《个人信息保护法》对信用信息市场的影响研究

张斌

当前，我国信用信息市场的数据公司主要包括数据源类、代理类和产品模型类。《个人信息保护法》作为我国首部针对个人信息保护的专门性立法，将对信用信息市场产生深远的影响，数据源类公司须完善授权，代理类公司生存空间受限，而产品模型类公司将回归技术本源。

背景

2021年8月20日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）并于2021年11月1日起施行，作为全国人大常委会通过的首部保护个人信息的专门立法，《个人信息保护法》的施行标志着我国个人信息保护进入了新时代，对征信行业数据采集、加工和使用带来深远的影响。

《网络安全法》《数据安全法》和《个人信息保护法》是我国征信行业关于个人数据安全和权益保护方面的重要上位法依据。2021年9月30日，人民银行出台了《征信业务管理办法》（以下简称《办法》），在个人信息保护层面与《个人信息保护法》全面衔接，以夯实我国信用体系建设的法律基础，同时推动我国征信市场步入有规可循、公平竞争、高质量发展的正轨。

按照《办法》，征信业务是指对企业和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。信用信息是指依法采集，为金融等活动提供服务，用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息，以及基于前述信息形成的分析评价信息。

《办法》清晰界定了信用信息的定义及征信管理的边界，将近年来广泛应用的替代数据纳入监管，且对信用信息采集、整理、保存、加工、提供、使用的业务全流程进行指导与规范。《办法》还要求金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务，因此信用信息市场将在过渡期内完成整改，整改后信用信息主体必须严格通过持牌征信机构依法合规开展个人征信业务（图1）。

图1 整改前后信用信息市场个人征信业务模式

信用信息市场主体

当前，我国信用信息市场活跃的数据公司共计百余家，按照业务流程主要包括三大类型，分别是数据源类、代理类和产品模型类（图2）。

图2 信用信息市场主体数据公司分类

数据源类是指数据产业链前端的数据源供应商，其具备自有业务场景，包括互联网平台公司，其在电商或金融等场景下积累大量客户流量和沉淀数据；还包括电信、交通、政务等各领域能够产生并拥有大量数据资源的数据供应商。代理类是指作为数据通道，按客户的请求调度到相应的数据资源，并把得到的结果返回给客户的数据代理机构。产品模型类是指数据技术服务商自身没有业务场景，主要依靠外部采买各类数据源，再通过数据加工、分析等环节向客户提供精准营销、风控模型、可视化数据工具等产品和服务。从实践上看，数据公司可能存在不同业务经营范围的交叉覆盖。

《个人信息保法》对信用信息市场主体要求

《个人信息保护法》由八章七十四条组成，其内容涵盖了个人信息处理规则、个人信息主体权益、个人信息处理者义务、信息保护职能部门等重要内容。经梳理，《个人信息保护法》中与信用信息市场主体有直接关联的重点条款涉及以下六个方面：

明确个人授权同意要求

在个人信息处理中，“告知—同意”是《个人信息保护法》最基本也是最核心的规则。其中第十三条、第十七条、第二十一条和第二十三条分别涉及个人授权同意。数据公司在处理、委托处理、对外提供前应当取得用户同意。依据第二十三条，各类数据公司向金融机构提供个人信用信息应当取得用户的单独同意。按照业务处理流程，目前部分信用信息市场主体不能直接从个人信息主体处直接取得同意，主要通过向下游金融机构端或者上游可信数据源端获取个人授权同意。

保障自动化决策结果的公平公正

第二十四条明确个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。该条款有效回应了近年来热议的“大数据杀熟”问题。信用信息市场主体不能设置歧视性定价策略，应当保证用户评分、画像等产品算法机制的透明性和应用结果的公平性，不断完善算法模型的评估流程，对算法机制、风控模型和应用结果等进行定期评估。另外，针对自动化决策结果，本条还强调个人有权要求个人信息处理者予以说明，并有权拒绝该决定。在算法使用后，信用信息市场主体应当对用户可能产生的权益影响情况进行持续监测和综合评估，并且向个人提供便捷的拒绝方式，在信息处理的各环节中确保算法可解释、可验证，以降低可能产生的合规风险。

新设个人信息可携带权

《个人信息保护法》第四章第四十五条新设了个人信息可携带权。该条指出，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。可携带权的设立强化了用户自主权，增强个人对个人信息转移与再利用行为的控制。信用信息市场主体应当向用户提供个人数据转移的途径，以用户权益为出发点，有效破除个人信息流通障碍，起到防止大型平台或者数据公司造成的“数据垄断”现象，促进信用信息市场竞争的公平性。

明确个人异议处理权

第四十六条强调了个人异议处理权。该条指出，个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。根据该条款，信用信息市场主体需要提前建立有关信用报告的异议处理流程，以及用户撤销同意的相关处置机制。

履行信息保护和信息安全义务

《个人信息保护法》第五章主要细化个人信息处理者的具体责任与义务。根据第五十一条，信用信息市场主体应当采取相应措施确保个人信息处理活动符合法律法规要求，并有效防止个人信息的泄露、篡改、丢失以及未授权等情况发生。包括：制定内部管理制度和操作规程，对个人信息实行分类管理，采取相应的安全技术措施，合理确定个人信息处理的操作权限，定期教育培训，应急预案等。

此外，第五十二条强调，处理个人信息达到国家网信部门规定数量的处理者应当指定个人信息保护负责人，对个人信息处理活动以及采取的保护措施等进行监督。负责人要公开联系方式并报送履行个人信息保护职责的相关部门。第五十五、五十六条还明确要求个人信息处理者应当事前进行个人信息保护影响评估。

根据体量体现差异化管理要求

由于不同的信用信息市场主体规模不同，且在处理个人信息的技术水平和风控能力上都存在差异，为鼓励数据的创新应用，《个人信息保护法》前瞻性地对大型和小型个人信息处理者进行区分规范要求。针对大型信用信息市场主体，第五十八条明确，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当承担额外的个人信息保护义务，包括成立外部独立机构、制定平台规则、停止违规者服务、定期发布社会责任报告。该条款进一步强化了对于大型互联网平台、科技公司等的个人信息保护义务，要求其应承担起更高意义上的数据安全治理责任，也应做好互联网数据的“守门人”。对于小型信用信息市场主体、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，第六十二条提出要制定专门的个人信息保护规则、标准，体现了法律对小型个人信息处理者和新技术应用创新的鼓励。

《个人信息保护法》对信用信息市场主体的影响

《个人信息保护法》对信用信息市场主体收集、处理和提供个人信息将产生深远的影响，其以“告知—同意”为核心的个人信息处理规则将给信用信息市场主体带来巨大的挑战。

数据源类公司须完善授权

对于数据源类公司，可以通过隐私协议、弹窗或其他交互形式来获得用户的授权同意，但要在个人充分知情的前提下自愿、明确做出。在对外提供时，应向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。由于大数据处理目的繁多且存在较大的可扩展性，如何满足《个人信息保护法》的要求仍需公司在用户界面、文本和交互形式等方面下足功夫。

在实际征信业务中，数据源类公司既不能直接将信用信息提供给金融机构（《办法》要求），提供给非持牌征信机构又难以获得个人同意，最终的结果几乎只能提供给持牌征信机构。

代理类公司发展受限

代理类公司应遵循“三重授权”原则，即数据源事先取得个人同意再收集个人信用信息，单独取得个人同意后数据源再将个人信息提供给代理类公司，代理类公司对外提供时再取得个人的单独同意。或从后端使用方即金融机构处取得反向授权，同意其处理其个人信息。但后端授权方式的合规性还需要得到监管部门的认可。

由于授权链条较长、缺乏与个人直接交互的场景，且缺少合法的征信业务资质，代理类公司获得个人单独授权非常困难，市场前景堪忧。

产品模型类公司回归技术本源

与上述代理类公司类似，产品模型类公司同样需要遵循“三重授权”原则，或从后端使用方获得反向授权。与代理类公司类似，产品模型类公司缺乏与个人直接交互的场景和合法的征信业务资质，难以获得个人单独授权来处理和提供信用信息。更加现实的方式是产品模型类公司申请征信牌照；或作为技术服务方进入数据源、持牌征信机构、金融机构的业务生产体系内，从而回归技术服务本源。

展望

从短期看，《个人信息保护法》正式实施后会带来信用信息市场规模一定程度的下降，一批不符合法律法规要求的市场主体将不能再提供服务。

但从长期来看，《个人信息保护法》将成为护持个人权益、激励稳健发展、连接国家命运的数字时代基本法，为个人信息市场正本清源，促进社会信用信息的合法有序流通，有利于我国征信行业乃至整个金融行业的健康稳定。笔者估计，“劣币”出清后，“良币”将在2至3年内快速填满市场需求。