作者:宁宣凤 吴涵 金杜律师事务所

一、前言

当前互联网和数字技术的发展为经济带来了前所未有的活力,在蓬勃发展的数字经济中,数据及其流动是其关键性支撑[1]。在金融行业中,“精准营销、风险控制、客户关系管理决策支持、开放银行”等广泛应用场景[2]推动了金融大数据的发展和数据驱动型业务[3]的开展。充分流动共享的金融数据也是数字经济时代金融科技发展的重要基础。毋庸置疑,数据作为生产要素之一,在金融行业发展和创新中有着不容忽视的价值。

保障数据的充分流动和共享、发挥数据价值的过程依然需要遵守现行的法律法规和监管要求。金融数据尤其是个人金融数据往往存在双重属性,一方面,在金融行业强监管体制下,金融数据在数据收集、存储、处理、使用和共享等方面往往受到金融行业法律法规的严格限制。另一方面,由于个人客户的金融数据往往具有强烈的人身属性,还可能受到个人信息及个人敏感信息保护的规制。

本文拟以个人征信及智能风控等行业为例,分析数据在产业链中流转的困局,并参照境外信用体系的运行经验探讨潜在的疏通个人金融数据流转渠道同时保障金融数据安全、消费者利益的破局思路。

二、金融产业链的构成

除了传统金融机构之外,普惠金融和互联网消费金融的兴起催生出了更多类型的服务提供商。例如,接受金融机构委托汇聚、分析多来源用户信息,并向金融机构提供信贷风控、反欺诈等服务的智能风控企业,以及提供大数据分析、人工智能、机器学习等技术能力的科技公司(智能风控企业和科技公司等统称为新兴市场参与者)。在目前的金融产业链中,非金融机构、金融科技公司以及传统金融机构等市场主体参与其中,并在数据的流转中环环相扣。

以征信产业链为例,在数据的采集阶段,通常数据提供方包括但不限于提供政府数据的公安、社保等政府机构,以及银行、电商、电信运营商等拥有大量反映个人消费、金融状况信息的机构。在数据的处理阶段,参与主体包括:(1)央行征信中心,其通过汇集和分析银行的传统信贷数据,形成客户的信用报告;(2)市场化个人征信机构,以百行征信为例,通过汇集和分析用户在互联网平台、保险公司、老牌征信公司和拥有数据资源的新兴公司数据,形成个人信用报告等征信服务产品;以及(3)智能风控企业,通常为基于大数据、人工智能、机器学习等技术能力,为其他企业提供智能风控策略及相关决策辅助服务的市场主体。

图1—我国个人征信金融产业链的基本构成

三、金融产业链的数据困局表现

总体而言,金融产业链的主要困局是如何在依法合规前提下发展金融科技、促进个人金融信息的有序汇聚融合,为金融业务发展提供源源不断的创新活力,同时防止数据泄露、保证消费者的权益不受损害[4]

以征信行业为例,考虑到新兴金融服务对于多源信息以及科技能力的需求,央行开始将国家金融信用信息基础数据库以外的市场化征信机构纳入征信服务市场,以形成错位发展、功能互补的格局。然而,对于官方征信机构的信用信息平台建设而言,目前仍面临诸多的挑战有待完善,包括但不限于:如何整合百行征信接入的多源数据以保证可以商业化的输出;如何促进互联网平台股东与百行征信之间的数据共享[5];以及如何完整市场化征信机构与国家金融信用信息基础数据库的数据整合。

另一方面,从数据量来看,官方征信机构外部产生了很多的数据,这些数据的体量远超信贷数据。大数据公司不仅拥有众多数据,而且数据维度广泛,涉及电子商务、社交、地理位置等等。从实际业务需求来说,在“信用白户”向“有信用记录的人”转换过程中,这些大数据公司拥有的用户线上购物信息、社交信息等可以作为初步信用记录的建立基础。此外,智能风控企业由于具备大数据、人工智能、机器学习等技术能力,其能通过线上线下广泛的数据收集方式和算法研发能力,为金融机构等企业提供更为准确的身份核验、信用评分等服务,从而提升金融机构等企业的风控能力、降低信用审核成本。

但是,目前我国的法律对于这些新兴市场参与者提供的信息属性、是否属于对外提供个人征信服务等未予以明确的界定。这样导致大数据公司、智能风控企业的业务开展持续性和业务范围受到挑战,依旧无法实现征信行业数据的最大限度共享和汇总分析。

四、金融产业链数据困局的原因分析

在我国目前金融业监管背景下,可能阻碍新兴市场参与者参与金融产业链数据使用实践的原因可能包括以下几个方面:

(一)市场准入门槛的设定,导致新兴市场参与者的主体资质和业务性质存在合规方面的不确定性

我国现有法律针对银行、保险公司、证券公司、投资管理公司的业务范围和个人金融信息的流转有较为严格的限制,使得这些金融机构在向新兴市场参与者提供数据和数据使用方面可能受到阻碍。例如,依据《征信业管理条例》的要求,提供个人征信业务的征信机构需取得个人征信业务经营许可证。提供企业征信业务的征信机构,应当向所在地的国务院征信业监督管理部门派出机构办理备案。由于目前仅百行征信一家民营机构获得了个人征信业务的经营许可,从而导致其他提供信用相关信息、数据汇总和信用评级分析企业的主体准入资质存在不确定的因素。此外,《个人金融信息(数据)保护试行办法(初稿)》(以下简称“《试行办法(初稿)》”)和《个人金融信息保护技术规范》也分别对于从非持牌金融机构处获取个人信息提出限制[6]

限制非持牌机构采集和向金融机构提供个人金融信息的初衷,可能是为了确保敏感的个人金融信息不被过多的非金融机构获取并用于金融业务办理以外的其他用途,并因此增加对个人信息主体的侵权风险。然而,随着金融业的科技革新和服务对象的扩大化,非金融机构的大数据能力输出逐渐成为金融机构业务办理的必要条件。市场准入门槛的设定可能限制了金融机构通过非持牌机构获取多头数据以及风险评分,用于提升风控能力、降低信用审核成本的可能性。

(二)数据采集的合法性依据单一,增加了数据流转的困难程度

依据目前的《网络安全法》,对于个人信息采集和使用应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。在金融产业链中,数据的采集体现出来源广泛、类型多样、参与者众多等特点,数据主体本人提供的信息、有关该数据主体的各种公开信息、其他第三方拥有的该数据主体相关信息(如身份识别信息、职业和居住地址信息、个人交易、缴费、纳税记录等)可能被提供金融业务服务的机构直接采集,也有可能被委托服务提供者经过多重交互、共享和分析之后向金融机构提供。由于金融产业链中的各方之间数据交互频繁,实时性强、且交易过程中各方的权益和角色多变,因此对数据的溯源和用户授权的核查往往存在实质性障碍,从而增加了数据合法流转的难度。

(三)个人金融信息向新兴市场参与者流通受限

除了《网络安全法》有关个人信息对外共享的一般限制,个人金融信息和个人信用信息的流转还受制于行业监管部门对于共享数据对象、目的和数据类型的要求。

以个人金融信息的流转为例,《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》[银发(2011)17号](以下简称《人民银行第17号文》)要求:“银行业金融机构不得向本金融机构以外的其他机构和个人提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外”。 可以看出,提供给银行业金融机构的数据对外共享和融合的目的,仅限于个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定。类似的限制也出现在金融领域的其他行业监管要求中。[7]以个人信用信息的流转为例,《个人信用信息基础数据库管理暂行办法》第七条规定,商业银行不得向未经信贷征信主管部门批准建立或变相建立的个人信用数据库提供个人信用信息。

对于个人金融信息和个人信用信息的对外共享限制,进一步增加了持牌金融机构将客户信息向非持牌机构共享的难度。如何保证新兴的市场参与者参与个人金融数据使用实践、满足普惠金融和互联网消费金融业务办理、金融科技发展所需的同时,依然能够保证个人信息主体的权益和个人金融信息的安全,是我国目前金融产业链面临的挑战。

五、美国金融链产业构建与个人信息保护的实践 

相比于我国更倾向于在保障消费者权益和金融安全秩序的前提下寻求政府监管下有序和限定范围的数据融合共享,美国在金融数据监管方面的态度较为宽松,强调金融数据的广泛自由流通。

(一)多方参与的金融链产业模式

就征信行业而言,由于美国实行典型的市场化征信模式,政府并未通过经营资质许可等手段对主体资质进行监管;而是通过自发的市场运营逐步形成了成熟的征信产业链条;其中个人征信产业主要包含四个环节,即原始信用信息收集;信用信息处理;征信产品生产和征信产品应用[8]

具体而言,在收集环节,信息提供方包括但不限于提供公开信息的政府机构,提供消费者记录的银行、保险公司、消费信贷机构等,这些机构往往也是征信的授信机构。此外在涉及调查信用报告(investigative consumer report)时,信用局(consumer reporting agency)还可能通过调查消费者的社会关系网获取对消费者的品行等评价信息,如雇主评价信息。

在信用信息处理环节,主要的市场参与主体为信用局,目前美国个人征信行业以三大信用局为核心,并包含上千家地方征信局[9],这些机构“依附于”三大信用局或者“向其提供数据”[10]。在征信产品生产环节,信用局进行信息处理并生成信用报告,并根据司法机构、雇主、商业银行、保险公司、消费信贷机构等需求方在合法范围内对提供。

同时,以FICO为代表的信用评分也是重要征信产品之一,数据分析机构、金融科技公司等从信用局获取信用报告并通过特定模型最终输出信用评分,供信用局或消费者个人查询使用,目前FICO信用分已经成为授信机构重要的风控手段。信用局的另一类产品则是“预选名单”[11],即根据商业机构制定的某些条件对消费者信用数据进行分析,筛选符合特定条件的消费者的名称和通讯地址,并将名单提供给商业机构。不难发现,美国的金融产业链中所涉及的主体极为多样,包括但不限于政府、传统金融机构如商业银行、保险公司、消费金融机构、信用局、数据分析公司及其他金融科技主体等。

同时根据美国1966年颁布的《信息自由法》(Freedom of Information Act)和1971年的《公平信用报告法》(Fair Credit Reporting Act)之规定,联邦政府记录或信息[12],除列明的例外情况外,原则上会根据请求向任何人(即几乎没有特别的资格限制)提供;而除特定情形外,信用局在收集消费者信用及其他有关信息时也无需征得消费者的同意。1999年国会通过《金融现代化法案》(Financial Services Modernization Act,又称“Gramm-Leach-Bliley Act”,“GLBA”),肯定了银行、保险公司、投资公司之间广泛的个人信息共享,包括关联公司和非关联公司之间的个人信息共享[13]。这些举措在一定程度上保障了除消费者本人外的社会公众、交易相对方对相关信息的权益,也推动了金融数据的流转。

图2—美国个人征信金融产业链的基本构成

(二)金融消费者权益保护(隐私):对收集、共享个人信息的内容限制

金融数据的自由流转也会带来消费者权益保护、金融信息安全和金融社会秩序与公平等方面的风险。在这种情形下,美国选择通过法律规制各方主体的市场行为、保障消费者权利的方式推动金融数据的良性融合与共享。

在金融数据流转过程中,对消费者隐私和非歧视权利的保护始终是关注的重点问题之一。防止这一现象发生的手段之一,便是通过立法限制在征信活动中收集个人信用信息的范围具体而言,《公平信用报告法》中限制对医疗信息的共享;1975年发布的《平等信用机会法》(Equal Credit Opportunity Act)要求债权人不得在信用交易中因申请人的种族、肤色、宗教信仰、祖籍国家、婚姻状态等而歧视申请者[14];《诚实信贷法》(Truth in Lending Act)中禁止因消费者的种族、民族、性别或年龄而剥夺平等信用机会的不公正信贷行为……这些限制和禁止性规定为征信场景下的信用数据收集划定了边界,也保护了金融消费者在征信活动中的权利和利益。

(三)金融消费者权益保护(信息准确性):以知情权和申诉更正权为核心

目前美国并未限制信用局获取信用信息的来源,广泛的原始信用信息在增强征信行业活力的同时,也难免导致数据质量和信息准确性问题。在这种情况下,美国信用局协会制定的个人征信业务统一标准数据报告和采集格式无疑有助于提升数据的质量和数据处理效率[15]

同时,消费者的同意仍然是数据流转的重要合法性基础之一。如GLBA中肯定消费者有权拒绝与非关联第三方共享信息;美国消费者金融保护局(Consumer Financial Protection Bureau, “CFPB”)在2017年发布的金融数据共享融合的九大原则探讨的也是“经消费者授权的金融数据共享融合”的场景。因此,消费者授权同意在保障隐私的方面仍然发挥着重要作用。

在某些消费者的授权同意不再是数据流转前提条件的场景中(如征信信息的采集和对外共享),即消费者可能无法通过事先的控制保障自己的利益和信用报告信息的准确性,在事后环节的消费者知情权和申诉权保障变得尤为重要。例如,《公平信用报告法》中规定了信用局根据消费者请求,向消费者披露信用报告中的信息、信用信息源、特定时间内信用报告的使用者身份以及过去一年内非由消费者 发起的信用或保险交易中的信用报告查询记录等信息[16]的义务。

此外,《公平信用报告法》中还规定了信用局有义务向消费者披露其信用评分成绩及对评分产生不利影响的所有关键性因素等信息[17];而在银行、保险等机构或雇主使用信用报告时,则同样负有不利决定的告知义务,即应当告知消费者不利决定的作出以及相关的信用局名称与联系方式[18]。其实质是鼓励和保障消费者本人对金融数据的准确性进行核验的权利,以避免和降低错误金融数据流转给消费者权益造成的损失。而为了保障知情权和有效申诉和更正金融数据,《公平信用报告法》及其革新法案[19]还规定了消费者免费或以低价获得相关信息、信用局的申诉响应、原始信用信息提供机构数据异议处理义务等内容。

(四)金融数据安全:建立金融机构的客户数据信息安全保密标准

金融信息的广泛共享不可避免地带来信息安全风险等级的提升。为降低这一风险,保障金融数据安全,GLBA要求相关金融监管机构建立相应的安全标准以保障客户数据信息的安全与保密性[20]。2002年,美国联邦贸易委员会(Federal Trade Commission, “FTC”)发布了相关规则,即金融机构应当开发、实施并维护包含管理、技术和物理防护的全面信息安全系统[21]。根据FTC发布的《2019年隐私和数据安全报告》披露,FTC已经针对Equifax、Dealerbuilt信息安全事件中违反GLB的安全政策与程序义务提起指控;并会在未来提高在数据安全案件中的和解要求,即对公司安全计划开展评估并要求提交遵守安全计划的年度证明[22]

(五)避免金融数据滥用:限制信用报告的使用场景、特定场景中的共享数据类型和opt-out机制

金融数据的共享带来的另一忧患则是金融数据的滥用。典型如信用报告和基于金融数据而开展的营销活动。针对这一类问题,美国监管机构主要通过限制金融数据的使用场景、限制特定场景中的共享数据类型和保障消费者选择退出(opt-out)的权利以避免金融数据滥用和滥用可能带来的危害。例如《公平信用报告法》中规定了信用报告使用的正面清单(Permissible purposes of consumer reports);1996年的革新法案中要求信用局在向商业机构提供信用报告或其他信用数据,以进行客户拓展和营销时,只能“提供消费者的姓名和住址等用于识别身份的信息,不包括消费者与其具体债权人或其他企业的关系或经历的信息以及消费者报告的查询记录信息”[23]并应当为消费者提供拒绝被纳入该用于进行客户拓展营销的名单的选项。FTC在2003年《电话销售规则》(Telemarketing Sales Rule)[24]中建立了全国性的免扰电话登记簿(Do Not Call Registry),允许消费者将其电话放在限制拨入名单中,表明不愿接听销售电话的意愿。违反该规定进行电话销售的将可能面临高额罚款。上述规定在很大程度上规避或至少降低了金融数据的滥用风险。

概括而言,美国通过《公平信用报告法》等系列法案构建起了金融数据自由流通的法律基础,并在此基础上通过特定类型信息的收集与使用限制、隐私权益保障、消费者知情权与申诉权行使、建立金融机构信息安全保密标准、规范信用报告提供与使用等方面加以约束,保障金融数据的准确性与安全性;同时避免数据过度收集或滥用而对消费者合法权益造成的损害。

六、金融产业链数据困局的破局之路

(一)立法建议

未来个人金融信息的立法趋势,需要在个人金融信息保护和促进信息多方流转两者之间取得平衡。考虑到新兴市场参与者在大数据算法、金融科技产品开发方面的优势,如何确保其合法参与金融数据使用的生态圈,同时保证消费者权益和数据隐私安全,是值得探讨的问题。目前的立法建议思路包括:

1、将新兴市场参与者纳入金融业监管的范围

央行颁布的《个人金融信息保护技术规范》将监管的对象定义为金融业机构。除了国家金融管理部门监督管理的持牌金融机构以外,金融业机构的范围还包括涉及个人金融信息处理的相关机构,例如提供身份验证服务的电信服务商、信息技术提供商、风控服务解决方案提供商、市场营销服务提供商等。考虑到个人金融信息的敏感性,对于涉及这些信息处理的服务提供商适用与持牌机构一致的数据处理标准,有利于避免信息被泄露或被滥用对于个人信息主体权益的影响。

2、统一全行业的数据共享和使用安全标准,保证数据流转的安全可用

对于个人金融信息的委托处理而言,目前《个人金融信息保护技术规范》要求:1)C3类和C2类中的用户鉴别辅助信息,不应委托给第三方处理(第6.1.4.4.条b项);2)应对委托处理的信息采用去标识化(不应仅使用加密技术)进行脱敏处理(第6.1.4.4.条c项)。因此,对于C2类别中与了解客户相关的信息(包括KYC信息、直接反映个人金融信息主体金融状况的个人财产信息、信贷信息等)而言,经过去标识化或加密技术以后仍然能够委托非持牌机构进行汇总和分析。结合美国引入商业性征信机构的经验,我国监管部门可以建立金融产业链全行业的统一安全标准,以及信息安全事件的应急和响应要求以保障客户数据信息的安全与保密性。

3、设计征得数据主体同意处理个人金融信息的例外情况,从保障数据主体知情权、申诉更正权、用户退出等多角度兼顾数据主体权益

目前我国的《网络安全法》没有明确设定征得数据主体同意处理个人信用信息的例外情况。但是,考虑到个人征信产业链中众多的中间参与者间频繁的数据交互,并且不良信用信息的流转也可能难以获得数据主体的授权同意,建议对于个人信用信息的收集和信用报告的提供,设计征得数据主体同意的例外情况[25]。例如,借鉴欧盟《通用数据保护条例》,增设基于“履行合同或所必要的数据处理”、“为履行数据控制者的法定义务所必要的数据处理”或者“数据控制者或第三方为追求合法利益目的而进行的必要数据处理”等的其他信息处理合法性理由[26];借鉴美国《公平信用报告法》、《公平信用和贷记卡披露法》等相关规定,将在满足特殊要求的情况下,对于授权同意的要求予以适当的降低[27]。此外,可以借鉴美国的实践,在金融业务办理所必需的数据处理场景下,通过数据主体知情权、申诉更正权、用户退出等事后救济措施,达到兼顾数据主体权益的目的。

4、限制个人金融信息采集和存储的范围

信用信息收集、存储的必要性标准并非是一成不变的,而是需要在考虑多种因素基础上动态平衡的结果,例如所办理具体的业务类型、贷款额度高低或还款周期、使用信息对个人权益的影响程度等都可能影响对收集信息必要性的判定。以美国的《公平信用报告法》为例,消费者报告机构不得包含过于时间过于久远的不良信用信息,例如十年以前的破产程序信息、七年以前的诉讼和判决信息、7年以前已付税的留置权信息、以及超过7年的逮捕,起诉书或记录定罪信息。然而,当针对超过$ 150,000的信用交易、承保超过150,000美元的人寿保险单等提供信用报告时,则可以包含上述的禁止性信息[28]

5、鼓励金融科技发展,保障数据流转、汇聚的安全

在《金融科技(Fintech)发展规划(2019-2021年)》鼓励跨地区、跨部门、跨层级数据资源整合应用的背景下,央行已经公开第一批纳入金融科技创新监管的试点应用向社会公开征求意见。其中不乏通过物联网、人工智能和区块链等方式,实现银行数据开放、共享,形成服务提供者、消费者、场景第三方应用开发者多方共生的生态圈方案[29]。同时,对“数据可用不可见”的技术解决方案的探索也已经成为重要的实践之一,通过密态计算、可搜索加密、同态加密等技术[30]对数据进行加密,并确保在可信执行环境中完成计算得出所需数据结果,将有助于降低原始数据直接共享中的隐私泄露风险[31]并进一步保障数据安全。

(二)企业建议

对于企业而言,加强对于数据源准确性和合法性的验证和管控、注重数据内部存储、对外共享的安全和目的限制,是参与金融链数据共享与融合、发挥数据商业化价值的前提条件。

1、做好数据溯源与数据确权

对金融产业链的参与者而言,无论是内部数据融合还是外部数据获取,都需要首先明确对数据进行溯源,厘清可主张的使用性权益及其边界。

2、补强数据来源的合法性

基于数据盘点以及溯源、确权的结果,参与者还需相应完善对用户的告知和授权流程、加强对数据提供商数据来源合法性的确认和义务要求。此外,考虑到金融产业链多方主体参与的现状,宜考虑通过加强产业链条各个环节市场主体的合作,使得数据来源合法性的补强“事半功倍”。

3、优化商业模式

金融行业日趋严格的监管态势也为向银行提供服务的机构提出了更大的挑战,其可能需要从多个方面加大对商业合作模式的改造投入,包括但不限于:

  • 增强技术研发能力:从直接输出原始个人信息到衍生数据或者技术能力的输出,从而避免个人金融信息收集和使用的限制;
  • 开发面向消费者的新型业务类型:新兴市场参与者可以考虑开发面向消费者的新型业务类型,在不违反法律法规强制性要求的前提下,根据消费者的请求向金融机构提供相关信息;
  • 保持商业模式的可持续性:确保优化后的商业模式能够实现盈利才能维持健康的发展。

4、加强第三方数据管控

从防范合规风险角度来看,个人金融产业链的参与者在对外转让、共享数据时,可能需要:

  • 审查第三方的业务资质和实际业务开展情况以判断该第三方非法从事个人征信业务活动的可能性;
  • 通过合同约定或根据实际情况(如第三方曾于近期内受到监管部门监察或处罚)要求第三方提供用户授权原始文本、签署数据授权承诺函等,以确保第三方已经取得信息主体的相应授权;
  • 开展信息安全影响评估,并通过尽职调查、审计等方式对第三方进行必要的监督。

[1] 陈红娜.数字贸易中的跨境数据流动问题研究[J].发展研究,2019(04):9-19.

[2] 刘振海,马征,缪凯. 大数据在金融行业的应用现状与发展对策[J].金融电子化,2018(09):20-21.

[3] 2018年,中国银行保险监督管理委员会(“银保监会”)在发布的《银行业金融机构数据治理指引》中强调银行业金融机构应当加强数据采集的统一管理,明确系统间数据交换流程和标准,实现各类数据有效共享(第二十三条);实现数据驱动,发挥数据价值(第三十八条)。

[4] 参见中国人民银行2019年8月印发的《金融科技(Fintech)发展规划(2019-2021)》,第一章发展形势部分。

[5] 2019年9月,根据FT报道,阿里巴巴和腾讯拒绝向百行征信提供客户信贷信息。在除中国互联网金融协会的8家股东中,仅3家同意将数据接入百行征信。

[6] 《试行办法(初稿)》中明确要求“金融机构不得从非法从事个人征信业务活动的第三方获取个人金融信息”。此外,在目前央行发布的《个人金融信息保护技术规范》第6.1.1条第a项中,要求金融业机构不应委托或授权无金融业相关资质的机构收集C3、C2类别信息,包括了解客户(KYC)的信息,直接反映个人金融信息主体金融状况的财产、信贷信息等。

[7] 参见证监会《证券基金经营机构信息技术管理办法》第三十四条规定,除法律法规和中国证监会另有规定外,证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息,不得以任何方式向其他机构、个人提供客户信息。

[8] 参考爱分析. 一文带你看清:美国征信行业格局如何,都有哪些玩家[EB/OL]. https://www.huxiu.com/article/174390.html. 2016-12-13. 张丽. 美国现代个人征信法律制度研究[D].安徽大学,2019等.

[9] 青川. 金融科技公司都在学习的FICO,是个怎样的存在[EB/OL]. https://www.huxiu.com/article/215415.html?f=member_article. 2017-09-20.

[10] 爱分析. 一文带你看清:美国征信行业格局如何,都有哪些玩家[EB/OL]. https://www.huxiu.com/article/174390.html. 2016-12-13.

[11] 张丽. 美国现代个人征信法律制度研究[D].安徽大学,2019.

[12] The Freedom of Information Act (FOIA) generally provides that any person has the right to request access to federal agency records or information except to the extent the records are protected from disclosure by any of nine exemptions contained in the law or by one of three special law enforcement record exclusions. Please see at https://foia.state.gov/Learn/FOIA.aspx, cited on March 4, 2020.

[13] “In 1999, Congress passed the Financial Services Modernization Act, more commonly known as the Gramm-Leach-Bliley Act (GLBA)…The law authorizes widespread sharing of personal information by financial institutions such as banks, insurers, and investment companies. The law permits sharing of personal information between companies that are joined together or affiliated with each other as well as sharing of information between unaffiliated companies.” Schwartz, S. Information Privacy Law.

[14] (a) It shall be unlawful for any creditor to discriminate against any applicant, with respect to any aspect of a credit transaction (1) on the basis of race, color, religion, national origin, sex or marital status, or age (provided the applicant has the capacity to contract); 15 U.S.C. §1691

[15] 爱分析.一文带你看清:美国征信行业格局如何,都有哪些玩家[EB/OL]. 2016-12-13.

[16] 15 U.S.C. §1861g.

[17] 15 U.S.C. §1861g (f)

[18] 15 U.S.C. §1861m(a).

[19] 自1971年以来,《公平信用报告法》曾历经多次修订,故称其为《公平信用报告法》及其革新法案。

[20] 15 U.S.C. §6801.

[21] 15 U.S.C. §314.2(b).

[22] FTC发布《2019年隐私和数据安全报告》[EB/OL]. https://www.secrss.com/articles/17541. 2020-03-02.

[23] 15 U.S.C. §1861b (c)(2). 转引自:张丽. 美国现代个人征信法律制度研究[D].安徽大学,2019.

[24] 16 CFR §310.

[25] 参见《征信业管理条例》第十五条:信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。但是,依照法律、行政法规规定公开的不良信息除外。但是对于金融机构获取该个人不良信息是否事先告知信息主体本人即可而无需获得用户的授权同意,本条里并没有明确的规定。

[26] 欧盟GDPR,第6条。

[27] 依据美国《公平信用报告法案》(The Fair Credit Reporting Act,FCRA)第1681b(c)条的规定,消费者报告机构可以在满足以下条件的前提下,无经消费者授权对外提供消费者报告:(i)该交易包括一项确定的信贷或保险要约;(ii)消费者报告机构已遵守第(e)款;和(iii)消费者实际上没有选择根据(e)款,但是其姓名和地址排除在代理商根据此提供的名称列表中。而该报告的第1681b(e)条赋予了消费者选择退出未授权对外提供报告的权利,即如果消费者通过电话通知报告机构,该退出效力应持续两年,然后到期。 如果消费者通过以下方式通知提交已签署的退出表格通知消费者报告提供机构,则该退出在消费者另行通知之前持续有效。

[28] FCRA,第1681c(b)条。

[29] 零壹财经,详解央行首批金融科技试点项目:入选依据、技术运用及机构亮点,https://www.chainnews.com/articles/897264150003.htm

[30] 高少华. “可用不可见”技术有望成数据保护新趋势[EB/OL]. http://www.xinhuanet.com/fortune/2019-08/29/c_1210261495.htm. 2019-08-29.

[31] 区块链让数据“可用不可见”,支付宝隐私保护引入技术保障[EB/OL]. https://www.lieyunwang.com/archives/461074. 2019-11-25.

[KWM1]请更换图片