歐洲數據保護機構本周四發布建議[PDF],不應該將搜索查詢和互聯網瀏覽歷史等個人數據用於公民徵信和相關評估。該建議來自歐洲數據保護監管機構 (EDPS), 該機構是一家隸屬於歐盟的獨立機構,負責“就與個人數據處理相關的所有事項”向政策制定者提供建議。
在本周四發布的一份文件中,EDPS 認為:“從搜索查詢數據或在線瀏覽活動等數據推斷消費者的信用風險與目的限制,這與公平和透明以及數據處理的相關性、充分性或相稱性原則不相符。因此,EDPS 建議明確將禁止範圍擴大到搜索查詢數據或在線瀏覽活動”。
此外,該機構建議金融和信貸服務提供商也不得使用健康數據,例如癌症數據,以及 GDPR 第 9 條規定的任何特殊類別的個人數據來計算信用評分。該機構補充說:“確保在處理個人數據時遵守相稱性原則也有助於保護消費者免受不公平信貸優惠(例如高成本發薪日貸款)的脆弱時刻”。
EDPS 的這項建議是在歐盟委員會於 2021 年 6 月 30 日提議修訂兩套歐盟規則之後提出的,其中包括更新歐盟關於消費者信貸協議的舊指令 (2008/48/EC)。
值得注意的是,雖然 EDPS 的建議涉及大量主題,但該機構的官員出於某種原因解決了使用在線瀏覽歷史進行信用評估的問題。
也就是說,該機構正在解決去年 12 月發表的國際貨幣基金組織的一篇有爭議的博客文章,其中 IMF 研究人員認為,如果金融評估能夠用非金融數據點來豐富,例如“瀏覽器的類型”和用於訪問互聯網的硬件、在線搜索和購買的歷史記錄。”