區(qū)塊鏈征信業(yè)務(wù)中怎樣來保護(hù)數(shù)據(jù)
掃描二維碼
隨時(shí)隨地手機(jī)看文章
大數(shù)據(jù)時(shí)代的到來,一方面意味著個(gè)人數(shù)據(jù)、企業(yè)數(shù)據(jù)的扁平化,另一方面數(shù)據(jù)使用過程中的問題也逐漸暴露,個(gè)人數(shù)據(jù)孤島、企業(yè)信息不對(duì)稱、個(gè)人和企業(yè)信用隱私數(shù)據(jù)公開等問題亟待解決。區(qū)塊鏈技術(shù)的出現(xiàn),許多企業(yè)紛紛開始探索區(qū)塊鏈技術(shù)和征信的結(jié)合以解決前述問題,在此過程中的數(shù)據(jù)使用合規(guī)和征信資質(zhì)問題應(yīng)當(dāng)予以重視。
一、征信業(yè)中的區(qū)塊鏈技術(shù)應(yīng)用
(一)個(gè)人數(shù)據(jù)的收集和使用
《網(wǎng)絡(luò)安全法》和《GB/T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范》(“《個(gè)人信息安全規(guī)范》”)中明確規(guī)定了個(gè)人數(shù)據(jù)的收集和使用規(guī)范。
1.個(gè)人信息的范疇
根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定,個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。
《個(gè)人信息安全規(guī)范》中規(guī)定,個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通訊聯(lián)系地址方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。
因此,個(gè)人信息不僅包括可以單獨(dú)識(shí)別自然人個(gè)人身份的信息,如姓名、身份證號(hào)碼、電話號(hào)碼等,還包括與其他信息結(jié)合可以識(shí)別特定自然人個(gè)人身份或活動(dòng)情況的信息,如住址、工作單位、郵箱地址、征信信息、健康生理信息等。是否具有“可識(shí)別性”是判斷信息是否屬于個(gè)人信息范疇的核心要件,而“身份可識(shí)別性”的界限在我國并沒有形成統(tǒng)一或具體的判斷標(biāo)準(zhǔn),實(shí)踐中企業(yè)應(yīng)當(dāng)根據(jù)數(shù)據(jù)所屬行業(yè)、具體的識(shí)別方法和手段合理性等因素綜合判斷。
2.明確授權(quán)
《民法總則》確立了兩項(xiàng)重要的權(quán)利:第一,首次在法律上明確規(guī)定了隱私權(quán)的概念。第二,個(gè)人信息權(quán)。雖然民法總則沒有明確提到“個(gè)人信息權(quán)”的概念,但是明確規(guī)定“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的,應(yīng)當(dāng)依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個(gè)人信息,不得非法買賣、提供或者公開他人個(gè)人信息?!币虼?,我國立法和司法中充分尊重信息主體的自決權(quán)。
《網(wǎng)絡(luò)安全法》規(guī)定,網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個(gè)人信息。因此,對(duì)于屬于個(gè)人信息的數(shù)據(jù),其收集、使用和處理都需要經(jīng)過信息主體的明確同意。
《個(gè)人信息安全規(guī)范》中將個(gè)人信息分為個(gè)人一般信息和個(gè)人敏感信息,并提出默許同意和明示同意的概念。對(duì)于個(gè)人一般信息的處理可以建立在默許同意的基礎(chǔ)上,只要個(gè)人信息主體沒有明確表示反對(duì),便可收集和利用。對(duì)于個(gè)人敏感信息,則需要建立在明示同意的基礎(chǔ)上,在收集和利用之前,必須首先獲得個(gè)人信息主體明確的授權(quán)。根據(jù)規(guī)范,個(gè)人敏感信息指的是一旦遭到泄露或修改,會(huì)對(duì)標(biāo)識(shí)的個(gè)人信息主體造成不良影響的個(gè)人信息。個(gè)人敏感信息可以包括身份證號(hào)碼、銀行賬號(hào)、通信記錄和內(nèi)容、行蹤軌跡等。個(gè)人一般信息則是指除個(gè)人敏感信息以外的個(gè)人信息。
3.脫敏數(shù)據(jù)的交易和保存
對(duì)于收集后的信息的使用,根據(jù)《網(wǎng)絡(luò)安全法》第四十條、四十二條、四十四條的規(guī)定,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)承擔(dān)嚴(yán)格的保密責(zé)任(包括必要的保密措施、補(bǔ)救措施及泄露后的通知義務(wù)),未經(jīng)信息主體的同意,不得向他人提供個(gè)人信息,但是經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息,不得非法出售或者非法向他人提供個(gè)人信息。
另外,在《個(gè)人信息安全規(guī)范》中提到“收集個(gè)人信息后,個(gè)人信息控制者宜立即進(jìn)行去標(biāo)識(shí)化處理,并采取技術(shù)和管理方面的措施,將去標(biāo)識(shí)化后的數(shù)據(jù)與可用于恢復(fù)識(shí)別個(gè)人的信息分開存儲(chǔ),并確保在后續(xù)的個(gè)人信息處理中不重新識(shí)別個(gè)人。”
因此,收集數(shù)據(jù)應(yīng)當(dāng)經(jīng)過處理后無法識(shí)別特定個(gè)人且不能復(fù)原,并且與個(gè)人信息的“身份可識(shí)別性”相同,目前我國并沒有統(tǒng)一的“不能復(fù)原”的判斷標(biāo)準(zhǔn),因此實(shí)踐中應(yīng)當(dāng)根據(jù)數(shù)據(jù)的特殊適用范圍綜合考慮。
二、資質(zhì)合規(guī)分析
對(duì)于計(jì)劃通過收集用戶數(shù)據(jù)的處理以提供征信服務(wù)的企業(yè)來說,根據(jù)我國現(xiàn)有法律規(guī)定,還應(yīng)當(dāng)具備一定的資質(zhì)。
根據(jù)《征信業(yè)管理?xiàng)l例》和《征信機(jī)構(gòu)管理辦法》,我國境內(nèi)個(gè)人征信機(jī)構(gòu)的設(shè)立需要經(jīng)過中國人民銀行的批準(zhǔn),同時(shí)還需要同時(shí)具備以下條件:
出資額占公司資本總額5%以上或者持股占公司股份5%以上的股東信譽(yù)良好,最近3年無重大違法違規(guī)記錄;
注冊(cè)資本不少于人民幣5000萬元;
有符合中國人民銀行規(guī)定的保障信息安全的設(shè)施、設(shè)備和制度、措施;
擬任董事、監(jiān)事和高級(jí)管理人員應(yīng)當(dāng)熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī),具有履行職責(zé)所需的征信業(yè)從業(yè)經(jīng)驗(yàn)和管理能力,最近3年無重大違法違規(guī)記錄,并取得中國人民銀行核準(zhǔn)的任職資格;
中國人民銀行規(guī)定的其他審慎性條件。
另外,需要特別注意的是,根據(jù)上述法律規(guī)定,征信機(jī)構(gòu)的信息系統(tǒng)應(yīng)當(dāng)按照國家信息安全保護(hù)等級(jí)測(cè)評(píng)標(biāo)準(zhǔn),對(duì)信用信息系統(tǒng)的安全情況進(jìn)行測(cè)評(píng)。征信機(jī)構(gòu)信用信息系統(tǒng)安全保護(hù)等級(jí)為二級(jí)的,應(yīng)當(dāng)每?jī)赡赀M(jìn)行測(cè)評(píng);信用信息系統(tǒng)安全保護(hù)等級(jí)為三級(jí)以及以上的,應(yīng)當(dāng)每年進(jìn)行測(cè)評(píng)。
因此,對(duì)于打算通過區(qū)塊鏈技術(shù)突破現(xiàn)有征信數(shù)據(jù)應(yīng)用問題的企業(yè)來說,一方面,在數(shù)據(jù)的獲取、使用、保存過程中應(yīng)當(dāng)遵循我國數(shù)據(jù)保護(hù)法律的要求,另一方面,在綜合技術(shù)測(cè)評(píng)后,應(yīng)當(dāng)建立符合業(yè)務(wù)需求,并且安全完備的信息系統(tǒng)。