韩国在信用数据共享方面进行了积极的探索与实践,其中“我的数据”模式创新为个人信用数据共享法律规制带来启示。
信用数据共享模式
韩国征信业呈现公共征信与私营征信混合发展模式,其中公共机构包括管理综合性信用数据库的韩国信用信息院和管理专业性信用数据库的韩国银行联合会、金融授信协会、人寿保险协会、财产损害保险协会、金融投资协会和保险开发院等金融业行业协会。
韩国信用信息院有三项职能:一是收集个人和企业的信用信息并形成信用信息数据库,包括一般信用信息、技术信用信息和保险信用信息。二是信用信息查询服务,向金融机构提供不同类型的信用信息,用于贷款人债务偿还能力的评估、个人授信登记的计算、信用评级风险管理技术的开发和欺诈预防等。三是信用信息的数据分析,对收集到的信息进行大数据分析,为金融机构、公共部门和研究机构提供信息支持服务,用于促进韩国金融业发展和金融消费者保护。
国家信息与信用评估公司是代表性的私营征信机构,作为信用信息院的会员从其数据库采集信息,并通过其他渠道收集相关信用信息,对外提供信用评级和征信报告等服务。
2019年,韩国金融服务委员会公布金融大数据基础设施建设计划,以推动金融数据开放、分发和融合,具体措施包括:韩国信用信息院建立个人和企业信用信息系统,为金融机构、企业和学术研究机构提供金融数据;金融安全研究所提供一站式数据搜索、交易和分发服务的金融数据交易平台;向私营企业开放4000多万条公共金融数据。
2020年金融大数据基础设施进一步改造,其中信用信息数据库中新增保险数据库、用户定制数据库和教育数据库,并建立专门数据库促进金融数据和非金融数据的融合;韩国金融电信和清算研究所创建一个开放的金融支付信息大数据系统,将管理和存储的涉及账户转账、电子支付、电子账单交易等信息提供给金融公司、非金融公司和金融科技公司。
信用数据立法及修订
韩国的信用数据法律体系较完备,主要有由《个人信息保护法》《信息通信网络利用和信息保护法》《信用信息利用和保护法》组成的“数据三法”。2018年11月,韩国国会提出“数据三法”修正案,最终在2020年1月9日通过。
《个人信息保护法》于2011年9月30日开始实施,是个人信息保护的一般性法律规定。
为适应大数据时代信用信息界定与保护的需要,2020年2月4日修订时引入“假名信息”的概念,用于识别介于个人信息与匿名信息之间的“灰色地带”。其中第28条增加假名处理的方式,规定当处理假名信息时,个人信息控制者应采取必要的技术、行政和物理措施,以确保信息不会丢失、被盗、泄露、伪造、更改或损坏;规定任何人都不得出于识别特定个人的目的而处理假名信息,对于违反此规定的个人信息控制者,可处以总销售额3%以下的罚款;允许个人信息控制者在未经数据主体同意的情况下,将假名信息用于统计整理、科学研究和公共记录保存。在第15条和第17条规定个人信息处理者在未经数据主体的同意对个人信息进行处理时,应考虑是否在与原始收集目的合理相关的范围内进行数据收集和利用,是否对数据主体产生不利影响,以及是否已采取必要的措施来确保安全性。
个人信息保护委员会是负责数据保护的主要机构,其颁布了《个人信息保护法实施指令》《标准个人信息保护指南》《个人信息保护指南》《违反个人信息保护法的处罚标准》等一系列规范性文件,并在2023年8月3日发布了《人工智能时代个人信息安全使用指南》,旨在帮助降低人工智能在隐私和数据保护方面的潜在风险,同时促进数据的安全使用与人工智能生态系统的进一步创新和发展。
《信用信息利用和保护法》是韩国征信业的基本法律,对信用信息的收集、处理、使用和提供进行全面、具体的规范,促进信用信息的利用和管理,以建立良好的信用交易秩序。自1995年首次颁布之后,《信用信息利用和保护法》修订了38次,其中2020年的修订回应数字时代信用信息业的深刻变化,将《信息通信网络利用和信息保护法》关于个人信息保护的规定整合进来,理顺了信用信息保护法规体系。
具体变化体现在以下几个方面:一是,对“假名信息”的应用范围进行细化,引入“白色中间人”即数据专门机构,对不同属性的“假名信息”组合操作。二是,明确金融委员会对信用信息公司进行主体监管,但涉及商业交易产生的个人信用信息的异议、信息泄露、检查和处罚,则由个人信息保护委员会负责监管。三是,优化信用信息业准入规则,进一步细化信用咨询业机构和业务分类,将其细分为个人信用咨询公司、个体工商户信用咨询公司和企业信用咨询公司三类。四是,通过保障信息主体的知情权和明确个人信息自决权来强化个人信用信息保护。特别赋予信息主体就自动化数据处理的事项(比如基于机器学习的个人信用评估)提出异议和要求说明的权利,并有权决定是否将个人信用信息提供给第三方。
“我的数据”——本人信用信息管理
韩国在2020年2月修订的《信用信息利用和保护法》中引入信用信息转移权制度,并规定本人信用数据管理行业的准入标准、行为监管等问题。“我的数据”是一个以个人为中心的数据生态系统机制,旨在通过赋予个人管理、控制和共享数据的权利,使人们更好地掌控自己的个人数据,为自己和他人创造价值。第2条规定信息主体有权直接从金融机构或企业等下载本人信息,或者要求数据处理机构将本人信息提供给第三方,数据的决定权在信息主体。
为激励“我的数据”业务发展与管理规范,第6条设定其市场准入门槛为最低标准5亿韩元资本金,且无金融机构出资比例要求。第33条之二规定本人信用信息转移权的下列事项:信用信息主体可以请求信用信息的提供者或使用者将其持有的与本人相关的信用信息传输给符合一定条件的主体;可以限定传输的本人信用信息的范围;收到本人信用信息传输请求的信息主体有立即传送相关信用信息的义务,以便计算机或信息处理设备能够及时处理;信息主体可以要求信用信息提供者或使用者确保相关信用信息的准确性和即时性;信用信息主体有权要求撤回传输本人信用信息。
韩国金融委员会是“我的数据”金融领域负责机构,发布《金融领域“我的数据”导入指南》、组建相关工作组、审核“我的数据”运营商资质并发放许可等。韩国信用信息院负责具体运营,支持个人信用信息稳定传送,包含管理可传送的个人信用信息的范围、个人信用信息的标准化、传送相关费用测定、金融消费者权益、个人信用信息主体的认证基准等业务。
(本文系2020年国家社会科学基金重点项目“互联网个人信贷法律问题研究”的阶段性研究成果)
(作者单位:西南政法大学经济法学院)