韓國在信用數據共享方面進行了積極的探索與實踐,其中“我的數據”模式創新為個人信用數據共享法律規制帶來啟示。
信用數據共享模式
韓國征信業呈現公共征信與私營征信混合發展模式,其中公共機構包括管理綜合性信用數據庫的韓國信用信息院和管理專業性信用數據庫的韓國銀行聯合會、金融授信協會、人壽保險協會、財產損害保險協會、金融投資協會和保險開發院等金融業行業協會。
韓國信用信息院有三項職能:一是收集個人和企業的信用信息并形成信用信息數據庫,包括一般信用信息、技術信用信息和保險信用信息。二是信用信息查詢服務,向金融機構提供不同類型的信用信息,用于貸款人債務償還能力的評估、個人授信登記的計算、信用評級風險管理技術的開發和欺詐預防等。三是信用信息的數據分析,對收集到的信息進行大數據分析,為金融機構、公共部門和研究機構提供信息支持服務,用于促進韓國金融業發展和金融消費者保護。
國家信息與信用評估公司是代表性的私營征信機構,作為信用信息院的會員從其數據庫采集信息,并通過其他渠道收集相關信用信息,對外提供信用評級和征信報告等服務。
2019年,韓國金融服務委員會公布金融大數據基礎設施建設計劃,以推動金融數據開放、分發和融合,具體措施包括:韓國信用信息院建立個人和企業信用信息系統,為金融機構、企業和學術研究機構提供金融數據;金融安全研究所提供一站式數據搜索、交易和分發服務的金融數據交易平臺;向私營企業開放4000多萬條公共金融數據。
2020年金融大數據基礎設施進一步改造,其中信用信息數據庫中新增保險數據庫、用戶定制數據庫和教育數據庫,并建立專門數據庫促進金融數據和非金融數據的融合;韓國金融電信和清算研究所創建一個開放的金融支付信息大數據系統,將管理和存儲的涉及賬戶轉賬、電子支付、電子賬單交易等信息提供給金融公司、非金融公司和金融科技公司。
信用數據立法及修訂
韓國的信用數據法律體系較完備,主要有由《個人信息保護法》《信息通信網絡利用和信息保護法》《信用信息利用和保護法》組成的“數據三法”。2018年11月,韓國國會提出“數據三法”修正案,最終在2020年1月9日通過。
《個人信息保護法》于2011年9月30日開始實施,是個人信息保護的一般性法律規定。
為適應大數據時代信用信息界定與保護的需要,2020年2月4日修訂時引入“假名信息”的概念,用于識別介于個人信息與匿名信息之間的“灰色地帶”。其中第28條增加假名處理的方式,規定當處理假名信息時,個人信息控制者應采取必要的技術、行政和物理措施,以確保信息不會丟失、被盜、泄露、偽造、更改或損壞;規定任何人都不得出于識別特定個人的目的而處理假名信息,對于違反此規定的個人信息控制者,可處以總銷售額3%以下的罰款;允許個人信息控制者在未經數據主體同意的情況下,將假名信息用于統計整理、科學研究和公共記錄保存。在第15條和第17條規定個人信息處理者在未經數據主體的同意對個人信息進行處理時,應考慮是否在與原始收集目的合理相關的范圍內進行數據收集和利用,是否對數據主體產生不利影響,以及是否已采取必要的措施來確保安全性。
個人信息保護委員會是負責數據保護的主要機構,其頒布了《個人信息保護法實施指令》《標準個人信息保護指南》《個人信息保護指南》《違反個人信息保護法的處罰標準》等一系列規范性文件,并在2023年8月3日發布了《人工智能時代個人信息安全使用指南》,旨在幫助降低人工智能在隱私和數據保護方面的潛在風險,同時促進數據的安全使用與人工智能生態系統的進一步創新和發展。
《信用信息利用和保護法》是韓國征信業的基本法律,對信用信息的收集、處理、使用和提供進行全面、具體的規范,促進信用信息的利用和管理,以建立良好的信用交易秩序。自1995年首次頒布之后,《信用信息利用和保護法》修訂了38次,其中2020年的修訂回應數字時代信用信息業的深刻變化,將《信息通信網絡利用和信息保護法》關于個人信息保護的規定整合進來,理順了信用信息保護法規體系。
具體變化體現在以下幾個方面:一是,對“假名信息”的應用范圍進行細化,引入“白色中間人”即數據專門機構,對不同屬性的“假名信息”組合操作。二是,明確金融委員會對信用信息公司進行主體監管,但涉及商業交易產生的個人信用信息的異議、信息泄露、檢查和處罰,則由個人信息保護委員會負責監管。三是,優化信用信息業準入規則,進一步細化信用咨詢業機構和業務分類,將其細分為個人信用咨詢公司、個體工商戶信用咨詢公司和企業信用咨詢公司三類。四是,通過保障信息主體的知情權和明確個人信息自決權來強化個人信用信息保護。特別賦予信息主體就自動化數據處理的事項(比如基于機器學習的個人信用評估)提出異議和要求說明的權利,并有權決定是否將個人信用信息提供給第三方。
“我的數據”——本人信用信息管理
韓國在2020年2月修訂的《信用信息利用和保護法》中引入信用信息轉移權制度,并規定本人信用數據管理行業的準入標準、行為監管等問題?!拔业臄祿笔且粋€以個人為中心的數據生態系統機制,旨在通過賦予個人管理、控制和共享數據的權利,使人們更好地掌控自己的個人數據,為自己和他人創造價值。第2條規定信息主體有權直接從金融機構或企業等下載本人信息,或者要求數據處理機構將本人信息提供給第三方,數據的決定權在信息主體。
為激勵“我的數據”業務發展與管理規范,第6條設定其市場準入門檻為最低標準5億韓元資本金,且無金融機構出資比例要求。第33條之二規定本人信用信息轉移權的下列事項:信用信息主體可以請求信用信息的提供者或使用者將其持有的與本人相關的信用信息傳輸給符合一定條件的主體;可以限定傳輸的本人信用信息的范圍;收到本人信用信息傳輸請求的信息主體有立即傳送相關信用信息的義務,以便計算機或信息處理設備能夠及時處理;信息主體可以要求信用信息提供者或使用者確保相關信用信息的準確性和即時性;信用信息主體有權要求撤回傳輸本人信用信息。
韓國金融委員會是“我的數據”金融領域負責機構,發布《金融領域“我的數據”導入指南》、組建相關工作組、審核“我的數據”運營商資質并發放許可等。韓國信用信息院負責具體運營,支持個人信用信息穩定傳送,包含管理可傳送的個人信用信息的范圍、個人信用信息的標準化、傳送相關費用測定、金融消費者權益、個人信用信息主體的認證基準等業務。
?。ū疚南?020年國家社會科學基金重點項目“互聯網個人信貸法律問題研究”的階段性研究成果)
?。ㄗ髡邌挝唬何髂险ù髮W經濟法學院)