在德国生活的人恐怕早晚都绕不过一家叫做SCHUFA的私营征信机构,该机构从银行交易中收集大量数据,并利用这些数据来计算个人消费者的信用等级。基本分值从0%到100%,描述的是个人履行其财务义务的可能性。分数越高,信用度越高。经常逾期支付账单和经常收到催款通知的人评分较低。SCHUFA将在消费者与服务提供商签订合同和交付货物之前,向其合作伙伴(包括银行和邮购公司、移动电话供应商和能源供应商等)提供消费者的信用评估。如果服务提供商依赖于这种信用评估降低自身风险,就可能导致信用评分较低的消费者无法获得贷款或优惠合同。欧盟最高法院今日裁定,SCHUFA对消费者信用的评估不得对个人信用起决定作用。
位于卢森堡的欧盟最高法院今天就德国征信机构SCHUFA信用评分的判决,起因来自于德国威斯巴登行政法院将一位消费者因其SCHUFA信用评分太低而被拒绝贷款的案件提交至欧盟最高法院,并请求欧盟最高法院明确SCHUFA与《欧盟通用数据保护条例》(GDPR)之间的关系。该案件当事人要求SCHUFA删除存储的一项关于她的记录并允许她访问数据。SCHUFA向她提供了她的信用评分和计算信用评分的一般信息,但没有提供确切的计算信用评分的方法。
关于需要明确SCHUFA与《欧盟通用数据保护条例》之间的关系的背景如下: 2018年5月25日《欧盟通用数据保护条例》在欧盟成员国中正式生效执行。GDPR堪称目前全球范围内最严格、影响力最广泛的个人数据隐私保护条例。《欧盟通用数据保护条例》第22条第1款明确规定,数据主体(即数据所有人)有权不接受仅(!)基于自动处理(包括客户画像分析 - 即Profiling,信用评分可以视为一种对消费者的消费行为的画像分析)做出的对其产生法律效力或类似重大影响的决定。消费者作为包括其信用评分数据在内的数据所有人应可依据此法律条款不接受服务提供商(如银行)仅根据消费者的信用评分决定是否与之签订服务提供合同(如提供贷款)。
欧盟最高法院的法官称:在这一具体案件中,必须假定一切(关于发放贷款的决定)仅取决于消费者的信用分数。因此禁止自动收集(消费者的信用)数据。因为这种对消费者的客户画像分析(Profiling)可能会对当事人造成歧视。
SCHUFA在对法院判决的初步回应中表示,其工作方式不会受到限制。对于银行和其他查询消费者信用评级的公司而言,信用评分并不是消费者能否获得某些合同的唯一原因。尽管在这一点上仍然存在争议 (即上述《欧盟通用数据保护条例》第22条第1款中规定的,对消费者产生法律效力或类似重大影响的决定是否仅基于自动处理做出),欧盟最高法院今日也已发出明确信号:只有在非常严格的条件下,才允许对消费者个人进行数据收集和信用评分。如果 SCHUFA 的客户(例如银行)在其是否与消费者签订合同的决策中赋予消费者的信用评分"决定性"作用,则SCHUFA的评分违反了《欧盟通用数据保护条例》。因为根据《欧洲通用数据保护条例》上述规定,重要决策不得仅依据自动处理的数据做出,即在没有人工参与的情况下做出。
不过,欧盟最高法院也明确表示,在特殊情况下可以允许这种做法。例如,如果各欧盟成员国国家立法者颁布了一项例外规定。德国《联邦数据保护法》中就存在这样的例外规定。
欧盟最高法院的上述判决结束后,德国威斯巴登的行政法院现在必须着手处理德国《联邦数据保护法》中的相关法律条款,即关于基于自动处理个人数据而做出的重大决策的例外规定本身是否合法的问题。如果德国行政法院最终裁定该例外规定违反了《欧盟通用数据保护条例》,那么目前SCHUFA的信用评分将不在任何合法的例外规定的范围内。因此,如果服务提供商仅以消费者的信用评分为依据做出是否与消费者订立合同的决定,则该信用评分将是违法的。
参考链接:
https://www.tagesschau.de/wirtschaft/verbraucher/schufa-kreditwuerdigkeit-eugh-100.html
https://www.tagesschau.de/wirtschaft/verbraucher/schufa-score-eugh-100.html