趙園園

一、我國(guó)現(xiàn)有立法的不足

我國(guó)《征信業(yè)管理?xiàng)l例》代表了征信管理的重要進(jìn)步，但從個(gè)人信息保護(hù)的角度來(lái)看，仍然存在很多不足?！墩餍艠I(yè)管理?xiàng)l例》第3條規(guī)定，從事征信業(yè)務(wù)及相關(guān)活動(dòng)，應(yīng)當(dāng)遵守法律法規(guī)，誠(chéng)實(shí)守信，不得危害國(guó)家秘密，不得侵犯商業(yè)秘密和個(gè)人隱私。但要保護(hù)被征信人的合法權(quán)益，對(duì)個(gè)人數(shù)據(jù)信息權(quán)利的保護(hù)范圍應(yīng)該超越隱私權(quán)范圍。如果改為依法保護(hù)個(gè)人信息的權(quán)利，尤其是隱私權(quán)，則更為合理?！墩餍艠I(yè)管理?xiàng)l例》第13條規(guī)定，采集個(gè)人信息應(yīng)當(dāng)經(jīng)信息主體本人同意，未經(jīng)本人同意不得采集。但是，依照法律、行政法規(guī)規(guī)定公開的信息除外。個(gè)人數(shù)據(jù)權(quán)及于全部個(gè)人數(shù)據(jù)，不管是私密的還是公開的，規(guī)定公開信息可以隨意收集并不妥當(dāng)。個(gè)人數(shù)據(jù)與個(gè)人隱私的最大區(qū)別在于，隱私在性質(zhì)上是屬于私人的，屬于未向社會(huì)公開的范疇。而個(gè)人數(shù)據(jù)則可能已經(jīng)公開，或本來(lái)就屬于公共事務(wù)的范疇。披露個(gè)人宗教信仰、醫(yī)療記錄、通訊內(nèi)容、生活習(xí)慣等敏感信息可能被隱私權(quán)所保護(hù)。但已經(jīng)公開的信息如姓名、地址、電話號(hào)碼等常常被濫用的個(gè)人數(shù)據(jù)信息，則恰恰一般被歸為已經(jīng)公開的信息。

征信報(bào)告對(duì)個(gè)人的經(jīng)濟(jì)信用極為重要。金融機(jī)構(gòu)負(fù)責(zé)將信用信息上傳至征信中心，對(duì)于錯(cuò)誤信用報(bào)告給信用主體造成的損失，法律對(duì)此沒(méi)有明確規(guī)定，司法實(shí)踐對(duì)金融機(jī)構(gòu)是否承擔(dān)責(zé)任的判法不一，對(duì)此應(yīng)結(jié)合相關(guān)案例詳細(xì)分析個(gè)人征信領(lǐng)域侵權(quán)責(zé)任的主體、客體、歸責(zé)原則、責(zé)任方式、損失及賠償范圍等問(wèn)題，厘清在個(gè)人沒(méi)有過(guò)錯(cuò)或僅有部分過(guò)錯(cuò)的情況下，金融機(jī)構(gòu)應(yīng)適用過(guò)錯(cuò)推定責(zé)任原則承擔(dān)相應(yīng)侵權(quán)責(zé)任，賠償范圍應(yīng)包括精神損害。

二、加強(qiáng)對(duì)個(gè)人信息保護(hù)的法律制度之間的協(xié)調(diào)與銜接

我國(guó)現(xiàn)有近40部法律、30余部法規(guī)，以及近200部規(guī)章涉及個(gè)人信息保護(hù)，其中包括規(guī)范互聯(lián)網(wǎng)信息規(guī)定，醫(yī)療信息規(guī)定，個(gè)人信用管理辦法，但這些規(guī)則在立法價(jià)值取向上從各自所屬的制度出發(fā)，存在頗多沖突之處，應(yīng)當(dāng)加以協(xié)調(diào)。立法機(jī)構(gòu)應(yīng)盡快出臺(tái)《個(gè)人信息保護(hù)法》，明確個(gè)人信息的邊界與信息保護(hù)主體的責(zé)任義務(wù)，從頂層設(shè)計(jì)上織就一張信息安全保護(hù)網(wǎng)。同時(shí)，還應(yīng)妥善處理個(gè)人信息保護(hù)立法和網(wǎng)絡(luò)、信息安全管理等法規(guī)制度的關(guān)系。

三、建立個(gè)人信息保護(hù)的具體有效制度

大數(shù)據(jù)時(shí)代紛繁復(fù)雜的個(gè)人信息處理場(chǎng)景中，前端的、靜態(tài)的知情同意的框架已不足以應(yīng)對(duì)嚴(yán)峻的隱私挑戰(zhàn)，而應(yīng)在個(gè)人信息處理的具體場(chǎng)景中進(jìn)行動(dòng)態(tài)的風(fēng)險(xiǎn)控制，變僵化的合規(guī)遵循為靈活的風(fēng)險(xiǎn)管理，促進(jìn)個(gè)人信息的合理使用，重點(diǎn)規(guī)制個(gè)人信息的不合理使用行為。場(chǎng)景與風(fēng)險(xiǎn)導(dǎo)向的理念能夠顯著提升個(gè)人信息保護(hù)的有效性，減輕企業(yè)不必要的合規(guī)負(fù)擔(dān)，是協(xié)調(diào)隱私保護(hù)與數(shù)據(jù)價(jià)值開發(fā)的必由之路。

（一）區(qū)分敏感信息和非敏感信息，建立信息的分類保護(hù)制度

2012年第十一屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議審議通過(guò)《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，為加強(qiáng)公民個(gè)人信息保護(hù)、維護(hù)網(wǎng)絡(luò)信息安全提供了法律依據(jù)。為配合《決定》的落實(shí)，《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》作為我國(guó)首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)，也已于2013年2月1日起正式發(fā)布實(shí)施，其最顯著的特點(diǎn)是將個(gè)人信息分為個(gè)人一般信息和個(gè)人敏感信息，并提出默許同意和明示同意的概念。對(duì)于個(gè)人一般信息的處理可以建立在默許同意的基礎(chǔ)上，只要個(gè)人信息主體沒(méi)有明確表示反對(duì)，便可收集和利用。對(duì)于個(gè)人敏感信息，則需要建立在明示同意的基礎(chǔ)上，在收集和利用之前，必須首先獲得個(gè)人信息主體明確的授權(quán)。

（二）完善數(shù)據(jù)泄露的通知制度，把用戶納入通知范圍

個(gè)人信息泄漏特別是個(gè)人敏感信息泄漏會(huì)給企業(yè)造成巨大的經(jīng)濟(jì)損失，給相關(guān)個(gè)人帶來(lái)精神及名譽(yù)傷害。美國(guó)FBI曾調(diào)查顯示，個(gè)人敏感信息泄漏事件的平均損失高達(dá)16.7萬(wàn)美元，美國(guó)司法部將數(shù)據(jù)提高到150萬(wàn)美元。一家曾發(fā)生過(guò)數(shù)據(jù)泄漏事件的美國(guó)保險(xiǎn)公司表示，其在一次數(shù)據(jù)泄漏事件中的總損失高達(dá)410萬(wàn)美元，平均每條記錄損失15美元。

我國(guó)某第三方機(jī)構(gòu)對(duì)國(guó)內(nèi)100家購(gòu)物類平臺(tái)隱私條款進(jìn)行了測(cè)評(píng)，結(jié)果顯示只有10家達(dá)到合格標(biāo)準(zhǔn)。測(cè)評(píng)結(jié)果顯示，購(gòu)物平臺(tái)最普遍缺失的條款為“給予用戶退訂或拒絕商業(yè)信息的權(quán)利，提供有效途徑及操作指引”。購(gòu)物平臺(tái)出于向用戶推銷促銷活動(dòng)和商業(yè)廣告等商業(yè)信息的需要，往往會(huì)搜集用戶的個(gè)人信息和購(gòu)買習(xí)慣，而用戶則很難找到退訂途徑。此外，用戶很難得知平臺(tái)搜集個(gè)人信息之后的使用目的、用途和使用范圍。

（三）加強(qiáng)數(shù)據(jù)庫(kù)之間的信息共享

目前，國(guó)內(nèi)征信數(shù)據(jù)庫(kù)包括國(guó)家金融信用信息基礎(chǔ)數(shù)據(jù)庫(kù)、地方政府建立的公共服務(wù)平臺(tái)數(shù)據(jù)、互聯(lián)網(wǎng)企業(yè)建立的基于網(wǎng)絡(luò)行為的數(shù)據(jù)庫(kù)、P2P公司通過(guò)線上采集和線下團(tuán)隊(duì)調(diào)查搭建的數(shù)據(jù)庫(kù)等，但是不同類型數(shù)據(jù)庫(kù)大都是相互割裂的，分別面向不同的信息服務(wù)對(duì)象。同時(shí)，同類型數(shù)據(jù)庫(kù)之間也是相互割裂的，一方面不同職能部門、不同地區(qū)缺乏信息公開、共享和應(yīng)用的具體制度和規(guī)范，信息的條塊分割、區(qū)域分割和部門壟斷現(xiàn)象較為嚴(yán)重；另一方面互聯(lián)網(wǎng)金融企業(yè)間的數(shù)據(jù)庫(kù)由于涉及企業(yè)的核心競(jìng)爭(zhēng)力，在沒(méi)有建立起相應(yīng)的利益激勵(lì)機(jī)制之前，大多是不愿意共享的。

此外，還應(yīng)當(dāng)考慮逐步引入被遺忘權(quán)；鼓勵(lì)產(chǎn)業(yè)界逐漸賦予用戶數(shù)據(jù)的可攜權(quán)；明確通過(guò)技術(shù)標(biāo)準(zhǔn)和安全保障措施，貫徹信息設(shè)計(jì)的保護(hù)機(jī)制；按照開放、有序、安全的原則，確立數(shù)據(jù)跨境移動(dòng)的規(guī)則，加強(qiáng)國(guó)際之間的認(rèn)證和協(xié)作，以開放的態(tài)度解決數(shù)據(jù)利用和安全問(wèn)題。

參考文獻(xiàn)：

郭瑜著：《個(gè)人數(shù)據(jù)保護(hù)法研究》，北京大學(xué)出版社2012年版，第278頁(yè)。

朱玲：《金融創(chuàng)新背景下的金融服務(wù)法學(xué)2014年度中國(guó)金融服務(wù)法學(xué)研究動(dòng)態(tài)與綜述》，《金融服務(wù)法評(píng)論》（第7卷）第474頁(yè)。

單磊：《大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)悖論與法律挑戰(zhàn)》，《互聯(lián)網(wǎng)金融法律評(píng)論》

范為：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)》，《環(huán)球法律評(píng)論》2016年第5期，第100頁(yè)。

鄧舒仁：《關(guān)于互聯(lián)網(wǎng)征信發(fā)展與監(jiān)管的思考》，《征信》2015年第1期，第15頁(yè)。