征信业管理条例》为个人信用信息跨境流动的保护提供了专项规范支撑。这些法律规范象征着我国个人信用信息保护立法的渐次展开,仍需完善个人信用信息跨境流动的专门法律和实施细则,提高我国个人信用信息跨境流动规则的适用性。有鉴于此,需要制定个人信用信息跨境流动的专门法律,对个人信用信息跨境流动进行细致规定,明确个人信用信息跨境流动程序合规规则,依据敏感和重要程度健全个人信用信息分类分级目录,梳理不同法律规范之间的效力位阶和层级关系,畅通个人信用信息跨境流动的国内规范与国际规则的衔接。

此外,《个人信息出境安全评估办法(征求意见稿)》第6条规定了个人信息出境安全的评估事项,包括个人信息出境合法性、合同内容保障性、信息传输和接收主体的可信度等内容。然而,在评估具体内容方面的有关规定尚显不足,也缺乏针对个人信用信息的内容。有鉴于此,需要完善个人信用信息出境安全评估细则,尽快出台具体和针对性的规定。例如,以个人信用信息出境对个人信用信息权益、社会公共利益和国家安全的影响程度为基础,重点评估内容包括信息传输方和接收方的法律环境、技术水平与合规能力,明确个人信用信息出境的必要范围、风险程度、受损后的补救措施等重要事项。


(二)

优化个人信用信息跨境流动监管机制


在数据跨境流动监管体系上,欧盟形成了严密的金字塔结构,即“欧盟数据委员会——各成员国数据跨境监管机构(dpes)——数据保护官(dpo)”,每层监管主体各司其职,严格保护各成员国居民的数据权利。相较而言,我国个人信息保护法第60条也规定了个人信息保护的三层监管模式。适用到个人信用信息领域,第一层是国家网信部门,由其负责统筹协调个人信息的保护和监督管理工作,并制定个人信息保护的具体规则和标准。第二层是中国人民银行,作为国务院有关部门,征信机构的设立和监管由中国人民银行负责,征信机构作为处理个人信用信息的主体,对内收集个人信用信息,对外扮演个人信用信息跨境流动的关键角色。第三层是县级以上地方人民政府有关部门,由该部门负责地方个人信用信息的监管工作。由此观之,我国构建起“国家—部门—地方”自上而下的三层监管模式,多级监管有利于减少单一监管的不足。然而,为了避免出现监管混沌的局面,需要对各级机构之间的职权进行精细划分。例如,国家网信部门应当负责个人信用信息保护的统筹协调工作,由中国人民银行负责征信机构的专门监管。此外,市场化征信模式可以在法律框架内,通过业务创新和先进技术促进我国征信业务对外开放。有鉴于此,两种模式应相互协作,充分发挥公共征信强制力与市场征信自律性的监管优势。最后,在地方政府部门监管层级上,依然缺少相应的监管细则,为了防止第三层监管被架空,需要完善基层监管部门的实施细则,明确地方政府部门的监管职责。


(三)

加强企业个人信用信息跨境流动合规建设


金融科技的发展给个人信用信息跨境流动带来了法律和技术的双重挑战。在此背景下,除了行政监管外,企业内部监管也至关重要。针对平台所提供的金融服务,个人信息保护法第58条规定“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”应当履行个人信息保护合规等特殊义务。鉴于此,企业应严格遵守接收国数据保护法律,在企业内部设立个人信用信息合规部门,建构个人信用信息跨境流动风险预警机制。例如,可以参照欧盟dpo模式在征信机构和金融企业内部设立信用信息合规官,选任具有法律、金融、数据等知识的复合型人才担任信用信息合规官,对个人信用信息跨境流动进行风险管控,帮助企业或征信机构在内部管理制度、技术革新等方面建立信用信息合规体系,完善信用信息安全预警和风险化解机制,保障个人信用信息安全。此外,信用信息合规官应当熟知数据跨境流动国际规则,明悉个人信用信息跨境流动的类型、范围、敏感度以及相应的保护措施,利用大数据技术加强个人信用信息跨境流动的实时监管,降低个人信用信息跨境流动的风险系数,防止出现泄露、丢失、篡改等情形。


(四)

规范个人信用信息跨境流动程序


“知情同意”作为处理敏感个人信息的一项法律规则,在个人信用信息跨境流动中应始终贯彻。为了实现个人信用信息跨境流动全流程合规,应秉持利用与保护的双重理念,规范个人信用信息的境内处理、出境评估、跨境传输、境外接收四个程序,采取先进技术和严格制度保障跨境流动的安全。

1.境内处理程序





个人信用信息的采集、存储、加工环节都在境内完成,需要对个人信用信息境内处理的内容和程序合法性进行审查,为个人信用信息跨境流动做好前期准备。在采集环节,应明确个人信用信息的采集范围、方式和目的,避免个人信用信息的过度采集和手段不当。个人信息保护法第28条至第32条规定了处理敏感个人信息的“知情同意”规则,即敏感个人信息处理者应当提前告知用户并取得单独同意。就个人信用信息而言,征信机构在采集个人信用信息时应严格遵循“知情同意”规则,告知用户的内容应明确、具体,包括个人信用信息的处理范围、用途以及可能对信用信息权益产生的影响,告知方式上应对信息主体进行“逐一授权”,禁止采用“概括授权”,让信息主体作出符合真实意思的准确判断。然而,互联网和人工智能的发展使得征信主体经常采用人脸识别、格式条款等较为隐蔽的方式“取得用户同意”,导致“知情同意”规则名存实亡,侵害了用户的知情同意权。在采集范围上,《征信业管理条例》第14条采用了否定列举的方式,以“绝对禁止+限制采集”划定范围。然而,这一规定仅能缩小个人信用信息的采集范围,不能对超范围采集的情形施加合理限制。有鉴于此,应当从采集原则出发,禁止采用欺诈、胁迫等不正当手段,必须同时具备敏感性和可识别性的个人信用信息才能被纳入征集范围,保证采集的个人信用信息具有关联性和必要性。在存储环节,个人信用信息具有高敏感性和高价值性,在存储方面需要给予充分保护。首先,需要对个人信用信息进行分类分级存储,在存储方式和时限上设置严格规定,衔接好跨境传输的国际标准;其次,应采取合理的安全保障措施,防止存储的个人信用信息被破坏和窃取,始终保证个人信用信息的完整性和真实性。在加工环节,为了保证个人信用信息的客观性和真实性,在出境前可采取合法手段进行技术加密,以增强个人信用信息的保密性,防止在出境过程中被截取、破译和非法利用。

2.出境评估程序





出境安全评估目的在于检验个人信用信息出境能否造成安全风险,以及相应的管控和救济措施是否完备,在相关部门评估合格后方可出境。首先,在个人信用信息出境安全评估前,需要划分出境风险等级。对风险极大的个人信用信息限制出境,对风险极轻微的个人信用信息在出境条件上放开,对介于两种风险之间的个人信用信息,应在允许出境的基础上,对出境内容、目的、方式、程序等施加合理限制。

根据网络安全法第37条、个人信息保护法第40条,征信机构作为负责收集、整理、保存和提供信用信息的机构,其运营对于金融行业和社会经济的稳定与发展具有重要的作用,被视为关键信息基础设施运营者,应将在我国境内收集和产生的个人信用信息存储在境内,确需向境外提供的,应当通过安全评估;《数据出境安全评估办法》第4条规定数据处理者向境外提供个人信用信息满足四种条件时应申报出境安全评估。在专门法规方面,《征信业管理条例》第24条规定征信机构要遵循数据本地化原则,向境外提供信息应遵守相关法律法规;《征信业务管理办法》第40条规定征信机构向境外提供个人信用信息应符合法律法规。除了安全评估外,根据个人信息保护法第38条,信用信息处理者向境外提供个人信用信息前应进行个人信息保护认证、订立约束双方权利和义务的标准合同。此外,关于个人信用信息所有者是否知情,根据个人信息保护法第39条,信息处理者向境外提供个人信用信息前,应告知信息所有者有关事项并取得单独同意,告知内容包括境外接收方信息、信息处理目的和方式、传输,以及类、以及可能产生的风险等。《数据出境安全评估办法》第8条规定了数据出境安全评估的重要事项,主要包括数据出境的目的、范围和方式,境外接收方评价(网络安全环境、数据保护水平),出境数据受损风险,安全保障程度,约定的权利与义务等方面。

3.跨境传输程序





首先,保障传输路径安全是个人信用信息跨境流动的重要环节。为此,需要优化跨境传输的硬件设施,包括传输系统和传输设备,制定个人信用信息跨境流动的技术标准,防止数据传输系统出现瑕疵,通过“实时监测系统、强化预防措施、优化处置模式”保障个人信用信息跨境传输的精准与安全。其次,在个人信用信息的安全保障上,可以对个人信用信息采取匿名化、去标识化等信息脱敏技术进行加密保护,实行点对点的传输路径完成跨境传输,避免个人信用信息被不法分子窃取,保障跨境传输中的个人信用信息安全。然而,由于传输国和接收国的法律和技术水平存在差异,传收双方标准不一致的情况经常出现。有鉴于此,欧盟sccs为弥合各国数据跨境流动分歧提供了解决路径。当前,制定数据跨境传输标准合同条款已成为一种国际趋势。2021年1月22日,东盟颁布了《东盟跨境数据流动标准合同条款》(mccs)。2023年2月3日,中国国家互联网信息办公室公布了《个人信息出境标准合同办法》及个人信息出境标准合同文本,要求双方签署标准合同后应进行备案,这一规定与sccs具有显著区别。在标准合同文本中,关于个人信息处理者与境外接收方的条款主要是义务性条款,权利性条款则需双方主体进行约定,但不得与合同的其他内容冲突。

根据《个人信息出境标准合同办法》第4条,个人信用信息处理者以订立标准合同方式向境外提供个人信用信息需同时满足四种条件:“(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。”然而,如央行、百行征信等大型征信机构作为关键信息基础设施的运营者,其个人信用信息处理范围广泛,处理数量也必然超出了规定条件。因此,征信机构只能通过出境安全评估向境外提供个人信用信息,不能直接或间接采取数量拆分等手段订立标准合同。此外,根据《个人信息出境标准合同办法》第5条,其他同时符合上述条件的个人信用信息处理者在订立标准合同前应开展个人信用信息保护影响评估,在发生规定情形时重新开展评估,补充或重新订立标准合同。

4.境外接收程序





个人信用信息进入境外接收方系统后,其处理权由接收方控制,接收方的数据保护水平影响个人信用信息能否被合理、安全利用。首先,在跨境提供个人信用信息的方式上,无论是出境安全评估亦或订立标准合同,皆应审查个人信用信息境外接收的数据保护水准,禁止接收方公开披露或擅自向其他主体披露接收的个人信用信息,并规定发生个人信用信息安全事故时应采取的问责机制与救济手段。其次,境外接收端应当实行统一的个人信用信息安全保障义务,接收端信息技术水平应经过认证,符合双方规定的处理规则和评价标准,禁止擅自将个人信用信息接收任务移交给第三方端口,或将接收的个人信用信息转存第三方机构,保障个人信用信息的合理利用。

此外,我国个人信息保护法对境外接收方不当处理个人信用信息的行为作出了应对策略。例如,个人信息保护法第42条规定了“黑名单”条款,如果境外接收方从事危害我国国家安全、公共利益的个人信用信息处理活动,侵害我国公民信用信息权益,可以将其列入境外“黑名单”,禁止或限制向其提供国内公民的个人信用信息。又如个人信息保护法第43条规定了“对等制裁条款”,如果接收方在个人信用信息保护方面对中国采取歧视性的禁止、限制或其他类似措施,中国可以采取相应的对等措施。


(五)

理性回应:健全个人信用信息救济机制

个人信用信息具有较强的人身依附性和财产价值,需要给予充分救济。在个人信用信息遭受不法侵害时,通常具有刑事、民事和行政三种救济途径。在刑事和行政救济上,个人信息保护法第66条规定了个人信息处理者违法处理个人信息应给予警告、没收违法所得;《征信业管理条例》第38条规定了信用信息提供者违反征信业务规则侵害信息主体合法权益应给予罚款、没收违法所得、吊销个人征信业务经营许可证,构成犯罪的,依法追究刑事责任;数据安全法第45条规定了开展数据处理活动的组织、个人不履行数据安全保护义务应给予警告、罚款、吊销许可证或营业执照等措施,构成犯罪的,依法追究刑事责任。然而,由于刑事和行政救济的门槛较高,在实践中难以奏效。为此,需要适当降低刑事和行政救济的程序启动条件,为个人信用信息跨境流动提供有力保护。此外,根据《个人信息出境标准合同办法》第10条、第11条,如果发现个人信用信息处理者违法向境外提供个人信用信息,可以向省级以上网信部门进行举报;当个人信用信息出境存在较大风险或发生安全事件时,省级以上网信部门可依法对个人信用信息处理者进行约谈并要求整改以消除隐患。然而,对于“较大风险”和“个人信息安全事件”的具体情形尚待完善,关于整改后网信部门的审核验收、保障整改有效执行的强制性措施和惩罚机制亦需明确规定。

在民事救济上,个人信息保护法第70条规定的个人信息保护公益诉讼制度能够有效避免个体取证困难、双方实力悬殊造成私力救济困难的不利局面。鉴于此规定尚不完善,亟需通过相关立法对个人信息保护公益诉讼的适用主体、适用范围、适用条件以及法律责任进行明确规定,并实施过错推定机制减轻个人信用信息主体的举证责任,改善个体在诉讼中的不利局面。此外,个人信用信息往往涉及个人隐私,在侵权行为发生后可能给当事人造成精神损害,因而有必要完善个人信用信息侵权的精神损害赔偿规定。


(六)

深化个人信用信息跨境流动国际协作


个人信息是个人信用信息的上位概念,个人信息保护法第12条规定,国家应积极参与个人信息保护国际规则的制定。然而,由于不同国家之间利益诉求存在冲突,如何在博弈中实现利益均衡是数据跨境流动国际合作的未来指向。中国奉行的宗旨为合作共赢,零和博弈只会两败俱伤。我国已经加入《区域全面经济伙伴关系协定》(rcep),rcep第八章的附件一“金融服务”对各缔约方金融信息的转移和处理进行了规定,鉴于缔约方的经济发展水平、法律制度体系等存在较大差异,rcep整体的包容程度较高,给予缔约方较大的监管自主权,与我国金融信息本地化的政策可以兼容。2021年9月16日,我国正式申请加入cptpp,中国也曾多次表达加入cptpp的强烈意愿。cptpp第11章“金融服务”附件b节“信息的传输”的条款原则上允许缔约方的金融机构以日常经营为目通过电子或其他方式向境外传输信息,例外为“审慎获得监管授权”和“保护个人数据隐私及账户机密性”。虽然cptpp整体倡导信息自由流动的理念,但在金融信息方面仍给缔约方留下了采取本地化措施的例外空间。

我国正积极融入数据跨境流动国际规则体系,并逐渐形成颇具影响力的中国范式。此外,已有外资征信机构已在我国完成备案,不断推进我国征信业务的对外开放。为了使中国在个人信用信息跨境流动领域掌握更多话语权,促进我国的信用经济发展,应当继续深化个人信用信息跨境流动国际合作。首先,可以先行推动我国与东盟国家开展个人信用信息跨境流动合作,再将成熟经验推广至我国与其他国家的个人信用信息跨境流动合作中。其次,我国在参与个人信用信息跨境流动多边规则制定中,要始终坚持数据主权和国家安全底线,积极与贸易伙伴开展个人信用信息跨境流动执法和司法合作,避免出现数据绝对本地化等严格限制流动的措施。最后,需要提出我国个人信用信息跨境流动方案,向国际社会表明中国关于个人信用信息跨境流动的立场,基于《全球数据安全倡议》对数据本地化、个人数据权利保护、相关主体的义务、跨境司法协助等方面贡献中国智慧。

结语

数据是数字经济时代的核心生产要素,个人信用信息则是信用经济的不竭动力源泉。随着互联网和大数据的发展,个人信用信息的内涵及外延有不断泛化的趋势,厘清其边界是保障跨境流动自由与安全的前提。我国具有庞大的信用经济市场,破解个人信用信息跨境流动的规制困局是维护我国个人信用信息权益、促进信用经济发展的必经之路。在未来的规制进路上,应当从多个层面保障个人信用信息跨境流动的自由与安全。在立法和监管层面,需要完善个人信用信息跨境流动的专项性法律规范,通过厘清监管机构职责以优化监管机制,建立信用合规体系实现企业内部合规,规范个人信用信息跨境流动的环节实现流程合规。在法律救济层面,应当健全个人信用信息救济机制,为个人信用信息跨境流动提供有力保障。在国际合作层面,应当持续深化个人信用信息跨境流动的国际合作,提高中国的话语权和影响力。

往期精彩回顾

唐端样|数字时代法律的算法个性化研究

舒平安|大数据赋能行政检察监督的现状检视、实践模式与发展策应

曹媛媛|智慧法院建设背景下“互联网+”民事执行的实践困境及完善路径研究

崔家龙|数据要素市场的逻辑阐释、困境挑战与本土回应

张冰|企业数据权益保护的司法路径分析——以反不正当竞争法适用现状为切入点

寿晓明|算法信任的流程治理体系重塑——以数据交易场景为例

上海市法学会官网

http://www.sls.org.cn


上观号作者:上海市法学会