1、大数据征信反思基于个人征信视角 孔德超 中国人民大学财政金融学院 摘 要: 互联网大数据和个人征信市场化的兴起为大数据征信的快速发展的奠定了重要基础。然而, 大数据征信火热的背后所凸显出来的隐私保护、业务合规、征信标准等问题却未能受到应有的重视, 其结果不仅危及到征信机构作为独立第三方的地位和信誉, 对整个征信行业和社会诚信体系建设也将带来不利影响。文章结合立法和行业现状, 分析探讨了大数据征信中存在的主要问题, 并提出了相应的解决思路。关键词: 大数据征信; 反思; 个人征信; 作者简介:孔德超 (1979-) 男, 汉族, 河南省信阳市人, 中国人民大学财政金融学院博士后, 研究方向为征信
2、理论与实务、大数据征信。收稿日期:2017-07-14Received: 2017-07-14一、大数据征信概述中国人民银行拟发放个人征信牌照的举动引发了市场对大数据征信的热捧, 芝麻信用、腾讯征信等首批获准开展个人征信试点的机构在大数据征信领域也进行了积极探索, 并推出了相关征信产品, 受到广泛关注。李先瑞 (2015) 认为, 大数据征信是指“运用大数据技术重新设计征信模型和算法, 通过多维度信用信息分析、整合和挖掘, 对包括财务数据在内的结构化数据和地址信息、行为数据、社会关系等非结构化数据进行采集和分析, 最终形成对个人、企业、社会团体的信用评价”。作为一种新兴的信息搜集、处理和应用模
3、式, 预测分析、搜索与认知、新型数据库、分布式存储、流式计算、数据可视化等大数据技术在提高征信大数据的搜集、处理等方面都发挥了重要作用。大数据征信中数据的采集、存储和分析主要通过计算模型及专业软件自动完成, 能够实现对数据库进行实时、动态的风险跟踪和管理, 相对于传统征信而言, 数据收集和处理的效率有很大提升, 避免了人为因素的干扰, 有助于防范道德风险。二、大数据征信存在的主要问题受大数据追求全数据、混杂性、相关关系和数据化的趋势影响, 大数据征信注重征信数据的全样本分析, 追求数据的相关性和混杂性, 对数据的精确性要求降低, 个人信息的收集、处理效率较传统征信有大幅提升。随着社交网络、物联
4、网、分布式存储和计算、深度神经网络等技术的快速发展, 与个人相关的所有数据理论上都可通过技术手段采集, 成为评价个人信用的原始数据。新技术的应用给征信业带来了巨大改变, 但也引发了隐私保护、业务合规、征信标准等方面的诸多问题。1. 隐私保护问题。第一, 隐私边界被模糊。与个人信息强调信息与个人之间的指向性和识别性, 信用信息强调信息与信用状况的指向性和关联性不同, 隐私强调对私人信息、私人生活安宁和私人事务的自主决定和控制。因此, 隐私保护制度的重心在于防范个人秘密不被非法披露, 保护范围包括生理隐私、心理隐私、社会身份、通信秘密、个人资料、职业秘密领域交流的信息、私人活动等 (马特, 201
5、4) 。大数据征信强调“一切数据皆信用”, 除传统的信用信息数据外, 个人的互联网大数据、传感数据、行为数据、地理位置数据等, 都可通过算法模型转换成对个人的信用评价。基于技术实现难度、市场需求、成本和效率的综合考量, 一些征信机构在个人信息收集处理过程中, 并没有动力对个人信息、信用信息与隐私信息予以区别对待, 个人信息、信用信息与隐私的边界在大数据征信中被进一步模糊, 个人隐私存在着泄露和非法利用的风险。第二, 立法相对滞后。当前, 涉及个人信息与隐私保护的法律主要有刑法、侵权责任法、网络安全法 (2017 年 6 月实施) 、消费者权益保护法、征信业管理条例、征信机构管理办法、电信和互联
6、网用户个人信息保护规定、个人信用信息基础数据库管理暂行办法、征信机构监管指引、信息安全技术公共及商用服务信息系统个人信息保护指南等法律、法规及相关司法解释。总的来看, 现行立法多是间接的、碎片化的、框架性的规定, 存在执法部门权限职责不清, 信息收集处理规则不科学、不合理, 企业守法成本高, 司法救济渠道不畅, 维权成本高昂且效率低下等问题。特别是大数据背景下如何规范收集、处理个人信息, 如何保障信息主体的合法权益, 提供何种司法救济手段等等, 都缺乏具体规定。此外, 复杂而充满“陷阱”的隐私政策、为接受相关服务而被迫“让渡”的个人信息控制权, 以及个人隐私被侵犯后调查取证的复杂流程和高技术壁
7、等等, 往往成为阻碍信息主体在寻求司法救济过程中的主要障碍。相对于大数据征信的快速发展而言, 立法在大数据时代对个人隐私的保护显得相对滞后。第三, 行业自律不足。行业自律是树立企业形象、承担社会责任、形成良性竞争秩序的重要基础。由于个人信息种类繁多, 来源渠道复杂, 涉及公安、工商、电信、金融等多个监管部门, 监管协同难度较大, 监管机构尚未建立起科学有效的手段来实时判别征信机构的信息采集行为是否合法合规。加之个人征信市场化发展仍处于谨慎探索阶段, 市场监管相对滞后。在此背景下, 行业自律作为隐私保护最重要的一道防火墙就显得尤为重要。总的来看, 由于缺乏严格有效的监督制约机制和良好的行业自律环
8、境, 在行业准入、隐私保护标准、激励机制以及社会舆论等方面尚未建立起科学合理的自律机制来保护个人隐私, 行业组织能够发挥的作用也非常有限, 致使行业自律这道防火墙难以发挥应有的作用。2. 业务合规问题。第一, 征信信息采集不合规。征信业管理条例明确规定:征信业务是对个人信用信息进行采集、整理、保存、加工, 并向信息使用者提供的活动 (第二条) , 采集个人信息应经信息主体同意 (第十三条) , 并规定征信机构禁止采集和经许可可以采集的个人信息的范围 (第十四条) , 对个人信息的使用也做了限制性规定 (第十八、二十条) 。由此可以明确, 征信活动中采集利用个人信息应限于信用信息, 且应充分保障
9、信息主体的知情同意权。实践中, 很多征信机构采集的数据包括线上消费、支付、社交、网络行为、心理测试、房租、电信及公共事业缴费等各种数据。很显然, 这些数据已超出了个人信用信息的范畴。此外, 在数据采集过程中是否以公平、合法的手段采集信息仍存疑问, 特别是由于征信机构因其掌握的复杂的大数据技术而客观产生的对信息主体的“绝对技术优势”的情形下, 个人信息被无限制采集成为可能。第二, 信息主体权利保障不合规。征信业管理条例明确赋予了信息主体在征信业务中享有知情同意权, 以及在此基础上引申出的对于征信信息的异议权、更正权、隐私权等权利。但实践中, 很少有征信机构能够提供完整的个人信息被采集、使用的清单
10、, 信息主体无从知晓被采集、使用的个人敏感数据, 如行为数据、社交数据等, 是否包含有法律禁止采集的个人信息, 也无从确认被采集、使用的个人信息是否真实、准确, 无法行使法律赋予的知情同意权。在当前专门法规缺失、隐私边界不清的背景下, 信息主体行使合法权利缺乏有效路径, 加之个人信息的源头广、环节多、传播路径复杂隐蔽、监管滞后, 致使立法上确立的“告知同意”框架在实践中多流于形式。第三, 信用评价结果输出不合规。信用评价结果是基于个人信息做出一种外部评价, 本质上也是一种个人信息, 在使用过程中也应受征信业管理条例关于个人信息查询使用需取得信息主体同意 (第十九、二十条) 的规范和约束。实践中
11、, 很多征信机构模糊了内部风险控制与征信独立第三方的区别, 信用评价的过程和结果的输出游离于监管之外, 如基于旅游、社交、租车、签证等应用场景拓展的信用分查询, 如未事先征得信息主体同意, 即是一种不合规行为。前央行副行长吴晓灵指出, 作为独立第三方的个人征信机构的标准是公司治理独立、数据来源多元独立、分析模型独立、业务独立。央行陈雨露副行长 2017年 4 月 20 日在“个人信息保护与征信管理”国际研讨会中也强调征信机构在公司治理、业务开展、征信产品与服务上要坚持第三方征信的独立性原则。实践中, 包括八家获准开展个人征信试点的机构在内, 能够完全符合独立第三方标准的也不是很多。3. 征信标
12、准问题。第一, 征信数据采集缺乏统一标准。征信作为一种对特定对象的信息进行加工处理的专业活动, 在采集数据时的数据维度、数据类型、数据格式、真实性和准确性验证、与个人信用的关联性和数据的时效性等标准是否统一决定了信用评价结果能被广泛接受的程度。由于征信大数据来源广泛, 特别是作为个人征信数据重要来源的互联网大数据还存在数据量大、价值密度低、更新速度快等特点, 各机构采集的数据格式、种类各异, 兼容性差, 缺乏从需求端来规范数据采集的共享机制, 数据质量普遍不高, 很多线上数据还存在着高噪音、杂乱等问题, 真实性和准确性难以有效验证, 与法律要求保障信息准确性的规定相悖。这样的个人信息用于评价个
13、人信用难免会导致结果错误且有失公正和公平, 影响了信用评价结果的一致性和权威性, 难以反映信息主体的真实信用状况第二, 征信数据使用缺乏必要规范。大数据征信强调“一切数据皆信用”, 所有能够采集到的数据都可用来评价衡量个人信用, 在数据采集使用上已超出了征信业管理条例 (第二条) 界定的个人征信业务内容限于个人的“信用信息”的范畴。叶世清 (2010) 认为, 信用信息是指“数据主体参与社会经济活动时产生的、由征信机构从信用信息提供者那里取得的、经过分析处理后提供给信息用户作为判断数据主体的信用水平的那些信息”。由此可见, 信用信息应当是与个人信用紧密相关的信息, 如个人身份识别信息、账户信息
14、、关联信息、公共记录和不良记录等, 与社会经济活动无关的个人活动信息、私密信息等, 都应被剔除在信用信息之外。实践中, 不少大数据征信机构使用个人信息时往往不加区分, 如个人的行为数据、传感数据、社交数据等是否能用来准确的评估个人信用仍存有很大争议。第三, 信用评价模型的效果有待验证。就个人征信而言, 信用评价模型和方法是大数据征信机构最为核心的竞争力之一。根据央行征信中心会同有关征信机构对大数据算法在个人信用风险评估模型中的效果所进行的比较研究显示 (大数据评分算法研究课题组, 2016) , 准确性、稳定性和可解释性是衡量大数据个人信用评价模型的主要参考因素。但总的来看, 不少大数据征信机
15、构使用的信用评价模型仍然存在评价结果可解释性不强、准确性和稳定性不高、评价过程不透明、缺乏长周期验证以及模型的“过拟合”等诸多问题。其主要原因在于:第一, 很多大数据征信机构的数据来源虽然丰富多源, 但多为网络平台交易数据、社交数据、电信数据、行为数据等, 无法获取与个人信用具有强相关的信贷数据, 存在数据污染和数据噪音高、数据筛选和清洗复杂等缺陷;第二, 大数据在个人信用评价中的效用和影响仍存疑异, 如社交数据在个人信用评价中的作用仍无法确定 (张赟等, 2016) , Facebook 曾申请的基于社交关系的信用评价专利还引发了是否存在信贷歧视和侵犯隐私的诸多争论;第三, 信用评价模型给信
16、用风险带来了复杂性挑战, 各种不同类型的数据与个人信用之间的关系仍需要长期的深入研究和验证。三、中国情况的思考和建议大数据征信多源高效的信息采集方式、多样化的征信产品和丰富的应用场景, 在充分释放信用资本的力量的同时, 也在悄然地改变着人们对信用的认识和理解。就大数据征信的整体发展而言, 国内外也正处于积极探索阶段, 这是一个持续创新和博弈的过程。与国外的谨慎探索相比, 中国在大数据征信上的探索和创新更为激进, 加上中国在征信市场化方面的立法规范、市场监管、行业自律和信用文化建设等方面都处于变革之中, 大数据征信所面临的一系列问题也是新常态下整个征信行业所面临的诸多挑战的一个缩影。解决这些挑战
17、需要包容的态度和创新的精神, 更需要借鉴和吸收国内外相关行业成熟的经验和做法。本文认为可从以下几个方面予以完善和规范:1. 保护个人隐私。中国社会信用体系发展报告 (2017) 指出, 个人信息的滥用和泄露是目前征信行业面临的主要挑战之一, 并呼吁尽快立法, 完善监管机制, 以有效保护个人征信信息。针对国内大数据征信行业发展和个人隐私保护现状, 本文建议:第一, 在法律层面, 加快推动出台信用法、个人信息保护法、隐私法等法律法规, 统筹协调不同法律部门中的个人信息保护规定, 在促进征信行业健康发展与保护信息主体合法权益之间寻求平衡与协调;第二, 完善个人信息的采集利用标准, 建立更为严格的市场
18、准入机制, 完善个人信息交换与共享机制, 规范和引导个人信息的合理、合法和有序流动;第三, 建立跨行业个人信息与隐私保护监管体系, 加强个人信息安全监管, 积极探索大数据隐私保护技术和区块链技术在征信行业中的应用;第四, 加强行业自律, 建立健全同业共享和违规惩戒机制, 强化企业内部个人信息与隐私保护的风险控制;五是加强对各类消费者评分的监管, 通过立法赋予消费者对信用评分的知情权, 保障所使用信息的透明性、准确性和公平性, 让人们了解评分的要素和方法, 真正地保护个人的隐私权。2. 加强业务监管。业务监管的前提是监管规则的科学、有效和可执行, 而监管规则又是基于现有政策法律并结合市场发展现状
19、做出的。从加强业务监管角度, 本文建议:第一, 完善业务监管规则, 在充分考虑大数据征信的创新性特点的基础上, 规范、引导征信机构在信息采集、存储、处理和结果输出等业务上做到合法、合规, 充分调动征信机构、信息主体和信用报告使用方的积极性, 从用户角度考虑, 促进监管措施及时落实;第二, 制定有利于保障信息主体的知情权、异议权、更正权、删除权的实施细则, 对信用报告使用主体、范围及程序做出明确规定;第三, 对征信产品监管范围、种类及程序进行完善和扩充, 对不同类型的征信产品实行分类监管和差异化监管, 对负面信息根据种类不同设置不同的保留期限。3. 规范信用评价体系。科学合理的信用评价体系对于规
20、范信用评价结果、保障信息主体合法权益、促进个人征信行业健康发展、推动诚信社会的建立等都具有重要意义。就大数据征信而言, 建立健全信用评价体系更具现实意义, 本文建议:第一, 建立健全个人信息采集标准、信用报告格式、个人信用评分标准、征信数据库建设、信用管理程序等;第二, 加大数据供给, 保障数据质量, 建立信息主体、信息中介机构、征信机构、信用报告使用者等多方的利益协调与共享机制, 确保独立、透明、公正, 明确职责与分工;第三, 合理界定征信边界, 明确禁止采集和经同意后采集的个人信息的范围, 建立个人征信信息采集使用清单, 增加个人信息采集使用的透明度。四、结语大数据征信的发展促进了传统征信
21、业的变革, 推动了消费信用市场向更广泛人群的拓展, 为社会信用体系的发展完善作了积极的探索。大数据征信所带来的种种挑战, 究其根本是大数据征信的创新发展与外在的合理约束之间的脱节和失衡, 而这不仅仅是大数据征信独有的问题, 更是建立信用社会所要面临的重要挑战。如有学者评价的那样, “信用社会的建立前提或者说关键在于, 构建一套足以约束个体信用行为的外在组织制度和信息结构” (叶建亮, 2003) 。因此, 构建一套适合于大数据征信的制度机制于整个行业的健康发展有着重要而紧迫的现实意义, 进而才能真正实现保护个人隐私、规范征信业务、形成一套科学有效的信用评价机制、保障信用公平的根本目标。参考文献
22、1李先瑞.大数据征信破解小微企业融资困境探讨J.会计之友, 2015, (13) :52-55. 2马特.隐私权研究以体系构建为中心M.北京:中国人民大学出版社, 2014. 3叶世清.征信的法理与实践研究M.北京:法律出版社, 2010. 4大数据评分算法研究课题组.大数据新算法在个人信用风险评估模型中使用效果的评估J.中国征信, 2016, (6) . 5张赟, 肖羽, 朱南.社交数据在个人征信中的可靠性初探J.上海金融, 2016, (3) :50-54. 6叶建亮.经济学视野里的信用:一个文献综述J.中国社会科学评论 (香港) , 2003, (2) . 7吴晶妹.三维信用论M.北京:清华大学出版社, 2016. 8中国人民银行征信管理局.现代征信学M.北京:中国金融出版社, 2015. 9刘新海.征信与大数据M.北京:中信出版集团, 2016. 10宋媚.大数据征信背景下的信息质量度量与提升研究M.上海:上海交通大学出版社, 2016. 11李兵.IT 时代隐私观念与隐私权保护研究M.广州:中国出版集团, 2016.
