近日,央行开始对首批获准开展个人征信的八家机构进行“摸底”调查,这意味着民营机构的个人征信牌照发放,已经进入到最后的倒计时阶段。
我国征信业的发展虽然比较晚,但在大数据时代和互联网++背景下的征信运营却处在世界同一起跑线上。网络发展带来的历史性机遇,很可能将成为我国本土征信业强大的助力器,“信用=财富”的时代离我们已经越来越近。
互联网+征信是一种新事物,用户海量的数据加上特别的“算法”能够精确到个人的所有信用细节。因此,互联网+征信的精确度是以往任何时代都无法比拟的。但是,大数据+征信将用户个人所有信息都成为采集标的,其中包括医疗信息、身体状况、犯罪记录、基因,以及其他涉及到用户私生活的核心隐私。这些隐私信息一旦泄露,将会给用户造成难以弥补的伤害。同时,一旦出现隐私泄露事件,大都属于大规模侵权,除了伤及用户隐私和生活安宁外,对社会稳定和网络征信本身也将会是致命性打击。从这个角度看,互联网+征信成功与否,并不仅在于数据采集和统计计算,更在于信息安全,而后者才是互联网+征信的真正变量。
我国对信息安全的规定并非是空白,据不完全统计,近年来我国各个部门出台的各级涉及到信息安全的法律、法规和政策多达一百多部,这些法律文件已经基本建设完成我国信息保护的体系。从立法角度看,我国已经建成以全国人大常委会出台的《关于加强网络信息保护的决定》为核心,包括民事责任、行政责任和刑事责任在内的个人信息保护制度。然而,这些法律文件在落实上却不尽人意。
首先,法律规定过于抽象。《关于加强网络信息保护的决定》中首次提出了对个人信息搜集、使用的“合法性、正当性和必要性”三个原则,可是却没有任何下位法对其有明确的具体化。尽管最高法院在2014年对网络侵权作出司法解释时,曾努力的将个人隐私保护范围和合理使用条件进行明确,但这也仅适用于民事责任之中。在行政责任和刑事责任中,对个人信息保护范围和法律责任仍过于局限和过时。互联网+征信应该更加明确信息保有者的义务范围和严格法律责任。
其次,部分法律规定已经过时。最高法院的司法解释仅将“非法公开”作为承担侵害隐私权的构成标准。其实,在大数据时代中,已经很难出现明目张胆以“公开”手段直接侵害隐私的行为。更多侵权手段是较为隐性的,即有可能以数据产品形象出现,也有可能以数据合作方式进行。当然,大数据合理使用本来就是互联网免费时代的基本特征,但必须强调的是,“合理使用”的界限到底在哪里,法律必须予以明确。缺乏底线的滥用属于“丛林法则”式掠夺,必须在互联网+征信实施前明确数据搜集和使用的界限在哪。
最后,新型法律理念没有落实。“被遗忘权”已经被欧盟法院创造性地提出,该案的本质在于,用户作为数据产生者享有相关数据的最终控制权和所有权。“被遗忘权”的提出,标志着数据垄断的打破,意味着用户数据权利意识的觉醒。我国对被遗忘权的借鉴,一方面,应尽早将数据权作为新型人格权在民法典制定中明确;另一方面,应纠正部分网站在网民协议中,将数据所有权从用户手中剥夺的情况。特别是在民企网站进入全面进入征信市场之时,旗帜鲜明的强调用户数据权就显得非常迫切和必要。