在强调大力发展数字经济和个人信息保护的双重背景下,为了更好地平衡个人信息的保护和利用,以联邦学习、多方安全计算等为代表的隐私保护计算技术迅速落地适用,金融联合风控成为金融行业数字化转型的具体表现。金融联合风控虽然在技术上能实现个人信息不出域的要求,但由于目前个人信息处理规则较为原则且没有体现金融风控业务特征,因此在处理个人信息时可能面临保护和利用失衡问题。由此,需要从个人信息全生命周期视角,通过完善金融领域个人信息收集知情同意豁免规则、优化调整金融联合风控个人信息使用目的限制规则、构建金融联合风控信息传输规则等来实现金融联合风控中个人信息处理的利用和保护目的平衡。
一、问题的提出
金融机构传统的风险控制手段普遍存在着过度依赖手工、人力完成,审批决策基本靠经验,决策的准确性和效率性都很难得到保证,在一定程度上也造成了风险事件的发生,可以说传统风控手段已经远远不能满足现代金融机构对风险管理的精准度风控需求。数字经济背景下的金融业作为典型的数据驱动行业,客户个人信息是金融企业赖以管理和控制风险、设计和营销相关金融商品与服务的重要依据。丰富、多维的个人信息和数据能使得金融机构更加全面与客观地对客户形成“金融画像”,并对客户未来的行为和金融机构自身的交易安全进行合理预测。由此,金融联合风控需要通过处理个人信息配合人工智能、大数据、云计算等技术才能实现有效提升金融机构的风控效能。
个人信息保护法第1条明确规定“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法”。由此可见,个人信息立法普遍强调安全与发展等重要价值,涉及信息权保护与利用等重要问题,体现了个人信息保护与利用平衡的理念。但在不同的场景中,个人信息保护与利用目的侧重仍可能会存在差异,如在公共卫生事件场景下个人信息趋于公开化和政府公权力全面扩张,个人权利相对克减,因此特定场景中个人信息处理规则也应当相应的调整,如在突发公共卫生事件下国家机关处理个人信息的特别规定等。
具体到金融联合风控业务中,一方面,在金融服务法律关系中,双方市场地位较为悬殊,金融机构相对于客户一方具有较强经济地位,金融机构在个人信息处理时也因此相对更具优势,此时需要强调对个人信息主体的保护;但另一方面,金融业是现代经济体系的重要组成部分,金融风险控制不仅仅关涉具体的金融法律关系双方当事人利益,其中的个人信息处理也更频繁地与社会公共利益联系起来,此时则需要个人信息主体对权利的合理让渡以实现信息利用。因此有必要结合平衡个人信息保护与利用的立法目的及金融联合风控的业务特征,从个人信息的收集、使用、传输等信息全生命周期视角,对相应的个人信息处理规则进行重新审视,完善金融联合风控中个人信息处理法律规制。
二、金融联合风控中个人信息处理规则立法目的衡量分析
(一)个人信息收集中知情同意原则的适用
个人信息收集是处理个人信息的开端,对于个人信息的收集,我国法律、法规和规范性文件基本秉持着知情同意原则,所谓“知情—同意”,即个人信息的收集或者利用者应明确告知当事人相关情况并征求其同意的意愿。个人信息知情同意常被认为是传统个人信息自决权的典型表现。当然也有学者认为在目前数字经济背景下传统知情同意规则已出现失灵现象,导致这种失灵的原因在于个人信息收集时则主要体现在:其一是信息收集者的信息保护政策冗长烦琐,给个人信息主体造成了阅读麻烦与障碍。信息主体体现出来的更多是一种形式上的同意。其二则是由个人信息收集者和信息主体间的市场地位悬殊造成的,如金融机构可将隐私条款与具体的服务合同捆绑在一起,出现类似于“强买强卖”的现象,如果信息主体不同意收集个人信息则无法享受相应金融服务。即便如此,法律构建的个人信息知情同意模式仍然对个人信息收集者施加了较严格的责任。
当然在数字经济时代,为实现个人信息的保护与利用并重,个人信息保护法则对知情同意模式设定了相应的例外情形,即构建了知情同意豁免规则,集中体现在个人信息保护法第13条第1款中。如此规定体现了私人的信息控制权与公共利益、合法商业利益之间的冲突与平衡,要求私人信息控制权需要在一定的范围内让步。
知情同意原则和知情同意豁免规则的设置体现了个人信息收集中保护和利用目的的平衡,但在金融联合风控场景下则可能将面临失衡的现实困境。首先,金融联合风控机构收集个人信息开展风控管理是否属于个人信息保护法第13条所规定的例外情形,此时对个人信息的收集和利用是否需要信息主体的知情同意。如商业银行在贷款前收集个人信息进行金融联合风控,根据商业银行法第35条规定“商业银行贷款,应当对借款人的借款用途、偿还能力、还款方式等情况进行严格审查”。从这个意义上说,在数字化转型背景下,商业银行在贷款合同成立前通过收集并利用个人信息进行金融联合风控,或者将金融联合风控的积极结果作为订立贷款合同的必要条件,已经不仅仅是商业银行本身的商业利益考量,更已成为特定金融法上的法定义务,因此该情形下收集个人信息可以说是属于“为订立个人作为一方当事人的合同所必需”或“为履行法定职责或者法定义务所必需”。其次,如果金融联合风控下的收集个人信息属于第13条第1款所规定的知情同意豁免情形,仍需进一步论证的是从金融机构和客户的利益衡量角度来看这种个人信息收集豁免是否具有应然性。金融机构的风险控制的确不仅仅是金融机构债权资产的安全性,从金融系统整体考量更涉及金融安全问题,但个人信息保护法中公共利益的内涵外延模糊容易导致因公共利益泛化滥用侵犯个人信息权益,且在金融产品交易法律关系的不同阶段,并非所有金融机构的业务行为都必然附加公共属性,可能仅仅关涉金融机构的商业利益。更进一步的是参与金融风控的机构不仅仅是金融机构,还包括其他各类机构,如果这些机构都将其收集个人信息的行为归结于金融联合风控需求而适用知情同意豁免规则,收集、利用个人信息的知情同意一般原则将大幅度被架空,同时也将进一步扩大金融市场双方的悬殊地位,引发个人信息保护与利用的失衡。
(二)个人信息使用时的目的限制
目的限制是个人信息使用的基本规则,有学者甚至将其奉为个人信息保护中的“帝王条款”,其要求个人信息处理者在后续的信息使用过程中不得超过信息收集时的目的。根据个人信息保护法第6条可知目的限制规则包含两个方面,即目的明确与使用限制。前者指收集个人信息应当具有明确、合理的目的,不得过度收集个人信息;后者指个人信息的使用应当与初始目的直接相关,如果信息使用行为超出了初始目的则为法律所不许。同时我国采取的是较为严格的目的限制规则,体现在第14条第2款规定“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意”。目的限制原则的设立,在相同或者直接相关的使用目的下免除了个人信息处理者重复告知同意义务,降低了信息处理者的运营成本,也减少了对个人信息主体的“同意”骚扰。同时,在信息使用目的发生变更时,也能使个人信息主体及时知悉个人信息使用情形,并能决定信息使用的目的和方式,保护自身的信息安全。
虽然如此,但目前个人信息保护法对于目的“明确”“合理”的衡量并未设定清晰的标准,不同论者对其可能有不同的认识。有学者认为我国目前对于目的限制采用的是“直接关联”标准,也有学者认为应当体现为目的“特定”标准,相较而言后者对目的限制更为严苛,其表明对目的有更为具体的限定。而体现在实践中,企业更多地会偏向前者,一般会尽量用模糊、宽泛的词汇来表述其约定目的,以此来阻却对个人信息处理者信息侵权的认定。当然从发展数字经济的现实角度来看,将信息处理目的限制在非常狭窄、具体的范围内与数字化时代多维使用个人信息的趋势并不适应,信息处理者在后续的信息使用中会或多或少地偏离信息收集时的目的限制,因此现有个人信息目的限制规则在一定程度上有利于个人信息的后续合理使用。
但运用到金融联合风控场景中,在个人信息处理目的上的抽象合理要求则可能因为无法准确限制个人信息使用范围而导致金融机构和客户之间合法权益的失衡。一方面,金融联合风控虽然名称中含有“金融”,也为金融机构提供风控服务,但其使用的个人信息并不完全仅限于个人金融信息。在数字经济时代,信贷市场出现新形态,消费金融、普惠金融等金融科技的创新模式发展迅速,第三方支付、网上借贷、社交媒体、公用事业缴费等替代数据开始应用于征信领域,成为传统信贷信息之外判断借款人偿债能力和偿债意愿的重要依据。因此单纯从抽象合理的目的限制规则来看,其他参与机构基于金融联合风控目的而使用上述替代数据,与个人信息收集时的初始目的在很多情形下可能是广义上“相关的”或者“兼容的”。另一方面,金融服务已经不仅仅单纯属于一般的商业活动,更成为人们充分参与现代经济生活和社会生活必不可少的部分而具有一定的公共事务属性,在一些场景下学者们已经将其上升到金融人权的高度来进行讨论。由此如果基于抽象合理的目的,相关参与机构使用与金融业务完全不相干的个人信息,或者根本无关个人信用的个人信息对信息主体的金融风险进行判断并影响相关主体的金融权益,可能导致金融机构利用自身经济和信息的优势地位不恰当地限制信息主体的合法权益。
另外,理论界对于是否应区分一般个人信息和敏感个人信息进行差异性保护存在较大争议,其中一种观点就认为个人信息“敏感性”的判断标准不够具体,且以是否存在敏感性为标准对敏感与非敏感个人信息进行区分,容易陷入循环定义的困境。但我国个人信息保护法已对个人信息采用了分类保护的模式,即按照敏感程度的不同,将个人信息分为一般个人信息和敏感个人信息。就个人信息使用目的限制规则而言,敏感个人信息的目的限制与一般个人信息的要求也存在一定的差异。个人信息保护法第28条规定:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”由此可以看到,对于敏感个人信息来说,其使用目的要求是“特定”而非“明确、合理”,且在条文中并没有留下对其他目的“兼容”的可能性。虽然个人信息保护法也同样没有给出判断目的特定的标准,但相关学者一般认为目的特定对于目的描述的精确性程度更高,范围更加具体、狭窄,由此可见我国目前对于处理敏感个人信息的立法目的更偏重于保护而非利用。但如果在金融风控中要求敏感个人信息使用目的绝对特定,且形式上也不容突破,则可能导致再次形成个人信息利用与保护之间的失衡状态。就个人金融信息来说,法律虽然仅明确规定金融账户信息属于敏感个人信息,但也有观点认为个人金融信息不仅仅是金融账户信息也应该属于敏感个人信息。根据《中国人民银行金融消费者权益保护实施办法》第28条规定:“本办法所称消费者金融信息……包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。”而相关机构在收集这些个人金融信息时可能并没有明确基于风险控制的特定目的,或者是基于其他有直接关联的目的,比如《中国银行股份有限公司收集银行隐私政策》中明确基于评估贷款资质的目的,中国银行将收集、使用上述相关金融信息,但“贷款资质的评估”和“事先的金融风险控制”是否完全相同,或者基于贷款资质评估目的收集的金融信息是否可以用于贷款后的金融风险控制,如果基于特定目的限制和严格的形式相符要求,基于贷款资质评估目的而收集的敏感个人信息可能不会被允许使用于金融风险控制目的中,但很明显在很大程度上又不合理限制了该类个人信息的正常使用。
(三)金融联合风控信息传输中的规则适用
金融联合风控场景下,出于业务合规的考量,相关机构间不再相互直接提供可识别个人信息,但相关机构间为了实现风控目的仍需要有相关信息的传输,由此可能引发的问题是在现有个人信息传输规则语境下在金融联合风控中能否实现个人信息保护与利用的立法目的平衡。我国对个人信息进行了相应的划分,即区分为可识别个人信息、去标识化个人信息以及匿名化信息,具体的法律规定体现在:个人信息保护法第4条、第73条以及民法典第1038条相关规定中。由此可见,可识别个人信息和去标识化个人信息都属于个人信息,应当接受个人信息保护规则的约束。在个人信息的传输过程中,根据《个人信息保护法》的相关规则要求个人信息处理者“应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意”。个人信息的现有传输规则中再次强调了信息主体的知情同意权利,较为明显地体现了对个人信息的保护。对于匿名化信息则因为已不属于个人信息而不受个人信息传输规则约束,对该类信息则更体现出利用的立法目的。但是应当看到,目前《个人信息保护法》中仅仅是对可识别个人信息、去识别个人信息以及匿名化信息的概念进行了初步界定,三者的划分标准和具体规则仍处于空白状态。反映在司法实践中对特定信息是否属于匿名化信息也存在较多分歧,如早在2014年的“cookie隐私第一案”中原被告曾就cookie信息是否属于个人信息产生了不同的看法,最终法院也是认可了cookie信息不能被认定为个人信息的观点。更为重要的是2021年7月,中国人民银行在约谈13家机构时提出:“平台机构在与金融机构开展引流、助贷、联合贷等业务合作中……须实现个人信息与金融机构的全面‘断直连’。”相关的规定在中国人民银行2022年出台的征信业务管理办法中也有所体现。据此,如果金融联合风控结果信息仍然属于个人信息范畴,相关参与机构如无牌照无论信息主体是否同意,都不能适用个人信息保护法的相关信息传输规则,将处理风控结果信息提供给金融机构,此时体现出对个人信息主体的绝对保护,但合理的金融联合风控也可能将受到较大的限制。
另一方面,如果风控处理结果信息属于匿名化信息,因为匿名化信息并不属于个人信息,因此也将不适用个人信息保护法中有关个人信息传输规则,相关参与机构则可以不受限制地将处理结果信息提供给金融机构,凸显出对个人信息的利用目的。但值得注意的是在大数据时代,匿名化在一定程度上已成为失败的承诺。创建真正的匿名数据集将非常困难,技术处理后的匿名数据仍然存在被再次识别的剩余风险,任何一项测试技术都不能保证匿名化的效果。如果对匿名化信息的使用、传输不加以任何规制,相关机构很可能利用技术手段及其市场地位优势使匿名化信息重新识别为个人信息,并在处理个人信息过程中突破信息主体的合理预期,增加信息主体合法权益被侵害的风险,也使得此时过于凸显利用个人信息的立法目的而疏于保护。
三、金融联合风控中完善个人信息处理法律规制建议
上文从立法目的角度分析了在现有制度语境下金融联合风控的个人信息处理可能面临的保护与利用目的失衡,体现了完善相关法律法规应对数字化转型的迫切需求,具体完善对策主要体现在以下几个方面:
(一)完善金融领域个人信息收集知情同意豁免规则
个人信息保护法中知情同意豁免机制是个人信息保护与利用目的平衡的缓冲工具,其中一项即为“为订立、履行个人作为一方当事人的合同所必需”,该规定借鉴自欧盟《通用数据保护条例》,即该条例第6条第1款b规定:“处理是数据主体作为合同主体履行合同之必要,或者处理是因数据主体在签订合同前的请求而采取的必要措施”,对比欧盟和我国目前的规定,可以发现我国知情同意豁免规则在该项有所扩大,即不仅仅是履行合同所必需还扩展到了订立合同所必需。如此规定大大提高了知情同意豁免规则的适用可能性,但在金融联合风控场景中,有可能导致个人信息保护与利用立法目的的失衡。个人信息保护法第13条第1款第7项对于其他法律、行政法规有例外授权规定,因此可以此为依据在个人信息保护法框架之外完善金融领域的知情同意豁免规则。
就金融联合风控而言,第一,应当在相关法律法规中明确合同订立阶段的需求不能成为金融联合风控参与机构收集个人信息知情豁免的合法事由,如需收集、利用个人信息则应当经信息主体同意后才得允许。理由在于:首先,虽然商业银行法规定了金融机构贷款前对借款人偿还能力等情况的审查义务,但这种审查义务并不必然能得出需要收集个人信息的推论,其还可以通过其他的方式来实现。因此合同没有合法成立前,处理者既不负法定的也不负约定的履行合同的义务,其不存在可以排除适用告知同意规则而处理个人信息的确定的正当利益。其次,在金融合同订立过程中,会存在谈判、合同准备及类似的交易接触等不同阶段,在这些阶段相关主体可能并未有清晰的要约或者承诺的意思表示,例如借款人进入金融机构场所对贷款服务进行了解,从合同订立阶段的划分来看,借款人已经有订立金融合同的意图,已经可以认定进入了合同准备阶段,但如此一来任何进入金融机构场所或者网站的信息主体都将面临强制收集个人信息的窘境,此举无疑是不合理的。再次,在现代金融法律关系中,金融机构是固定一方当事人,其相对于个人信息主体来说越来越呈现出悬殊的市场地位,在订立合同过程中,其本身就可以利用市场优势地位在收集个人信息上具有更优主动权,如果将知情同意豁免适用于金融合同订立过程中,毫无疑问将把金融机构的优势市场地位推向绝对,其可能运用其市场地位架空知情同意规则,且信息主体不仅无从知晓个人信息的处理情况,更无法通过行使个人信息撤回同意权及时止损,信息主体的信息自决权也将受到极大的侵害。
第二,应当在相关法律法规中明确金融服务中的风险控制应为合同履行阶段所必需事项,可以适用个人信息知情豁免规则,原因在于:其一,金融合同与其他民商事合同一个突出不同在于风险是构成金融合同的关键要素,金融工具的利率和风险的高低紧密挂钩,即风险越高,要求的受益补偿越多。同时金融风险更和金融机构的履行合同意愿息息相关,风险较高则意味着金融机构可能将承担较大损失或者其收益与风险不匹配,必然将导致金融机构不愿履行合同。由此,对风险的控制可以说是金融合同的“必要之点”。其二,金融机构一旦履行合同将失去了对相应金融资金的控制,在现代公司有限责任及个人财产责任制度下,金融机构相对于客户的市场优势地位将大幅减弱或消失,一方面涉及风控机构的财产安全,另一方面在金融资金无法偿还的情况下还可能涉及以金融稳定为代表的潜在公共利益,因此合同履行阶段所必需的金融风控应当成为个人信息知情豁免的合法事由,但需要明确的是,为了防止风控机构对个人信息的滥用,还应当规定其必须进行平衡测试,证明收集个人信息的合法利益高于信息主体的信息权益,且还应当就平衡测试接受信息主体、监管机构的监督。
第三,应当在相关法律法规中明确在发生或者可能发生金融风险的情况下可以适用知情同意豁免规则。在发生金融风险的情况下,与个人信息主体权益发生冲突的就不再是风控机构的商业利益,而是现实的公共利益,且鉴于现代金融在经济中的重要性,应当确立金融公共利益优先于私人信息权益的价值秩序。虽然目前在个人信息保护法第13条第1款的相关规定中也有涉及,但并不明确,如第4项中“紧急情况下为保护自然人的生命健康和财产安全所必需”,该条并未明确“紧急情况”和“紧急状态”的区别,且“紧急情况”并非严格法律用语,可以在相关法律法规中将发生金融风险和可能发生金融风险明确界定为“紧急情况”,并进一步对发生和可能发生金融风险的标准进行细化。
(二)优化调整金融联合风控个人信息使用目的限制规则
首先,应当对一般个人信息的使用目的限制进行合理限缩,在金融联合风控场景下使用一般个人信息应当是与其初始目的直接相关的。个人信息保护法虽然也明确了“直接相关”,但对于关联性的标准却没有具体给出,也导致在实践中可能存在直接关联性泛化的趋势。个人信息保护法颁布后,个人信用信息的形式范围因为受到上位概念的影响而扩张,倾向于通过多种形式来对个人信用信息进行非结构化、动态化的多维度展示。尤其是其中的替代数据范围更无法确定,如2020年中国人民银行在“长三角征信一体化”工作推进现场交流会上曾明确提出利用替代数据为金融和经济活动提供信息管理服务,在本质上属于征信活动,需要纳入征信监管。由此,笔者认为金融联合风控中使用一般个人信息与其初始目的之间的直接关联性应当体现为能通过使用个人信息对信息主体的信用进行判断,即如果个人信息的初始使用目的可以体现出对信息主体的信用判断,则在金融联合风控场景中使用该一般个人信息应该是不违反目的限制规则的;而如果个人信息的初始目的根本不能对信息主体进行信用判断,则金融联合风控场景中使用应该是违反目的限制规则。因为个人征信信息和一般的公共信用信息还存在较大的区别,个人征信信息的用处和目的较为单一,即判断个人的信用状况、履约可能性,不应当附加社会管理功能。人们的各种活动都可能信息化,这些个人信息有很多可能和个人信用、履约判断并不相关,比如个人的网络访问数据、地理位置数据等,以这些个人信息来判断个人的信用状况并不妥当,更为重要的是要防止相关主体利用不适格的个人信息对信息主体进行金融处罚、二次处罚。
其次,应当对敏感个人信息特定使用目的限制进行合理必要扩张。从目前规则来看,由于敏感个人信息与个人权益的紧密关联性,因此在目的限制方面采用了更严格的要求,即不仅要求使用与初始目的要“明确、合理、直接相关”,更要求后续使用是满足目的特定要求的,当然对于“目的特定”的具体内涵,个人信息保护法并没有进一步细化。从前文的分析可知,如果对“目的特定”进行严格解释将使敏感个人信息使用限制在非常狭窄的范围内,不利于在信息的利用与保护间形成平衡,由此需要对敏感个人信息使用的特定目的进行合理的扩张性解释。
具体表现在:第一,使用敏感个人信息的场景应当特定。海伦·尼森鲍姆教授提出的“场景完整理论”,要求个人信息的合理保护应当置于相应的场景之中进行具体审视,以免作出脱离应用场景的预判,并以信息主体在特定场景下的合理期待为标准,来衡量信息控制的合理性。相对于较为抽象的信息使用目的来说,应用场景与信息未来可能的使用情形联系更加紧密和生动形象,信息主体也能更准确对未来可能面临的风险进行有效预期。以前文论及的评估贷款资质和金融风险控制为例,两者从目的表述来看可能不能完全归为同一特定目的,但从应用场景来看,两者可统一于特定的金融贷款场景中,可以说将信息主体允许使用于评估贷款资质的敏感个人信息应用于金融风险控制中并没有超出信息主体的合理隐私期待。
第二,使用敏感个人信息可能产生的风险应当特定。“目的特定”要求的一个重要功能在于保持敏感个人信息使用过程中的风险状态相对稳定,突破“目的特定”要求地使用信息可能造成信息主体面临风险类型的变更以及整体风险状态的提升。因此风险特定的要求主要体现在两方面:一方面是要求可能造成的信息权益侵犯风险类型应当是特定的,不能在使用敏感个人信息时出现风险类型的变更。另一方面是要求可能造成的风险侵犯程度整体保持稳定,不能因为信息的使用而不合理增加信息主体合法权益被侵犯的风险。
第三,使用敏感个人信息的利益衡量应当特定。在不同利益产生冲突时相关主体将进行一定的衡量,以实现个人信息利用与保护的平衡。不同类型的利益冲突将导致不同的个人信息处理结果,如在促进公共利益相对私人利益更为突出的情形下,则可能相关主体为了公共利益而使用个人信息。在对商业机构利益与信息主体利益进行衡量时,则可能结果偏向于保护信息主体的合法信息权益。这也意味着当利益衡量发生变化时,原有信息处理结果的基础将不再存在。如金融监管机构基于特定目的,在取得信息主体同意后可以在金融风险控制的特定场景中使用信息主体的敏感个人信息,但这背后实际蕴含着公共利益与私人利益的衡量。在此情形下,即使金融风险控制的场景特定,也基本不涉及风险侵犯类型和程度的增加,但如果金融监管机构将敏感个人信息使用于金融机构发起的金融联合风控中则并不妥当,因为过程中原有利益衡量发生了变化,对于金融机构的金融分控而言更多涉及的是商业利益与私人利益的衡量,其相对于信息主体并不存在优位利益,由此也难言合理。
(三)构建金融联合风控信息传输规则
首先,要进一步细化个人信息保护法中匿名化信息法律标准。个人信息保护法对匿名化信息采用了“无法识别+不能复原”双重标准,看似较为清晰,但由于我国目前尚未出台有关匿名化的规范细则,个人信息保护法中的匿名化信息可能面临实际的操作困难。不同国家和地区有不同的匿名化信息认定规则,如有“一般人标准”“处理者标准”“专家标准”“入侵者标准”以及“任何人标准”。本文认为采用处理者标准更为合适,即以信息处理者的识别能力作为判别匿名化的基准。因为个人信息的处理本就由信息处理者实施,以信息处理者的识别能力进行判断合乎情理。在此判断标准下,金融联合风控模式中结果信息应当属于匿名化信息。如在以联邦学习为底层技术的金融联合风控模式中,参与机构间相互提供的是有关算法模型的梯度数据和权重参数等,虽然也有研究显示在技术层面可以从算法的梯度数据、权重参数等逆推出原始数据,但这种逆推一般要求入侵者付出“不合理努力”才有可能实现,而其他信息处理者一般不可能得知个人信息,因此对此其应当认定为匿名化信息;而对于以多方安全计算为底层技术的金融联合风控模式中,参与机构间需相互提供计算因子,但该计算因子经过了加密且经过数据处理后与原始数据完全不同,和最后风控结果也不相同,参与方虽然可以根据输出因子结合多方安全协议得到期望的风控结果,但在安全模型设定下,参与方无法通过计算因子逆推到原始的个人数据,也可认定为匿名化信息,金融联合风控信息的传输并不适用个人信息保护法中有关传输规则,因此风控参与机构将金融联合风控信息传输给金融机构也应为合法行为。
其次,应当进一步完善匿名化信息的传输规则。目前匿名化信息的传输规则基本处于空白状态,有必要进一步完善匿名化信息的法律规制。具体来说:一方面,应当设置匿名化信息的安全港规则。虽然监管机构要求金融机构和其他机构在2023年6月30日前完成个人信息的“断直连”工作,但因为金融联合风控信息的匿名化信息定位能使其传输并不违反现有监管要求,因此金融联合风控参与机构对金融联合风控信息的传输应不用再作额外审查或同意。这样不仅提高了金融风控的效率,同时在现有征信持牌机构数量无法适应海量征信市场的情况下满足了市场的需求。另一方面,需要对匿名化信息传输过程中的再识别风险需要进行必要限制,如从匿名化信息提供者角度来看,要构建匿名化信息的风险评估机制,即匿名化信息提供主体应结合匿名化信息使用主体、使用目的、使用范围、使用频率等维度对需要传输的匿名化信息进行动态评估,包括对可能风险与损害的分析,通过仔细评估数据环境并采取预防措施来管理风险。又如从匿名化信息接收者角度来看,需要在法律上明确规定匿名化信息接收者负有禁止重新识别到特定主体的行为,否则即适用对个人信息的处理规则。当然为落实该项义务,还可以从匿名化信息处理流程公示、违法责任的分配以及举证责任的倒置等方面来予以保障。