欧盟《通用数据保护条例》及其对征信行业的影响——专访欧洲征信协会主席内尔•门罗

王晓蕾（以下简称“王”）：首先非常感谢内尔先生做客《中国征信》杂志。能否请先介绍下《条例》制定的目的和对个人数据的认识？

内尔·门罗（以下简称“内”）：在欧洲，一直以来，公民有权决定个人数据为何目的、以何种方式被处理和使用，公民对本人数据的自决权一直作为一项基本人权加以保障。但是，近年来，公民越来越担心互联网上个人数据的失控会威胁公民的基本人权，影响欧盟境内个人数据的流动和使用。为此，作为欧盟个人数据保护改革的主要成果,《条例》有两大主要目的：一是巩固公民对个人数据的自决权和控制权，保障欧盟公民的基本人权，重拾对个人数据处理的信任；二是统一欧盟数据保护规则，简化欧盟个人数据保护和监管的流程，降低跨国公司的合规成本，促进一体化的“数字欧洲”进程。

在《条例》制定过程中，欧洲征信协会与个人数据保护领域的专家进行了充分的交流并形成了共识：一是个人数据（或者说隐私权）是人的基本权利，“谁的数据谁做主”的数据保护原则，即使在互联的、大数据时代也要坚持，在未经授权的情况下他人不得使用个人数据。二是为了让普通公民和企业都从数字经济中受益，欧洲境内的个人数据必须坚持“为特定目的、合法、最小化”的处理原则，任何处理个人数据的组织和个人都有责任避免个人数据的滥用和乱用，保障欧盟法律框架下的公民数据权利。三是统一的欧洲需要一个统一的数据保护法规和监管框架，为欧盟公民提供一站式个人数据保护，为欧盟企业提供统一的监管标准。

王：欧洲征信协会一直跟进《条例》制定过程，能否介绍下《条例》出台的背景？

内：要理解《条例》的制定背景，先要了解1995年的欧洲《个人数据保护指令》。《指令》是在数字化时代还未来临的背景下，通过欧盟委员会的批准并在各个成员国分别实施。但它是一种指引而非法规，不具有强制性，在各国的实施情况不尽相同。同时，面对互联网时代新技术和新的数据处理与应用方式对个人数据保护的挑战，旧《指令》显得有些招架不住。为此，早在2009年，欧洲征信协会开始与欧盟委员会商讨《指令》的不足，尝试从新技术和数据全球化的角度，对当时的个人数据保护法律框架进行完善。

2010年11月，欧盟委员会提出了强化欧盟个人数据保护的计划，并于2012年1月，提出针对《指令》的综合改革方案——《关于提高用户对个人数据控制、降低企业成本的个人数据保护方案》，以加强网络隐私权的保护，加速发展欧洲数字化经济。当时，欧盟委员会明确指出：一是科技进步和全球化彻底改变了原有的数据收集、处理和使用方式，冲击了原来的个人数据保护原则；二是1995年《指令》在27个成员国的差异化落地，导致企业每年在个人数据保护上额外支付了23亿欧元成本。为此，新的个人数据保护法律框架应该是条例而不是指令，应该具有法规的强制性和欧盟范围内的统一性。同时，新的个人数据保护法律框架应从便捷公民查询、携带和删除个人数据方面，进一步提高公民对本人数据的控制权。

经过3年多的谈判、磋商，欧盟委员会、欧洲议会和欧盟理事会终于在2015年6月，就“在欧盟建立一个现代、统一的数据保护新规则”达成了一致，开始共同推进新条例的制定。今年4月8日和14日，《条例》先后获得欧洲理事会和欧洲议会的批准，并在5月4日发布在欧盟官方媒体上，《条例》共有99条，对《指令》中的内容做出了多达3500处具体修改。根据规划，2018年5月份《条例》将正式施行，从现在起，欧盟各国将有两年过渡期以适应数据保护新规。这就是《条例》出台的背景和主要经过。

王：《条例》对欧洲征信行业的影响主要有哪些方面？

内：征信是处理个人数据的行业，应当遵守《条例》，这是毫无疑问的。但征信业本身又因维护金融稳定等公共利益的需要，要求个人在“个人数据保护”和“放弃部分数据权利从而获得更好的融资机会”的目标之间取得适度平衡。初衷是应对互联网大数据对个人隐私的威胁而强化个人数据权利的《条例》，某些方面可能会影响到征信机构的数据处理基础和信用报告的完整性，对于商业银行等信贷机构也会带来影响。大致来说，包括“反对权”、“可携带权”和“删除权”会影响征信的业务模式和数据完整性。例如，根据“反对权”，个人有权随时拒绝征信机构根据“合法利益”处理其数据等。同时，新规对“画像”和“自动化决策”的限制，会影响完全自动化的个人数据收集、处理和应用实践，特别是大数据技术在风控和征信领域的应用，以及基于此的个人信贷业务和风控流程。此外，新规首次提出的个人数据采集的“最小化”原则，要求包括征信机构在内的一切数据处理机构，不得采集和处理业务不必要的个人数据，一定程度上会限制征信机构可采集的数据。

王：被遗忘权和反对权是指什么？会对征信行业产生怎样的影响？

内：《条例》中被遗忘权和反对权主要是针对社交媒体的，其本意是为数据主体提供反对权和被遗忘的权利。打个比方，当一位父亲在朋友圈晒了一张和女儿一起喝酒的照片，如果以后女儿找工作的时候，企业因为以前的这张照片认为她酗酒而拒绝其求职申请，这张照片实质上就对女孩个人产生了影响。对于个人来说，要求消除之前社交媒体上的个人信息就是合理的。这一点对征信机构也同样适用，个人应该有这样的权利。

但是，这两项权利会影响征信业的业务模式和数据的完整性。因为根据这些权利，个人有权随时拒绝征信机构根据“合法利益”处理其数据，有权利撤回向征信机构提供的同意其采集、处理和对外提供其数据的授权，有权要求征信机构删除其数据，并且如果征信机构对应个人要求删除了的数据在此前已经进行了公开传播，还要负责通知其他第三方停止使用或删除公开传播的数据。

客观而言，如果完全允许删除个人信息，数据完整性缺失，可能会影响金融系统的正常风险管理，毕竟征信行业本身还有维护金融稳定等公共利益的需要。对此，对于这些权利如何在征信行业落地，有待欧盟委员会、各国个人数据保护监管部门在制定实施细则中予以明确。

王：如何理解《条例》中提到的个人“合法利益”？

内:个人数据必须“合法”处理是个人数据保护的首要原则。何为“合法”，《指令》规定了六种情形：本人授权、为签订或履行合同、为履行法定职责、为保护本人利益、为保护公共利益，以及为数据控制者或第三方的合法利益之需。其中，“合法利益”被认为是造成个人数据被秘密处理和大规模滥用的基础，因此在《条例》的制定过程中，如何明确其适用范围，甚至存废争议较大。

而征信行业从事的是“原始数据收集目的之外的数据再处理”业务，“合法利益”是征信机构收集个人数据和行业存在的法律基础。鉴于征信业在提高信贷可得性、促进信贷市场发展和维护金融稳定中的积极作用，在欧洲征信协会的积极争取下，《条例》最终保留了个人数据处理基础的“合法利益”条款。

王：随着互联网技术的发展，目前自动化决策工具广泛应用于信贷机构审批业务中，然而《条例》规定的严格授权条件势必会对此产生冲击，您如何看待这个问题？

内：用户画像、自动化决策是指以自动化数据处理的方式，对个人的信用风险、工作表现、经济状况、身体状况、个人偏好、可信赖程度等进行评估的活动，在当前信贷行业应用都很普遍。然而《条例》的初衷是保护信息主体的权益，为了限制数据处理机构利用网络自动收集、自动分析数据，对用户特征画像后进行定向营销活动、侵害数据主体权益，《条例》原则上要求信息的使用需征得数据主体的同意，不允许纯自动化的用户分析行为，以避免个人数据在本人失控和不知情的情况下，完全被计算机自动化收集、处理和应用，伤害数据主体的知情权、自决权。对此，我的建议是，在信贷评估过程中，适当增加人工评估的比例，以避免违规“触电”。同时，对诸如个人信用评分等自动化处理的征信业务，应保障公民对自动化处理所依托的个人数据，如个人信用报告具有完全的查阅权和对错误数据的纠错权，通过对自动化处理的技术、方法和流程的公开、透明，以确保公民的知情权。

王：据悉在《条例》制定过程中，对于性别和一些公共信息属于一般性数据还是特殊数据有过较大争议，原因是什么呢？

内：数字化时代社交媒体如谷歌、脸书等进行个人数据的归集，往往涉及如宗教信仰、身份性别等一些敏感信息，法院的判决信息可能会涉及个人信息，所以对最初的《条例》草案，有人提出性别、行政处罚以及法院判决等属于特殊数据，其处理应该受到严格限制。

但事实是，如果照此限制会带来很大问题。比如，一些姓名中就能够看出信息主体的性别，如果认定所有暗示性别的数据都是敏感数据，则会在很大程度上影响征信机构的数据处理，使得征信机构难以正确识别个人以及与其相关的信用信息。再说公共信息，如法院债务、破产等判决数据对于银行判断借款人的信用风险、制定全面的贷款决策，维护安全的金融环境非常有用。

鉴于此，欧洲征信协会与欧盟相关部门几经沟通协商，《条例》没有将身份性别和行政处罚及法院判决信息列为特殊数据，而是作为一般性个人数据进行保护。

王：除上述方面，《条例》还有哪些新的变化和影响？

内：《条例》可能存在的影响范围相当广泛，具体包括地域管辖权、数据控制者和处理者各自的责任、违反规定时的罚则、数据的可转移性、数据保护专员设置、隐私权保护评估等。

关于地域管辖权问题，有一个例子可以很好地说明《条例》在这方面带来的变化和影响。一个居住在奥地利的欧盟公民，有一天突然发现自己的信息被爱尔兰的某个机构盗用了，跟据1995年制定的《指令》，奥地利当局无法处理这件事情；但是根据《条例》，欧盟各成员国受统一的法规约束，他国机构侵害了本国居民的个人信息权益后，本国有权对这类事件进行处理，所以在本案中，奥地利当局有权处理这件事。

关于数据控制者和处理者，《指令》对两者不作区分，《条例》则对此进行了明确，不同的角色对应不同的责任。还有罚则问题，《条例》中的处罚措施相当严格，如有违反最高可被课以全年营业收入2%的巨额罚款。再有就是数据的可携带权及数据保护专员设置问题，以往的《指令》对此没有涉及。最后是隐私权评估问题，现在的数据处理机构，往往将一揽子数据产品打包进行设计、出售。根据《条例》，数据处理机构在设计产品时首先应进行隐私权保护的评估，在确保个人权益不被新产品损害的前提下才可以进一步进行产品的研发、出售。

王：统一的规则降低了合规的复杂性，但欧盟各国情况不同，《条例》在实施过程中会面临哪些困难和挑战？

内：一项新法规的实施必然会遇到一些事前无法预料的情况，为此，欧盟专门成立了欧洲数据保护委员会，来协调新规实施后各成员国之间存在的一些问题。比如欧盟各国情况不一，对同一法规的落实情况势必不同，各国之间也会存在分歧，欧洲数据保护委员会对此的解决办法是，在统一规则的前提下兼顾本地化原则。具体来说，大概80%的情况主要参照《条例》的规定，留给欧盟各国20%的空间因地制宜适当调整。未来，欧洲还将提高对数据处理者和控制者的要求，督促他们加强内部数据保护体系的建设以确保合规。毕竟，《条例》的宗旨就是赋予数据主体更多的权益，并为此制定了严格的条款来维护其权益。

对于《条例》的实施，还有几个重要的问题尚未得到解决。一是欧盟各国对于个人权益（包括被遗忘权及反对权等）的理解和认识始终存在分歧，从《条例》制定伊始到现在，仍未达成共识；二是消费者和隐私权保护的支持者密切关注《条例》中的信息滥用条款，征信机构在信息使用时要保持谨慎；三是欧盟各国的数据保护当局也面临挑战，因为在统一的法律框架下，任何一国的政策和判决都会对欧洲其他国家的征信机构造成影响。协会也在继续加强与各国监管部门的沟通，力求为征信行业发展争取相对宽松的环境。

王：再次感谢您接受本刊访谈。