區(qū)塊鏈征信業(yè)務(wù)中的數(shù)據(jù)怎樣進(jìn)行保護(hù)

大數(shù)據(jù)時代的到來，一方面意味著個人數(shù)據(jù)、企業(yè)數(shù)據(jù)的扁平化，另一方面數(shù)據(jù)使用過程中的問題也逐漸暴露，個人數(shù)據(jù)孤島、企業(yè)信息不對稱、個人和企業(yè)信用隱私數(shù)據(jù)公開等問題亟待解決。區(qū)塊鏈技術(shù)的出現(xiàn)，許多企業(yè)紛紛開始探索區(qū)塊鏈技術(shù)和征信的結(jié)合以解決前述問題，在此過程中的數(shù)據(jù)使用合規(guī)和征信資質(zhì)問題應(yīng)當(dāng)予以重視。

一、征信業(yè)中的區(qū)塊鏈技術(shù)應(yīng)用

（一）個人數(shù)據(jù)的收集和使用

《網(wǎng)絡(luò)安全法》和《GB／T35273—2017信息安全技術(shù)個人信息安全規(guī)范》（“《個人信息安全規(guī)范》”）中明確規(guī)定了個人數(shù)據(jù)的收集和使用規(guī)范。

1．個人信息的范疇

根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

《個人信息安全規(guī)范》中規(guī)定，個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通訊聯(lián)系地址方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

因此，個人信息不僅包括可以單獨識別自然人個人身份的信息，如姓名、身份證號碼、電話號碼等，還包括與其他信息結(jié)合可以識別特定自然人個人身份或活動情況的信息，如住址、工作單位、郵箱地址、征信信息、健康生理信息等。是否具有“可識別性”是判斷信息是否屬于個人信息范疇的核心要件，而“身份可識別性”的界限在我國并沒有形成統(tǒng)一或具體的判斷標(biāo)準(zhǔn)，實踐中企業(yè)應(yīng)當(dāng)根據(jù)數(shù)據(jù)所屬行業(yè)、具體的識別方法和手段合理性等因素綜合判斷。

2．明確授權(quán)

《民法總則》確立了兩項重要的權(quán)利：第一，首次在法律上明確規(guī)定了隱私權(quán)的概念。第二，個人信息權(quán)。雖然民法總則沒有明確提到“個人信息權(quán)”的概念，但是明確規(guī)定“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！币虼?，我國立法和司法中充分尊重信息主體的自決權(quán)。

《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。因此，對于屬于個人信息的數(shù)據(jù)，其收集、使用和處理都需要經(jīng)過信息主體的明確同意。

《個人信息安全規(guī)范》中將個人信息分為個人一般信息和個人敏感信息，并提出默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎(chǔ)上，只要個人信息主體沒有明確表示反對，便可收集和利用。對于個人敏感信息，則需要建立在明示同意的基礎(chǔ)上，在收集和利用之前，必須首先獲得個人信息主體明確的授權(quán)。根據(jù)規(guī)范，個人敏感信息指的是一旦遭到泄露或修改，會對標(biāo)識的個人信息主體造成不良影響的個人信息。個人敏感信息可以包括身份證號碼、銀行賬號、通信記錄和內(nèi)容、行蹤軌跡等。個人一般信息則是指除個人敏感信息以外的個人信息。

3．脫敏數(shù)據(jù)的交易和保存

對于收集后的信息的使用，根據(jù)《網(wǎng)絡(luò)安全法》第四十條、四十二條、四十四條的規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)承擔(dān)嚴(yán)格的保密責(zé)任（包括必要的保密措施、補救措施及泄露后的通知義務(wù)），未經(jīng)信息主體的同意，不得向他人提供個人信息，但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

另外，在《個人信息安全規(guī)范》中提到“收集個人信息后，個人信息控制者宜立即進(jìn)行去標(biāo)識化處理，并采取技術(shù)和管理方面的措施，將去標(biāo)識化后的數(shù)據(jù)與可用于恢復(fù)識別個人的信息分開存儲，并確保在后續(xù)的個人信息處理中不重新識別個人?！?/p>

因此，收集數(shù)據(jù)應(yīng)當(dāng)經(jīng)過處理后無法識別特定個人且不能復(fù)原，并且與個人信息的“身份可識別性”相同，目前我國并沒有統(tǒng)一的“不能復(fù)原”的判斷標(biāo)準(zhǔn)，因此實踐中應(yīng)當(dāng)根據(jù)數(shù)據(jù)的特殊適用范圍綜合考慮。

二、資質(zhì)合規(guī)分析

對于計劃通過收集用戶數(shù)據(jù)的處理以提供征信服務(wù)的企業(yè)來說，根據(jù)我國現(xiàn)有法律規(guī)定，還應(yīng)當(dāng)具備一定的資質(zhì)。

根據(jù)《征信業(yè)管理條例》和《征信機構(gòu)管理辦法》，我國境內(nèi)個人征信機構(gòu)的設(shè)立需要經(jīng)過中國人民銀行的批準(zhǔn)，同時還需要同時具備以下條件：

出資額占公司資本總額5％以上或者持股占公司股份5％以上的股東信譽良好，最近3年無重大違法違規(guī)記錄；

注冊資本不少于人民幣5000萬元；

有符合中國人民銀行規(guī)定的保障信息安全的設(shè)施、設(shè)備和制度、措施；

擬任董事、監(jiān)事和高級管理人員應(yīng)當(dāng)熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī)，具有履行職責(zé)所需的征信業(yè)從業(yè)經(jīng)驗和管理能力，最近3年無重大違法違規(guī)記錄，并取得中國人民銀行核準(zhǔn)的任職資格；

中國人民銀行規(guī)定的其他審慎性條件。

另外，需要特別注意的是，根據(jù)上述法律規(guī)定，征信機構(gòu)的信息系統(tǒng)應(yīng)當(dāng)按照國家信息安全保護(hù)等級測評標(biāo)準(zhǔn)，對信用信息系統(tǒng)的安全情況進(jìn)行測評。征信機構(gòu)信用信息系統(tǒng)安全保護(hù)等級為二級的，應(yīng)當(dāng)每兩年進(jìn)行測評；信用信息系統(tǒng)安全保護(hù)等級為三級以及以上的，應(yīng)當(dāng)每年進(jìn)行測評。

因此，對于打算通過區(qū)塊鏈技術(shù)突破現(xiàn)有征信數(shù)據(jù)應(yīng)用問題的企業(yè)來說，一方面，在數(shù)據(jù)的獲取、使用、保存過程中應(yīng)當(dāng)遵循我國數(shù)據(jù)保護(hù)法律的要求，另一方面，在綜合技術(shù)測評后，應(yīng)當(dāng)建立符合業(yè)務(wù)需求，并且安全完備的信息系統(tǒng)。