趙園園
一、我國(guó)現(xiàn)有立法的不足
我國(guó)《征信業(yè)管理?xiàng)l例》代表了征信管理的重要進(jìn)步,但從個(gè)人信息保護(hù)的角度來(lái)看,仍然存在很多不足?!墩餍艠I(yè)管理?xiàng)l例》第3條規(guī)定,從事征信業(yè)務(wù)及相關(guān)活動(dòng),應(yīng)當(dāng)遵守法律法規(guī),誠(chéng)實(shí)守信,不得危害國(guó)家秘密,不得侵犯商業(yè)秘密和個(gè)人隱私。但要保護(hù)被征信人的合法權(quán)益,對(duì)個(gè)人數(shù)據(jù)信息權(quán)利的保護(hù)范圍應(yīng)該超越隱私權(quán)范圍。如果改為依法保護(hù)個(gè)人信息的權(quán)利,尤其是隱私權(quán),則更為合理?!墩餍艠I(yè)管理?xiàng)l例》第13條規(guī)定,采集個(gè)人信息應(yīng)當(dāng)經(jīng)信息主體本人同意,未經(jīng)本人同意不得采集。但是,依照法律、行政法規(guī)規(guī)定公開的信息除外。個(gè)人數(shù)據(jù)權(quán)及于全部個(gè)人數(shù)據(jù),不管是私密的還是公開的,規(guī)定公開信息可以隨意收集并不妥當(dāng)。個(gè)人數(shù)據(jù)與個(gè)人隱私的最大區(qū)別在于,隱私在性質(zhì)上是屬于私人的,屬于未向社會(huì)公開的范疇。而個(gè)人數(shù)據(jù)則可能已經(jīng)公開,或本來(lái)就屬于公共事務(wù)的范疇。披露個(gè)人宗教信仰、醫(yī)療記錄、通訊內(nèi)容、生活習(xí)慣等敏感信息可能被隱私權(quán)所保護(hù)。但已經(jīng)公開的信息如姓名、地址、電話號(hào)碼等常常被濫用的個(gè)人數(shù)據(jù)信息,則恰恰一般被歸為已經(jīng)公開的信息。
征信報(bào)告對(duì)個(gè)人的經(jīng)濟(jì)信用極為重要。金融機(jī)構(gòu)負(fù)責(zé)將信用信息上傳至征信中心,對(duì)于錯(cuò)誤信用報(bào)告給信用主體造成的損失,法律對(duì)此沒(méi)有明確規(guī)定,司法實(shí)踐對(duì)金融機(jī)構(gòu)是否承擔(dān)責(zé)任的判法不一,對(duì)此應(yīng)結(jié)合相關(guān)案例詳細(xì)分析個(gè)人征信領(lǐng)域侵權(quán)責(zé)任的主體、客體、歸責(zé)原則、責(zé)任方式、損失及賠償范圍等問(wèn)題,厘清在個(gè)人沒(méi)有過(guò)錯(cuò)或僅有部分過(guò)錯(cuò)的情況下,金融機(jī)構(gòu)應(yīng)適用過(guò)錯(cuò)推定責(zé)任原則承擔(dān)相應(yīng)侵權(quán)責(zé)任,賠償范圍應(yīng)包括精神損害。
二、加強(qiáng)對(duì)個(gè)人信息保護(hù)的法律制度之間的協(xié)調(diào)與銜接
我國(guó)現(xiàn)有近40部法律、30余部法規(guī),以及近200部規(guī)章涉及個(gè)人信息保護(hù),其中包括規(guī)范互聯(lián)網(wǎng)信息規(guī)定,醫(yī)療信息規(guī)定,個(gè)人信用管理辦法,但這些規(guī)則在立法價(jià)值取向上從各自所屬的制度出發(fā),存在頗多沖突之處,應(yīng)當(dāng)加以協(xié)調(diào)。立法機(jī)構(gòu)應(yīng)盡快出臺(tái)《個(gè)人信息保護(hù)法》,明確個(gè)人信息的邊界與信息保護(hù)主體的責(zé)任義務(wù),從頂層設(shè)計(jì)上織就一張信息安全保護(hù)網(wǎng)。同時(shí),還應(yīng)妥善處理個(gè)人信息保護(hù)立法和網(wǎng)絡(luò)、信息安全管理等法規(guī)制度的關(guān)系。
三、建立個(gè)人信息保護(hù)的具體有效制度
大數(shù)據(jù)時(shí)代紛繁復(fù)雜的個(gè)人信息處理場(chǎng)景中,前端的、靜態(tài)的知情同意的框架已不足以應(yīng)對(duì)嚴(yán)峻的隱私挑戰(zhàn),而應(yīng)在個(gè)人信息處理的具體場(chǎng)景中進(jìn)行動(dòng)態(tài)的風(fēng)險(xiǎn)控制,變僵化的合規(guī)遵循為靈活的風(fēng)險(xiǎn)管理,促進(jìn)個(gè)人信息的合理使用,重點(diǎn)規(guī)制個(gè)人信息的不合理使用行為。場(chǎng)景與風(fēng)險(xiǎn)導(dǎo)向的理念能夠顯著提升個(gè)人信息保護(hù)的有效性,減輕企業(yè)不必要的合規(guī)負(fù)擔(dān),是協(xié)調(diào)隱私保護(hù)與數(shù)據(jù)價(jià)值開發(fā)的必由之路。
(一)區(qū)分敏感信息和非敏感信息,建立信息的分類保護(hù)制度
2012年第十一屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議審議通過(guò)《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,為加強(qiáng)公民個(gè)人信息保護(hù)、維護(hù)網(wǎng)絡(luò)信息安全提供了法律依據(jù)。為配合《決定》的落實(shí),《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》作為我國(guó)首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn),也已于2013年2月1日起正式發(fā)布實(shí)施,其最顯著的特點(diǎn)是將個(gè)人信息分為個(gè)人一般信息和個(gè)人敏感信息,并提出默許同意和明示同意的概念。對(duì)于個(gè)人一般信息的處理可以建立在默許同意的基礎(chǔ)上,只要個(gè)人信息主體沒(méi)有明確表示反對(duì),便可收集和利用。對(duì)于個(gè)人敏感信息,則需要建立在明示同意的基礎(chǔ)上,在收集和利用之前,必須首先獲得個(gè)人信息主體明確的授權(quán)。
(二)完善數(shù)據(jù)泄露的通知制度,把用戶納入通知范圍
個(gè)人信息泄漏特別是個(gè)人敏感信息泄漏會(huì)給企業(yè)造成巨大的經(jīng)濟(jì)損失,給相關(guān)個(gè)人帶來(lái)精神及名譽(yù)傷害。美國(guó)FBI曾調(diào)查顯示,個(gè)人敏感信息泄漏事件的平均損失高達(dá)16.7萬(wàn)美元,美國(guó)司法部將數(shù)據(jù)提高到150萬(wàn)美元。一家曾發(fā)生過(guò)數(shù)據(jù)泄漏事件的美國(guó)保險(xiǎn)公司表示,其在一次數(shù)據(jù)泄漏事件中的總損失高達(dá)410萬(wàn)美元,平均每條記錄損失15美元。
我國(guó)某第三方機(jī)構(gòu)對(duì)國(guó)內(nèi)100家購(gòu)物類平臺(tái)隱私條款進(jìn)行了測(cè)評(píng),結(jié)果顯示只有10家達(dá)到合格標(biāo)準(zhǔn)。測(cè)評(píng)結(jié)果顯示,購(gòu)物平臺(tái)最普遍缺失的條款為“給予用戶退訂或拒絕商業(yè)信息的權(quán)利,提供有效途徑及操作指引”。購(gòu)物平臺(tái)出于向用戶推銷促銷活動(dòng)和商業(yè)廣告等商業(yè)信息的需要,往往會(huì)搜集用戶的個(gè)人信息和購(gòu)買習(xí)慣,而用戶則很難找到退訂途徑。此外,用戶很難得知平臺(tái)搜集個(gè)人信息之后的使用目的、用途和使用范圍。
(三)加強(qiáng)數(shù)據(jù)庫(kù)之間的信息共享
目前,國(guó)內(nèi)征信數(shù)據(jù)庫(kù)包括國(guó)家金融信用信息基礎(chǔ)數(shù)據(jù)庫(kù)、地方政府建立的公共服務(wù)平臺(tái)數(shù)據(jù)、互聯(lián)網(wǎng)企業(yè)建立的基于網(wǎng)絡(luò)行為的數(shù)據(jù)庫(kù)、P2P公司通過(guò)線上采集和線下團(tuán)隊(duì)調(diào)查搭建的數(shù)據(jù)庫(kù)等,但是不同類型數(shù)據(jù)庫(kù)大都是相互割裂的,分別面向不同的信息服務(wù)對(duì)象。同時(shí),同類型數(shù)據(jù)庫(kù)之間也是相互割裂的,一方面不同職能部門、不同地區(qū)缺乏信息公開、共享和應(yīng)用的具體制度和規(guī)范,信息的條塊分割、區(qū)域分割和部門壟斷現(xiàn)象較為嚴(yán)重;另一方面互聯(lián)網(wǎng)金融企業(yè)間的數(shù)據(jù)庫(kù)由于涉及企業(yè)的核心競(jìng)爭(zhēng)力,在沒(méi)有建立起相應(yīng)的利益激勵(lì)機(jī)制之前,大多是不愿意共享的。
此外,還應(yīng)當(dāng)考慮逐步引入被遺忘權(quán);鼓勵(lì)產(chǎn)業(yè)界逐漸賦予用戶數(shù)據(jù)的可攜權(quán);明確通過(guò)技術(shù)標(biāo)準(zhǔn)和安全保障措施,貫徹信息設(shè)計(jì)的保護(hù)機(jī)制;按照開放、有序、安全的原則,確立數(shù)據(jù)跨境移動(dòng)的規(guī)則,加強(qiáng)國(guó)際之間的認(rèn)證和協(xié)作,以開放的態(tài)度解決數(shù)據(jù)利用和安全問(wèn)題。
參考文獻(xiàn):
郭瑜著:《個(gè)人數(shù)據(jù)保護(hù)法研究》,北京大學(xué)出版社2012年版,第278頁(yè)。
朱玲:《金融創(chuàng)新背景下的金融服務(wù)法學(xué)2014年度中國(guó)金融服務(wù)法學(xué)研究動(dòng)態(tài)與綜述》,《金融服務(wù)法評(píng)論》(第7卷)第474頁(yè)。
單磊:《大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)悖論與法律挑戰(zhàn)》,《互聯(lián)網(wǎng)金融法律評(píng)論》
范為:《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)》,《環(huán)球法律評(píng)論》2016年第5期,第100頁(yè)。
鄧舒仁:《關(guān)于互聯(lián)網(wǎng)征信發(fā)展與監(jiān)管的思考》,《征信》2015年第1期,第15頁(yè)。