莫韵莎
(上海交通大学 凯原法学院,上海 200030)
我国信用信息数据共享的法律机制建设
——以理论分析和国内外经验总结为路径
莫韵莎
(上海交通大学 凯原法学院,上海 200030)
征信活动,涉及数据的征集、处理和使用,而数据的全面性决定了征信报告的权威性。经我国政府多年推动,现已逐渐形成覆盖面较全的公共信用信息数据库和金融信用信息数据库。然而,近年来,基于信息孤岛现象严重,我国征信行业面临着难以深化发展的困境,而数据共享机制不完善则是困境产生的重要原因。从征信活动参与者间关系的角度切入,可明晰数据共享参与者面临的具体难题,一方面是商谈机制的缺失,另一方面是保护机制的缺位,必须结合理论分析和总结国内外经验,建立适合我国国情的商谈机制以及数据主体保护机制。
征信活动;数据共享;商谈机制;权利救济
我国传统的征信行业主要依赖于公共信用信息数据库和金融信用信息数据库。公共信用信息数据库数据来源于政府部门在履行职权过程中采集的与企业或个人相关的信息,金融信用信息数据库主要征集信贷信息以及与信贷相关的金融信息。上述两个数据库都是依靠政府公权力建立而成的,因此在数据覆盖面上较我国其他的数据库要全面,但目前数据库间数据共享的现状较为堪忧。
《国务院办公厅关于运用大数据加强对市场主体服务和监管的若干意见》(国办发[2015]51号)规定,在2016年12月底前完成地方、部门和行业信息共享系统建设;根据中国人民银行的处理方式,金融信用信息数据库仅面向金融机构、小贷公司等金融类企业开放①参见中国人民银行、中国银行业监督管理委员会关于印发《融资性担保公司接入征信系统管理暂行规定》的通知(银发[2010]365号)、《中国人民银行办公厅关于小额贷款公司接入人民银行征信系统及相关管理工作的通知》(银办发[2011]1号)。。可见,上述数据库都在强调数据库的纵向共享或系统内部数据共享,至于数据库之间的数据共享,尚未有明确的法律定论。
结合人民银行征信中心提供的信用报告样本以及通过合法途径取得的信用信息报告,人民银行征信中心提供的信用信息报告除了提供一般的重大资产信息和信贷信息外,还有强制执行记录等。然而,虽已有数据库间数据交叉共享的迹象,但共享程度依然偏低:如欠税记录,目前仅有部分地区开始共享,为数不多;又如行政记录,要实现全面共享的难度非常大;至于日常记录(包括逃票记录、电信欠费记录等)至今尚未开始共享。
(一)数据共享参与者关系网的理论探析
基于对征信报告公正性的依赖,征信机构一般都是数据提供者以外的第三方机构;又基于对数据处理权威性的依赖以及信誉的累积,征信行业具很强的自然垄断性[1]。所以,在理论上,数据提供者与征信机构之间应是多对一的关系。
数据提供者之间,应是相辅相成的关系。数据提供者难以产生其所需的全部信用信息数据;信用信息数据具有不可取代性,数据提供者难以估计及控制其他数据提供者所持数据,因此,数据提供者组成一幅“拼图”,只有把拼图结合起来,方能发挥大数据的效益。
经过长时间博弈,数据共享参与者的关系会逐步演变成扁平的网状结构。在这种结构环境下,数据的输入和数据结果的输出会逐渐形成正比,这种均衡的状态则是发挥出征信行业应有效率的前提。而这一扁平网状结构的征信业结构如何维系,成为影响征信行业深化发展的关键。
(二)数据共享参与者关系网的法律平衡点
纵观各国或地区的征信行业,数据共享参与者关系网的法律平衡点多种多样,如法律义务、行业规则、市场交易;而征信业越是市场化发展的国家,行业结构越接近扁平网状结构;越扁平化发展,法律强制性规则越少。
德国的私法主体主要是商业银行、保险公司等金融机构,这些金融机构最主要的数据输送途径是信贷信用保护协会,协会会员将各自收集的信用信息数据输送到协会,协会仅向成员提供其需要查询的数据。
美国几乎没有直接规范工商市场信用销售和工商企业资信调查的法律,征信机构一般通过自愿签订协议的方式与信息提供者保持稳定的数据输送纽带。在契约关系中,交易双方是平等互利的,同时与其他数据提供者有着千丝万缕的联系。
欧盟成员国消费者信用信息数据跨境共享模式以及欧盟与美国达成的信贷信息数据共享模式在确立过程中都需处理相关主体的利益平衡问题。从法律文件看,上述二者①See Regulation (EC) No 45/2001, Official Journal L008, 12/01/2001. Also see Directive 95/46/EC, Official Journal L281, 23/11/1995. Also see Implementing regulation (EU) 2015/2447, Official Journal L343/558, 29/12/2015。都秉承着一个基本的原则——互惠原则,并将该原则渗透到磋商、博弈、共享的方方面面。
德、美、欧盟等国家和地区是征信行业高度市场化发展的代表,行业规则、市场公平交易等平等自愿的契约关系成为征信行业运作的基础,而互惠原则则是一项重要的契约精神。
(三)我国征信行业改革的必要前提——商谈机制的建立
解决我国征信行业中信用信息数据共享难题,可以采用多种方法。基于我国征信行业的发展历史,可设想将信用信息数据变成一项公共资源,免费提供给监管主体和市场主体使用。这一做法与法国征信行业相似,即抽离征信行业的营利性,削弱征信行业的垄断性。但这一设想不一定适合我国:一方面我国市场经济的成分越来越多元化,若将信用信息数据作为公共资源,那么资源的利用需要由公权机关调配,信用信息数据的使用效率有被降低的风险;另一方面是市场的公平性,公共资源的分配很容易将征信行业的自然垄断转变成行政垄断,其结果将与我国征信行业的现状并无本质区别。
要推动征信行业市场化发展,以市场手段促进信用信息数据共享,面临的任务依然艰巨。首先,缺乏数据共享意识。《个人信用信息基础数据库管理暂行办法》规定商业银行仅有向中国人民银行报送个人信用信息的强制性义务;其他敏感数据也不能随意转让。法律和规则赋予的资源垄断以及行业属性之自然垄断助长了征信行业中“官本位”思想,控制核心数据或数据库的部门、企业坐享着征信行业的丰厚利润并拒绝合作竞争,孤立割裂了我国信用数据,引致我国的市场经济面临着大量信用违约的困境,并挤兑我国金融改革、市场改革的空间。其次,缺乏商谈的平台。从“长三角区域信用联动奖惩机制建设试点”项目②该项目由上海市征信办、江苏省信用办、浙江省信用办、安徽省信用办负责人、上海市信用研究会负责人共同组织推动,目的在于探寻公共信用信息数据跨地区共享并建立三省一市联动奖惩机制的路径。调研情况来看,虽然“三省一市”政府均已出台明确的规定要求政府部门承担提供相关数据的义务,但数据共享效果平平,核心原因正是商谈平台的缺位。要改变这一现状,必须从根源入手:
第一,在源头上为商谈机制的建立提供法律依据,明确信用信息数据共享的宗旨不但是维护金融稳定,更是为市场经济主体提供服务。我国征信行业在未来一段时间内都会被公共机构垄断,而垄断将会进一步巩固行业中的“官本位”思想,而在这一思想的影响下,数据共享参与者的谈判地位是不平等的;唯有强调征信行业的市场服务性,才能将数据共享参与者拉回到较平等的市场环境中。
第二,为数据共享参与者提供磋商的平台。在法律上,除非是必要的信用信息数据,否则不应随意将信用信息数据输送义务强加到信用信息数据提供者身上;另外,在信用信息数据共享途径选择的问题上,同样不应由法律规定,这些空白的地方均应由数据共享参与者自行磋商确定。虽然磋商的内容不应加以限制,但是磋商的界限则必须由法律法规划定。我国对个人隐私、个人信息、商业秘密等基本权利划分不明确,不适宜采用美国的数据交易模式,而应采用作出例外规定的有限开放模式。
第三,确立互惠互利原则。信用信息数据是征信主体的核心竞争力,实现数据共享不能完全依靠强制力。以互惠互利为基本原则,在此原则上确定双方进行数据共享时各自的权利义务,是全球征信行业发展的关键。我国征信机构、数据提供者间缺乏沟通机制和合作意识,已严重阻碍数据共享。因此,在立法上确立互惠互利原则,以此原则为磋商平台建设的平衡点,才能促使信用信息网趋向扁平化发展。
(一)数据主体对信用数据的控制权
随着互联网的普及,数据传输速度加快,数据主体对自身信用信息数据的控制能力被削弱;且数据主体无法直接参与信用信息数据共享博弈,如何保障数据主体的权益成为一大问题。
德国《联邦个人资料保护法案》规定了直接原则③直接原则,即个人资料的收集,原则上应该直接向本人收集。的例外情况,即向私法主体输送数据时,必须告知数据主体对其数据的输送。无论公共机构还是私法主体,都需要提供与其有关的存储信息,包括出处④参见《德国联邦个人资料保护法案》第三部分第二章第33条第(1)款、第二部分第一章第19条第(1)款、第三部分第二章第34条第(1)款。。
美国的《格雷姆-里奇-比利雷法案》(Gramm-Leach-Bliley Act)规定,如果金融机构拟定与超出消费者已被告知的共享对象范围的第三方共享信用信息,需要告知消费者有退出的权利,如果消费者在收到告知书之日起30天内没有表示不同意共享,金融机构才可以将信用数据与第三方进行共享①See How To Comply with the Privicy of Consumer Financial Information Rule of the Gramm-Leach-Bliley Act, A Guide for Small Business from the Federal Trade Commision, July 2002。。
征信行业市场化发展程度越高,数据主体对数据控制权越大,这一做法在各国征信市场上得到印证。我国的征信行业已经不再局限于公共管理,随着市场化发展和数据主体权利意识不断加强,数据主体控制权保护的法律意义也应随之得到明晰。可是,我国法律规则中规定的数据主体权益保护路径过于单一,无法体现数据主体的数据控制权。结合国内外实践,可在以下方面取长补短:
授信机构或其他数据提供者向数据主体征集信用数据时,应明确告知数据主体被征集的信用数据以及其拟定共享数据的机构,并告知数据主体有不进行数据共享的权利;
数据共享的最终结果超过数据主体已被告知的预计共享范围的,相关主体一方面应将共享决定通过网站等形式进行公告,并明确列名数据共享者的详细名单,另一方面,将数据共享的最终结果与数据提供者预测的共享范围进行比对②数据共享范围的对比,不仅需要征信机构的透明化处理,也强调对共享范围的科学理解。,若超过范围则需通知数据主体,告知数据主体有退出的权利,上述所涉及的任何结果以及决定都应以书面形式记录;
信用报告设计应有层次性,既要有信用数据和信用数据的出处,也要有信用报告形成的授权资料,当数据主体申请本人信用报告时,相关机构应当将授权资料与数据报告一并提供给数据主体。
通过给予数据主体二次退出权以及全面的知情权,鼓励数据主体充分参与数据征集、处理和使用过程,与已出现初步行业垄断征信机构抗衡,以减少我国隐私权法等重要法律法规缺失对数据主体权益保护造成的损害。
(二)数据主体对信用信息数据的控制权的救济
上述的法律保护措施是否足以保障数据主体的权益?信用信息数据,产于数据主体、作用于数据主体,数据主体对信用信息数据具有天然的主导权,而数据的输送与共享,是数据主体让渡一定数据控制权的结果,故数据主体权益保护始终要落脚于“主导权”上。
《美国公平信用报告法》明确保护消费者隐私权,并要求消费者信用报告机构尊重消费者的隐私权;德国出台的《德国联邦数据保护法》则主要将个人数据作为个人信息权来保护[2]。深究两国对隐私权的宪法性理解差异,二者对数据主体的数据控制权的保护路径虽有差异,但存在宪法保护价值的趋同性[3]。我国对数据主体隐私权或个人信息权的保护尚处空白状态,数据主体数据控制权保护成为无本之木。
另外,在我国的司法审判中,数据主体以权益受损为由向法院起诉征信机构或监管机构时,法院均基于行政审判权限、存在程序瑕疵等原因,对原告起诉不予受理或驳回原告的诉讼请求③在中国裁判文书网搜索“个人信息”、“征信机构”等关键词,可发现“张家喜不服中国人民银行东营市中心支行出具信用报告案”、“张家喜诉中国人民银行东营市中心支行不履行征信监督管理法定职责案”等系列案件。,数据主体难以取得应有的赔偿。法院采用回避的态度或拒绝审判的根本原因在于数据主体权益保护在实践层面并不具备可诉性,在张家喜系列案件中,东营市中级人民法院也明确指出,根据现行法律规定,原告“可依法向相关机构或部门提出异议或投诉等途径进行救济”,但针对征信报告的行为提起的行政诉讼不在审判权限范围内。
这些问题正一步步蚕食数据主体合法权益,要落实保障数据主体的权利,至少要从以下两方面完善救济制度:
王利明老师曾提出在大数据时代,需要将个人信息权列为一项有别于隐私权的人格权[4],赋予其基本权利的宪法性地位,提高数据主体在征信行业中的法律地位。在实践中,任何一项基本权利若没有具体落实到部门法领域,权利救济难以保障,因此有学者提出要尽快建立民法典及个人信息保护法[5],或设立信用权,将损害数据主体数据权益的行为列入可诉的民事诉讼范围。可见,在宪法层面构筑个人信息保护的基本价值,同时关注救济路径的拓宽和落实,明确可诉对象、诉讼理由等,方是解决之道。
信用信息数据共享机制设置过程中,需考虑数据共享难的根本原因在于数据垄断以及“官本位”思想的影响,打破僵持局面的方法应该是为数据输送参与者建立商谈的平台而非法律的强制性规定,而平台持续运转的第一原则应为互惠互利原则。对数据主体而言,数据共享给数据主体对信用信息数据的控制权带来强大的冲击,因此必须给予数据主体二次退出权以及全面的知情权;当上述权利受到侵害时,现行的法律制度和司法制度所提供的救济路径大多是无效的,在法律层面强调个人信息权属于基本权利,并将权利救济路径落实到部门法中是数据主体权益保护的根本。只有处理好上述的法律关系,我国的征信行业深层次发展才有良好的法律基础。
[1]张兴祥.美国征信业市场化的发展路径及其启示[J].当代财经,2005,(1).
[2]王利明. 论个人信息权的法律地位——以个人信息权与隐私权的界分为中心[J].现代法学,2013,(4).
[3]王秀哲.美国、德国隐私权宪法保护比较研究[J].政法学刊,2007,(2).
[4]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版),2012,(6).
[5]沈璟晶.我国征信体系中被征信人利益保护[D].成都:西南财经大学,2011.
[责任编辑:范禹宁]
2016-09-01
莫韵莎(1991-),女,广东东莞人,2014级国际经济法学专业硕士研究生。
D911
A
1008-7966(2016)06-0001-03