吴晓灵：个人征信要把市场发展基础打牢 尽快制定《个人信息保护法》

每经记者  张寿林

4月21日下午，在由央行征信管理局、世界银行集团、APEC工商理事会主办的个人信息保护与征信管理国际研讨会上，全国人大财经委副主任委员吴晓灵指出，个人征信不是一个资本逐利的新领域，而是一个专业性强、监管和合规性要求比较高的行业。作为国家金融基础设施，国内个人征信机构要把基础打牢，一味追求跨越式发展并非都是好事。

她还建议，尽快制定《个人信息保护法》，明晰个人信息的边界和责任，分类和分层对个人数据进行保护。

征信是“有条件的公共产品”

研讨会上，吴晓灵明确了个人征信的边界。她指出，社会上经常提到的所谓征信，其实并不完全是个人征信，涉及很多诚信行为。

个人征信主要与个人参与的金融信贷交易相关，信用信息共享是个人征信机构最核心的商业原则。征信产品从经济学上来说，是“有条件的公共产品”。

她指出，个人征信机构可以视为一种特殊的个人数据服务商，但个人征信服务与数据服务存在着显著差异。在大数据数热潮下，出现了个人征信服务与个人数据服务概念混淆、边界不清的现象。

由吴晓灵牵头的清华大学国家金融研究院课题组持续研究个人征信课题，《每日经济新闻》记者获得的该项课题最新研究报告《个人征信问题研究》指出，个人征信服务和个人数据服务的差异性主要体现在三方面：从服务领域方面，前者主要服务于金融领域，主要是为授信机构的个人信用风险管理，而后者广泛服务于包括金融领域在内的社会各个领域；从服务产品方面，前者的产品应用于信用风险管理，后者的产品除了风险管理外，还应用于市场营销等多领域；从国外的监管实际看，个人数服务的业务并不受征信法规或制度的管理，而是接受个人信息数据保护法等基本法律法规的管理与制约。

吴晓灵指出，征信行业是为全社会服务的，是国家层面的金融基础设施，因此其从业行为具有一定的公共利益性。因个人征信市场不能放任竞争，而应是在可竞争市场原则下，通过准入管制、投资管制和价格管制等措施，实现适度竞争，保证市场的稳定与高效。

吴晓灵牵头的课题组还提出了个人征信市场分类监管的框架构想：对于从事基础的消费者信贷信用信息服务的机构采用全牌照监管；对于利用消费者数据进行信贷信用风险分析服务的机构，采用专项征信业监管，即专项牌照监管；对于从事个人数据服务的机构，且规模较大的，建议采用事后备案管理，积极推动行业自律。

建议设立国家层面的个人信息保护委员会

由于个人征信业是以个人信息为基础的，具有很强的个人隐私性，如果发生大面积个人信息泄露，不仅会导致社会公共利益受到损害，同时还会危及国家信息安全。因此，通过法律法规强化征信机构对个人隐私的保护要求成为各机构普遍做法。

吴晓灵指出，总体来看，中国个人数据保护仍处于起步阶段，发展速度较快，实践走在了立法前面。目前存在以下问题：

一是信息保护缺乏顶层设计。目前个人信息保护开始被重视，但无论从理论还是实务上都还处于起步探索阶段。个人信息权还没有被确认为一项新生的独立权利，在制度设计层面缺乏确权的过程。

二是个人数据保护专项立法滞后。现有的法律体系，保护个人数据仅从传统隐私的角度进行，局限在隐私、姓名、肖像或专门法律法规所规定的范畴，超出范围的部分往往得不到有效保护。

三是数据保护没有明确的监管机构。欧美日等都有关于数据保护机构实施监管的显著特点，区别仅在于设立的具体形式。中国尚未构建类似的专业监管机构和相应的组织体系，不仅降低了政府的治理效能，也使数据保护监管业务处于真空状态，最终造成了某些机构往往以拥有海量数据大肆炫耀，却拒绝履行保护责任的现状。

四是尚无数据保护的国际合作机制。数据作为新的市场要素，具有全球化流动趋势。中国在国际数据交流使用中缺少国际合作机制，数据在“走出去”和“引进来”过程中的保护障碍重重。

五是数据保护制度体系不完善。从欧美日较为成熟的经验来看，数据保护在专项立法后，需要一系列的相关制度体系配套来保证有效运转。数据的流转保护、科技应用、行业自律、文化创建等制度在我国仍处于起步阶段。

吴晓灵表示，为最大限度地在保护个人数据的基础上，促进数据的合法使用，中国应充分借鉴国际趋势和考虑现实国情，从确权立法、有效监管、国际合作、完善数据运转保护制度等方面进行系统性安排。鉴于此，她提出以下建议：

一是在民法体系中确立个人信息权。通过确权，在先行民法体系内明确规定个人信息的内涵，个人信息权益保护的基本原则，信息主体收集、利用和处理个人信息的基本规范等内容，并在如《征信业管理条例》等行业法规中，将个人信息权作为个人信息保护的基础，更加清晰地界定个人信用信息的知情权、同意权、投诉和异议权等基本权利，进一步对个人数据信息的权能、保护和救济方法等进行规定。

二是尽快制定《个人信息保护法》。

三是设立数据保护监管机构。建议设立国家层面的个人信息保护委员会，主要承担推动个人信息保护法律和实施、督促相关国际机关遵守个人信息保护法与落实执法监管责任、开展个人信息保护行政执法、宣传教育和交流合作等，个人信息保护委员会向国务院负责。

四是建立数据保护国际合作制度。积极与相关国家展开双边和多边磋商，签订类似于欧美的《安全港协议》或建立协商沟通机制。

    五是健全数据运转保护制度体系。其中一方面便是制定合理明晰的数据获得规则，分类和分层开放数据，避免数据行业垄断和分割。