網(wǎng)上投稿
(本文由上海律協(xié)社會公共服務(wù)業(yè)務(wù)研究委員會上傳并推薦)
【摘 要】社會信用的地方立法作為社會信用體系建設(shè)的主要制度保障備受觀眾。但與此同時,近期各大媒體曝光的多起電信網(wǎng)絡(luò)詐騙案件將公眾關(guān)心的焦點聚焦在個人信息、數(shù)據(jù)和隱私保護等問題。如何實現(xiàn)個人信用信息在安全可控的環(huán)境中合法地為信用主體提供交易便利與便捷的初衷,需要在保障信用信息互通共享的前提下,最大限度地保障信息主體的權(quán)益。
【關(guān)鍵字】個人信息 個人數(shù)據(jù) 信用立法 權(quán)益保護
一、 引言
《上海公共信用信息歸集和使用管理辦法》(以下簡稱“辦法”)已于2016年3月1日實施,《辦法》依據(jù)國務(wù)院《社會信用體系建設(shè)規(guī)劃綱要(2014--2020年)》(以下簡稱“國家規(guī)劃”)制定,適用于本市行政區(qū)域內(nèi)公共信用信息的歸集、使用和相關(guān)管理活動。自2002年起,江蘇、北京、廣東、浙江等地陸續(xù)頒布個人和企業(yè)信用征信的政府規(guī)章。2007年,陜西省頒布首部公共信用立法,將誠信建設(shè)納入法律范疇。根據(jù)《國家規(guī)劃》,各地陸續(xù)出臺關(guān)于信用聯(lián)動獎懲相關(guān)法律文件,例如,浙江、江蘇、廣東省等。2016年初,“社會信用立法”已被列為本市人大常委會年度立法預(yù)備項目;10月11日,《上海市社會信用條例(草案)》成為2016年度立法正式項目。在整個信用體系建設(shè)中,“個人隱私”、“個人信息”、“個人數(shù)據(jù)”已成為立法者與各界關(guān)注的焦點。
二、 區(qū)分“個人隱私”、“個人信息”、“個人數(shù)據(jù)”的概念
《國家規(guī)劃》將保護“個人隱私”列為信用法律法規(guī)和標(biāo)準(zhǔn)體系的重要內(nèi)容,《辦法》、《征信業(yè)管理條例》、《深圳市個人信用征信及信用評級管理辦法》法規(guī)涉及的概念是“個人信息”。同時,歐盟、美國適用的概念是“個人數(shù)據(jù)”。那么,信用立法應(yīng)當(dāng)保護的法律客體究竟為何?
1、 何為“個人隱私”?
在《憲法》第二章“公民的基本權(quán)利和義務(wù)”、《民法通則》第五章“民事權(quán)利”尚無“隱私權(quán)”的專門規(guī)定?!掇o?!分小半[”字的第一個意思即為“隱蔽、隱藏”?!禕LACK’S LAW DICTIONARY》將“privacy”定義為個人的行為與思想具有不被公眾關(guān)注和侵犯的狀態(tài)。“隱私”這個術(shù)語在不同的文化中表示不同的概念。在歐洲,“隱私”被認為是人權(quán),這個信念源自第二次世界大戰(zhàn),今天,“隱私”在大多數(shù)歐洲國家受到憲法保護,并在很多國際協(xié)定中得到體現(xiàn)。在美國,立法機關(guān)頒布法律,以在執(zhí)法機構(gòu)和個人隱私權(quán)益兩者之間保持平衡。
2、何為“個人信息”、“個人數(shù)據(jù)”?
“個人信息”相對與“公共信息”,在《征信業(yè)管理條例》和各地公共信用信息法規(guī)規(guī)章中,并非直接規(guī)定“個人信息”的內(nèi)容,而是通過明確“公共信用信息”的內(nèi)容、限制征信機構(gòu)和政府信用歸集平臺歸集內(nèi)容的方法,逐漸勾勒“個人信用信息”的范圍??梢赃@樣理解,“個人信息”是與自然人相關(guān)的全部信息,“個人信用信息”則是與自然人“信用”相關(guān)聯(lián)的那部分信息,信息的載體即數(shù)據(jù)。故此,割裂“信息”與“數(shù)據(jù)”的關(guān)聯(lián)性,獨立解釋“個人信息”與“個人數(shù)據(jù)”并無實際意義。
3、建議國內(nèi)信用立法統(tǒng)一采用“個人數(shù)據(jù)”概念
我國的“個人數(shù)據(jù)”保護立法尚在制定中
按照歐盟《數(shù)據(jù)保護指令》第2條a項的定義,“個人數(shù)據(jù)”,是指與一個已被識別或可被識別的自然人(數(shù)據(jù)主體)相關(guān)的任何信息。歐盟法令對于“個人數(shù)據(jù)”、“個人信息”的定義是相同的,而“個人隱私”范疇則更寬泛,包括現(xiàn)實生活中的“隱私”,也包括表現(xiàn)為數(shù)據(jù)形式的信息。筆者建議,由于“個人隱私”的理解存在主觀認識的差異,更為有效的保護途徑是借用知識產(chǎn)權(quán)的保護方式,為“個人數(shù)據(jù)”創(chuàng)制特定的保護制度,確立信息主體對“個人數(shù)據(jù)”的所有權(quán),從保護“個人數(shù)據(jù)”的角度來防范“個人隱私”泄露。
三、 國內(nèi)現(xiàn)有的“個人數(shù)據(jù)”法律保護雛形
“個人數(shù)據(jù)”保護起步滯后于征信業(yè)的發(fā)展,又與征信行業(yè)密切相關(guān)。2015年被業(yè)界稱為個人征信市場的“元年”,
消費金融發(fā)展迅猛,對于個人征信的需求是巨大的。然而,個人征信的健康有序發(fā)展須以“個人數(shù)據(jù)”保護為前提。
1、 各地公共信用立法對“個人數(shù)據(jù)”的保護模式
國內(nèi)各地信用立法形式包括:地方人大立法(廣東省、陜西省、無錫市等)、政府規(guī)章(上海市、福建省、遼寧省等)、地方規(guī)范性文件(截止2016年2月共計34例),內(nèi)容包含公共信息歸集和使用、企業(yè)信用信息公開。公共信用立法對“個人數(shù)據(jù)”的保護模式是限定“個人數(shù)據(jù)”歸集目的與歸集內(nèi)容、創(chuàng)設(shè)信息主體更正錯誤信息的機制,以此保護信息主體的對于“個人數(shù)據(jù)”的權(quán)益。例如,《辦法》第14條禁止采集自然人特殊信息,包括“禁止歸集自然人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律法規(guī)禁止采集的其他自然人信息”?!掇k法》第27、28、29、30條依次規(guī)定了“失信信息逾期刪除”、“異議申請”、“異議處理”、“異議標(biāo)注”和“保密”。
2、征信業(yè)行業(yè)監(jiān)管對“個人數(shù)據(jù)”的保護安排
國內(nèi)征信行業(yè)監(jiān)管規(guī)則對“個人數(shù)據(jù)”采集適用的是“明文規(guī)定不可采集”為例外的許可態(tài)度。例如,2002年的《深圳市個人信用征信及信用評級管理辦法》定義的“個人信用信息”范圍尤為寬泛,2007年的《江蘇省個人信用征信管理暫行辦法》相對于前者已顯謹慎。
可見,地方立法存在差異。我國征信業(yè)行業(yè)監(jiān)管法規(guī)(《征信業(yè)管理條例》、《征信機構(gòu)管理辦法》)禁止采集的“個人信用信息”還包括“個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額的信息,但是,征信機構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果,并取得其書面同意的除外?!痹摋l款可以理解為信息主體創(chuàng)設(shè)了征信機構(gòu)采集部分信息的“選擇入口”。
3、現(xiàn)有“個人數(shù)據(jù)”保護規(guī)定的缺陷
然而,在互聯(lián)網(wǎng)+的背景下,消費者的個人身份識別信息、消費信息、其他非相關(guān)信息都有可能被產(chǎn)品、服務(wù)提供方收集?,F(xiàn)有的法律規(guī)定并未禁止前述歸集行為,僅賦予消費者事前同意權(quán)(《消費者權(quán)益保護法》第29條)。消費者無權(quán)對“個人數(shù)據(jù)”行使處分、轉(zhuǎn)移、刪除、出售等所有權(quán)權(quán)利,這與國外的“個人數(shù)據(jù)”數(shù)據(jù)保護存在較大差距。
四、 歐盟、美國的“個人數(shù)據(jù)”法律保護制度
國外征信業(yè)發(fā)展催生“個人數(shù)據(jù)保護”立法。歐盟采取全面的數(shù)據(jù)保護立法模式,其中,法國采取排他性的公共信息采集模式;美國采取行業(yè)監(jiān)管的模式。
1、 歐盟的“個人數(shù)據(jù)”保護制度
隱私被歐洲人認為是人權(quán),同時被認為是人民基本權(quán)利的一種保護。歐盟27個國家有數(shù)據(jù)保護法,信息主體的權(quán)利包括:在數(shù)據(jù)采集發(fā)生前通知的權(quán)利、獲取數(shù)據(jù)的權(quán)利、數(shù)據(jù)更正或刪除的權(quán)利、反對采取某些數(shù)據(jù)處理方式的權(quán)利、不讓種族、宗教信用等變量予以記錄的權(quán)利;其中,最基本的原則之一是,個人應(yīng)獲得有關(guān)數(shù)據(jù)采集的通知,以及不能有任何秘密進行數(shù)據(jù)采集的行為。否則,個人信息處理仍將處于非法狀態(tài)。歐盟成員國采取綜合的數(shù)據(jù)保護立法,適用范圍覆蓋所有的私營部門,而不是僅一個行業(yè)。
2、 法國的公共信息采集制度
法國是公共征信制度的代表。法國的信息共享機制的特點是集中性、非競爭性,信息不允許在公共信用登記系統(tǒng)和(私營)征信公司之間可以共享。而且,信息采集僅限于負面信息。法國對共享正面信息沒有明確的法律禁止,但只有在法律明確授權(quán)的情況下,正面信息才能被記錄。法國數(shù)據(jù)保護局指出,正面信息易于偏離初始目的而轉(zhuǎn)作他用,因為豐富的信息會導(dǎo)致為其他目的所用,如市場營銷或就業(yè)審查。更重要的是,法國要求金融機構(gòu)無論出于什么目的不能將從登記系統(tǒng)中獲取的信用報告以任何方式轉(zhuǎn)移給其他方使用。這意味著銀行方面的交易是禁止的。在法國體制中,“個人數(shù)據(jù)”受到嚴格的保護。
3、 美國行業(yè)監(jiān)管模式
美國是第一個對征信業(yè)進行監(jiān)管的國家。起初,消費者無從知悉個人信息,也無法獲取自己的信用記錄。1970年,《公平信用報告法》頒布,該法圍繞披露信用記錄的特定目的、異議處理程序的主線,規(guī)定征信公司在編輯信息時有責(zé)任遵循“保證最大可能準(zhǔn)確的合理程序”的原則。然而,當(dāng)時的信息共享制度實質(zhì)上對消費者還是不透明的。
1996年,《消費者征信改革法》引入更新數(shù)據(jù)和阻止使用爭議數(shù)據(jù)的權(quán)利。但仍不存在“選擇入口”(opt-in),這是與歐洲體制的一個主要區(qū)別。1998年,《消費者征信就業(yè)澄清法》規(guī)定,沒有消費者的明確同意和書面授權(quán),任何人和任何方都不能出于就業(yè)目的獲取任何一份信用報告。1999年,《金融服務(wù)現(xiàn)代化法》對金融機構(gòu)施以隱私監(jiān)管,金融機構(gòu)與非附屬第三方之間的信息流將受到監(jiān)管。2003年,《公平和準(zhǔn)確信用交易法》的立法目的是防治身份盜用犯罪行為,該法賦予消費者監(jiān)督法律實施的主要責(zé)任,即有權(quán)每年一次免費獲取自己的報告,也賦予消費者對提供含有醫(yī)療信息的報告的選擇入口權(quán)。
盡管美國在經(jīng)歷了跨世紀(jì)的立法修正,行業(yè)監(jiān)管趨于嚴格,消費者的權(quán)益日趨增多,然而,歐洲學(xué)者依然認為美國采取了“偏離準(zhǔn)線的和不完整的體制”,進而斷言,如果發(fā)展中國家采用的監(jiān)管制度模仿美國在20世紀(jì)70年代和80年代的監(jiān)管制度,則將面對同樣的行業(yè)發(fā)展亂象與監(jiān)管難題,“個人隱私”保護更是困難重重。
五、 結(jié)論
縱覽歐盟、美國的個人數(shù)據(jù)保護立法之后,我們更需要審視國內(nèi)經(jīng)濟發(fā)展需求:普惠金融期待個人征信短板的早日完善;首批獲準(zhǔn)進入個人征信業(yè)務(wù)準(zhǔn)備期的企業(yè)手握消費者數(shù)據(jù),已陸續(xù)推出“類個人信用產(chǎn)品”與“個人信用評級”;全方位的信用聯(lián)動獎懲機制已經(jīng)啟動并將大范圍地貫徹落實。如果采取法國的統(tǒng)一信息采集模式將無法滿足征信業(yè)發(fā)展,也已然不符合現(xiàn)有的信息采集制度。
但同時,個人在參與經(jīng)濟社會活動中實則少有關(guān)于信息泄露后果方面的知識,不具備對相關(guān)隱私風(fēng)險進行全面評估的能力,當(dāng)其不得不披露個人信息時,法律應(yīng)當(dāng)予以指引與保護,以平衡個人與信息歸集方(行政部門、商業(yè)主體)的利益,不可盲目地促進征信業(yè)發(fā)展為單一目的,錯失對“個人數(shù)據(jù)”保護立法的良機。
筆者建議,立足長遠,本次上海的地方性信用立法可兼顧征信行業(yè)發(fā)展需要與信息主體權(quán)益保護。特別注意保護“個人數(shù)據(jù)”,借鑒國際認同的“個人數(shù)據(jù)”保護準(zhǔn)則,創(chuàng)設(shè)必要的制度安排:
其一,可以考慮賦予信息主體對于“個人數(shù)據(jù)”的所有權(quán),明確“個人數(shù)據(jù)”與“大數(shù)據(jù)”之間關(guān)系,賦予信息主體對“個人信息”的取回權(quán)?,F(xiàn)實中,凡是消費者“個人數(shù)據(jù)”流動路徑節(jié)點的主體均有非法出售、提供、加工、使用的可能,如不加規(guī)制,未來的所謂“個人征信”機構(gòu)將多如牛毛,數(shù)據(jù)孤島更易形成,數(shù)據(jù)標(biāo)準(zhǔn)更難形成,征信行為的公信力更受質(zhì)疑,實則阻礙行業(yè)長遠發(fā)展。
其二,可以考慮賦予信息主體對“個人數(shù)據(jù)”的“選擇入口權(quán)”,對于信息主體的同意必須書面明示,但應(yīng)避免消費者應(yīng)行使“選擇入口權(quán)”喪失交易機會與分配福利的權(quán)利。
其三,可以考慮制定“個人數(shù)據(jù)”報數(shù)標(biāo)準(zhǔn),提高、規(guī)范第三方向公共信用信息歸集平臺、金融基礎(chǔ)數(shù)據(jù)庫、其他信息歸集平臺提供數(shù)據(jù)的質(zhì)量,避免過多無效數(shù)據(jù)形成“數(shù)據(jù)噪音”。
其四,可以考慮為信用懲戒設(shè)定科學(xué)的評估模型,避免沒有必然關(guān)聯(lián)性的“個人信息”造成信息主體福利受損。在公共行政領(lǐng)域中,使用信用作為聯(lián)動獎懲既有國家政策支持又有司法解釋的依據(jù),還有部門之間的工作安排,但在國家標(biāo)準(zhǔn)化運用規(guī)范出臺前,地方立法可以有所作為。
最后,建議慎重考慮公共信息與金融信息在公共領(lǐng)域與私人領(lǐng)域的無限制共享,在可預(yù)見的將來,跨境數(shù)據(jù)流動將稱為國際貿(mào)易的重要組成部分,有必要為核心信用數(shù)據(jù)制定安全規(guī)則,特別金融、醫(yī)療領(lǐng)域。
參考文獻
[1]中國新聞網(wǎng):2004年11曰26日新聞《<個人數(shù)據(jù)保護法>正在制定中》。
[2]2016年4曰1日,波士頓咨詢公司(BCG)發(fā)布首份
關(guān)于中國個人征信行業(yè)的全面報告。
滬公網(wǎng)安備 31010402007129號
