大数据时代下征信风险控制与监管
—、大数据时代的安全风险
数据安全管理问题,是应用大数据面临的最大风险。虽然将海量数据集中存储,方便了数据分析和处理,但由于安全管理不当所造成的大数据丢失和损坏,则将引发毁灭性的灾难。有专家指出:由于新技术的产生和发展,对隐私权的侵犯已经不再需要物理的、强制性的侵人,而是以更加微妙的方式广泛衍生,由此所引发的数据风险和隐私风险,也将更为严重。
当前,我国对大数据的保护能力还十分有限,数据被恶意使用的现象仍然难以掌控。我国个人和企业对于数据资源的保护意识,还比较薄弱。随着电子商务、社交网络、物联网、云计算以及移动互联网的全面普及,我国数据资源与全球的数据资源一样,正在呈现爆发性、多样性的增长态势。但是,由于对数据保护认识的不足,以及对个人电脑安全防护的不当,个人或企业的隐私数据暴露在互联网上的现象十分普遍。20##年,我国最大程序员网站的600万个人信息和邮箱密码被黑客公开,进而引发了连锁泄密事件。20##年,中国人寿80万客户的个人保单信息发现被泄露。这些事件都凸显出在大数据时代,信息安全管理所面临的、前所未有的挑战。
从大数据安全管理来看,包含五个方面的问题:
(一)数据治理问题
大数据时代,数据存储和应用方式出现新的变化,有的是跨地域甚至是跨国界的。
数据治理问题既十分突出,又特别重要。对此,政策制定需要处理好三个“权益”:一是要正视霸权,即要清醒地认识到我国在网络控制权、关键技术和高端设备等方面,还受制于西方。这是客观条件也是大的背景。二是要明确主权,数据作为一种重要的战略资源,无论是个人拥有还是国家拥有,都要纳人到主权范围里面来考虑。三是关键要有治权。因为有主权不一定能够管治。比如:数据存到国外,云计算跨越国境,可能不在你的主权范围之内。权力如何让渡?要区别对待不同的数据,对确需保护的数据,必须有切实可靠的手段进行有效管理。如果做不到对数据的有效管理,大数据就必然面临大失控的危险。
(二)用户权利问题
这一问题涉及网络空间的民生,是用户对数据的所有权问题,也就是说用户能不能对自己的数据做主的问题,涉及个人隐私如何保护,网络信任如何保证,每个人对自己的信息所拥有的权利如何保障。不难想象,如果一个人的信息与众多人的信息混在一起,进人一个由商家管控的涉及用户意图、行为、爱好等内容的庞大数据库,个人权利会发生什么变化?所以,需要有相应的政策和措施,与社会对大数据的分析处理能力及方式相匹配。
(三)责任分担问题
这一问题涉及安全风险的分散。信息安全风险存在于数据的全生命周期之中,从技术思路、产品开发、用户使用、服务管理,各个环节均要分担相应的安全责任。大数据的安全问题涉及政府、相关企业、网络运营商、服务提供者,以及数据产生者、使用者等方方面面,必须对各自的安全责任有明晰的政策界定。
(四)基础设施问题
大数据的发展离不开电信网络、IDC,甚至工控系统等关键基础设施,其安全可靠同样依赖于这些基础设施,受供应链全球化、产业私有化的影响,网络与关键基础设施间的安全日趋复杂,一国的大数据可能存放在别国的网络中,一国的基础设施可能同时服务于多个国家,高度的全球相互依赖性,挑战着原有的国家主权观念。所以,关键基础设施的安全监管体系十分重要,在我国,需要尽快确立对供应链的实质性国家安全审査和对基础网络的常态化安全监管。
(五)冲突管理问题
这一问题关乎网络大数据的利益博弈。大数据的资源价值越来越高,围绕大数据的争夺和冲突就越来越激烈。大数据的生成、处理和利用方式,将极大改变各种冲突的表现方式和破坏烈度。内容包括知识产权的保护、网络犯罪的处置、网络破坏活动特别是□第五章大数据时代下的征信创新与发展
I二、大数据时代的隐私保护
大数据散发出的不可估量的商业价值,使得许多传统企业都将大数据用到了库存、客户消费分析及物流、配送等环节,从而解决了许多问题。但在挖掘并使用用户数据的道路上,必须面对的一个问题是,用户隐私成了制约其进一步发展的最大障碍。
在大数据时代,移动互联网迅猛发展,无论在何时、何地、何处,手机等各种网络入口以及无处不在的传感器等都会对个人数据进行采集、存储、使用、分享,而这一切大部分都是在用户无法有效控制和知晓的情况下发生的。最后的结果是,你的一举一动、你的地理位置,甚至你今天一天去过哪些地方、使用了哪些工具,都会被记录下来成为海量无序数据中的一个数列,并和其他的数据进行整合分析。
不可否认的是,隐私问题一直是越来越社交化的互联网争论的热点,许多巨头也从未逃脱过隐私争议的旋涡,一直是在隐私摩擦角力中发展。例如,Facebook的“赞”按钮是一个特别有利于品牌商广告商进行营销活动的功能,一旦用户点击了此按钮,就意味着向相关广告方出示了自己的数据。而被Facebook收购的Instagram于20##年12月17日公布了新的隐私政策和服务条款,允许广告主更灵活地在广告中使用照片、用户名和肖像。这一条款也引起了用户的广泛争议。有媒体在报道中称,用户和媒体普遍理解为,该公司将享有出售用户照片的永久权利,既不必支付报酬也不用事先告知,其中包括将照片用于广告用途。新政策发布后,随即在用户、互联网和媒体间引发争议。-如何在大数据时代保护隐私?有媒体报道,欧洲议会的一项研究报告表示:云计算大数据已经对个人隐私造成了严重的威胁,而且是比你想象中还要严重。该报告还表示:云计算的隐私威胁被低估了。随着云计算的发展,日益增长的可靠性问题、网络欺诈和网络犯罪、个人身份和数据的丢失已然成为云计算必须要面对的问题,而且是迫不及待需要解决的问题。行业人士和专家在接受媒体采访时均表示,应该从立法、制度、技术三方面完善个人隐私保护。大数据时代现有的技术手段保护对于个人隐私而言远远不足,除了要建立健全个人隐私保护的法律法规和基本规则之外,还应鼓励隐私保护技术的研发、创新和使用,从技术层面来保障隐私安全,完善用户保障体系。此外,推动云服务大数据产品在个人隐私安全方面标准的制定,提倡行业在用户隐私保护领域自律,并制定相应的行业标准或公约。
当我们在享受大数据发展给个人生活和产业发展所带来的跨越性的变革的同时,也需要为这种进步付出代价。而如何在引领行业发展的同时,健全个人隐私保护制度,则需要相关法律、企业、网民、第三方行业组织等的共同努力。个人隐私安全是一场未完成的战争,随着相关法规的建立和完善,我们有理由相信我们的隐私保护将会越来越健全。
I三、大数据时代的数据共享
大数据时代,互联网金融最终能否成功关键是信用体系的建立和完善,而这一点需要建立在大数据的分享基础上。利用互联网技术,可以拥有海量的数据,互联网上所有行为都可记录、可追踪。目前的问题是建立全社会的信用体系,但是,大数据并不在于数据量够大,而是需要完整、有价值的数据。这就需要各个企业之间尤其是这些掌握大量数据的企业之间相互开放、相互共享。否则的话,无论数据量有多大都是不完整的,都不足以构建好互联网上的信用评级和金融体系。从这个角度来讲,互联网企业应该完善目前各自独立的信用体系,用开放、共享的互联网精神取得合作共赢,只有这样,互联网金融才会有颠覆性的长足发展。
如果把数据比喻成某种资产,在割据状态下,每个数据商都是一座座孤立的小岛。数据割据、数据孤岛和数据质量成为大数据时代发展的主要障碍,它们既是统一的整体(危害通常一起爆发),又可以在某些阶段单独呈现。
数据割据——因为制度、部门保护主义或者小团体利益等人为的因素造成的数据分散的现象。
数据孤岛——因为技术差距和遗留问题等形式的数据分散与无法集中共联的现象。
数据质量——主要包括数据的真实性、完整性和一致性。数据质量的好坏直接影响着“数据资产”的价值,但提高数据质量绝不是一蹴而就,需要各方面的综合提升,比如技术、制度、文化等多领域的努力。
大数据并不是存在于某一个部门之中,它发挥作用也不是某一个单独的部门可以实现的,.因此需要政府从横向和纵向开放共享数据,。同时解决数据割据和数据孤岛问题,提升系统建设的能力和规划。
I四、大数据时代的法规政策
(一)消费者保护的法规
对互联网金融保护的问题,加强互联网金融消费的保护,应当关注下列问题。
(1)应推动完善互联网金融消费权益保护的法律制度框架。在充分认识互联网金融的基础上,应适时出台相应的互联网金融消费权益的法律制度。从法律层面界定互联网金融的问题,规范市场主体的交易行为。
(2)畅通互联网金融消费的投诉受理渠道。在互联网金融发展过程中,不可避免地会因为某种原因导致金融产品和服务与金融消费者之间产生分歧。必须将畅通互联网金融消费的投诉、受理渠道,作为在该领域消费者权益保护工作的重要抓手,健全投诉处理工作机制。使互联网金融消费能够投诉有门,监管部门也能够结合投诉开展相应的监督检査。
(二)大数据时代信息安全法规
任何技术都是双刃剑。由于大数据要求全社会信息资源的开放共享和开发利用,这就对个人信息保护提出了一些新的挑战。例如,个人信息的所有权归属于谁?个人信息的知情同意原则能否坚持?个人信息和隐私权受到侵犯时,如何获得有效的法律救济?对此,大数据发展比较快的国家巳制定关于大数据保护的法律。从国外的相关政策看,如果企业在使用大数据时让普通民众的隐私发生了泄露,企业承担完全责任。
相关法律将在这个领域发挥至关重要的作用。一方面通过对大量用户数据的分析,公司、企业、政府可以更好地了解用户行为、消费习惯等,从而可以提供更好的服务,但是另外一方面,这又不可避免地对用户的隐私构成威胁、挑战。很多人巳经意识到,在数据的应用方面,相关法律法规的制定变得越来越重要。作为用户,需要明确界定自己在数据的使用方面具有什么权利和义务;作为企业和政府,需要逐渐定位清楚,在多大程度上可以并且用什么样的方式来使用用户的数据。
针对大数据立法以保证个人信息安全是大势所趋,保护民众个人隐私有三个途径:一是法律途径,分别为刑法保护、行政法保护以及民法保护;二是行业自律途径,如20##年12家搜索引擎服务企业签署了《互联网搜索引擎服务自律公约》,20##年12月3日,中国互联网协会在京发布《互联网终端安全服务自律公约》-等;三是技术途径,即采取技术手段加以保护。
大数据的发展是全球趋势,也是长期过程。国际上对于大数据涉及的一些法律问题也还没有定论,仓促立法不可行。我国目前已经初步建立了有关个人信息和隐私权保护的法律体系,包括刑事、民事和行政法律体系,目前还缺乏全面系统的专门性立法,也就是个人信息保护法来平衡信息自由流动和个人信息保护。
第二篇:大数据时代的跨境数据征信
第 1 页
大数据时代的跨境数据征信
一、跨境数据流动概述
信息技术为大数据的跨境转移提供可能,改变了既有的信息处理方式。全球信息流 通规模向持续性、多点方式转变,体现了网络化信息处理的趋势。随着国际对外经济交 往日趋频繁,对外贸易发展迅速,如何更多地了解国外贸易合作方、防范对外贸易风险 巳成为一个现实而紧迫的问题。
(一)跨境数据流动
.数据跨境流动(以下简称TDF)这一概念由经合组织在20世纪70年代提出,指的 是跨越国家和疆界的信息数据流动。随着计算机和网络技术的进步,世界范围内的互联 网发展,以征信数据为主的数据跨境流动地域越来越广,包含的内容越来越丰富,传递 也更为快捷方便,给各国社会经济发展带来了广泛深远的影响。目前,欧美等国建立了 比较完善的征信数据跨境流动规则,促使各国之间数据合规流动。而在我国,美国穆迪 等三大评级公司分别与国内的三大评级机构开展合作,成立合资公司或者开展技术合作, 使得国内的相关征信数据流入国外的可能性大增,迫切需要加强监管。
(二)征信数据跨境流动的影响
数据跨境流动在主权国家的经济安全、公民个人隐私保护等方面产生重要影响,有 其积极的方面,也带来诸多挑战。
1.征信数据跨境流动的积极影响
一是信息共享,发挥激励惩戒机制作用。当不同国家的授信机构能够共享企业和个 人的不良信用记录或违约行为等负面信息时,授信机构就会要求那些有负面信息的申请 者支付较高的利率来获得贷款或规定更为严格的赊销付账条件,从而做出合理的授信决 策。二是促进商业合作和国际贸易便利化。征信数据跨境流动满足了全球一体化过程中 的信息需求,有利于促进各项跨境活动的顺利开展。
2.征信数据跨境流动带来的挑战
一是加大了信息富有国与信息匮乏国之间的差距。由于发展中国家的信息基础结构 相对薄弱,原始数据一般从发展中国家流向发达国家或跨国公司总部,数据经过这些国 家或者机构处理后再反馈给数据来源国。这样就造成一些发展中国家严重依赖外
第 2 页
部信息,形成了对发达国家的信息依赖,对本国信息主权构成威胁。当前,越来越多的国家正在吸取国际金融危机的经验教训,加强信息基础结构的建设和信息主权的维护。二是加大了对数据主体的侵权威胁。通过TDF,个人、法人的有关资料可以在全球范围内传播,加重了数据主体面临的各种侵权威胁,包括对个人隐私权的侵犯、对知识产权和商业秘密的侵犯等。三是加重了数据使用者的责任和负担。随着各国对数据跨境流动的重视程度越来越高,相关的法律法规和框架协议日趋完善,数据存储者、使用者需要承担的安全责任随之提高
息安全。
| 二、发达国家征信跨境数据流动立法
有关数据保护的立法,欧美国家比较完善,如德国、法国、美国和英国等国家。当 然,这些国家立法更多地是注重国内数据保护,如个人隐私安全及企业商业秘密保护等, 对于TDF问题,立法多是一些原则性规定,将细则制定和具体管理权限赋予了有关行政 机构。对TDF的监管各国立场也并不一致。在发达国家中,美国对TDF的监管较为松 散,英、德两国对于TDF的监管更为严厉,其立法具有一定的代表性。在国际上,一些 国际组织,尤其是区域性国际组织对这个问题比较重视,达成了一些阶段性成果。
(一)欧美部分国家立法情况
1.美国立法
19xx年通过的《隐私法》,覆盖了联邦政府的自动和人工记录系统,来保护美国公民 以及具有美国永久居留权的外国人隐私。但由于美国在世界各地有着巨大的政治、经济 上的利益,拥有大量的跨国公司及各种机构,它们技术先进,信息处理能力强,因而主 张全球信息的自由流通,对TDF—般不作专门限制。
2.英国立法
英国于19xx年通过了《数据保护法》,该法规定了英国国内主管数据保护的机关, 要求在数据跨境流动时,向主管机关登记有关情况。当数据送往非欧洲公约缔约国或者 有理由相信接收数据的公约国可能将数据传送至非公约成员国时,主管机关可不同意此 项数据跨境流动的请求。原则上,该法只对在英国的数据控制人生效,对于在外
第 3 页
国处理 的数据不适用。可见,英国对TDF的监管主要是控制本国数据向境外的传递,对外国数第四节大数据时代的跨境数据征信□
据传人本国则不做过多限制。
3.德国立法
联邦德国早在20世.纪70年代通过了《个人数据保护法》,设立了数据跨境流动主 管机关。规定当德国与其他国家有协定时,按照协议执行有关数据传递事项;如没有协 议,申请人如能证明TDF为业务上的必要或者被传递者对TDF有正当利益时,才允许数 据的流动。在主管机关有理由认为传递将违反德国法律的情况下可禁止数据跨国传递。 此外,还规定传递机构应对传递的合法性负责,对传递的数据进行审查。
4.其他欧洲国家立法情况
欧洲大多数国家都有数据保护的相关法律,在TDF规定上虽然没有英、德规定得那 么详细,但一般都确定了数据安全主管单位,也对TDF做出一些原则性的规定,如法国 19xx年出台了《数据处理、数据文件及个人自由法》,规定个人数据跨境流动需要得到许 可。挪威、丹麦、奥地利等国家法律也规定个人数据对外输出需要得到专门机构的许可。
欧美国家出于经济竞争及保护本国信息安全的目的,都希望获得他国数据而限制本 滅 国数据外流。英国对本国数据流出就有严格监管条款,特别是对流向非欧盟国家时可禁 ~W 止其流动;德国规定也较为完善,设置了 TDF的禁止条款和责任条款。
156
(二)数据跨境流动的国际协作机制
由于各国的法律不同,使得数据跨境流动成为一个非常棘手的问题。一方面,在对 比不同法律时需要考虑到底哪个国家的法律更为完善;另一方面,数据跨境流动要同时 遵守两个国家的法律十分困难。因此,国际社会需要达成相关协作机制来促进数据流动。
1.欧盟数据保护指令
19xx年10月24日,欧洲议会通过了《关于个人数据处理和自由流动的个人保护指 令》(以下简称“欧盟数据保护指令”),并于19xx年生效。该指令的目的:一是在
第 4 页
个人 信息处理过程中,确保个人权利得到保护;二是在欧盟范围内通过协调各国立法,确保 个人信息能够自由流动。该指令的核心条款是:要求成员国禁止将个人数据传输到那些隐 私立法不符合指令标准即对个人信息保护“不充分”的国家,只有以下几种情形可排除 在外:(1)数据主体已明确同意该项流动。(2)该流动对于履行数据主体和数据控制者 之间的合同是必需的,或者对于履行数据控制者和第三方订立的有利于数据主体的合同 是必需的。(3)该流动对保证公共利益或者对于保护数据主体的重大利益是必需的。
(4)该项流动的数据信息是从法律规定的供公众查询、向公众提供信息的登记簿上合理 地取得的。
欧盟数据保护体系的另一个方面是有法律约束力的公司规则(BCRS),用于为跨国 组织和企业集面的数据跨境流动提供一个单一标准。目前,针对企业的标准化程序和指 引已经建立,数据保护机构(DPA)正在进行合作,该体系运作良好。
2.欧美安全港框架协议制度■
美国对数据的保护不如欧盟那样高度明确和集中,尽管欧盟委员会从未对美国的个□第五章大数据时代下的征信创新与发展
人数据保护体系发表过正式意见,但美国自律式的隐私保护体系能否通过欧盟的“充分 性”保护标准在欧盟一直遭到许多怀疑。为此,19xx年,美国开始与欧盟就隐私保护问 题采用“安全港”框架进行协商,以保证数据的跨境流动。20xx年,欧盟委员会做出决 定,认为当个人数据从欧盟输出到美国时,安全港规则提供了充分保护。在这一框架下, 由美国公司自愿做出承诺,表明遵守由美国商务部和欧盟委员会内部市场司制定的一系 列隐私原则,那么这些公司就被假定达到了充分保护的要求,可以继续接收来自欧盟的 个人数据。因此,安全港框架尽管未对欧盟指令等现有框架做进一步完善,但却以双边 协议的方式为欧美两个截然不同的隐私法体制建立起一个共同的数据跨境流动规则。
3.APEC隐私框架
20xx年由APEC部长级会议签署,旨在通过协调各成员国数据保护的相关立法,促 进区域信息流动,推动电子商务发展。与欧盟指令强调数据犍人国—_私立法体系
第 5 页
的充分 性相比,该框架在个人隐私保护上采用更加灵活的方式,避免给信息流动造成不必要的 障碍。APEC框架有两个目.的:其一是为成员国建立和完善国内隐私管理体制提供指导, 其二是为数据跨境流动的美洲企业建立隐私保护机制提供指引。
综上可知,欧盟数据保护指令为欧洲议会通过,具有国际法性质,其余的国际协定 并没有实质约束和行动议程,离欧盟国家达到的协作水平还有较大差距。在欧盟保护指 令指引下,欧洲7国央行行长签署了互享谅解协议(MOU),促进实体法人和个人征信 数据在各国公共信贷注册机构之间流动。欧盟国家间已经形成一个统一的征信数据共享 网络,可见,伴随地区间各国家的紧密联系以及一体化进程,未来征信数据的跨境流动 首先将成为区域间的流动。
t 三、数据跨境流动机制的建立
由于法律体制、文化传统、经济发展水平的不同,各届数据保护机制在范围、具体 内容、监督执行等方面都不尽相同,这也带来了信息跨境流动需要处理的两方面难题: 各国数据保护标准的协调;数据保护法律的适用和跨境执行。数据保护的充分性是欧盟 有关跨境信息流动的法律基础,但是,严格的规则在具体实践中也遇到挑战。信息只能 在有似法律制度的国家间流通是不现实的,因此,欧盟也逐步采取更灵活的方法,使 数据转移者承担数据转移安全的直接责任,实现数据跨境转移的多样化机制,比如标准 合同和BCRs。
借鉴欧盟在信息跨境流动方面的制度设计,建立跨境信息流动的机制需要从以下几 方面考虑:
(一)建立和完善本国的数据保护法律制度
欧盟跨境数据转移的核心是依据欧盟数据保护指令的数据保护原则,实现数据主体157
第四节大数据时代的跨境数据征信口
158
的权益保护。标准合同、BGRs以及安全港是在没有提供充分保护的国家中建立了信息跨 境流动的特区,它们实质上都贯彻了欧盟数据保护指令所确定的数据主体权益
第 6 页
保护机制, 即由数据主体权利、数据提供者和使用者的责任和义务、监管执行三方面因素构成的数 据主体权益保护框架,只是具体形式和适用范围不同。
因此,数据的跨境保护应以建立和完善本国的法律制度为基础,根据本国的文化、 法律传统和经济等情况,制定完备的信息保护制度:一是赋予数据主体的相关权利,包 括知情权、信息获取权、异议更正权、选择权、求偿权等;二是明确数据控制者应履行 的合法采集、数据质量、公开透明、限定使用、安全措施、异议处理等责任和义务;三 是建立有效的执行监督机制,对监管部门赋予足够的监管资源和职权。
(二)建立以数据输出机构为中心的责任追究机制
在数据跨境流动情况下,建立以数据传输方为中心的责任分担机制,使其实际承担 担保责任、连带责任,这是对数据主体权益进行损害救济的现实之举,也是在本国监管 部门管辖权限制情况下加强监督执行的措施。除了欧盟,加拿大在数据跨境流动制度中 也体现了这个原则。加拿大建立了机构对机构的数据跨境模式,要求数据输出机构对跨 境流出的数据承担最终责任,该机构应当主要以合同方式对传输给第三方进行处理的数 据提供相当水平的保护。
(三)坚持对等原则
欧盟数据保护指令中有关数据跨境流动的条款只考虑了信息流出的形式,对于流入 欧盟的信息未作规定。跨境数据流动一方面涉及数据主体权益保护,另一方面对相关国 家的经济、政治利益也具有重要影响,因此在制度设计中应体现对等原则,这包括两个 层次:一是体现主权对等,国与国之间应在平等互惠的基础上实现双向数据跨境流动; 二是交换的内容对等,为了体现公平,信息交换的内容应该在类型、范围等方面相同或 相近,比如都只提供正面或负面信息等。
(四)加强国际合作
一国的数据保护机构只能在本国主权范围内行使职权,对于跨境后的信息处理无域 外监管权,无法实施真正有效的监管,因此,国际合作对数据跨境流动及保护至关重要。 经合组织(OECD)也指出,跨境流动数据的数量和特征使得加强国际合作以实现隐私保 护成为必需。在合作形式上,可以直接开展国与国之间的双边合作,也可以
第 7 页
通过国际性 组织平台开展多边合作;在合作内容上,可在技术、法律、监管执行等方面开展合作细 节的制定。