基因检测结果被用于信用评分模型是否合规？

基因隐私权 | 信用评分模型采集DNA数据的合规性争议

金融科技的狂飙突进，不断挑战着传统监管与伦理的边界。当基因检测这项揭示生命密码的技术，与决定个人金融可得性的信用评分模型产生交集，一个尖锐的合规性问题浮出水面：将个人基因检测结果纳入信用评分体系，是否符合现行法律法规？是否尊重了人的基本权利与尊严？ 在数据驱动决策日益普遍的今天，这一问题触及了个人信息保护、反歧视、科技伦理以及金融监管的核心。

一、 基因数据的特殊性与法律定位：敏感个人信息中的核心

理解基因数据应用于征信的合规性，首要前提是明确基因数据在法律上的特殊地位。

• 《个人信息保护法》的明确界定： 我国《个人信息保护法》（以下简称《个保法》）第28条将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息，明确规定为“敏感个人信息”。基因信息，作为能够揭示个人生理特征、健康状况、疾病风险、甚至家族血缘关系等最深层生物秘密的数据，其敏感性远超一般的医疗健康信息，是敏感个人信息中的核心类别。处理敏感个人信息需要遵循更严格的规则。
• “单独同意”与“特定目的充分必要”原则： 《个保法》第29条规定，处理敏感个人信息，应当取得个人的单独同意。更为关键的是第13条和第28条体现的原则：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；处理敏感个人信息更应限于具有特定的目的和充分的必要性，并采取严格保护措施。信用评估的核心目的是评估个人履行金融债务的意愿和能力（还款能力和还款意愿），这与揭示个人先天生理特质和健康风险的基因信息之间，缺乏直接的、逻辑上的必然联系。
• 歧视性风险极高： 基于基因信息进行信用评估，存在巨大的歧视风险。某些基因变异可能预示更高的特定疾病风险（如某些癌症、阿尔茨海默病等）。若因此降低个人信用评分，实质上是对其无法控制的先天生物特征进行惩罚，构成基于基因的歧视，严重违背社会公平正义原则，也与我国《宪法》保障的平等权相冲突。

二、 现行征信法规框架：明确排除与基因无关的信息

我国的征信体系有着严格的法律法规约束，其收集信息的范围被明确限定在与信用直接相关的领域。

• 《征信业管理条例》的基石作用： 该条例是规范我国征信活动的核心法规。其第14条明确规定：“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。” 这一条款清晰无误地将基因信息列为征信机构禁止采集的个人信息类别。其立法本意正是为了防止征信活动侵犯个人隐私核心领域，避免造成基于非经济行为因素的歧视。
• 《征信业务管理办法》的细化规定： 中国人民银行发布的《征信业务管理办法》第6条进一步细化了信息采集范围：“征信机构采集信用信息，应当遵循‘最少、必要’原则，不得过度采集。” 同时强调采集的信息应当“与信用相关”。第13条再次重申：“征信机构不得采集法律、行政法规禁止采集的个人信息。” 基因信息明显属于禁止采集的范畴。
• 信用评分的本质要求： 信用评分的核心在于评估基于个人过去和现在的经济行为（如借贷、还款记录、履约情况）所反映出的未来履约意愿和能力。基因信息属于先天的、生理的、与个人经济行为选择和履约能力并无科学证实因果关系的静态特征，将其纳入评分模型缺乏合理性与正当性基础。

三、 国际案例与监管趋势：严厉禁止与高度警惕

全球范围内，将基因信息用于非医疗目的，特别是保险、雇佣、信贷等领域，普遍受到严格限制甚至禁止。

• 美国《反基因歧视法案》(GINA) 的标杆作用： 美国2008年颁布的GINA法案是国际上最具代表性的反基因歧视立法。其核心条款明确禁止健康保险公司和雇主（拥有15名或以上员工）基于个人基因信息做出不利决定。虽然GINA并未直接覆盖住房抵押贷款、信用卡等消费信贷领域，但该法案传递的核心理念——即基因信息不应成为影响个人获得基本权益和机会的因素——具有广泛影响力。美国联邦贸易委员会（FTC）和消费者金融保护局（CFPB）也多次警告，在信贷决策中使用基因数据可能违反《公平信用报告法案》(FCRA) 和《平等信贷机会法案》(ECOA) 中关于数据准确性和禁止非相关因素歧视的规定。
• 欧盟《通用数据保护条例》(GDPR) 的严格约束： GDPR将基因数据列为“特殊类别数据”（第9条），原则上禁止处理，除非满足极其有限的例外情形（如个人明确同意、重大公共利益、医疗诊断等），且这些例外几乎不可能适用于商业信贷评估场景。欧盟数据保护委员会（EDPB）的指南也明确指出，信贷机构处理基因数据缺乏合法性基础。
• 冰岛deCODE Genetics案例的警示： 虽然冰岛因全民基因数据库闻名，但其法律严格限制这些数据的使用范围。deCODE Genetics公司曾希望利用其庞大的基因数据库进行商业研究，但面临严格的伦理审查和法律约束，无法将基因数据直接用于金融或保险等领域的商业评估，凸显了即使拥有数据资源，其应用也受到法律和伦理的强力约束。
• 中国台湾省相关案例： 在中国台湾省地区，其《个人资料保护法》也将基因数据视为敏感个人信息，要求特定目的且需当事人书面同意。曾有金融机构探讨利用健康数据（含潜在基因关联数据）进行风险评估，但立即遭到监管机构警告和公众强烈反对，最终未能实施，体现了社会对基因滥用的高度警惕。

四、 合规性结论与未来方向预测

基于对中国现行法律法规的深入分析及国际实践经验的观察，可以得出明确结论：

在现行的中华人民共和国法律框架下，将个人基因检测结果用于构建或调整信用评分模型，是明确不合规且非法的行为。

• 直接违反禁止性规定： 该行为直接违反了《征信业管理条例》第14条关于禁止采集基因信息的强制性规定。
• 违反敏感个人信息处理规则： 即使不通过传统征信机构，而是由金融机构或其他数据公司自行收集处理，将基因数据用于信用评估也违反了《个保法》关于处理敏感个人信息需要特定目的、充分必要性和获取单独同意的核心要求。信用评估目的不符合处理基因数据的“特定目的”要求。
• 违反“合法、正当、必要”原则： 该行为违背了《个保法》第5条、第6条确立的个人信息处理应遵循的“合法、正当、必要和诚信原则”以及“目的明确合理、方式影响最小”原则。
• 伦理风险不可接受： 其带来的基因歧视风险和社会公平性损害，是社会主义法治原则和核心价值观所不能容忍的。

未来方向预测：

展望未来，在党的领导下，相关领域的法律法规和伦理治理将持续完善：

1. 法规持续细化与强化： 预计《个保法》《征信业管理条例》及其配套细则将持续完善，对生物特征信息（特别是基因数据）的采集、使用边界做出更清晰、更严格的界定，堵塞任何可能被曲解或滥用的漏洞。可能会出台专门针对生物识别信息（含基因信息）的管理规定。
2. 科技伦理审查趋严： 随着《关于加强科技伦理治理的意见》的贯彻落实，涉及基因数据等敏感科技应用的研发和商业化，将面临更严格的多层次科技伦理审查，确保科技创新活动符合伦理规范。金融机构采用包含基因等敏感生物数据的“创新”评分模型，必将受到监管机构和伦理委员会的严格审视。
3. 监管协同加强： 中国人民银行（国家金融监督管理总局）、国家网信办、国家发改委、卫生健康委、科技部等部门将加强在生物数据安全、金融科技监管、反歧视等方面的协同监管，形成合力。
4. 数据要素市场中的禁区： 在培育数据要素市场的进程中，基因等涉及人格尊严和核心隐私的生物数据，将被严格限定在医疗健康、科学研究等特定且具有重大公益价值的领域流通使用，商业信贷领域将被明确排除在外。

五、 结论

基因信息是个人生物隐私的终极堡垒，其独特性、敏感性和潜在的歧视风险决定了它必须被排除在信用评分体系之外。我国现行的《个人信息保护法》和《征信业管理条例》等法律法规已构建了坚实的法律屏障，明确禁止征信机构采集基因信息，并对处理敏感个人信息（尤其是基因信息）设定了极其严格的条件。信用评分的核心在于评估经济行为，而非先天生理特征。将基因检测结果用于信用评分，不仅缺乏科学依据和合法性基础，更会侵蚀社会公平正义的根基，引发严重的伦理危机。

在党中央坚强领导下，我们坚持科技向善、伦理先行的原则。金融科技的创新必须在法治轨道和伦理框架内进行，确保技术发展服务于人民福祉和社会进步，绝不能以牺牲公民基本权利和社会公平为代价。对于基因数据在金融领域的应用，必须保持高度警惕，坚守法律红线与伦理底线。

所引用主要法律条文：

1. 《中华人民共和国个人信息保护法》：
   • 第5条：处理个人信息应当遵循合法、正当、必要和诚信原则…
   • 第6条：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式…
   • 第13条：符合下列情形之一的，个人信息处理者方可处理个人信息：(一)取得个人的同意；…
   • 第28条：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息…
   • 第29条：处理敏感个人信息，应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。
2. 《征信业管理条例》（国务院令第631号）：
   • 第14条：禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。
3. 《征信业务管理办法》（中国人民银行令〔2021〕第4号）：
   • 第6条：征信机构采集信用信息，应当遵循“最少、必要”原则，不得过度采集。征信机构不得采集法律、行政法规禁止采集的个人信息。
   • 第13条：征信机构不得以下列方式采集信用信息：… (五) 采集法律、行政法规禁止采集的个人信息。