劉妍

[摘要]近年來，隨著個(gè)人征信的廣泛運(yùn)用，征信信息安全防控形勢面臨嚴(yán)峻挑戰(zhàn)。做好新時(shí)代征信信息安全管理工作，切實(shí)維護(hù)信息主體合法權(quán)益，已成為當(dāng)前形勢下迫切需要解決的問題。文章梳理了我國目前個(gè)人征信信息主體權(quán)益保護(hù)的現(xiàn)狀，對歐盟《一般數(shù)據(jù)保護(hù)條例》中的個(gè)人征信信息主體保護(hù)進(jìn)行了分析，總結(jié)了我國在這方面存在的問題，并參照歐盟經(jīng)驗(yàn)，提出了相關(guān)建議。

[關(guān)鍵詞]個(gè)人信息安全;權(quán)益保護(hù);國際經(jīng)驗(yàn);個(gè)人征信信息主體

[DOI]1013939/jcnkizgsc201928042

1引言

近年來，隨著個(gè)人征信的廣泛應(yīng)用以及大數(shù)據(jù)、云計(jì)算等數(shù)字技術(shù)的迅猛發(fā)展，相關(guān)的維權(quán)投訴事件明顯增多，信息泄露風(fēng)險(xiǎn)不斷蔓延，征信信息安全防控形勢面臨嚴(yán)峻挑戰(zhàn)。在全世界范圍內(nèi)，個(gè)人信息主體權(quán)益保護(hù)越來越受到金融監(jiān)管當(dāng)局的重視。2018年4月，中國人民銀行下發(fā)了《中國人民銀行關(guān)于進(jìn)一步加強(qiáng)征信信息安全管理的通知》（銀發(fā)〔2018〕102號）（下稱102號文），旗幟鮮明地將個(gè)人信息安全和信息主體權(quán)益保護(hù)的管控要求提到了全新高度。在當(dāng)前形勢下，如何做好新時(shí)代征信信息安全管理工作，切實(shí)保護(hù)信息主體合法權(quán)益，已成為迫切需要解決的問題。文章將通過對歐盟《一般數(shù)據(jù)保護(hù)條例》相關(guān)做法的分析，對比我國現(xiàn)狀，借鑒國際先進(jìn)經(jīng)驗(yàn)，提出我國個(gè)人征信信息主體權(quán)益保護(hù)的相關(guān)政策建議。

2目前我國個(gè)人征信信息主體權(quán)益保護(hù)主要概況

21我國個(gè)人征信信息主體權(quán)益保護(hù)法規(guī)制度

我國《征信業(yè)管理?xiàng)l例》賦予了信息主體知情權(quán)、異議權(quán)和救濟(jì)權(quán)等權(quán)益，對信息提供者、信息使用者及征信機(jī)構(gòu)的義務(wù)和責(zé)任做了相關(guān)規(guī)定。為切實(shí)防范征信信息泄露風(fēng)險(xiǎn)，中國人民銀行作為國務(wù)院征信業(yè)監(jiān)督管理部門，還先后印發(fā)《中國人民銀行關(guān)于加強(qiáng)征信合規(guī)管理工作的通知》（銀發(fā)〔2016〕300號）以及102號文等，在金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)、接入機(jī)構(gòu)和人民銀行分支機(jī)構(gòu)建立起較為全面的征信信息安全防控機(jī)制。

22我國個(gè)人征信信息主體權(quán)益保護(hù)監(jiān)管現(xiàn)狀

近年來，中國人民銀行采取了多種措施加強(qiáng)征信領(lǐng)域的個(gè)人信息保護(hù)，運(yùn)用現(xiàn)場檢查和非現(xiàn)場監(jiān)管手段規(guī)范各類征信參與主體行為。數(shù)據(jù)顯示，2017年，各級人行檢查接入機(jī)構(gòu)17670個(gè)，處罰3147個(gè)機(jī)構(gòu)和919名個(gè)人，金額達(dá)20604萬元，同比增長1312%，現(xiàn)場檢查的廣度、深度、強(qiáng)度都明顯提升。

盡管中國人民銀行等各級監(jiān)管部門在征信信息保護(hù)方面采取了很多措施，取得了一定成效，但是當(dāng)前我國個(gè)人征信信息主體權(quán)益保護(hù)形勢不容樂觀。與此同時(shí)，經(jīng)濟(jì)全球化及對外開放也使得征信監(jiān)管工作在新時(shí)代面臨新考驗(yàn)，因此必須盡快抓緊學(xué)習(xí)國際先進(jìn)的信息保護(hù)理念和監(jiān)管規(guī)則，不斷提高征信信息安全管理水平。

3我國個(gè)人征信信息主體權(quán)益保護(hù)存在問題

31基礎(chǔ)立法缺失， 系統(tǒng)性法制建設(shè)較為滯后

我國缺乏個(gè)人征信信息主體權(quán)益保護(hù)方面的專門立法，《民法通則》《消費(fèi)者權(quán)益保護(hù)法》《征信業(yè)管理?xiàng)l例》等只對個(gè)人信息保護(hù)做了原則性的規(guī)定。目前對個(gè)人金融信息進(jìn)行保護(hù)的文件依據(jù)只有《個(gè)人征信信息主體基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》（中國人民銀行令〔2005〕第3號）以及102號文等，但這些文件只屬于部門規(guī)章和規(guī)范性文件，不屬于廣義法律范疇。

32監(jiān)管職責(zé)不明確，缺乏清晰的職責(zé)范圍和協(xié)調(diào)機(jī)制

目前我國對個(gè)人金融信息的保護(hù)缺少集中統(tǒng)一的監(jiān)管法規(guī)及框架體系。在《中國人民銀行法》等法規(guī)中沒有對個(gè)人金融信息保護(hù)的監(jiān)督管理部門做出統(tǒng)一規(guī)定。中國人民銀行及行業(yè)監(jiān)管機(jī)構(gòu)各自為政、各司其職，各監(jiān)管部門行使監(jiān)管、檢查和處罰的法律依據(jù)不充分，由此形成監(jiān)管缺位、職責(zé)不清、效率不高等問題。尤其是互聯(lián)網(wǎng)金融中的個(gè)人征信信息保護(hù)工作目前仍處于多頭管理或者監(jiān)管真空的狀態(tài)。

33基層央行信用信息安全保護(hù)難度加大

征信業(yè)務(wù)涉及部門多、監(jiān)管難度大，征信信息安全管理工作涉及機(jī)構(gòu)層級多、業(yè)務(wù)鏈條長，同時(shí)，隨著機(jī)構(gòu)接入數(shù)量不斷增多，查詢用戶數(shù)和查詢量明顯增大，異常查詢數(shù)量和異議處理數(shù)量也不斷增加，給基層央行帶來很大壓力。以南京市為例，截至2018年年末，南京市個(gè)人征信系統(tǒng)累計(jì)接入65家機(jī)構(gòu)，2018年個(gè)人信用報(bào)告查詢總量為7787萬筆，同比增加5%。信用報(bào)告的應(yīng)用范圍廣、可查詢部門多、查詢量快速增長使得個(gè)人征信信息主體泄密的風(fēng)險(xiǎn)日漸升高，增加了監(jiān)管難度。

4歐盟個(gè)人征信信息主體權(quán)益保護(hù)的相關(guān)經(jīng)驗(yàn)

1995年，歐盟頒布實(shí)施了《關(guān)于個(gè)人信息處理保護(hù)及個(gè)人信息自由傳輸?shù)闹噶睢罚ㄒ韵潞喎Q“95指令”）。2016年4月，歐盟議會(huì)通過《一般數(shù)據(jù)保護(hù)條例》（GDPR）。至2018年5月25日， GDPR正式實(shí)施。該條例制定的主要思路是保護(hù)個(gè)人數(shù)據(jù)信息和促進(jìn)數(shù)據(jù)自由流動(dòng)并重，其核心內(nèi)容主要體現(xiàn)在以下三點(diǎn)。

41強(qiáng)化數(shù)據(jù)主體權(quán)力，延伸保護(hù)范圍

GDPR給予數(shù)據(jù)主體的權(quán)利主要包括七項(xiàng)，具體為：數(shù)據(jù)收集時(shí)的知情權(quán)、個(gè)人數(shù)據(jù)處理情況的查詢權(quán)、錯(cuò)誤個(gè)人數(shù)據(jù)的更正權(quán)、刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)（反對權(quán)）、可攜帶權(quán)、退出權(quán)。GDPR對數(shù)據(jù)主體權(quán)力的強(qiáng)化主要體現(xiàn)在：一是通過強(qiáng)化企業(yè)的義務(wù)使個(gè)人能夠更好地行使知情權(quán)、訪問權(quán)、反對權(quán)等“95指令”已規(guī)定的權(quán)利。二是賦予了“95指令”之外更多的個(gè)體權(quán)利。三是將受保護(hù)的個(gè)人信息范圍大大延伸。

42提升立法層級，加大處罰力度

GDPR統(tǒng)一了歐盟對個(gè)人信息保護(hù)的監(jiān)管，從而確保了“一個(gè)歐洲一部數(shù)據(jù)保護(hù)法”。GDPR對各國數(shù)據(jù)監(jiān)管機(jī)構(gòu)的檢查權(quán)、執(zhí)法權(quán)、處罰權(quán)以及司法訴訟權(quán)進(jìn)行了明確界定。GDPR明顯加大了處罰力度：對一般性違法，處以最高1000萬歐元或相當(dāng)于上年全球營業(yè)收入總額2%的罰款，兩者取最高一項(xiàng);對違法行為較惡劣的，施加最高2000萬歐元或相當(dāng)于上年全球營業(yè)收入總額4%的罰款，兩者取最高一項(xiàng)。

43增強(qiáng)監(jiān)管力度，拓展管轄范圍

在屬地管轄的基礎(chǔ)上兼采屬人管轄，凡在歐盟境內(nèi)設(shè)立的企業(yè)或有向歐盟境內(nèi)個(gè)人提供視頻或服務(wù)的，都將受到GDPR的管轄。在明確賦予用戶權(quán)利、大幅強(qiáng)化企業(yè)責(zé)任之外，這一條例還規(guī)范了監(jiān)管安排機(jī)制。在歐盟層面，增設(shè)歐洲數(shù)據(jù)保護(hù)理事會(huì)作為數(shù)據(jù)監(jiān)管的最高權(quán)力機(jī)構(gòu)，確保GDPR在各個(gè)成員國的統(tǒng)一適用;在歐盟成員國層面，提出了“一站式”監(jiān)管，明確了各成員國的管轄權(quán)及監(jiān)管規(guī)則，極大地提高了監(jiān)管效率，降低了企業(yè)的監(jiān)管成本。

5完善我國個(gè)人征信信息主體權(quán)益保護(hù)的政策建議

51完善系統(tǒng)性法律體系建設(shè)

進(jìn)一步完善頂層設(shè)計(jì)，借鑒西方發(fā)達(dá)國家的法律保護(hù)經(jīng)驗(yàn)，在行政法規(guī)、部門規(guī)章、規(guī)范性文件和行業(yè)標(biāo)準(zhǔn)構(gòu)成的多層次征信法規(guī)制度體系上，在保障信息主體權(quán)益和征信信息安全的前提下，推動(dòng)個(gè)人征信信息主體保護(hù)立法，在制度層面為征信體系的發(fā)展提供保障。

52兼顧保護(hù)與應(yīng)用的平衡設(shè)計(jì)信息保護(hù)條款

數(shù)據(jù)確權(quán)是保障個(gè)人隱私和促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的法律基礎(chǔ)。建議借鑒歐盟個(gè)人數(shù)據(jù)保護(hù)立法經(jīng)驗(yàn)，在大數(shù)據(jù)、云計(jì)算等快速發(fā)展的技術(shù)背景下，對《征信業(yè)管理?xiàng)l例》數(shù)據(jù)主體的賦權(quán)進(jìn)行重新修訂和完善。兼顧個(gè)人數(shù)據(jù)權(quán)力保障與促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展之間的平衡，合理合法應(yīng)用信用信息，推進(jìn)信用信息為社會(huì)和行業(yè)服務(wù)。

53明確個(gè)人征信信息主體權(quán)益保護(hù)監(jiān)管機(jī)構(gòu)

參考GDPR 中歐盟數(shù)據(jù)安全保護(hù)委員會(huì)的頂層設(shè)計(jì)，對信息監(jiān)管職能進(jìn)行統(tǒng)一規(guī)劃，專設(shè)個(gè)人征信信息主體權(quán)益保護(hù)監(jiān)管機(jī)構(gòu)，統(tǒng)一協(xié)調(diào)管理信息保護(hù)方面的事項(xiàng)，對信息主體給予司法救濟(jì)。

參考文獻(xiàn)：

[1]陳雨露個(gè)人信息保護(hù)與征信業(yè)發(fā)展[J].中國金融，2017（11）.

[2]萬存知個(gè)人信息保護(hù)和個(gè)人征信監(jiān)管[J].中國金融，2017（11）.

[3]中國人民銀行杭州中心支行課題組個(gè)人征信信息主體權(quán)益保護(hù)問題研究[J].征信，2018（4）.

[4]王達(dá)，伍旭川歐盟《一般數(shù)據(jù)保護(hù)條例》的主要內(nèi)容及對我國的啟示[J]. 金融與經(jīng)濟(jì)，2018（4）.

[5]鄭鈞，高鼎新歐盟GDPR及其對金融業(yè)的影響[J].中國金融，2018（12）.

[6]呂進(jìn)中我國個(gè)人征信信息主體權(quán)益保護(hù)立法路徑探討[J].中國征信，2018（3）.