1、信息主体权益保护6.1 主要经济发达国家信息主体隐私权保护相关规定主要经济发达国家信息主体隐私权保护相关规定6.3 征信机构信息系统安全及内控机制征信机构信息系统安全及内控机制6.2 我国信息主体隐私权保护相关规定我国信息主体隐私权保护相关规定 6.1 主要发达经济国家信息主体隐私权保护相关规定 征信数据采集限制与保护 征信报告对外使用限制 征信机构的侵权责任与免责征信数据采集限制与保护信用信息的分类信用信息的分类征信数据采集中被征信人的权利征信数据采集中被征信人的权利个人信用数据保护的立法模式个人信用数据保护的立法模式信用信息的分类 企业信用信息与个人信用信息 一般信用信息与敏感信用信息 正
2、面信用信息与负面信用信息企业信用信息 企业基本信息 企业信用记录信息 企业经营管理方面的信息个人信用信息 个人基本信息 信用信息 消费者信息的查询记录一般信用信息与敏感信用信息 一般信用信息与敏感信用信息是从一般信息与敏感信息的分类中推演出来的。一般信息与敏感信息在个人信息领域表现为一般个人信息和敏感个人信息,而在企业信用信息领域则表现为一般信用信息和作为商业秘密的信用信息。立法中对法定的敏感信息数据类型的确认,因国家的不同而有所不同。正面信用信息与负面信用信息 信用信息可以分为正面信息与负面信息。正面信息就是能使信用主体获得信赖与积极评价的一切信息,负面信息则是与信用主体信用相关的非正面信息
3、。对于负面信息的征集,各国法律均持肯定态度,但是对于正面信息的征集则各国态度不尽一致。征信数据采集中被征信人的权利 同意权同意权知悉与异议权知悉与异议权个人信用数据保护的立法模式 美国个人信息保护立法模式分析 美国对个人信用数据收集、使用和保护等方面,平衡考虑了征信业发展和个人权利保护两个方面的因素。他们立法既为个人征信机构的合理生存和经营保留了适当的空间,也全面考虑了保护消费者个人人权方面的需要。美国法律对个人信用数据的平衡保护 个人征信机构收集信用数据的法定许可 个人征信机构必须履行的法定义务 信用数据主体的权利 对个人信用数据保护的责任方式 欧盟(及欧洲主要国家)个人信息保护立法模式 欧
4、盟是个人信息保护立法的模范和先驱。欧盟国家最先关注信息通讯技术对社会的影响问题,并导致欧盟于1995年制定了欧盟个人数据保护指令(1998年10月开始生效)。欧盟指令价值倾向明显,覆盖范围广泛,规制程度深,执行机制健全。欧洲理事会协定规定的个人数据保护基本原则数据质量数据质量数据的特殊类型数据的特殊类型数据安全数据安全对数据主体的保护对数据主体的保护例外与限制例外与限制赔偿责任赔偿责任扩大的保护扩大的保护欧洲各国个人信用信息保护法规 德国信息保护法规 作为大陆法系的代表,德国在个人信息立法保护上始终坚守统一立法模式。1990年12月公布的资料处理与资料保护继续发展法(简称1990年德国资料法)
5、,其鲜明特征是:摈弃了美国隐私权的立法理念,转而确立人格权的基础性法律地位。该法第1条规定:“本法之目的在于保护个人免于因个人资料的传输造成人格权的侵害”,从而走上了在立法理念上与美国分道扬镳的道路。英国信息保护法规 英国的个人数据保护制度主要由四大部分组成;法典、判例法、民间实践和执法机构。由于受欧盟数据保护立法和理论研究的影响,作为普通法国家的英国在个人数据保护法律方面显示出明显的大陆法系的特征。日本个人信息保护立法模式分析 随着2005年4月个人信息保护法的全面实施,意味着日本构筑了一个相对完整的以个人信息保护法为基本法,各部门单行法为补充的法律体系:除作为基本法的个人信息保护法外,对国
6、家机关、地方公共团体、行政机关、独立行政法人等还分别制定了不同的法律和法规。日本的个人信息保护立法外形上类似欧盟立法模式,但在实质上更多地采纳了美国立法的许多做法,非常值得我国在制定个人信息保护法时予以借鉴。征信报告对外使用限制 征信数据的使用方式 个人信用数据使用限制 个人信用数据使用期限规定征信数据的使用方式个人信用报告个人信用报告个人信用评分个人信用评分个人信用数据市场营销个人信用数据市场营销个人信用数据使用限制由于个人信用信息涉及个人隐私,因此各国法律对信用信息的使用范围多做出了明确的限制。个人信用数据使用期限规定 欧盟指令对时限做了原则性规定,要求保留数据的时间符合采集数据的目的 美
7、国法律规定,正面信息保留10年,负面信息则采取:破产记录保留超过10年、任何民事诉讼、民事判决、被捕记录、缴纳欠税滞纳金记录、被追收或被冲销坏账负面记录只能保留7年 除墨西哥外,拉美国家规定信用报告所含信用记录职能保留短短的几年时间,特别是当债务偿还后。美国的公平信用报告法规范了个人信用数据使用和传播的范围。个人征信机构向机构提供个人信用信息报告应事先通告该当事人,无权将未经授权的个人信用数据其他机构或个人提供。欧洲国家比美国要求的严格,欧盟指令要求为了保护公共利益情况下,或者在获准被征信人同意的条件下才能使用信息。征信机构的侵权责任与免责 征信机构的侵权 在对信用数据进行采集、处理和使用过程
8、中,征信机构、信用数据提供人或征信产品使用人采取不正当的方式进行处理,就可能造成信用数据主体个人隐私、信用、人格尊严受损,其中以征信机构的侵权行为最为严重。侵权行为(1)超出业务上必需的范围或者收集目的而收集被征信人信息的行为;(2)须同意而未获同意就收集信息的行为;(3)以违法或不正当的手段收集信息的行为,虚构、篡改被征信人信息,或者擅自录入禁止录入信息的行为;(4)不履行法定义务,无正当理由而拒绝被征信人查询、更改、删除请求的行为;(5)对有法定保留期限并超过法定期限的信息记录尚未永久删除的行为;(6)提供错误、过时、不完整信息的行为;(7)泄露商业秘密、个人隐私的行为;(8)丢失被征信人
9、信息资料的行为;(9)须经本人同意而未获同意即向他人提供信息的行为;(10)向法定范围以外的单位或个人提供信息的行为。刑事责任 采集信息时,征信机构应当说明自己的身份、征信信息的目的等。各国法律都禁止征信机构采取欺骗、窃取、贿赂、利诱、胁迫、利用计算机网络侵扰或者不正当的方式收集信用信息;禁止商业组织以商务调查的方法取得他人的信息;禁止以私人访问的方式取得对信息主体不利的信用信息,以有效保护信息主体的个人隐私权。民事责任 征信机构主观上存在过错 征信机构客观方面存在违法行为 被征信个人受到损害国外征信机构免责立法 征信机构每天都要处理海量数据,在这一过程中,数据错误在所难免,并且,原始数据及其
10、修改权限都在上报数据的机构,自动化的数据采集、整合机制识别不了错误数据。如果一旦发现错误数据就认定征信机构存在过错,甚至要求承担法律责任,显然有失公允的,必然会阻碍征信业的发展,影响到授信业务的开展,最终会对金融体系的稳定造成损害。因此,各国立法都对征信机构数据错误规定了一定的免责条款。各国免责的立法情况分类 直接规定征信机构免责的立法情况 遵循“合理程序原则”即可免责的立法情况6.2 我国信息主体隐私权保护相关规定 个人信用征信系统隐私权保护的法律现状 个人信用数据使用限制个人信用征信系统中隐私权保护的法律现状 我国现行法律体系关于个人信用征信过程中隐私权保护的法律法规呈零散的状态。我国的宪
11、法及民事基本法领域中对公民隐私权并没有明确的规定,对公民的隐私权采取了间接保护的方式。相比之下我国的信用征信地方法规发展较早,上海、深圳等地均颁布过“个人信用信息征信管理的相关试行办法”,但这些试行办法在隐私权的保护上还存在有一定的不足。个人信用信息基础数据库管理暂行办法规定个人信用信息基础数据库管理暂行办法规定地方性法规规定地方性法规规定征信业管理条例相关规定征信业管理条例相关规定个人信用信息基础数据库管理暂行办法 该暂行办法是我国第一部规范个人信用信息采集和使用的规章。规定了对个人信用信息进行保密的原则,对我国各商业银行和征信中心的内部风险控制和具体的操作规程都提出了严格的要求。明确个人信
12、用信息基础数据库采集信用信息的范围,采集信息应当采取的方式,系统数据库的使用用途、个人如何取得本人信用报告和异议处理的规定;还规定了征信中心和商业银行具有保障的义务和责任,要求对个人信用信息准确性、时效性和安全性负责。个人信用信息基础数据库除了从制度方面制定措施保证信用信息的安全以外,还在技术层面采取多重措施来保障个人信息的安全。地方性法规 2003 年 12 月出台的上海市个人征信管理试行办法参考了美国公平信用报告法的规定。主要内容界定了个人信用信息的范围界定了个人信用信息的范围对信息采集方式进行了限定对信息采集方式进行了限定规定了披露的原则规定了披露的原则对征信机构明确了过错责任对征信机构
13、明确了过错责任征信业管理条例 我国征信业管理条例2013年3月15日起施行,第13条规定,“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”第14条,“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。”第15条,“信息提供者向征信机构提供个人不良
14、信息,应当事先告知信息主体本人。但是,依照法律、行政法规规定公开的不良信息除外。”个人信用数据使用限制 征信业管理条例 第20条 规定,信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供。个人数据使用的法律法规被征信人同意的原则被征信人同意的原则关联原则关联原则公务机关获得强制性许可原则公务机关获得强制性许可原则个人信用数据使用期限规定 我国2013年征信业管理条例 第十六条 规定:征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。在不良信息保存期限内,信息主体可以对不良信息做出说明
15、,征信机构应当予以记载。6.3 征信机构信息系统安全及内控机制 征信机构信息系统安全等级 征信机构内控机制征信系统的数据安全管理网络访问控制网络访问控制强身份认证强身份认证数据通讯机密性数据通讯机密性数据存贮机密性数据存贮机密性征信系统安全等级 征信机构管理办法明确要求设立个人征信机构,应当经中央行批准,且信用信息系统应当符合国家信息安全保护等级二级或二级以上标准。根据我国信息安全等级保护管理办法第二章,等级划分与保护规定:第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。对于第二级国家的监督管理要求为:第二级信息系
16、统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。征信机构内控机制 内控机制建设就是一个组织为了实现既定目标,防范和减少风险的发生,由全体成员的共同参与,对内部业务流程进行全过程的介入和监控,采取权力分解、相互制衡手段,制定出完备的制度保证的过程。征信机构是征信体系建设的核心机构,在信用体系的建设中承担重要的职责,其客观公正的评估有赖于内部有效的管理机制。我国征信机构内控机制的相关规定 征信业管理条例相关规定 2013年3月15日开始实施的征信业管理条例第六条规定,设立经营个人征信业务的征信机构,应当符合中华人民共和国公
17、司法规定的公司设立条件和下列条件,并经国务院征信业监督管理部门批准。1.主要股东信誉良好,最近3年无重大违法违规记录 2.注册资本不少于人民币5000万元;3.有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施;4.拟任董事、监事和高级管理人员符合本条例第八条规定的任职条件;5.国务院征信业监督管理部门规定的其他审慎性条件。第八条 规定,经营个人征信业务的征信机构的董事、监事和高级管理人员,应当熟悉与征信业务相关的法律法规,具有履行职责所需的征信业从业经验和管理能力,最近3年无重大违法违规记录,并取得国务院征信业监督管理部门核准的任职资格。征信机构管理条例 2013年12
18、月20日起实施的征信机构管理条例第六条规定,设立个人征信机构,除应当符合征信业管理条例第六条规定外,还应当具备以下条件:1.有健全的组织机构;2.有完善的业务操作、信息安全管理、合规性管理等内控制度;3.个人信用信息系统符合国家信息安全保护等级二级或二级以上标准。西方国际征信机构内控机制 征信机构运营模式可以大致划分为两种类型:以美、英为代表的市场主导型和欧洲大陆大多数国家所采纳的政府主导型,其内控机制和管理模式则呈现不同的特点。美国征信机构的市场化的内控模式 美国征信机构组织模式,是独立于政府之外的第三方私营机构,将个人信息进行收集、加工后,有偿提供给信息需求者,并且依据市场的需求来完善自己
19、的经营与管理模式,提升运营效率。美国征信机构组织模式的特点 征信机构私有化 独立性强 市场化原则运作 征信机构伴随着信用交易的市场需求产生而产生,随着市场信用交易规模的发展而发展。其公司机制为公司制形式,以营利为目的,以股东利益最大化为前提,股东出资比例决定公司投票权比例,一切决策按照商业化目的进行,服务的范围不受限制。美国征信机构市场化的运作机制,政府并没有对其具体的内控机制进行明确的法律规定。政府主导型 德国为代表的公共征信模式又称为政府主导的征信模式,即主要是依靠政府的力量建立征信机构,政府通过行政手段强制要求个人或企业向征信机构提供其信用信息或数据,从而建立个人信用信息数据库,并通过法律形式保障信息或数据的真实性。政府主导的征信模式的特点 A、具有一定的强制性。通过法律与决议的形式保证个人信用信息的可得性与真实性。B、公私征信机构并存。公共与私营征信机构并立,且互为补充。C、垄断与竞争并存。既有公共征信机构对个人基本信用信息的垄断,又有私营机构间的竞争。政府为主导的征信机构征信模式,虽然体现政府对于征信机构数据的来源和分享有一定的强制性,但是对征信机构的日常运行管理,则干预较少。
