當前位置:
首頁 > 最新 > 區塊鏈徵信業務中的數據保護分析

區塊鏈徵信業務中的數據保護分析

最新 07-11

大數據時代的到來,一方面意味著個人數據、企業數據的扁平化,另一方面數據使用過程中的問題也逐漸暴露,個人數據孤島、企業信息不對稱、個人和企業信用隱私數據公開等問題亟待解決。區塊鏈技術的出現,許多企業紛紛開始探索區塊鏈技術和徵信的結合以解決前述問題,在此過程中的數據使用合規和徵信資質問題應當予以重視。


一、徵信業中的區塊鏈技術應用

(一)個人數據的收集和使用

《網路安全法》和《GB/T 35273—2017信息安全技術 個人信息安全規範》(「《個人信息安全規範》」)中明確規定了個人數據的收集和使用規範。

1.個人信息的範疇

根據《網路安全法》的規定,個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

《個人信息安全規範》中規定,個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通訊聯繫地址方式、通信記錄和內容、賬號密碼、財產信息、徵信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

因此,個人信息不僅包括可以單獨識別自然人個人身份的信息,如姓名、身份證號碼、電話號碼等,還包括與其他信息結合可以識別特定自然人個人身份或活動情況的信息,如住址、工作單位、郵箱地址、徵信信息、健康生理信息等。是否具有「可識別性」是判斷信息是否屬於個人信息範疇的核心要件,而 「身份可識別性」的界限在我國並沒有形成統一或具體的判斷標準,實踐中企業應當根據數據所屬行業、具體的識別方法和手段合理性等因素綜合判斷。

2.明確授權

《民法總則》確立了兩項重要的權利:第一,首次在法律上明確規定了隱私權的概念。第二,個人信息權。雖然民法總則沒有明確提到「個人信息權」的概念,但是明確規定「自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。」因此,我國立法和司法中充分尊重信息主體的自決權。

《網路安全法》規定,網路運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。因此,對於屬於個人信息的數據,其收集、使用和處理都需要經過信息主體的明確同意。

《個人信息安全規範》中將個人信息分為個人一般信息和個人敏感信息,並提出默許同意和明示同意的概念。對於個人一般信息的處理可以建立在默許同意的基礎上,只要個人信息主體沒有明確表示反對,便可收集和利用。對於個人敏感信息,則需要建立在明示同意的基礎上,在收集和利用之前,必須首先獲得個人信息主體明確的授權。根據規範,個人敏感信息指的是一旦遭到泄露或修改,會對標識的個人信息主體造成不良影響的個人信息。個人敏感信息可以包括身份證號碼、銀行賬號、通信記錄和內容、行蹤軌跡等。個人一般信息則是指除個人敏感信息以外的個人信息。

3.脫敏數據的交易和保存

對於收集後的信息的使用,根據《網路安全法》第四十條、四十二條、四十四條的規定,網路運營者應當承擔嚴格的保密責任(包括必要的保密措施、補救措施及泄露後的通知義務),未經信息主體的同意,不得向他人提供個人信息,但是經過處理無法識別特定個人且不能復原的除外。任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。

另外,在《個人信息安全規範》中提到「收集個人信息後,個人信息控制者宜立即進行去標識化處理,並採取技術和管理方面的措施,將去標識化後的數據與可用於恢復識別個人的信息分開存儲,並確保在後續的個人信息處理中不重新識別個人。」

因此,收集數據應當經過處理後無法識別特定個人且不能復原,並且與個人信息的「身份可識別性」相同,目前我國並沒有統一的「不能復原」的判斷標準,因此實踐中應當根據數據的特殊適用範圍綜合考慮。


對於計劃通過收集用戶數據的處理以提供徵信服務的企業來說,根據我國現有法律規定,還應當具備一定的資質。

根據《徵信業管理條例》和《徵信機構管理辦法》,我國境內個人徵信機構的設立需要經過中國人民銀行的批准,同時還需要同時具備以下條件:

出資額占公司資本總額5%以上或者持股占公司股份5%以上的股東信譽良好,最近3年無重大違法違規記錄;

註冊資本不少於人民幣5000萬元;

有符合中國人民銀行規定的保障信息安全的設施、設備和制度、措施;

擬任董事、監事和高級管理人員應當熟悉與徵信業務相關的法律法規,具有履行職責所需的徵信業從業經驗和管理能力,最近3年無重大違法違規記錄,並取得中國人民銀行核准的任職資格;

中國人民銀行規定的其他審慎性條件。

另外,需要特別注意的是,根據上述法律規定,徵信機構的信息系統應當按照國家信息安全保護等級測評標準,對信用信息系統的安全情況進行測評。徵信機構信用信息系統安全保護等級為二級的,應當每兩年進行測評;信用信息系統安全保護等級為三級以及以上的,應當每年進行測評。

因此,對於打算通過區塊鏈技術突破現有徵信數據應用問題的企業來說,一方面,在數據的獲取、使用、保存過程中應當遵循我國數據保護法律的要求,另一方面,在綜合技術測評後,應當建立符合業務需求,並且安全完備的信息系統。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 巴比特資訊 的精彩文章:

好萊塢將利用區塊鏈技術來打擊盜版
移動支付初創公司Uphold向美國金融行業監管局申請成為註冊證券公司

TAG:巴比特資訊 |