张子红 王晶晶
随着征信业的蓬勃发展,人们的目光更多地聚焦到了个人信息保护领域。本文从征信领域个人信息保护的国际实践共识入手,介绍了其发展历程和时代特征,分析了当前我国征信业个人信息保护在法治领域的“双保护模式”,并对个人信息保护领域重点问题深入探讨,为进一步做好相关工作建言献策。
Cover Story
征信领域个人信息保护的国际经验
个人信息对社会经济发展至关重要
个人信息的数字化和产业化应用,推动了数字经济时代的变革和创新。无论是行政机关电子政务、金融机构授信放贷,还是电子商务获客营销等,个人信息在经济生活的运用给人们带来了诸多便利。而个人信息保护机制的缺失,势必会引发社会对信息产业和互联网平台的信任危机。个人信息的无序使用,不仅会引发信息滥用乱象,损害公民人身财产合法权益,也会阻碍个人信息的良性流通共享,破坏公平有序的社会秩序,影响整体经济的发展节奏。在此背景下,在大数据产业、云计算经济发展蒸蒸日上的同时,健全个人信息保护机制迫在眉睫。
征信领域的个人信息保护有其特殊性
共享债务人的债务信息是征信业务区别于其他信息服务领域的主要特征,是个人信息领域的特殊实践。征信机构通过债务信息共享机制来判断债务人的融资能力;而信息主体则是通过让渡自身的部分个人信息,以获取在信贷、就业或其他领域资质的权益。征信领域的个人信息主要体现于两类信息:一是个人在金融、商品交易等领域的历史负债记录;二是判断其偿债意愿和偿债能力的信息,例如房贷、车贷和贷款担保等金融负债信息,赊购、水电气缴费等商业信用信息,以及欠税信息等。一个国家的征信体系主要有三大作用:一是协助放贷机构对借款人的信用状况进行客观、正确评估,提升信贷管理决策水平;二是有助于规范借款人行为,为按时还款的社会公众特别是低收入人群提供利用自身优质信誉获取信贷机会的机制,进一步促进普惠金融的发展;三是在宏观政策制定和支持审慎监管方面发挥重要作用,为中央银行或金融监管部门实施监督提供信息支持,是维护金融稳定的有效工具。
征信领域的个人信息保护和个人信息共享就像一枚硬币的两面,其价值取向是既对立又统一的保护和利用的利益衡量。一是个人隐私保护与个人诉求之间的对立统一关系。个人既有隐私不受侵犯的需求,也有通过让渡和共享信息获取信贷机会的诉求。唯有在做好个人信息保护的基础上,对个人信息有条件地限制让渡共享,才能实现这两个需求。二是发展和安全的对立统一关系。个人信息保护作为一种安全需求,体现了社会公平正义的内在要求,而个人信息有限共享作为征信业健康发展和维护金融稳定的宏观需要,体现了社会公共利益的需求。因此,个人信息保护需要平衡好社会公平正义和社会公共利益之间的关系。综上,征信领域的个人信息保护在权衡这两种对立统一关系中形成了一种动态平衡。
征信领域个人信息保护国际实践
欧洲的个人信息保护采用统一立法方式,主要强调的是个人对信息的自主决定权利,采取了比较严格的保护标准和信息处理原则。美国的个人信息保护以分门别类、分散立法为主,主要体现信息流动和隐私保护之间的平衡关系。从全球视角审视,征信领域的个人信息保护实践在个人信息保护机制、信息主体权利界定等方面,已经形成了一定的共识。主要表现在以下几个方面:
一是公开透明规则。这包括两个方面:第一,征信机构透明化,即信息主体可以获知本国征信服务机构的基本情况;第二,征信业务透明化,即征信机构要披露信息采集的目的、范围、来源、处理规则和流程,以及个人权利、异议投诉等。
二是信息限制处理规则。这包括四个方面:第一,信息采集和使用目的要有明确的限制范围;第二,信息采集要相关性、必要和最小化;第三,信息采集和查询要同意授权;第四,负面信息要限期展示等。
三是数据质量规则。征信系统要采取措施确保数据的准确性。
四是安全保护规则。征信机构要确保数据安全,避免数据丢失、滥用等情况。
五是责任担当规则。征信机构要担当个人信息保护的主要责任。
六是个人权利保护规则。这主要指信息主體对本人信息享有的同意权、查询权、异议权、纠错权和救济权等。例如,本人有权查询自己的信用报告,本人对可能造成不良影响时的知情权,个人发现信用报告信息不准确时有权提出异议,要求提供数据机构和征信机构修改错误,对于侵害个人权益的行为,个人有权投诉或提起诉讼等。
我国征信领域个人信息保护的实践发展与现状
第一,我国征信领域个人信息保护实践经历了从无到有、逐步完善的发展历程。我国的征信体系建设数十年的发展历程,也是我国征信领域个人信息保护法制建设从无到有、不断发展完善的过程。1999年,上海资信有限公司开始试点个人征信业务,而当时国内个人信息保护相关的法律法规和制度建设尚未起步。2004年,国务院批准了我国首个征信业顶层设计——《建设企业和个人征信体系总体方案专题报告》,当时也尚未开展对征信领域的个人信息保护立法。2005年,人民银行创建了金融信用信息基础数据库,从制度设计上开始加入了个人信息保护元素;人民银行出台的《个人信用信息基础数据库管理暂行办法》,在部门规章层面对征信业务个人信息保护进行规范,要求征信中心和商业银行通过完善制度和技术手段来保护个人信息,并对泄露和非法使用个人信息行为进行处罚。2011年发布的《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,从个人金融信息角度进一步强化信息保护要求,规范金融机构合法处理个人金融信息,明确保护金融消费者合法权益的相关要求。
2013年,国务院出台了我国规范征信业的第一部行政规章《征信业管理条例》(以下简称《条例》),是我国征信业发展的里程碑,对我国个人信息保护发展意义深远。在《条例》规范下,征信领域的信息采集、加工处理、保存和使用等业务规则的整体业务链条上,均渗透贯彻了个人信息保护理念:信息采集的同意告知;不良信息的告知;信息使用的授权;信息来源和使用渠道要清晰、信息错误可异议和纠错等;信息主体有知情权、同意权、异议救济权等。
2021年1月11日,中国人民银行草拟了《征信业务管理办法(征求意见稿)》并向社会公开征求意见,坚持征信为民,规范征信业务及其相关活动,加强征信监督管理,促进征信业健康发展。
第二,我国征信领域的个人信息保护具有鲜明的时代特色。我国发展进入了新时代,当前我国征信领域的个人信息保护具有鲜明的时代特征。党的十九届五中全会明确把“坚持以人民为中心”作为“十四五”时期经济社会发展必须遵循的重要原则。为践行全心全意为人民服务的根本宗旨,我国征信领域个人信息保护秉持“征信为民”基本理念,将个人信息保护作为贯穿征信业务开展各个环节的底线,采取了比欧洲实践更为严格的个人同意权双跨机制,采用信息采集、信息查询双同意机制。欧洲的大多数国家的信贷登记系统实行“强制征信”体制,征信机构从放贷机构采集借款人信息,以告知原则取代本人同意。这种同意权双跨机制,给予个人在数据分享方面足够的自主权和选择权,让愿意贡献和分享信息的主体有机会分享经济红利,也使不愿意分享数据的个人有选择权。这种机制体现了我国征信体系建设以人民为中心,坚持人民立场的法治精神。
我国征信领域的个人信息保护鲜明地体现了我国依法治国的发展理念,是习近平法治思想的具体体现。《法治社会建设实施纲要(2020—2025年)》明确提出要加快推进社会信用体系建设,进一步强化和规范信用信息归集共享,推动出台信用方面的法律,切实保障公民基本权利。2020年5月28日出台的《民法典》第四编第六章单设“隐私权和个人信息保护”专章,为我国个人信息保护奠定法理基础。《个人信息保护法》也正在酝酿出台,对个人信息的保护将进一步加强。2020年,中国人民银行副行长陈雨露在第三届进博会上提出,构建适应数字时代高质量发展的现代征信体系的重点之一,是要完善征信业法律法规和相关配套机制。通过完善法律法规配套机制,征信机构要在《民法典》《征信业管理条例》等法律法规框架下依法合规收集数据,征信业务各方参与机构规范使用数据,信息主体权益保护做到有法可依,切实维护好信息主体合法权益。
我国征信领域个人信息的“双保护模式”
第一,我国已经形成了以宪法为统领,刑法和民商法为总体框架的个人信息保护法律体系。《中华人民共和国宪法》提出“国家尊重和保障人权”,结合《民法典》将“信用”纳入人格权名誉权,个人信用正式成为公民的一项具体民事权利。个人信用信息应在宪法框架下建立起配套有效的法律保障机制。
刑法领域的《刑法修正案(九)》及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,全面系统地规定了侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题,确立了我国现行侵犯公民个人信息最严厉的刑事惩戒机制。
民事领域的《民法典》和即将出台的《个人信息保护法》搭建了我国个人信用信息保护的民商事法治框架。首先,《民法典》将“信用”归至名誉权范围、民事主体对信用评价有查询权和异议权,这标志着信用侵权正式纳入民法人格权侵权保护机制;另外,通过单设“隐私权和个人信息保护”专章,从个人信息定义、处理、权益保护等方面建立个人信息保护机制;最后《民法典》明确其个人信息保护规则适用于征信领域。其次,即将出台的《个人信息保护法》将是我国首部针对个人信息保护的立法。该法对个人信息定义、信息主体权利进行规定,对信息处理者及国家机关在处理个人信息时的处理规则进行要求,对违法处理个人信息的法律责任进行明确。
除此之外,各行业对个人信息保护采取分散立法的保护机制。全国人民代表大会常务委员会《关于加强网络信息保护的决定》提出个人信息保护的范围、规范网络活动中收集、适用个人信息行为等。《网络安全法》提出了网络运行机构的信息保护义务,并对侵害个人信息合法权利违法行为进行惩治。《消费者权益保护法》提出经营者对消费者信息的保密、补救义务等保护要求。即将出台的《数据安全法》提出了对信息数据的分级管理义务、安全保护义务等。
第二,征信领域目前已建立了以《征信业管理条例》为统领、多部部门规章为辅助的个人信息保护专项制度体系。《征信业管理条例》全篇共47条,大部分条款都与个人信息保护有关。《征信业管理条例》严格规范了个人征信业务规则,赋予了信息主体同意权、知情权、查询权、异议权和救济权等权益。这些规定不仅从权益保护角度赋予个人信息保护权利,而且也对征信活动各参与方在数据质量、异议数据处理、信息采集和查询等环节增加个人信息保护要求;同时加强监管权限,设置违规的惩罚措施,保障个人信息保护措施的落实。
人民银行配套发布了《个人信用信息基础数据库管理暂行办法》,对个人信用信息基础数据库的数据报送与整理、个人信用报告查询及异议处理等方面提出个人信息保护要求。《征信投诉办理规程》《征信机构监管指引》《征信机构管理办法》等系列配套措施,规范和引导征信机构做好个人信息保护工作。
综上所述,我国征信领域的个人信息保护,在《宪法》统领下,形成了以刑法和民商法为总体法律保护模式、征信业领域专项法律保护模式为主的双保护机制。这代表着我国征信领域个人信息保护法制框架已经搭建成型,初步形成了在宪法基础上的,由刑事责任追究、民事救济、行政监督等各项制度组成的综合性法律保护体系。
征信领域个人信息保護应关注的重点内容
推动立法建设以完善征信领域个人信息保护举措
一是加强征信领域个人信息保护立法层级。征信业务机制具有一定的特殊性和专业性。法律层面的《民法典》,包括正在征求意见的《个人信息保护法》等,都是对个人信息保护的原则性的笼统规定,目前并没有针对征信领域个人信息保护的基本法律。各领域的分散立法不能完全有效解决征信领域个人信息保护的具体痛点。《征信业管理条例》作为国务院行政规章,其法律位阶效力偏低,行政规范对涉及个人信息基本权利保护和限制相关内容无法进一步规定。有必要出台征信业管理法律,在《民法典》和即将出台的《个人信息保护法》的保护框架下,将个人征信准入和业务开展原则纳入法治范畴。将第三方机构的独立性原则、征信活动中的公正性原则和个人信息隐私保护原则等纳入征信业法治体系;在法律层面对征信领域的信用信息定义、信用信息收集的有限使用原则和告知义务、个人知情同意权、查询权、异议权、救济权等方面进行明确规范。
二是修订完善《征信业管理条例》。首先,落实新法对征信业务的规范要求。针对《民法典》《个人信息保护法》《数据安全法》等新出台和将出台的系列法律中个人信息保护的新原则要求,应尽快修订《征信业管理条例》,将其落实到行政法规具体举措中。其次,总结国内实践经验完善征信业务规则,例如,对于信息收集使用的同意和授权要求,实践中信息收集、使用者以格式合同、“霸王条款”的方式取得用户同意,通过恶意软件甚至非法买卖等方式获得信息,这些行为使得个人的“知情同意”原则受到严重弱化,因此有必要修订完善《条例》的授权条款等。
建立配套措施以强化征信领域个人信息保护权益力度
监管机构应在国家法律和行政法规的框架下,出台配套部门规章细化个人信息保护权益具体要求。一是目的特定要求。收集和查询个人信息应当有明确特定目的,且不能逾越特定目的范围。二是知情权要求。信息收集应当对信息主体履行告知义务,包括信息收集机构名称、收集目的等。三是同意授权要求。不同性质、不同目的的信息处理活动要分别取得授权,不得采取一揽子打包方式。四是查询权要求。征信机构应当公示个人信息查询渠道、查询方式和条件等。五是救济权要求。可借鉴国外立法经验,探索设立集体诉讼制度,建立畅通的个人信息保护民事渠道等。
加强监管力度以落实征信领域个人信息保护要求
维护信息主体的权益是征信监管的核心要义。一是依法合规开展征信监管业务。正在修订的《中国人民银行法(征求意见稿)》第五条第一款第(十六)项、第三十九条、第四十四条,从法律上明确人民银行管理征信业、信用评级业和推动建立社会信用体系的职责,更是从设立监管基础征信系统和征信市场管理的角度,对征信业监督管理进行了法律制度的顶层设计。二是根据国家即将颁布的《个人信息保护法》《数据安全法》等提出对征信业务个人信息保护的新规范要求,积极出台监管配套政策以落实,规范个人信息在征信领域的依法合规使用。三是适时出台《个人金融信息保护暂行办法》和《征信业务管理办法》,引导个人信息在金融领域里的依法合规使用,在征信业务范围内加强对个人信息的规范管理。四是加大处罚力度,对于破坏征信市场信息安全和个人信息保护违法行为,依法从严惩处。2020年12月30日,人民银行对深圳鹏元征信公司违法开展个人征信业务等行为开出了近2000万元的罚单,创下行业内最大罚单纪录。这将在征信领域的个人信息保护形成有效的监管震慑。
“十四五”時期,随着我国经济社会迈入转型和高质量发展的关键时期,我国征信市场也迎来了黄金发展期。在当前时代背景下,需要全社会共同努力,进一步做好个人信息保护,规范信息应用,切实加强个人信息保护,推动我国征信体系建设开启新发展格局。
(张子红为中国人民银行征信中心主任,王晶晶为中国人民银行征信中心法律事务部业务经理。本文仅为个人观点,不代表所在任职机构观点。本文编辑/秦婷)