李铭, 北京大数据研究院专家、原央行征信中心顾问
2021.4.27
不久前发布的《征信业务管理办法(征求意见稿)》以法规形式对部分数据集成商进行监管,在行业引起广泛关注。然而在世界范围内,这并不算是孤例。从美国的情况看,2018年开始,先后有多个州修法,从消费者个人数据保护的角度,对数据集成商及特殊的一类数据集成商 – 消费者征信机构建立或加强监管。这一现象背后的原因很多,但不能不说,2017年美国个人征信三巨头之一的依可菲(Equifax)公司发生涉及1.45亿消费者的个人信息泄露事件起了直接的推动作用。
2018年9月15日,美国纽约州开始实行个人征信机构注册制,要求所有在过去一年内收集1000名以上纽约州消费者的个人信息的个人征信机构向州的金融服务总监注册,之后每年需要更新注册信息。未注册开展业务将予罚款,直至提起民事诉讼。州金融服务总监有权拒绝更新、撤销或冻结机构的注册。关于建立注册制度的原因,这部编号为23 NYCRR 201的法规主要提到信息准确性、异议处理制度的完善和有效、机构经营过程中的不当实践及信息安全问题。虽然在此之前美国已经有几个州配合联邦《公平信用报告法案》对在本州开展报告业务的机构实施监管,纽约州或许是美国第一个明确将信贷征信机构从更加宽泛的“消费者报告机构”中分离出来加以监管的州。
2020年10月1日,美国马里兰州开始实施一项针对消费者报告机构的新的监管规定。根据新增补的金融监管法规09.03.07的规定,所有消费者报告机构在执照申领要求之外,还要购买担保债券。担保债券的购买情况需要在州金融监管专员办公室注册,其金额依据该机构在马里兰州消费者服务的消费者人数决定,上限为一百万美元(规定允许机构在注册时申请豁免这一债券购买要求,如果该机构能够证明自己的良好经营行为及具有足够的财务能力)。授权执行新监管规定的法案HB 848还对消费者报告机构提出其他几项新要求,如增强消费者信用冻结、异议处理、严重负面事项信用主体身份核对、信息准确性保障等机制的有效性,不得将高利贷或其他不合法债务的交易信息纳入信用报告,以及将老年人和部分军人列入需要保护的消费者群体等。
2019年1月1日,一向以政治激进为名、曾经发布北美州第一部宪法的美国佛蒙特州的“法案171”(佛蒙特州法案标题9第005子章)开始生效。这是美国历史上的第一部监管数据集成商的法规。法规有三个主要部分:要求数据集成商每年向州务卿注册并申报信息;要求数据集成商维持基本的信息安全准则;禁止数据集成商使用欺骗手段获取消费者信息以及使用这些信息进行非法活动。注意到,这部“数据集成商条例”是列在商贸法之下的,所涉及的数据服务不囿于任何特定的行业或领域。在法规生效后的第一个季度,有134家企业完成了注册。
2019年10月11日,美国的第二部数据集成商注册法规AB 1202在加利福尼亚州问世。法规要求所有向加利福尼亚州居民提供服务的的数据集成商每年向州总检察长注册并申报信息。与佛蒙特州的数据集成商条例不同,加州的注册法是列在消费者隐私保护相关法条之下的。本法规执法罚没款项也将进入加州的消费者隐私基金。于是AB 1202被人看作是《2018加州消费者隐私法案(CCPA)》的补充。到目前为止,已经完成注册的企业达418家,尚有一批企业处于注册过程当中。
美国的这一波涉及数据集成商及个人征信机构的监管动向或值得我们关注。在这里选择几项内容来简要说说。什么是数据集成商
并非所有销售消费者数据的机构都落在这一批地方立法所覆盖的范围内。法律所涉及的只是“第三方”数据处理机构。所谓“第三方”数据处理机构指那些既购买也销售电子化的、数据主体可(直接或间接地)识别的数据,且数据主体“与该机构业务没有直接关系”。于是,所有“产生”消费者数据的“第一方”数据处理机构,例如金融、电信、公用事业、住房租赁等商业服务机构及网站、电商平台、社交媒体、移动应用App等等均不属于这批法律的监管对象。做出这样的限制之原因,据立法者所说,是因为消费者与“第一方”数据处理机构有直接的接触渠道,对机构的数据搜集活动有一定的了解和期望,故消费者在个人数据保护方面的诉求应该能够通过其他方式得以满足。此外,“第一方”数据处理机构身处的行业许多已经存在与数据相关的监管要求。将这些机构排除在外,可以避免法律规定上的重迭乃至冲突。这一条也是加州的数据集成商注册法规明确将征信机构排除在数据集成商定义之外的原因。什么是消费者信用报告机构
美国的诸多消费者保护立法当中,在“消费者报告机构”的概念上常常含混不清。1970年的联邦《公平信用报告法案》是一部关于“消费者报告机构”的立法,但法案名称本身和法案内容中大量出现的信用(信贷)字样,给人的印象是这是一部关于“消费者信用报告机构”的立法。固然1970年美国国会针对消费者报告立法有历史的原因,但后续许多相关法案对此差异往往不加澄清。例如,美国的缅因州和马里兰州在各自的州立法中均使用了与《公平信用报告法案》相同的称谓和定义,但法案所针对的其实是消费者信用报告机构,并非消费者报告机构。这种概念混淆的现象在我国学者的著述中也屡有发生。常常见到有学者将美国的《公平信用报告法案》称作为美国监管征信机构的法案,或将美国政府的金融消费者保护局看作是美国征信行业的监管机构,两种说法其实都不准确。
此番美国纽约州的23 NYCRR 201法规专门对这两个概念做了区分。法规认为,消费者报告机构的业务是“汇集和评估消费者的信用信息和其他信息,向第三方提供消费者报告或消费者调查报告”,而消费者信用报告机构的业务是“汇集、评估和维护有关消费者可信度、信用状态、信用能力、公共信息以及信贷账户信息,向第三方提供消费者信用报告”。注意到,后一个定义中增加了“维护”一词,认为消费者信用报告机构的本质特征之一是“维护信贷账户信息”。这大体上落入传统征信机构的业务范畴,而将所谓“大数据征信”机构和各类数据集成商排除在外。并非所有销售数据的机构都是数据集成商
除去前面已经提及的“第一方”数据服务机构不算作数据集成商之外,这几部法案还说明,数据集成商必须是同时进行购买数据和销售数据的业务活动、所处理的数据具有经过集成或整合的特征(如经过分类筛选等)、且数据处理操作并非仅服务于“第一方”数据处理机构的商业利益。于是购买和销售未经加工的原始数据,以及受“第一方”数据处理机构委托进行数据清洗、加工、分析和建模的机构都不算作是数据集成商,不在法案的监管范围之内。同理,所谓消费者信用报告机构(及我们所谓的“征信机构”)是“汇集、评估和维护……信息、提供报告”的机构,而使用征信机构的报告做服务(例如反欺诈、反洗钱、信用风险评估、信用咨询、信用修复等)的机构,以及受征信机构委托进行信息的加工、分析、建模工作,事后销毁或返还所处理的数据的机构,也不算作是消费者信用报告机构。这些规定保障了监管目标的确定性和具体性,有助于确保监管目标的准确聚焦及监管措施切实有效。对数据集成商的监管究竟管什么
这几部法案对于数据集成商和消费者信用报告机构的监管内容十分有限,主要集中在业务透明度和规范经营两个方面。在业务透明度方面,立法通过公开发布注册信息让消费者知悉这些数据集成商的存在,大体上了解其业务内容,以及了解机构是否为消费者提供了退出机制;在规范经营方面,立法约束用欺骗手段采集数据、为犯罪目的使用数据、安全管理不善及对信用冻结服务收费等几项具体行为。法案没有宣示消费者权利,没有要求在处理数据时征得数据主体授权。与之相反,法案一再申明,不会要求企业做出任何业务模式或流程上的改变。虽然法案中提及禁止数据集成商用欺骗手段获取数据以及将数据用于非法活动,法案并没有为实现这些监管目标提出任何具体要求。此中能够想到的一种可能性是,立法者还没有想清监管什么及怎样监管这些数据服务机构,但不断出现的消费者数据泄露事故成为迫在眉睫的风险,需要立法者有所作为。这使人联想到一个相关的事例:2018年美国国会的政府问责局曾发布报告,点名要求政府的四大金融监管机构明确定义哪些类型的数据属于可以在信用风险评估实践中合规使用的“替代数据”于是可对其进行监管。点到名的机构均顾左右而言他,以“正在研究”、“尚在调查”、“已经存在足够的监管立法”等加以回复。足见在数据服务监管的问题上,美国人还真没有多少东西能拿出来让国际同行借鉴。尽量少增加企业监管成本
数据服务领域已经形成了不少巨头,但也包含大量小、微企业或初创企业,存在不少创新机会。为企业在监管合规方面“不增负”或“少增负”是重要的立法目标。上述涉及数据集成商和消费者信用报告机构的立法在这方面有一定地体现。除去前面提到的“不要求被监管企业改变现行业务模式和流程”之外,规定的注册内容和手段也较简单易行。例如,两部数据集成商注册法规设定的注册方式均有在线注册和邮寄注册等诸多选择,要求填写的表格也极简单。注册收取的费用明确说明将用于建设向消费者发布注册信息的网站页面。法案同样关注政府监管机构的新增执法成本。例如,新增的企业注册往往由现存、通用的企业注册机构进行,不另建专门机构。由于数据集成商监管涉及的专业成分有限,监管执法往往也由州总检察长代为执行。此外,这些法案并非专门针对涉事企业实施监管,而可应用于企业、企业的部门、企业全部业务或部分业务等多种情况。数据服务企业的业务类别和服务范围的多样性远较其他类型的企业表现更为突出。针对业务而不是机构的监管将大大增加监管执法的灵活性和监管措施落实的有效性,也较易规避新法规与其他既有法律或法规的重叠或冲突。