我国个人征信信息主体权益保护立法路径探讨
日期: 2018年07月31日 14:05:49 来源:

我国个人征信信息主体权益保护立法路径探讨

党的十九大报告指出,新时代我国社会主要矛盾已转化为人民日益增长的美好生活需要和不平衡不充分的发展之间的矛盾。个人信息安全和权益保护关系到人们对美好生活的追求,信息泄露、信息倒卖和精准诈骗等事件有可能会引发人民对自身生命和财产安全的担忧,甚至有可能引发社会性群体事件,危及社会稳定和国家安全。我国征信业尚处于初级发展阶段,有关征信信息主体权益保护的法律制度还不够健全。我国需要在借鉴国外关于个人信息主体权益保护先进立法的基础上,结合国内立法现状和实际,健全征信业立法框架,提升对信息主体权益的保护力度。

我国个人征信信息主体权益保护立法概况

      加强对个人信息主体权益立法保护,有利于推进征信业健康有序发展。我国现有对于个人信息权益保护的立法主要体现在三个方面。

以《征信业管理条例》为核心的征信监管领域相关立法

征信监管领域立法从行政法规、部门规章、规范性文件等多层次多主体监管对个人信息主体权益进行保护。2013年实施的《征信业管理条例》(以下简称《条例》)对征信信息主体权益保护做出指导,将信息主体权益保护放在首要地位,明确了个人信息主体享有的五项基本权利,同时制定了征信信息采集、查询、使用等相关征信业务规则,明确了非法获取和出售个人信息等行为的法律责任,切实保护信息主体的隐私和权益。以《条例》为核心和依据,征信监管部门制定了其他相关管理办法和规范等,如《征信机构信息安全管理规范》对征信机构系统建设、安全管理规范和业务操作规范等进行细化,从规范征信机构管理的角度维护信息主体合法权益。

以保障个人信息安全为原则的民事和刑事领域相关立法

近年来,民事和刑事领域的立法更加重视对个人信息安全的保护。2017年通过的《民法总则》第一百一十一条规定,任何组织和个人应当依法取得他人的个人信息并确保信息安全,不得非法采集、买卖和使用他人的个人信息,以法律的形式进一步保障了个人信息安全。2017年,最高人们法院和最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件使用法律若干问题的解释》,对《刑法修正案(九)》第二百五十三条之一等相关规定进行司法解释,对非法窃取、出售和提供个人信息的不同情形进行分类和处罚认定。

以规范网络运营者活动为初衷的互联网领域相关立法

2016年通过的《网络安全法》规定了网络运营者的相关义务,要求网络运营者对其收集的个人信息严格保密,建立和完善用户信息保护制度,不得非法出售或向他人提供个人信息,应采取技术措施确保收集的个人信息安全。《网络安全法》的相关规定有利于规范通过互联网开展征信业务的机构,约束未经授权非法获取、泄露和使用个人信息的网络运营者,更有针对性地提升信息主体权益保护。

我国个人征信信息主体权益立法存在的不足

虽然我国在民事、刑事、征信市场、互联网领域都有出台与信用信息安全保护相关的法案,但是现有征信信息主体权益保护的立法仍然存在一些不足。

征信监管领域立法层级较低,权益保护立法缺乏整体框架

目前我国的征信法律规范以《条例》为核心,主要是行政法规和部门规章,并没有一部由全国人民代表大会或其常务委员会制定的征信法律。虽然我国对信息主体权益保护方面有诸多立法,但是在征信领域的立法上还未明确信息主体权益保护的行政、民事、刑事等领域的衔接与权责划分。《条例》作为行政法规,无法明确对征信信息主体民事权益的保护和对不法分子的刑事制裁,同时《条例》对侵害信息主体权益行为的行政处罚最高金额仅50万元,对侵权行为的震慑效应不足。信息主体在各个领域的维权路径还不够畅通,信息主体权益保护的整体立法框架构建还不够完善。

信息主体权益保护广度不够,征信监管配套立法有待健全

我国个人信息主体权益保护立法尚未形成全面的法律体系,比如关于互联网征信和跨境数据流动等领域的监管缺乏配套立法。以互联网征信背景下信息主体权益保护为例,互联网征信有着明显区别于传统征信的特点,互联网数据的采集范围更广、形式更多,数据的加工和处理隐蔽性更强,数据的使用更加广泛,除应用于传统信贷领域,还被广泛应用于求职、租房等商务领域,因此互联网征信机构相比于传统征信机构而言触及更多个人信用信息和隐私,然而现有的法律制度对互联网征信机构信息采集、处理和使用方面的规范和约束极少,缺乏规范互联网征信活动的配套立法。

信息主体权益保护深度不足,缺乏切实可操作的实施细则

现有关于个人信息主体权益保护的立法不少,但多为原则性的条款,缺乏可操作性的实施细则。比如《条例》规定征信机构在查询信用信息时,必须取得信息主体书面授权,但并未对授权书的内容和用途等进行具体规定,可能导致出现违规查询等侵权行为。在法律责任方面,《条例》只对征信机构不法行为的法律责任进行原则性说明,并没有制定处罚裁量上的具体标准,导致对征信机构的行政处罚标准不一,不利于征信信息主体权益保护。民事和刑事领域对于个人信息主体保护的立法过于概括,同样缺少切实可操作的实施细则。

我国现有的法律制度对个人征信信息主体的权益保护还不够全面和有效,有必要分析和借鉴国外先进立法经验,完善我国个人征信信息主体权益保护的立法框架。

国外个人征信信息主体权益保护的立法实践

美国个人征信信息主体权益保护立法实践

美国是拥有征信专门立法的国家,为了促进征信业发展的同时保障征信信息主体合法权益,形成一套完善的征信法律体系。得益于发达的征信业市场,美国在信用信息收集、传播与共享、征信机构的授信等各环节都进行了针对性立法,防止个人信息的滥用。美国征信业立法以《公平信用报告法》为核心,该法明确了信息主体所享有的知情权、同意权、异议权和诉讼权等相关权利,同时对信息采集范围进行了限制,规定征信机构只能在必要限度内采集信息;在信息处理方面要求征信机构采取合理的措施和规范的流程,保障信用信息的准确性和及时性;在信息使用方面限定个人信用报告的合法用途,规定只有在信息主体进行信用交易、应聘岗位、投保或者政府部门、联邦调查局执行公务需要等情况下才可以使用个人信用报告。除《公平信用报告法》之外,1974年制定的《联邦隐私权法》为个人隐私权提供专门的立法保护,限制包括行政机关在内的机构对个人信息收集、保存和使用的行为,也对侵犯隐私的范围、行为和赔偿做出了明确规定。美国征信业法规重视征信机构的授信行为,1975年实施的《平等信用机会法》,要求授信机构通过合规的途径对信用申请人进行信用分析,并在此基础上给予合理的授信额度,不得因申请人的性别、婚姻状态、种族、年龄等因素而歧视对待。2010年出台的《多德-佛兰克华尔街改革与消费者保护法》(简称《多德-佛兰克法案》),明确设立金融消费者保护局,将分散在联邦贸易委员会、美联储等机构的监管职权集中到金融消费者保护局,更有利于征信信息主体权益保护。

欧盟个人征信信息主体权益保护立法实践

欧盟关于个人信息主体权益保护采用分散式立法。由于欧洲悠久的历史文化,欧盟极为重视个人信用信息的保护,将个人信用信息看做一项基本人权来保护。1995年出台的《数据保护指令》明确数据收集和使用的原则,规定数据主体有权了解数据使用者及其使用目的,有权要求保持数据的准确性,以及要求在数据不需要时能够被安全销毁等。欧盟成员国以《数据保护指令》作为立法框架,修订完善本国立法。1998年英国引入欧盟《数据保护指令》修订本国的《数据保护法》,对涉及个人的信息处理方面的规定进行强化,对征信机构违法所可能承担的行政责任、民事责任、刑事责任做出全面规定。2009年德国依据欧盟《数据保护指令》重新修订了《联邦数据保护法》,该法规定信息采集必须限定在必要的范围内,尽量避免采集过多的个人数据,并明确信息主体基本权益。为应对大数据时代的挑战,健全信息保护制度框架,2015年欧盟出台《通用数据保护条例》,规定个人信息主体的同意权、知情权、更正权、投诉权外,还定义了数据遗忘权、数据删除权、数据可携带权和授权可撤销权等,更好保护互联网征信时代信息主体权益。《通用数据保护条例》正式提出了设置欧盟数据保护理事会,赋予其欧盟数据监管最高机构的地位,保证其独立性,增强对监管机构的监管强度和处罚力度。

国外个人信息主体权益保护立法启示

美国和欧盟个人信息主体权益保护立法对我国的启示主要体现在三个方面:一是借鉴欧美发达国家的立法实践,出台针对个人信息保护的专项立法,构建以维护信息主体权益为核心的征信法律体系;二是制定出台相关配套立法,完善征信信息的采集、处理、使用和征信机构授信等环节和领域的立法;三是细化法规制度,明确信息主体权益、数据采集范围和数据使用规范,指定信息主体权益监管机构,落实实施细则,切实保护信息主体权益。

推进完善我国个人征信主体权益保护立法路径探讨

出台专项个人信息保护法律,完善权益保护整体立法框架

《条例》作为行政法规,尚未明确对信息主体民事权益的保护和对不法分子的刑事制裁,因此我国在征信立法上应当进一步明确信息主体权益保护的行政、民事、刑事领域的衔接与权责划分,为信息主体打通各个领域的维权路径,探索制定一部个人信息主体权益保护法,构建信息主体权益法律保护的整体框架。学习借鉴世界发达国家有关个人征信信息主体权益保护方面的立法,如美国《公平信用报告法》、德国的《联邦数据保护法》等,尽快制定并出台统一的《个人信用信息保护法》和相关配套立法,立法中不仅要界定可采集的信用信息,而且要明确信息主体所拥有的合法权益和规范信息收集、处理和使用的手段。

健全征信监管领域配套立法,拓宽信息主体权益保护广度

为加强现有征信监管领域的配套立法,我国可以借鉴美国和欧盟等国家的先进立法,拓宽信息主体权益保护的广度。借鉴欧盟《数据保护指令》将个人数据认定为一项基本人权,完善征信信息的收集和处理的配套立法,明确界定“信用信息”范围;借鉴美国《公平信用报告法》严格规范数据使用的用途和目的,完善征信信息使用的配套立法;借鉴日本《个人信息保护法》修正案,建立国际通行规则,完善跨境数据流动监管制度,从国际化的视角看待征信信息主体权益保护问题。大数据时代下,互联网征信机构在信息采集范围和形式上更为多样、信息的处理方式更为隐蔽,信息的使用途径更为广阔,我国需要在《网络安全法》、《条例》等法律制度的基础上,借鉴欧盟的《通用数据保护条例》等国外立法,结合互联网征信发展的特点,发布一系列优化互联网征信业外部环境的配套立法,规范互联网征信机构行为,切实保护个人征信信息主体权益。

制定切实可操作的实施细则,强化信息主体权益保护深度

为完善个人征信信息保护框架,加强个人信息保护法规制度的可操作性,需要制定明确的信息采集、加工和使用的规范,细化征信业务规则,比如细化关于授权条款的内容,明确约定个人信用信息采集的具体范围,查询和使用的具体用途以及相关各方的权利和义务,有效保护信用信息主体的知情权和同意权等;对于征信机构的行政处罚,应该加强对裁量基准的制定,明确处罚标准以及对应的处罚金额,更好地落实监管;明确和完善征信信息主体权益,结合我国信用信息发展的现状,在已有的法律制度的基础上,借鉴欧盟《通用数据保护条例》,明确定义信息主体的同意权、知情权、异议权、投诉权等权利,对数据遗忘权、删除权和可携带权等权利进行借鉴和构建;进一步地发挥人民银行在制定、细化和落实权益保护各项规章制度中的作用,加强对征信机构监管和信息安全防范,切实保护信息主体权益。

相关新闻