国外个人信息保护经验及对中国征信立法的借鉴

马成　贺慧妮　史玉琼

摘 要：个人信用征信是解决中国目前信用缺位的有力手段，但个人信息保护立法的缺失在很大程度上阻滞了征信体系建设的进一步推进，为了使征信体系得到较全面的法律支撑，需以立法的形式确认个人信用征信体系中各方当事人的权利义务。就美国和加拿大对个人信用征信的法律规定进行分析，结合中国有关法律现状，对完善中国个人信用征信体系个人信息保护提出立法制度构想。

关键词：个人信息保护；国外经验；征信立法

中图分类号：D92 文献标志码：A 文章编号：1673-291X（2014）34-0329-02

信用征信制度是指在经济生活中管理、监督和保障个人信用活动的一整套规则、政策和法律的总和。建立信用征信制度，可以有效解决交易双方信息的不对称，使交易相对方有可能直接判断、了解、防范和规避交易风险。而若要真正建立、健全个人信用征信制度，则必须有法律对被征集的个人信息给予保护，以防止个人信息被无序传播、泄露和不当使用，使个人隐私得到切实保护。

一、中国征信体系发展对个人隐私保护立法提出迫切需求

目前，中国的个人信用征信体系已经初步建立。2004年，全国统一的个人信用信息基础数据库开始试运行，2005年1月实现个人征信系统全国联网运行。与此同时，《征信管理条例》和《个人信息保护法》也加快了立法进程。个人信息保护从本质上来说是对个人隐私权的保护。长期以来，中国缺乏隐私权保护方面的专门立法，致使在处理隐私权案件时无法可依、无所适从。个人信息保护不周，既不能适应当代中国人有尊严地工作和生活的人格需要，不符合充分保障个体权益的法治要求，也成为阻碍市场经济发展的巨大障碍。中国目前征信业的低成本，实际上是以侵犯公民隐私权而导致的社会高成本换来的，这种外部不经济使个人信用征信业获得较大利益而社会为此付出了额外成本，这对征信业自身的长远发展是不利的。为了使中国个人信用征信体系能得到长远发展，获得较全面的法律基础支撑、与国际惯例接轨，迫切需要以立法形式保护个人信息隐私权，促使资源合理配置，将个人信用征信业的外部成本内在化。

二、国外的个人信息保护立法

（一）欧洲数据（信息）保护公约

《欧洲数据保护公约》规定了八项原则：第一，必须公平合法地取得供个人数据存储用的信息。第二，只有为特定的、合法的目的，才能持有个人数据。第三，使用或透露个人数据的方式不能与持有数据的目的相冲突。第四，持有个人数据的目的必须中肯。第五，个人数据必须准确。第六，如果持有某些个人数据要达到的目的是有期限的，则持有时间不得超过该期限。第七，任何个人均有权在支付了合理费用后，向数据持有人了解有关自己的信息是否被当作个人数据存储。第八，必须采取安全措施，以防止个人数据未经许可而扩散、更改、透露或销毁。

（二）美国信用征信体系下的个人信息保护法律规范

《公正信用报告法》（简称FCRA）、《金融服务现代化法》（简称GLBA）是规范美国个人信用征信体系最重要的两部法律。为了保护个人信息隐私权，美国国会在FCRA中规定了征信机构对被报告的个人的一系列义务，又在GLBA中规定了金融机构对客户非公开个人信息的保密义务。

（三）加拿大的隐私权法

加拿大的《隐私权法》主要是要求政府机构中收集和掌握个人信息的部门，必须把征信范围限制在直接为本部门的规划及活动而不得不收集的信息。政府有关部门至少每年应将个人信息库的索引公布一次。只有当信息部门的负责人认为透露某人的信息是公共利益的需要或对涉及信息的个人有益时，方得透露。

（四）对国外立法例的几点总结

纵观各国保护个人隐私权的立法例，虽然规则不尽相同，但对个人信息的保护有着许多类似的原则。大致有以下几方面：第一，信息的来源必须合法。从本人处获取信息，或得到本人的同意。第二，信息收集的范围有限。只能收集与收集者的职务或者活动有关的信息。第三，信息收集的方法合法。告知收集该资料的性质和用途、收集者的身份，确认该收集行为的合法性；禁止用不法或不公正的手段搜集信息。第四，资料的性质。收集的资料必须做到具有精确性、相关性、完整性和公平性。第五，使用信息的限制。保证利用信息的目的正当，只有为了信用授予或用于其他正当目的才能利用信息，不能在其他场合随意利用该信息。第六，披露信息的规则。除法律有特别规定外，未经本人同意，不得以任何形式向本人以外的人公开其隐私资料。第七，信息的存储和管理。个人信息的保存者或保管者，必须采取严格的措施，防止信息出现丢失、无权限使用、变更、随意提供或出现其他误用行为。第八，主体权利的保护。个人有权知道数据被使用的状况，有权在适当的时候更正或删除个人数据。在个人信息被不当泄露时，当事人可以请求救济、赔偿。

三、借鉴国外立法经验完善中国个人信息保护法律体系的建议

参酌各国的有益经验，中国除了采取必要的技术措施保护个人信息外，还应当通过修订法律或制订新法等方式，确立个人信息安全的法律地位。除了要在将来出台的《中华人民共和国民法典》中将隐私权作为一项独立的人格权加以规定，同时还应当加快《个人信息保护法》和《征信管理条例》的立法进程，明确个人对其信息资料所享有的权利，规定采集个人信息的条件、内容和程序、信息资料的管理和处理措施等事项。此外，还要对个人权利遭受侵害时的救济途径、侵权人的法律责任等予以明确。

（一）规定信息采集的主体、范围和程序

1.信息采集的主体，即征信机构。征信机构在信用体系中起主导作用，尤其是个人征信机构的运营会涉及到众多个人利益和社会利益。对于个人征信机构必须设立较高的市场准入条件。除此之外，还应详尽规定个人征信机构的业务范围、审批程序、权利义务等。

2.信息采集的范围。（1）信息内容上的限制。可采集的个人信息应当包括且仅限于以下内容：一是个人身份识别信息。二是商业信用记录。三是社会公共信息记录。四是行政司法记录。五是其他已经依法公开的个人信用信息。禁止采集的个人信息应当包括：一是种族、家庭出身、宗教信仰、政治归属、性取向以及身体形态、基因、血型、指纹、疾病和病史等可能使被征信个人受到歧视的信息。二是个人爱好、生活习惯等与个人信用无关的信息。三是法律、法规规定应当保密或者禁止采集的其他个人信息。（2）信息时间上的限制。个人的信用状况会随着时间的变化而发生变化，为此必须对征信机构收集信息进行时间上的限制。按照国际惯例，一般的负面信息保留七年，但特别严重和明显恶意的负面信息保留十年。超过保留期限，负面信息就将在信用报告中被删除。endprint

3.信息采集的程序。（1）信息采集以征得被征信人同意或授权为原则。征信机构采集个人信用信息应当征得被征信人的书面同意或明确授权。（2）信息采集以不经被征信人同意为例外。在信用交易活动中受侵害一方当事人提供的对方不良信用记录，通过政府政务公开信息渠道直接采集的信息，不利于个人信用状况的涉及民事、刑事、行政诉讼和行政处罚及其执行情况的记录等已经依法公开的个人信用信息，可以不经被征信人同意直接采集。（3）采集方式的禁止。征信机构不得以欺诈、窃取、贿赂、利诱、胁迫、侵入计算机系统等非法或不正当手段采集信用信息。

（二）规定信息披露及使用的目的、范围和程序

这主要是指对两类主体的法律规制。一是对征信机构的规制，即征信机构不得随意披露个人信用信息；二是对信用信息使用者的规制，即信息使用者不得滥用个人信用信息，而必须依法定或约定目的合理使用。

1.为公共利益需要披露和使用个人信用信息无需经被征信人同意。如果披露或使用个人信用信息将有损社会公共利益或者善意第三人的利益，则虽经被征信人同意或授权，还是不得披露和使用。

2.为被征信人之利益披露和使用个人信用信息必须经被征信人同意。主要范围包括：一是用人单位招聘员工的；二是公用事业单位对被征信人提供服务的；三是金融机构对被征信人提供信贷、保险等服务的；四是商业企业或个人与被征信人发生赊销、借贷等与信用有关民事关系的；五是机关企事业单位评选劳动模范、先进人物等荣誉称号的；等等。

（三）规定个人的合法权利

1.保密权：个人有权根据自己的意愿决定是否对外公开其个人信息及公开的内容和范围。

2.使用权：个人有根据自己的意愿自主使用自己的个人信息和许可他人使用自己的个人信息的权利。

3.知情权：个人有权知悉自己的个人信息被收集、储存、利用、处理、转让、传播、公开的事实，也有权知悉该个人信息的内容，用途、使用者的有关信息。

4.更正权：个人有权要求征信机构保证其持有的关于自己的个人信息的准确性、完整性和及时性。

5.求偿权：个人在其个人信息受到非法收集、储存、利用、处理、转让、传播、公开时，并造成损失时，有请求民事赔偿的权利。

（四）建立完善相应的配套机制

1.建立科学的个人信用征信服务定价机制。个人信用征信服务应当是一种有偿服务。国家征信监督管理部门应当按照市场原则，建立一套科学的个人信用征信服务定价机制。

2.建立完善安全严密的信息存储、管理、流转机制。

3.建立科学严谨的指标评价机制。根据当地经济发展状况和人们的社会信用意识，将借款申请人的信息资料汇集形成若干统一的指标体系，对不同的指标赋予不同的分值进行量化处理，将具体的个人信息处理成一个概括的数据。

4.建立相应的责任追究机制。要规定合理的责任追究机制，明确征信机构及其内部工作人员、个人信用信息使用人、个人信用信息提供者等各方主体虚假提供或不当储存、加工、披露、转让、公开、使用个人信用信息，构成侵权行为的内容、形式及应承担的责任；构成犯罪的还应追究刑事责任。

参考文献：

[1] [德]尼古拉.杰恩茨.金融隐私—征信制度国际比较[M].万存如，译.北京：中国金融出版社，2009.

[2] 龙西安.个人信用.征信与法[M].北京：中国金融出版社，2005.

[3] 余飞.信用信息主体权益保护问题研究[J].西部金融，2009，（4）.

[责任编辑 陈 鹤]endprint