亞太征信發(fā)展情況及大數據下的個人數據保護

作者：丁治同

人民銀行征信中心主辦的“亞太征信暨個人數據保護國際研討會”于2015年10月26至27日在西安舉行。此次會議是征信中心第一次舉辦的亞太征信行業(yè)會議，來自印度、印度尼西亞、新加坡、韓國、老撾、越南、柬埔寨、馬來西亞、泰國、菲律賓、哈薩克斯坦、蒙古、尼泊爾、臺灣、香港、美國、歐盟17 個國家和地區(qū)的央行代表、征信機構代表、國內外個人數據保護專家、世界銀行集團國際金融公司專家以及部分國內政府部門、機構和媒體代表等近200人參加了會議。與會者圍繞各自國家和地區(qū)征信體系的改革和發(fā)展、小微企業(yè)征信服務、征信機構數據分析和反欺詐服務以及數字經濟時代的個人數據保護等主題進行了交流。

亞太地區(qū)征信體系發(fā)展情況

各國征信體系發(fā)展階段各異。一些國家成立央行征信系統較早，如韓國、馬來西亞、印度尼西亞，于20世紀70-80年代先后建立紙質征信體系，最初采集一定額度以上的貸款信息。2000年左右均取消了報數門檻，建立全面征信的電子化系統。越南的公共征信系統則成立于1992年，2008年成為央行下屬的獨立機構。私營征信機構大多在2005年以后成立并遵循牌照準入制度，每個市場從事個人征信服務的私營機構數量有限。目前印度、新加坡、泰國、菲律賓、柬埔寨沒有公共征信系統，只有私營征信機構。根據人口規(guī)模大小，機構數量有所不同：印度4家、馬來西亞和印度尼西亞各3家、新加坡、韓國各2家，泰國、柬埔寨、菲律賓、越南、蒙古、緬甸、臺灣、香港均1家。除新加坡、韓國、馬來西亞、印度、泰國、菲律賓、柬埔寨、臺灣、香港以外，其他的私營（或公私合營）征信機構尚處于起步期或運營籌備期。

強制報數是確保征信系統可用的前提。以菲律賓為例，由于最初征信信息報送是非強制性，金融機構報數意愿不強，政府建立征信機構的努力并沒有成功。后來，通過立法建立了強制報數要求，征信機構才得以成功建立并運營。泰國、柬埔寨的征信機構發(fā)展也有同樣的經歷。而在馬來西亞，由于一開始就通過立法明確了公共征信系統的法定定位和強制報數要求，公共征信系統得以快速建成并投入使用。

央行征信系統能否滿足銀行需要在很大程度上決定了私營征信機構獲取銀行信用數據的情況。從亞太國家的經驗來看，如果央行系統能夠滿足市場需要，市場就是以央行征信系統為主導；如果央行運營的系統無法滿足市場的需要，則主要依靠私營征信機構提供征信服務。以馬來西亞和印度尼西亞為例。在馬來西亞，央行征信系統和私營機構遵循不同的法律。央行征信系統的法律地位在《中央銀行法》中得以明確，并有權強制采集金融信用信息，所以能獲取信息并較好地滿足銀行的需要。7家私營征信機構遵守《征信機構管理法》，采集和使用信用信息時必須取得信息主體同意。實際上，其中4家機構只能獲取公共信息，提供補充性信息服務。而在印尼，由于沒有身份證系統，公共征信系統數據匹配技術不足，導致報告信息和多人重復匹配的情況很多，個人信息不準確，無法為銀行提供所需的信息。因此，公共征信系統主要用于支持宏觀審慎監(jiān)管和金融穩(wěn)定體系，而銀行對征信服務的需求不得不通過發(fā)展私營征信機構來滿足。

亞太地區(qū)新興市場的征信機構多數已被外資控制。外資正通過股權收購、合資、技術入股等不同方式不斷擴大對亞太征信市場的占有份額，投資關系錯綜復雜。比如，由新加坡征信局首席執(zhí)行官林威廉（William Lim） 和澳大利亞征信公司威達的投資人共同組建的NSP控股公司，通過直接入股或間接控股的方式擁有了新加坡征信局(Credit Bureau Singapore)、馬來西亞征信局(Credit Bureau of Malaysia)、柬埔寨信用局（Credit Bureau of Cambodia）、印度尼西亞（PT Kredit Biro Indonesia Jaya）、緬甸信用信息中心等多家征信機構的股權；益博睿收購了新加坡DP 征信局的母公司DP集團40%股權；印度四家征信機構分別被美國三大征信機構和意大利科銳富控股；意大利科銳富成為越南私營信用局投資公司的戰(zhàn)略合作伙伴，以及菲律賓國家信用局項目的技術合作伙伴；美國艾可飛公司正擬收購澳大利亞威達公司。蒙古征信局是由蒙古銀行協會與鄧白氏合資，鄧白氏作為戰(zhàn)略和股權合作方。亞太新興市場的實際代言人是西方外資機構，缺少本土征信機構品牌，這一點值得我們關注。

未來亞太征信業(yè)面臨諸多挑戰(zhàn)。一是擴大微型和中小企業(yè)征信信息采集，幫助中小企業(yè)和個體經營者獲得銀行貸款，擴大對小微金融機構的信息覆蓋面，促進普惠金融。二是通過研發(fā)評分產品，如中小企業(yè)和個人的信用評分，幫助客戶獲得更好的信貸服務。三是提供在線信用報告查詢、移動應用軟件（APP） 等多種渠道的征信服務，幫助銀行適應新型信貸業(yè)務發(fā)展的需要。四是開展金融教育，提高公眾的征信意識，幫助消費者了解如何改善信用狀況，獲得銀行信貸。五是推動征信業(yè)信用信息、數據格式、信用報告及信用評分的標準制定。六是提高數據質量以及數據更新的連續(xù)性。

關于征信行業(yè)發(fā)展的主要觀點

征信機構正在向更廣泛領域擴展業(yè)務范圍。世界銀行集團國際金融公司專家托尼·里斯格（Tony Lythgoe）指出，在互聯網大數據時代，隨著新技術、新數據在征信行業(yè)的應用，征信業(yè)正在從傳統上僅服務于銀行業(yè)風險評估，向服務于更多目的和行業(yè)轉變，數據的價值進一步凸顯，這將深刻改變未來征信業(yè)的服務模式和發(fā)展方向。益博瑞政府事務與公共政策高級副總裁托尼·哈德利（Tony Hadley）也表示，如今金融業(yè)如今只占益博睿31%的收入來源。在市場需求推動下，美國征信機構近年來主要向身份核實和“先使用后付費”的“類信貸”兩個業(yè)務領域延伸。隨著線上用戶金融行為增加，征信范疇擴大，營銷、債務催收等基于信用數據的衍生服務也成為很多征信機構發(fā)展新業(yè)務的方向。

大數據征信的發(fā)展對征信監(jiān)管提出更高要求。您在主題演講中指出，要盡快轉變征信監(jiān)管的思維和手段，合理界定市場和政府的邊界，實現信息主體權益保護與數據合理應用之間的平衡，在鼓勵征信業(yè)創(chuàng)新發(fā)展的同時避免過度創(chuàng)新。托尼·里斯格也認同此觀點。他表示，全球范圍內涌現出很多新公司和新組織，看到了數據的價值和背后蘊含的能量，并用此為自己創(chuàng)造利潤，造成很多新問題，使征信面臨著道德困境。因此，需要有更多的立法和措施，避免創(chuàng)新的越界。

個人數據保護應從完善立法監(jiān)管和提高消費者金融素養(yǎng)雙管齊下。托尼·里斯格表示，網絡時代個人面臨隱私保護的脆弱性，個人數據隱私保護并沒有得到充分重視。各國監(jiān)管部門應通過完善立法和監(jiān)管，讓個人有條件以便捷、清晰、簡單的方式有效保護自身權益。但是，僅靠監(jiān)管者單方面努力還不夠，信息主體也要為個人數據保護負起責任。這就要求征信監(jiān)管和從業(yè)機構共同思考如何建立合理機制，對消費者進行必要的金融素養(yǎng)教育，增強消費者保護自身合法權利的意識，提高自我保護能力，如此，立法和監(jiān)管才能切實有效發(fā)揮作用。

對大數據在征信業(yè)的應用要采用極為謹慎的態(tài)度。大數據只是一個補充，而不能替代建立有預測性的數據。美國政治經濟研究所首席執(zhí)行官邁克·特納(Michael Turner)表示，大數據有很大的發(fā)展前景，但也有很大的風險：一是對大數據的扭曲的信心，二是數據控制范圍，三是投資分配不當。越多的變量，越可以顯示不同的關聯關系，錯誤也會比信息增長得更快。大數據使用了更多錯誤的信息，噪音覆蓋了信號，消費者被授信過程中使用的數千變量所淹沒。經合組織的公平信息原則將消費者放在數據共享制度的核心位置，但是大數據嚴重威脅消費者的被告知權、選擇權、查詢權和糾錯權。大數據的這些問題可能限制了大數據的使用。他認為應鼓勵投資于“傳統”的可替代信用數據，使之數字化，并應用于預測模型。但可替代數據的應用要特別重視數據質量，有時國情存在差異，數據質量也會不同。

征信機構不會從事放貸業(yè)務。托尼·哈德利表示，放貸業(yè)務與征信機構的客戶有利益沖突，如果益博睿也放貸，會失去銀行這一主要客戶和個人信息源。托尼·里斯格表示，美國三大征信機構得以拓展業(yè)務范圍的前提是自身不涉及金融業(yè)務，否則沒有金融機構愿意分享客戶信息，必然使信用報告不準確、不全面，影響征信機構的核心競爭力。

關于大數據時代個人數據保護的主要觀點

與會個人數據保護專家分享了國外一些數據保護的基本立法原則和立法趨勢。

美國格林伯陶睿（Greenberg Traurig）律師個人隱私保護法律專家弗朗西斯·吉爾伯特（Francoise Gilbert）表示，應對大數據時代的個人數據保護困境，美國的做法是立法者站在足夠的高度確定好基本原則，從而以不變應萬變。美國數據保護法律體系形散但神不散，多年的立法和實踐經驗表明，立法不能被技術發(fā)展牽著走。為了保護隱私安全而嘗試去規(guī)范某一個特定的行業(yè)或技術是沒有意義的，因為相比上行業(yè)和技術的發(fā)展速度，立法永遠滯后。有效的方式是站在一個較高的高度上把握住數據保護的基本原則，出發(fā)點是在各行各業(yè)的創(chuàng)新者利益和保障公民權利之間取得平衡。面對新技術導致的新的數據保護問題，美國的經驗是建立一些普適性的、原則性的規(guī)則，援引一般性的法律法規(guī)來加以解決。

當法律沒有明確在哪些具體情況下使用個人數據需要經過數據主體同意的時候，需要從常識出發(fā)，換位思考，以避免潛在的法律問題。弗朗西斯·吉爾伯特介紹，美國的法律實踐原則是，當將個人數據用于非常規(guī)的、消費者無法預知的事情時，就需要明確讓消費者了解，并獲得其同意。至于具體在什么情況下需要取得同意，法律雖然無法面面俱到加以規(guī)范，但原則是根據個人數據的敏感性不同進行判例，這需要機構能夠從常識出發(fā)，做出是否獲得個人同意的決定。

歐盟立法將對個人信息進行更加嚴格的保護。歐盟征信協會主席尼爾門羅介紹，歐盟正在制定中新數據保護條例，將監(jiān)管所有個人信息，不論類型、來源和用途，并設立嚴格的數據跨境流通限制。從當前草案文本看，對商業(yè)機構不很有利，一些傳統的個人數據使用用途可能將受到影響，例如反洗錢、信用評分等。他還介紹，歐盟新《支付服務準則》（PSD2）對支付服務提供方獲取和使用用戶的個人信息也進行了規(guī)范和限制。針對支付發(fā)起服務提供商（PISPs），增加了嚴格的限制，要求支付服務提供方確保用戶的其他任何信息只提供給收款人，并不得存儲與支付服務用戶相關的敏感支付數據。

益博睿政府事務與公共政策高級副總裁托尼·哈德利（美國國家電子商務隱私保護聯盟主席）表示，巴西個人隱私的主要理念是保障消費者對個人信息的知情權。如果機構掌握了個人敏感信息，需要告訴信息主體掌握的信息內容、獲取方式、使用目的、方式以及保證數據正確的流程手段。去身份標示（de-identified）和匿名的數據應該排除在個人數據的范圍之外。巴西目前還沒有負責個人數據保護、征信業(yè)數據監(jiān)管的專門政府機構，但情況正在發(fā)生新的變化。

在2014年，巴西發(fā)起了被稱為“Macro Civil Da Internet”的互聯網立法行動，起草了《網絡治理法》（Internet Governance Law）以保護個人隱私，旨在為個人信息保護建立一個綜合性的制度框架，最大程度接近歐盟立法中的隱私概念和隱私保護力度。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。