摘要：個人信用征信體系通過采集、披露和使用個人信息，在有效保障市場交易安全的同時也對個人信息安全造成極大危險。在我國目前信用征信體系已初步建立的情況下，對個人信息保護的立法卻仍然空白。我國應(yīng)借鑒國外先進經(jīng)驗，加快個人信息保護立法，對征信體系下個人信息采集、披露和使用的目的、主體、范圍和程序進行規(guī)范，建立和完善一系列的配套機制，將個人信息置于法律的切實保護之下。

關(guān)鍵詞：個人信息保護；征信體系；制度構(gòu)建

中圖分類號：F832.2 文獻標(biāo)識碼：A 文章編號：1006-1428(2008)07-0077-04

信用征信體系通過對個人信用信息的采集、記載、披露和使用，有效解決了交易雙方信息的不對稱，使交易相對方有可能直接判斷和防范交易風(fēng)險，有效保障了經(jīng)濟交易安全和良好的市場運行秩序。但是這樣，個人信息安全與市場乃至社會安全就形成了價值沖突。如何在個人信息安全與社會安全之間尋求一個平衡點，在征信活動中保護個人信息安全，防止個人隱私受到不法侵害，這是一個值得研究的問題。

一、我國個人信用征信體系發(fā)展對個人信息保護立法提出迫切需求

2005年1月，全國統(tǒng)一的個人信用信息基礎(chǔ)數(shù)據(jù)庫開始聯(lián)網(wǎng)運行，標(biāo)志著我國個人信用征信體系初步建立。但是與之相配套的對個人信息保護的立法卻仍然空白。

長期以來，我國缺乏隱私權(quán)保護方面的專門立法，《民法通則》也將把有關(guān)隱私權(quán)益的規(guī)定納入名譽權(quán)的調(diào)整范圍，而民法、刑法、訴訟法等雖做了一些原則性的規(guī)定，但都缺乏可操作性，《征信管理條例》和《個人信息保護法》也遲遲未能出臺，致使在處理隱私權(quán)案件時無法可依、無所適從。個人信息保護不周，既不能適應(yīng)當(dāng)代中國人有尊嚴地工作和生活的人格需要，不符合充分保障個體權(quán)益的法治要求，也成為阻礙市場經(jīng)濟發(fā)展的巨大障礙。

同時，個人信息法律保護缺乏已成為我國征信業(yè)長遠發(fā)展的軟肋。由于缺乏個人信息隱私權(quán)保護的法律義務(wù)的約束，我國信用征信業(yè)的運營成本低于征信法律較為完備的國家。而該低成本恰是以侵犯公民隱私權(quán)而導(dǎo)致的社會高成本換來的，這種外部不經(jīng)濟使個人信用征信業(yè)獲得較大利益，而社會為此付出了額外成本。而且，這種低成本對外資也更具吸引力，并可能導(dǎo)致大量的尋租活動和巨大的社會成本。

因此，加快個人信息保護立法是促進我國個人信用征信體系長遠發(fā)展的必然要求。

二、國外個人信息保護立法經(jīng)驗

(一)歐洲數(shù)據(jù)(信息)保護公約

《歐洲數(shù)據(jù)保護公約》(Council of Europe:Con-vention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)第1條明確規(guī)定：“本公約的目的，是在各成員國地域內(nèi)，針對個人數(shù)據(jù)的自動處理，保障各國國民或居民個人的權(quán)利與基本自由?！?/p>

該公約規(guī)定了八項原則：第一，必須公平合法地取得供個人數(shù)據(jù)存儲用的信息。第二，只有為特定的、合法的目的，才能持有個人數(shù)據(jù)。第三，使用或透露個人數(shù)據(jù)的方式不能與持有數(shù)據(jù)的目的相沖突。第四，持有個人數(shù)據(jù)的目的本身，必須中肯、合理。第五，個人數(shù)據(jù)必須準確，不陳舊、不過時。第六，如果持有某些個人數(shù)據(jù)要達到的目的是有期限的，則持有時間不得超過該期限。第七，任何個人均有權(quán)在支付合理費用后，向數(shù)據(jù)持有人了解自己的信息是否被當(dāng)作個人數(shù)據(jù)存儲；如果是的話該個人有權(quán)要求見到并在適當(dāng)?shù)那闆r下修正有關(guān)數(shù)據(jù)。第八，必須采取安全措施，以防止個人數(shù)據(jù)未經(jīng)許可而被擴散、更改、透露或銷毀。

(二)美國信用征信體系下的個人信息保護法律規(guī)范

《公正信用報告法》(Fair Credit Reporting Act，簡稱FCRA)、《金融服務(wù)現(xiàn)代化法》(Gramm-Leach-Bliley Act，簡稱GLBA)是規(guī)范美國個人信用征信體系最重要的兩部法律。

FCRA規(guī)定：征信機構(gòu)只能對符合特定條件的當(dāng)事人提供個人信息報告；超過規(guī)定保存期限的信息不得再被記錄在個人信息報告中；征信機構(gòu)出售個人信息報告必須核實購買者的身份及其用途，并對個人信息報告的準確性負責(zé)；征信機構(gòu)必須給予個人對其本人的信用信息知情權(quán)和接觸權(quán)；當(dāng)個人對其本人的信用信息提出異議時，征信機構(gòu)負有重新調(diào)查的義務(wù)，對確認為錯誤的信息必須從個人信用檔案中刪除并負有將該事實通知各信用報告使用者的義務(wù)；根據(jù)個人信息報告而作出對個人不利決定的報告使用者應(yīng)將提供該報告的征信機構(gòu)的地址、名稱告知該本人；故意不履行上述義務(wù)的征信機構(gòu)應(yīng)對該個人負民事賠償責(zé)任，以欺詐或非法方式從征信機構(gòu)處獲得個人信息報告的，應(yīng)對該征信機構(gòu)負民事賠償責(zé)任；征信機構(gòu)的管理人員或職員未經(jīng)授權(quán)而泄露個人信息檔案中的信息，可單處2年以下監(jiān)禁或罰金；向征信機構(gòu)提供信用信息的機構(gòu)或個人負有保證提供正確信息的義務(wù)，對本人提出異議的信息負有調(diào)查并將結(jié)果告知征信機構(gòu)的義務(wù)。

GLBA規(guī)定：金融機構(gòu)可以向信用報告機構(gòu)提供非公開個人信息，也可以從信用報告機構(gòu)獲得非公開個人信息；在金融機構(gòu)與客戶建立信用關(guān)系之初或在保持客戶關(guān)系期間應(yīng)至少每年一次，向客戶提供有關(guān)金融機構(gòu)的隱私政策和做法，主要包括以下內(nèi)容：本金融機構(gòu)可能向其披露非公開個人信息的非關(guān)聯(lián)的第三方的類型；將已在本金融機構(gòu)銷戶的客戶的非公開個人信息向非關(guān)聯(lián)第三方進行披露的政策和做法；本金融機構(gòu)保護客戶的非公開個人信息的種類；本金融機構(gòu)保護客戶的非公開個人信息秘密性與安全性的政策。

(三)加拿大的隱私權(quán)法

加拿大的《隱私權(quán)法》(Privacy Act)主要是要求政府機構(gòu)中收集和掌握個人信息的部門，必須把征信范圍限制在直接為本部門的規(guī)劃及活動而不得不收集的信息。這類信息應(yīng)當(dāng)直接從被收集人本人那里、而不是從第三人那里去收集。掌握個人信息的部門必須采取一切措施確保信息的準確、完整和不過時。政府有關(guān)部門每年至少應(yīng)將個人信息庫(Personal In-formation Banks)的索引公布一次。只有當(dāng)信息部門的負責(zé)人認為透露某人的信息是公共利益的需要或?qū)ι婕靶畔⒌膫€人有益時，方得透露。

被收集了信息的個人，有權(quán)要求看到信息庫中關(guān)于自己的信息，也有權(quán)要求改正其中不確切的部分。但信息部門可以因國際事務(wù)、國防、司法等理由拒絕個人見到某些信息。此外，如果信息部門認為某些信息個人見到后，將有損加拿大聯(lián)邦政府的政務(wù)，也可以拒絕某些人的要求。與庭外律師業(yè)務(wù)有關(guān)的個人信息，及與醫(yī)療有關(guān)的個人信息，也可以拒絕讓本人見到。如果任何個人對于拒絕其見到本人信息的做法不服，可以向依照隱私權(quán)法專設(shè)的隱私權(quán)委員會申訴，對該委員會的決定仍舊不服的，還可以向聯(lián)邦法院起訴。

三、構(gòu)建我國個人信息保護法律制度的建議

參照各國的有益經(jīng)驗，我國除了采取必要的技術(shù)措施保護個人信息外，還應(yīng)當(dāng)通過立法確立個人信息安全的法律地位。除了要在將來出臺的《民法典》中將隱私權(quán)作為一項獨立的人格權(quán)加以規(guī)定，同時還應(yīng)當(dāng)加快《個人信息保護法》和《征信管理條例》的立法進程，建立完善的個人信息保護法律制度。

(一)規(guī)定信息采集的主體、范圍和程序

1、信息采集的主體，即征信機構(gòu)。

征信機構(gòu)在信用體系中起主導(dǎo)作用，其運營會涉及眾多個人利益和社會利益。因此，對于個人征信機構(gòu)必須設(shè)立較高的市場準入條件。一方面要規(guī)定征信機構(gòu)從事征信活動的硬件條件，如必要的注冊資本、完善的技術(shù)設(shè)施、數(shù)據(jù)庫系統(tǒng)、自動或人工核查系統(tǒng)、必要的安全和保密措施等；另一方面，對征信機構(gòu)的組成人員的素質(zhì)和管理手段也要予以詳細規(guī)定，實行任職人員資格準入制度。此外還應(yīng)詳盡規(guī)定個人征信機構(gòu)的業(yè)務(wù)范圍、審批程序、權(quán)利義務(wù)等。

2、信息采集的范圍。

(1)信息內(nèi)容上的限制。

可采集的個人信息應(yīng)當(dāng)包括且僅限于以下內(nèi)容：

一是個人身份識別信息，包括姓名、性別、出生日期、身份證號、戶籍所在地、居住地、婚姻狀況、家庭成員狀況、受教育狀況、工作單位等。

二是商業(yè)信用記錄，包括在商業(yè)銀行的個人貸款及償還、個人信用卡使用等有關(guān)記錄，與商業(yè)銀行或住房公積金管理中心等機構(gòu)發(fā)生的其他信用行為記錄，以及個人與其他市場主體、公用事業(yè)服務(wù)機構(gòu)發(fā)生的信用交易記錄。

三是社會公共信息記錄，包括個人納稅、參加社會保險以及個人財產(chǎn)狀況及變動等記錄。

四是行政司法記錄，包括有可能影響個人信用狀況的涉及民事、刑事、行政訴訟和行政處罰及其執(zhí)行情況的記錄。

五是其他已經(jīng)依法公開的個人信用信息。

禁止采集的個人信息應(yīng)當(dāng)包括：

一是種族、家庭出身、宗教信仰、政治歸屬、性取向以及身體形態(tài)、基因、血型、指紋、疾病和病史等可能使被征信個人受到歧視的信息。

二是個人愛好、生活習(xí)慣等與個人信用無關(guān)的信息。

三是法律、法規(guī)規(guī)定應(yīng)當(dāng)保密或者禁止采集的其他個人信息。

(2)信息時間上的限制。

個人的信用狀況會隨著時間的變化而發(fā)生變化，如果一次信用的好壞成為個人信息中的永久記錄，不利于個人改善自己的信用狀況，也不能真實地反映被征信人當(dāng)前的信用狀況。為此，必須對征信機構(gòu)收集信息進行時間上的限制。按照國際慣例，一般的負面信息保留7年，但特別嚴重和明顯惡意的負面信息保留10年。超過保留期限，負面信息就將在信用報告中被刪除。

3、信息采集的程序。

(1)信息采集以征得被征信人同意或授權(quán)為原則。

征信機構(gòu)采集個人信用信息應(yīng)當(dāng)征得被征信人的書面同意或明確授權(quán)。個人在工作、信貸、保險、公用服務(wù)等業(yè)務(wù)或服務(wù)申請?zhí)顚懙膫€人信息，其全部或部分內(nèi)容是否可以作為信用信息被征信機構(gòu)采集、是否可以向第三方提供或被使用，應(yīng)當(dāng)予以專款明示，并告知其信息可能被應(yīng)用的領(lǐng)域、途徑等，由申請人簽字。

(2)信息采集以不經(jīng)被征信人同意為例外。

在信用交易活動中受侵害一方當(dāng)事人提供的對方不良信用記錄，通過政府政務(wù)公開信息渠道直接采集的信息，不利于個人信用狀況的涉及民事、刑事、行政訴訟和行政處罰及其執(zhí)行情況的記錄等已經(jīng)依法公開的信息，征信機構(gòu)可以不經(jīng)被征信人同意直接采集。

(3)采集方式的禁止。

征信機構(gòu)不得以欺詐、竊取、賄賂、利誘、脅迫、侵入計算機系統(tǒng)籌不正當(dāng)手段采集個人信息。

(二)規(guī)定信息披露及使用的目的、范圍和程序

這主要是指對兩類主體的法律規(guī)制。一是對征信機構(gòu)的規(guī)制，即征信機構(gòu)不得隨意披露個人信用信息；二是對信用信息使用者的規(guī)制，即信息使用者不得濫用個人信用信息，而必須依法定或約定目的合理使用。

1、為公共利益需要披露和使用個人信用信息無需經(jīng)被征信人同意。

為國家、社會等公共利益需要，可以披露和使用個人信用信息，并且可以不征得被征信人的同意和授權(quán)。如作為候選人參加人大代表等公眾選舉、取得與信用狀況有關(guān)的特定行政許可等。

如果披露或使用個人信用信息將有損社會公共利益或者善意第三人的利益，則雖經(jīng)被征信人同意或授權(quán)，還是不得披露和使用。

2、為被征信人之利益而披露和使用個人信用信息必須經(jīng)被征信人同意。

主要范圍包括：一是用人單位招聘員工的；二是公用事業(yè)單位對被征信人提供服務(wù)的；三是金融機構(gòu)對被征信人提供信貸、保險等服務(wù)的；四是商業(yè)企業(yè)或個人與被征信人發(fā)生賒銷、借貸等與信用有關(guān)民事關(guān)系的；五是機關(guān)企事業(yè)單位評選勞動模范、先進人物等榮譽稱號的；等等。凡是被征信人要求或者授權(quán)他人查詢和使用信用信息的，均視為符合被征信人之利益。征信機構(gòu)之間共享或交換個人信用信息的，應(yīng)當(dāng)屬于信息采集的范疇，適用信用信息采集的規(guī)定。

(三)規(guī)定個人的合法權(quán)利

1、保密權(quán)。個人有權(quán)決定是否對外公開其個人信息及公開的內(nèi)容和范圍，有權(quán)禁止他人非法收集、儲存、利用、披露自己的個人信息。

2、使用權(quán)。個人有自主使用和許可他人使用本人個人信息的權(quán)利。被征信人有權(quán)向征信機構(gòu)索取自己的個人信用報告，并利用自己的信用報告從事合法活動。

3、知情權(quán)。個人有權(quán)知悉本人個人信息被收集、儲存、利用、披露的事實，也有權(quán)知悉該個人信息的內(nèi)容、用途及使用者的有關(guān)信息。

4、更正權(quán)。個人有權(quán)要求征信機構(gòu)保證其持有的關(guān)于自己的個人信息的準確性和及時性，對不準確、不及時的信息有要求更正或刪除的權(quán)利。

5、求償權(quán)。個人在其個人信息被非法收集、儲存、利用、披露并對個人隱私和其他合法權(quán)益造成損失時，可請求民事賠償。權(quán)利人可以向征信機構(gòu)的主管部門或上級部門進行申訴，也可以向消費者協(xié)會投訴，或者向人民法院起訴，請求司法救濟。

(四)建立并完善相應(yīng)的配套機制

1、建立科學(xué)的個人信用征信服務(wù)定價機制。

個人信用征信服務(wù)應(yīng)當(dāng)是一種有償服務(wù)。國家征信監(jiān)督管理部門應(yīng)當(dāng)按照市場原則，建立一套科學(xué)的個人信用征信服務(wù)定價機制。在制定定價機制時，應(yīng)當(dāng)充分考慮個人信用信息采集的成本、征信管理機構(gòu)的管理運營成本、服務(wù)的對象、個人信用報告的用途等。征信服務(wù)定價還應(yīng)考慮各地經(jīng)濟發(fā)展水平差異，在全國性指導(dǎo)價格下確定區(qū)域性定價標(biāo)準。

2、建立完善安全嚴密的信息存儲、管理、流轉(zhuǎn)機制。

一是要有完善的信息安全管理、保護措施和程序，確保個人信息的安全；二是要制訂信息的更新程序，對有關(guān)信息進行定期或不定期的及時更新；要制定完善的異議處理程序，對被征信人提出的異議及時調(diào)查和處理，確保信息的及時性和準確性；三是要限制個人信用信息流轉(zhuǎn)的渠道，禁止信息從互聯(lián)網(wǎng)等渠道進行流轉(zhuǎn)、傳播；四是要有個人信息泄露的預(yù)警和防范措施，以及信息泄露后及時補救和減少損失的措施。

3、建立相應(yīng)的責(zé)任追究機制。

要規(guī)定合理的責(zé)任追究機制，明確征信機構(gòu)及其內(nèi)部工作人員、個人信用信息使用人、個人信用信息提供者等各方主體虛假提供或不當(dāng)儲存、加工、披露、使用個人信用信息，構(gòu)成侵權(quán)行為的內(nèi)容、形式及應(yīng)承擔(dān)的責(zé)任；構(gòu)成犯罪的還應(yīng)追究刑事責(zé)任。

(1)征信機構(gòu)及其工作人員對個人信息應(yīng)承擔(dān)善意管理人的責(zé)任。若征信機構(gòu)不能證明自己無過錯，且披露、轉(zhuǎn)讓、使用個人信息是為公共利益或該個人本人的利益，就得承擔(dān)侵權(quán)責(zé)任。

(2)征信機構(gòu)將個人信用信息披露、轉(zhuǎn)讓給信用信息使用人，該信用信息使用人使用不當(dāng)或非法泄露、傳播、轉(zhuǎn)讓給他人，給個人造成損失的，如果該披露、轉(zhuǎn)讓行為合法，則由該信用信息使用人承擔(dān)侵權(quán)賠償責(zé)任；如果該披露、轉(zhuǎn)讓行為違法，則應(yīng)由征信機構(gòu)和信用信息使用人負共同連帶責(zé)任。

(3)被征信人或其他個人信用信息提供者故意提供虛假個人信用信息，對征信機構(gòu)、個人信用信息使用人、善意第三人造成損失的，應(yīng)承擔(dān)侵權(quán)責(zé)任。

(責(zé)任編輯：周智立)