综合信用服务公平性的提升
信用服务公平性的提升体现在信息采集、加工和应用的全过程。商业信用信息加工价值的提升得益于数据的汇集,但数据汇集产生的相关关系可能导致不公平的结果。信用信息的采集应当具有比较明确的范围,禁止综合信用服务机构采集明显无关的信息,尤其是歧视性信息。
例如,与宗教、病史相关的信息,很容易造成信用歧视。为促进信用服务的公平性,应从采集的环节入手,禁止歧视性信息的采集,并对敏感信息的采集进行周密的风险评估。
此外,在信息处理过程中,由于算法技术的专业性、复杂性和不透明性,公众很难接近、发现影响排序的权重比例和影响因子,很容易忽视算法歧视的现象和影响,也很难去纠正算法不公引发的问题。
事实上,任何算法都有很强的目的性和市场利益。信用服务通过数据分析处理,对个体做出更客观的信用评价,从而促进“守信激励、失信惩戒”制度的更好落实。在信用服务的过程中,算法公平是指不能通过歧视性的因素或不合理的权重而排除被评价者的基本权利。由于算法的黑箱特点与决策透明性相矛盾,因此当个体受到不公平对待时,也很难提出有证明力的证据。除了信息采集和加工过程的公平性,信用服务机构还应做到应用的公平性。信用评价结果应符合相对范围内的可比性要求,相同的分析结果应当适用相同的交易条件。
传统金融征信主要应用于信贷领域,较为常见的是因信用信息存在错误对信息主体公平信贷权利造成影响;而综合信用信息的应用范围除信贷领域外,还进一步延伸到社会生活的各个方面,如果信用评估分数是基于不准确、不全面的数据而得出的,则信息主体的信用权益将无法得到保障。
信用信息准确性的提升
信用信息的准确性体现在真实性和相关性两个维度。信息的真实性是公信力的一个重要来源。所谓真实性是指个人信用信息应当是客观真实的,与客观事实相一致,数据所反映的信息都是以客观事实为基础的,不存在篡改数据、弄虚作假等情况。信息的真实性是保证信用服务业务顺利进行的基础,也是维护当事人合法权益的前提。但目前的商业信用信息应用还未形成市场秩序,信息质量参差不齐。
综合信用服务机构的信息主要来源于各自企业的网站、交易、用户行为等,信息采集标准不统一,信息质量和权威性无法保障,对违约行为的认定标准不规范,对于争议数据则缺乏合法有效的异议处理和追溯更新机制。
因此,保障信息真实性,首先需要一个完善的内部信息控制制度,包括对个人身份的审核、信息采集合法性流程以及内部信息防篡改机制等。信息真实性要求综合信用服务机构基于个人的真实意愿,并在用户知情同意的前提下采集相关信息,而不是采集可能被篡改的二手信息。在真实性基础上,信用服务机构要做到对信息及时更新,保持信息相对于当前被评价者的情况来说,具有真实性。
其次,用户应有权要求更正或删除不准确的个人信用信息。信息更正权,是指本人得以请求信息处理主体对不正确、不全面的个人信息进行更正与补充的权利。对于更正权我国《征信业管理条例》已有明确规定,综合信用服务机构应达到同等的权利保障水平,并给予用户更便利的异议和更正途径。相关性是指信用信息与特定主体相关、与评价场景相关。如果信用信息不具有相关性,即便信息本身是真实的,也无益于准确性的提升。
信用信息安全性的提升
信息市场(尤其是信用信息市场)涉及的主体较多,其信息安全、隐私保护等问题应得到重点关注。信用信息的安全性包括法律上的安全和技术上的安全,这两个方面可大致理解为信息主体权益的保障和信息本身的安全,二者相辅相成。
法律安全要求建立市场秩序以防止信息滥用、防止信息主体权益被侵害。技术安全则要求综合信用服务机构采取技术控制等措施,检测和防止数据的篡改、泄露和未经授权的访问。
在我国现有的法律法规中,除《网络安全法》《民法总则》之外,大部分都是区域性文件,效力级别较低。因此,综合信用服务机构应根据已有的法律以及行业自律规范,结合自身的业务模式,建立信息风险评估制度。谨慎评估的对象不仅限于信息使用情况,也包括信息安全基础设施建设情况。
《贵阳市大数据安全管理条例》第20条规定:“数据安全责任单位应用和处理数据,可能产生涉敏涉密数据的,应当依法自行或者委托符合条件的机构进行安全风险评估。”该条规定体现了数据使用者责任原则。由于立法不可避免的滞后性,风险评估制度是一种现实选择。风险评估义务能更好地促使综合信用服务机构对信息的应用进行冷静的思考和衡量。在统一的信息保护法出台之前的过渡阶段,风险评估制度能引导综合信用服务机构遵守信息采集、处理和使用的秩序,弥补规则固化的缺陷。
近几年个人信息被滥用的案件频发,个人信息泄露的问题已备受关注。确保信息安全与保障信息主体权益具有一致的价值目标。在个人信息权利方面,学界已有一定数量的研究成果。信息之上承载着人格和财产利益已基本成为共识。以权利内容为标准,信用主体的信息权利可大致分为人格权与财产权。由于个人信息主体财产权的内容尚未明确,且在一般情况下网络经营者并不会因为搜集信息而向用户付费,因此保障信息主体权益的重点在信息人格权。
信用主体的人格利益主要来源于两个要素:个人拥有的人权、信息内容所承载的人格利益。信息人格权包括知情同意权、访问权、修改权、删除权等。各项权利功能在不同国家的立法中,其术语略有不同。
例如,保密权、查询权可以包含在知情同意权之中,删除权和被遗忘权也存在语义上的交叉。有些权利是贯穿于数据采集、处理、传输、应用全过程的,有些权利只存在于信息生命周期的某一个或某几个环节。
知情同意权包括知情权和同意权,知情是同意的前提,同意是知情后的选择。知情同意权的构建应贯穿信息采集、信息处理、信息使用等环节,并合理采用积极同意与消极同意相结合的方式来保证信息主体的利益。信息修改权贯穿于数据流通和使用的全过程。
信息人格权中还包括被遗忘权。被遗忘权、信息自决权、删除权、拒绝权等权利在语义上存在交叉。《中华人民共和国个人信息保护法(草案)》(2017版)同时规定了信息删除权和被遗忘权。传统意义上的个人信息权属于人格权,但从数据平台的发展和数据交易业务的实践可以看出,信息人格权无法完全归属于民事权利体系,需要商业秩序的确立和行政执法的干预。况且,人格权的保护向来不是一个纯私法领域的问题,而是具有明显的公法层面的制度诉求。因此,信息人格权的实现也无法仅仅依靠私法秩序。综合信用服务机构应通过信息处理规则、信息内控制度等一系列措施,来保障用户信息权利。