欧洲数据保护机构本周四发布建议[PDF]，不应该将搜索查询和互联网浏览历史等个人数据用于公民征信和相关评估。该建议来自欧洲数据保护监管机构 (EDPS)， 该机构是一家隶属于欧盟的独立机构，负责“就与个人数据处理相关的所有事项”向政策制定者提供建议。

在本周四发布的一份文件中，EDPS 认为：“从搜索查询数据或在线浏览活动等数据推断消费者的信用风险与目的限制，这与公平和透明以及数据处理的相关性、充分性或相称性原则不相符。因此，EDPS 建议明确将禁止范围扩大到搜索查询数据或在线浏览活动”。

此外，该机构建议金融和信贷服务提供商也不得使用健康数据，例如癌症数据，以及 GDPR 第 9 条规定的任何特殊类别的个人数据来计算信用评分。该机构补充说：“确保在处理个人数据时遵守相称性原则也有助于保护消费者免受不公平信贷优惠（例如高成本发薪日贷款）的脆弱时刻”。

EDPS 的这项建议是在欧盟委员会于 2021 年 6 月 30 日提议修订两套欧盟规则之后提出的，其中包括更新欧盟关于消费者信贷协议的旧指令 (2008/48/EC)。

值得注意的是，虽然 EDPS 的建议涉及大量主题，但该机构的官员出于某种原因解决了使用在线浏览历史进行信用评估的问题。

也就是说，该机构正在解决去年 12 月发表的国际货币基金组织的一篇有争议的博客文章，其中 IMF 研究人员认为，如果金融评估能够用非金融数据点来丰富，例如“浏览器的类型”和用于访问互联网的硬件、在线搜索和购买的历史记录。”