區(qū)塊鏈征信業(yè)務(wù)中的數(shù)據(jù)怎樣進(jìn)行保護(hù)

大數(shù)據(jù)時(shí)代的到來，一方面意味著個(gè)人數(shù)據(jù)、企業(yè)數(shù)據(jù)的扁平化，另一方面數(shù)據(jù)使用過程中的問題也逐漸暴露，個(gè)人數(shù)據(jù)孤島、企業(yè)信息不對(duì)稱、個(gè)人和企業(yè)信用隱私數(shù)據(jù)公開等問題亟待解決。區(qū)塊鏈技術(shù)的出現(xiàn)，許多企業(yè)紛紛開始探索區(qū)塊鏈技術(shù)和征信的結(jié)合以解決前述問題，在此過程中的數(shù)據(jù)使用合規(guī)和征信資質(zhì)問題應(yīng)當(dāng)予以重視。

一、征信業(yè)中的區(qū)塊鏈技術(shù)應(yīng)用

（一）個(gè)人數(shù)據(jù)的收集和使用

《網(wǎng)絡(luò)安全法》和《GB／T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范》（“《個(gè)人信息安全規(guī)范》”）中明確規(guī)定了個(gè)人數(shù)據(jù)的收集和使用規(guī)范。

1．個(gè)人信息的范疇

根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

《個(gè)人信息安全規(guī)范》中規(guī)定，個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通訊聯(lián)系地址方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

因此，個(gè)人信息不僅包括可以單獨(dú)識(shí)別自然人個(gè)人身份的信息，如姓名、身份證號(hào)碼、電話號(hào)碼等，還包括與其他信息結(jié)合可以識(shí)別特定自然人個(gè)人身份或活動(dòng)情況的信息，如住址、工作單位、郵箱地址、征信信息、健康生理信息等。是否具有“可識(shí)別性”是判斷信息是否屬于個(gè)人信息范疇的核心要件，而“身份可識(shí)別性”的界限在我國(guó)并沒有形成統(tǒng)一或具體的判斷標(biāo)準(zhǔn)，實(shí)踐中企業(yè)應(yīng)當(dāng)根據(jù)數(shù)據(jù)所屬行業(yè)、具體的識(shí)別方法和手段合理性等因素綜合判斷。

2．明確授權(quán)

《民法總則》確立了兩項(xiàng)重要的權(quán)利：第一，首次在法律上明確規(guī)定了隱私權(quán)的概念。第二，個(gè)人信息權(quán)。雖然民法總則沒有明確提到“個(gè)人信息權(quán)”的概念，但是明確規(guī)定“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?！币虼?，我國(guó)立法和司法中充分尊重信息主體的自決權(quán)。

《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。因此，對(duì)于屬于個(gè)人信息的數(shù)據(jù)，其收集、使用和處理都需要經(jīng)過信息主體的明確同意。

《個(gè)人信息安全規(guī)范》中將個(gè)人信息分為個(gè)人一般信息和個(gè)人敏感信息，并提出默許同意和明示同意的概念。對(duì)于個(gè)人一般信息的處理可以建立在默許同意的基礎(chǔ)上，只要個(gè)人信息主體沒有明確表示反對(duì)，便可收集和利用。對(duì)于個(gè)人敏感信息，則需要建立在明示同意的基礎(chǔ)上，在收集和利用之前，必須首先獲得個(gè)人信息主體明確的授權(quán)。根據(jù)規(guī)范，個(gè)人敏感信息指的是一旦遭到泄露或修改，會(huì)對(duì)標(biāo)識(shí)的個(gè)人信息主體造成不良影響的個(gè)人信息。個(gè)人敏感信息可以包括身份證號(hào)碼、銀行賬號(hào)、通信記錄和內(nèi)容、行蹤軌跡等。個(gè)人一般信息則是指除個(gè)人敏感信息以外的個(gè)人信息。

3．脫敏數(shù)據(jù)的交易和保存

對(duì)于收集后的信息的使用，根據(jù)《網(wǎng)絡(luò)安全法》第四十條、四十二條、四十四條的規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)承擔(dān)嚴(yán)格的保密責(zé)任（包括必要的保密措施、補(bǔ)救措施及泄露后的通知義務(wù)），未經(jīng)信息主體的同意，不得向他人提供個(gè)人信息，但是經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。

另外，在《個(gè)人信息安全規(guī)范》中提到“收集個(gè)人信息后，個(gè)人信息控制者宜立即進(jìn)行去標(biāo)識(shí)化處理，并采取技術(shù)和管理方面的措施，將去標(biāo)識(shí)化后的數(shù)據(jù)與可用于恢復(fù)識(shí)別個(gè)人的信息分開存儲(chǔ)，并確保在后續(xù)的個(gè)人信息處理中不重新識(shí)別個(gè)人?！?/p>

因此，收集數(shù)據(jù)應(yīng)當(dāng)經(jīng)過處理后無法識(shí)別特定個(gè)人且不能復(fù)原，并且與個(gè)人信息的“身份可識(shí)別性”相同，目前我國(guó)并沒有統(tǒng)一的“不能復(fù)原”的判斷標(biāo)準(zhǔn)，因此實(shí)踐中應(yīng)當(dāng)根據(jù)數(shù)據(jù)的特殊適用范圍綜合考慮。

二、資質(zhì)合規(guī)分析

對(duì)于計(jì)劃通過收集用戶數(shù)據(jù)的處理以提供征信服務(wù)的企業(yè)來說，根據(jù)我國(guó)現(xiàn)有法律規(guī)定，還應(yīng)當(dāng)具備一定的資質(zhì)。

根據(jù)《征信業(yè)管理?xiàng)l例》和《征信機(jī)構(gòu)管理辦法》，我國(guó)境內(nèi)個(gè)人征信機(jī)構(gòu)的設(shè)立需要經(jīng)過中國(guó)人民銀行的批準(zhǔn)，同時(shí)還需要同時(shí)具備以下條件：

出資額占公司資本總額5％以上或者持股占公司股份5％以上的股東信譽(yù)良好，最近3年無重大違法違規(guī)記錄；

注冊(cè)資本不少于人民幣5000萬元；

有符合中國(guó)人民銀行規(guī)定的保障信息安全的設(shè)施、設(shè)備和制度、措施；

擬任董事、監(jiān)事和高級(jí)管理人員應(yīng)當(dāng)熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī)，具有履行職責(zé)所需的征信業(yè)從業(yè)經(jīng)驗(yàn)和管理能力，最近3年無重大違法違規(guī)記錄，并取得中國(guó)人民銀行核準(zhǔn)的任職資格；

中國(guó)人民銀行規(guī)定的其他審慎性條件。

另外，需要特別注意的是，根據(jù)上述法律規(guī)定，征信機(jī)構(gòu)的信息系統(tǒng)應(yīng)當(dāng)按照國(guó)家信息安全保護(hù)等級(jí)測(cè)評(píng)標(biāo)準(zhǔn)，對(duì)信用信息系統(tǒng)的安全情況進(jìn)行測(cè)評(píng)。征信機(jī)構(gòu)信用信息系統(tǒng)安全保護(hù)等級(jí)為二級(jí)的，應(yīng)當(dāng)每?jī)赡赀M(jìn)行測(cè)評(píng)；信用信息系統(tǒng)安全保護(hù)等級(jí)為三級(jí)以及以上的，應(yīng)當(dāng)每年進(jìn)行測(cè)評(píng)。

因此，對(duì)于打算通過區(qū)塊鏈技術(shù)突破現(xiàn)有征信數(shù)據(jù)應(yīng)用問題的企業(yè)來說，一方面，在數(shù)據(jù)的獲取、使用、保存過程中應(yīng)當(dāng)遵循我國(guó)數(shù)據(jù)保護(hù)法律的要求，另一方面，在綜合技術(shù)測(cè)評(píng)后，應(yīng)當(dāng)建立符合業(yè)務(wù)需求，并且安全完備的信息系統(tǒng)。