網(wǎng)上投稿
(本文由上海律協(xié)社會公共服務(wù)業(yè)務(wù)研究委員會上傳并推薦)
《上海公共信用信息歸集和使用管理辦法》(以下簡稱“辦法”)已于2016年3月1日實(shí)施,《辦法》依據(jù)國務(wù)院《社會信用體系建設(shè)規(guī)劃綱要(2014--2020年)》(以下簡稱“國家規(guī)劃”)制定,適用于本市行政區(qū)域內(nèi)公共信用信息的歸集、使用和相關(guān)管理活動。自2002年起,江蘇、北京、廣東、浙江等地陸續(xù)頒布個人和企業(yè)信用征信的政府規(guī)章。2007年,陜西省頒布首部公共信用立法,將誠信建設(shè)納入法律范疇。根據(jù)《國家規(guī)劃》,各地陸續(xù)出臺關(guān)于信用聯(lián)動獎懲相關(guān)法律文件,例如,浙江、江蘇、廣東省等。2016年初,“社會信用立法”已被列為本市人大常委會年度立法預(yù)備項(xiàng)目,并進(jìn)入實(shí)質(zhì)性起草階段。在整個信用體系建設(shè)中,“個人隱私”、“個人信息”、“個人數(shù)據(jù)”已成為各界關(guān)注的焦點(diǎn)。
一、區(qū)分“個人隱私”、“個人信息”、“個人數(shù)據(jù)”的概念
《國家規(guī)劃》將保護(hù)“個人隱私”列為信用法律法規(guī)和標(biāo)準(zhǔn)體系的重要內(nèi)容,《辦法》、《征信業(yè)管理?xiàng)l例》、《深圳市個人信用征信及信用評級管理辦法》法規(guī)涉及的概念是“個人信息”。同時,歐盟、美國適用的概念是“個人數(shù)據(jù)”。那么,信用立法應(yīng)當(dāng)保護(hù)的法律客體究竟為何?
1.何為“個人隱私”?
在《憲法》第二章“公民的基本權(quán)利和義務(wù)”、《民法通則》第五章“民事權(quán)利”尚未涉及“隱私權(quán)”的專門規(guī)定?!掇o?!分小半[”字的第一個意思即為“隱蔽、隱藏”?!禕LACK’S LAW DICTIONARY》將“privacy”定義為個人的行為與思想具有不被公眾關(guān)注和侵犯的狀態(tài)。[1]隱私”這個術(shù)語在不同的文化中表示不同的概念。在歐洲,“隱私”被認(rèn)為是人權(quán),這個信念源自第二次世界大戰(zhàn),今天,“隱私”在大多數(shù)歐洲國家受到憲法保護(hù),并在很多國際協(xié)定中得到體現(xiàn)。在美國,立法機(jī)關(guān)頒布法律,以在執(zhí)法機(jī)構(gòu)和個人隱私權(quán)益兩者之間保持平衡。[2]
2.何為“個人信息”、“個人數(shù)據(jù)”?
“個人信息”相對與“公共信息”,在《征信業(yè)管理?xiàng)l例》和各地公共信用信息法規(guī)規(guī)章中,并非直接規(guī)定“個人信息”的內(nèi)容,而是通過明確“公共信用信息”的內(nèi)容、限制征信機(jī)構(gòu)和政府信用歸集平臺歸集內(nèi)容的方法,逐漸勾勒“個人信用信息”的范圍??梢赃@樣理解,“個人信息”是與自然人相關(guān)的全部信息,“個人信用信息”則是與自然人“信用”相關(guān)聯(lián)的那部分信息,信息的載體即數(shù)據(jù)。故此,割裂“信息”與“數(shù)據(jù)”的關(guān)聯(lián)性,獨(dú)立解釋“個人信息”與“個人數(shù)據(jù)”并無實(shí)際意義。
3.建議國內(nèi)信用立法統(tǒng)一采用“個人數(shù)據(jù)”概念
我國的“個人數(shù)據(jù)”保護(hù)立法尚在制定中,[3]按照歐盟《數(shù)據(jù)保護(hù)指令》第2條a項(xiàng)的定義,“個人數(shù)據(jù)”,是指與一個已被識別或可被識別的自然人(數(shù)據(jù)主體)相關(guān)的任何信息。歐盟法令對于“個人數(shù)據(jù)”、“個人信息”的定義是相同的,而“個人隱私”范疇則更寬泛,包括現(xiàn)實(shí)生活中的“隱私”,也包括表現(xiàn)為數(shù)據(jù)形式的信息。筆者建議,鑒于對于“個人隱私”的理解存在主觀認(rèn)識的差異,更為有效的保護(hù)途徑是借用知識產(chǎn)權(quán)的保護(hù)方式,為“個人數(shù)據(jù)”創(chuàng)制特定的保護(hù)制度,確立信息主體對“個人數(shù)據(jù)”的所有權(quán),從保護(hù)“個人數(shù)據(jù)”的角度來防范“個人隱私”泄露。
二、國內(nèi)現(xiàn)有的“個人數(shù)據(jù)”法律保護(hù)雛形
“個人數(shù)據(jù)”保護(hù)起步滯后于征信業(yè)的發(fā)展,又與征信行業(yè)密切相關(guān)。2015年被業(yè)界稱為個人征信市場的“元年”[4],消費(fèi)金融發(fā)展迅猛,對于個人征信的需求是巨大的。然而,個人征信的健康有序發(fā)展須以“個人數(shù)據(jù)”保護(hù)為前提。
1.各地公共信用立法對“個人數(shù)據(jù)”的保護(hù)模式
國內(nèi)各地信用立法形式包括:地方人大立法(廣東省、陜西省、無錫市等)、政府規(guī)章(上海市、福建省、遼寧省等)、地方規(guī)范性文件(截止2016年2月共計(jì)34例),內(nèi)容包含公共信息歸集和使用、企業(yè)信用信息公開。公共信用立法對“個人數(shù)據(jù)”的保護(hù)模式是限定“個人數(shù)據(jù)”歸集目的與歸集內(nèi)容、創(chuàng)設(shè)信息主體更正錯誤信息的機(jī)制,以此保護(hù)信息主體的對于“個人數(shù)據(jù)”的權(quán)益。例如,《辦法》第14條禁止采集自然人特殊信息[5],《辦法》第27、28、29、30條依次規(guī)定了“失信信息逾期刪除”、“異議申請”、“異議處理”、“異議標(biāo)注”和“保密”。
2.征信業(yè)行業(yè)監(jiān)管對“個人數(shù)據(jù)”的保護(hù)安排
國內(nèi)征信行業(yè)監(jiān)管規(guī)則對“個人數(shù)據(jù)”采集適用的是“明文規(guī)定不可采集”為例外的許可態(tài)度。例如,2002年的《深圳市個人信用征信及信用評級管理辦法》定義的“個人信用信息”范圍尤為寬泛,2007年的《江蘇省個人信用征信管理暫行辦法》相對于前者已顯謹(jǐn)慎。可見,地方立法存在差異。我國征信業(yè)行業(yè)監(jiān)管法規(guī)(《征信業(yè)管理?xiàng)l例》、《征信機(jī)構(gòu)管理辦法》)禁止采集的“個人信用信息”還包括“個人的收入、存款、有價證券、商業(yè)保險(xiǎn)、不動產(chǎn)的信息和納稅數(shù)額的信息,但是,征信機(jī)構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果,并取得其書面同意的除外?!痹摋l變相地為信息主體創(chuàng)設(shè)了征信機(jī)構(gòu)采集部分信息的“選擇入口”。
3.現(xiàn)有“個人數(shù)據(jù)”保護(hù)規(guī)定的缺陷
然而,在互聯(lián)網(wǎng)+的背景下,消費(fèi)者的個人身份識別信息、消費(fèi)信息、其他非相關(guān)信息都有可能被產(chǎn)品、服務(wù)提供方收集?,F(xiàn)有的法律規(guī)定并未禁止前述歸集行為,僅賦予消費(fèi)者事前同意權(quán)[7]。消費(fèi)者無權(quán)對“個人數(shù)據(jù)”行使處分、轉(zhuǎn)移、刪除、出售等所有權(quán)權(quán)利,這與國外的“個人數(shù)據(jù)”數(shù)據(jù)保護(hù)存在較大差距。
三、歐盟、美國的“個人數(shù)據(jù)”法律保護(hù)制度
國外征信業(yè)發(fā)展催生“個人數(shù)據(jù)保護(hù)”立法。歐盟采取全面的數(shù)據(jù)保護(hù)立法模式,其中,法國采取排他性的公共信息采集模式;美國采取行業(yè)監(jiān)管的模式。
1、歐盟的“個人數(shù)據(jù)”保護(hù)制度
隱私被歐洲人認(rèn)為是人權(quán),同時被認(rèn)為是人民基本權(quán)利的一種保護(hù)。歐盟27個國家有數(shù)據(jù)保護(hù)法,信息主體的權(quán)利包括:在數(shù)據(jù)采集發(fā)生前通知的權(quán)利、獲取數(shù)據(jù)的權(quán)利、數(shù)據(jù)更正或刪除的權(quán)利、反對采取某些數(shù)據(jù)處理方式的權(quán)利、不讓種族、宗教信用等變量予以記錄的權(quán)利;其中,最基本的原則之一是,個人應(yīng)獲得有關(guān)數(shù)據(jù)采集的通知,以及不能有任何秘密進(jìn)行數(shù)據(jù)采集的行為。否則,個人信息處理仍將處于非法狀態(tài)。歐盟成員國采取綜合的數(shù)據(jù)保護(hù)立法,適用范圍覆蓋所有的私營部門,而不是僅一個行業(yè)。
2、法國的公共信息采集制度
法國是公共征信制度的代表。法國的信息共享機(jī)制的特定是集中性、非競爭性,信息不允許在公共信用登記系統(tǒng)和(私營)征信公司之間可以共享。[8]而且,信息采集僅限于負(fù)面信息。法國對共享正面信息沒有明確的法律禁止,但只有在法律明確授權(quán)的情況下,正面信息才能被記錄。法國數(shù)據(jù)保護(hù)局指出,正面信息易于偏離初始目的而轉(zhuǎn)作他用,因?yàn)樨S富的信息會導(dǎo)致為其他目的所用,如市場營銷或就業(yè)審查。更重要的是,法國要求金融機(jī)構(gòu)無論出于什么目的不能將從登記系統(tǒng)中獲取的信用報(bào)告以任何方式轉(zhuǎn)移給其他方使用。這意味著銀行方面的交易是禁止的。在法國體制中,“個人數(shù)據(jù)”受到嚴(yán)格的保護(hù)。
3、美國行業(yè)監(jiān)管模式
美國是第一個對征信業(yè)進(jìn)行監(jiān)管的國家。起初,消費(fèi)者無從知悉個人信息,也無法獲取自己的信用記錄。1970年,《公平信用報(bào)告法》頒布,該法圍繞披露信用記錄的特定目的[9]、異議處理程序[10]的主線,規(guī)定征信公司在編輯信息時有責(zé)任遵循“保證最大可能準(zhǔn)確的合理程序”的原則。然而,當(dāng)時的信息共享制度實(shí)質(zhì)上對消費(fèi)者還是不透明的。
1996年,《消費(fèi)者征信改革法》引入更新數(shù)據(jù)和阻止使用爭議數(shù)據(jù)的權(quán)利。但仍不存在“選擇入口”(opt-in),這是與歐洲體制的一個主要區(qū)別。1998年,《消費(fèi)者征信就業(yè)澄清法》規(guī)定,沒有消費(fèi)者的明確同意和書面授權(quán),任何人和任何方都不能出于就業(yè)目的獲取任何一份信用報(bào)告。1999年,《金融服務(wù)現(xiàn)代化法》對金融機(jī)構(gòu)施以隱私監(jiān)管,金融機(jī)構(gòu)與非附屬第三方之間的信息流將受到監(jiān)管。2003年,《公平和準(zhǔn)確信用交易法》的立法目的是防治身份盜用犯罪行為,該法賦予消費(fèi)者監(jiān)督法律實(shí)施的主要責(zé)任,即有權(quán)每年一次免費(fèi)獲取自己的報(bào)告,也賦予消費(fèi)者對提供含有醫(yī)療信息的報(bào)告的選擇入口權(quán)。
盡管美國在經(jīng)歷了跨世紀(jì)的立法修正,行業(yè)監(jiān)管趨于嚴(yán)格,消費(fèi)者的權(quán)益日趨增多,然而,歐洲學(xué)者[11]依然認(rèn)為美國采取了“偏離準(zhǔn)線的和不完整的體制”,進(jìn)而斷言,如果發(fā)展中國家采用的監(jiān)管制度模仿美國在20世紀(jì)70年代和80年代的監(jiān)管制度,則將面對同樣的行業(yè)發(fā)展亂象與監(jiān)管難題,“個人隱私”保護(hù)更是困難重重。
四、結(jié)論
縱覽歐盟、美國的個人數(shù)據(jù)保護(hù)立法之后,我們更需要審視國內(nèi)經(jīng)濟(jì)發(fā)展需求:普惠金融期待個人征信短板的早日完善;首批獲準(zhǔn)進(jìn)入個人征信業(yè)務(wù)準(zhǔn)備期的企業(yè)手握消費(fèi)者數(shù)據(jù),已陸續(xù)推出“類個人信用產(chǎn)品”與“個人信用評級”[12];全方位的信用聯(lián)動獎懲機(jī)制已經(jīng)啟動[13]并將如火如荼地鋪開。如果采取法國的統(tǒng)一信息采集模式將無法滿足征信業(yè)發(fā)展,也已然不符合現(xiàn)有的信息采集制度。
但同時,個人在參與經(jīng)濟(jì)社會活動中實(shí)則少有關(guān)于信息泄露后果方面的知識,不具備對相關(guān)隱私風(fēng)險(xiǎn)進(jìn)行全面評估的能力,當(dāng)其不得不披露個人信息時,法律應(yīng)當(dāng)予以指引與保護(hù),以平衡個人與信息歸集方(行政部門、商業(yè)主體)的利益,不可盲目地促進(jìn)征信業(yè)發(fā)展為單一目的,錯失對“個人數(shù)據(jù)”保護(hù)立法的良機(jī)。
筆者建議,在本次上海的地方性信用立法應(yīng)立足長遠(yuǎn),兼顧征信行業(yè)發(fā)展需要與個人信息主體權(quán)益保護(hù)。特別注意保護(hù)“個人數(shù)據(jù)”,借鑒國際認(rèn)同的“個人數(shù)據(jù)”保護(hù)準(zhǔn)則,創(chuàng)設(shè)必要的制度安排:
其一,可以考慮賦予信息主體對于“個人數(shù)據(jù)”的所有權(quán),明確“個人數(shù)據(jù)”與“大數(shù)據(jù)”之間關(guān)系,賦予信息主體對“個人信息”的取回權(quán)?,F(xiàn)實(shí)中,凡是消費(fèi)者“個人數(shù)據(jù)”流動路徑節(jié)點(diǎn)的主體均有非法出售、提供、加工、使用的可能,如不加規(guī)制,未來的所謂“個人征信”機(jī)構(gòu)將多如牛毛,數(shù)據(jù)孤島更易形成,數(shù)據(jù)標(biāo)準(zhǔn)更難形成,征信行為的公信力更受質(zhì)疑,實(shí)則阻礙行業(yè)長遠(yuǎn)發(fā)展。
其二,可以考慮賦予信息主體對“個人數(shù)據(jù)”的“選擇入口權(quán)”,對于信息主體的同意必須書面明示,但應(yīng)避免消費(fèi)者應(yīng)行使“選擇入口權(quán)”喪失交易機(jī)會與分配福利的權(quán)利。
其三,可以考慮制定“個人數(shù)據(jù)”報(bào)數(shù)標(biāo)準(zhǔn),提高、規(guī)范第三方向公共信用信息歸集平臺、金融基礎(chǔ)數(shù)據(jù)庫、其他信息歸集平臺提供數(shù)據(jù)的質(zhì)量,避免過多無效數(shù)據(jù)形成“數(shù)據(jù)噪音”。
其四,可以考慮為信用懲戒設(shè)定科學(xué)的評估模型,避免沒有必然關(guān)聯(lián)性的“個人信息”造成信息主體福利受損。在公共行政領(lǐng)域中,使用信用作為聯(lián)動獎懲既有國家政策支持又有司法解釋的依據(jù),還有部門之間的工作安排,但在國家標(biāo)準(zhǔn)化運(yùn)用規(guī)范出臺前[14],地方立法可以有所作為。
最后,建議慎重考慮公共信息與金融信息在公共領(lǐng)域與私人領(lǐng)域的無限制共享,在可預(yù)見的將來,跨境數(shù)據(jù)流動將稱為國際貿(mào)易的重要組成部分,有必要為核心信用數(shù)據(jù)制定安全規(guī)則,特別金融、醫(yī)療領(lǐng)域。
--------------------------------------------------------------------------------
[1] Privacy: The condition or state of being free from public attention to intrusion into or interference with one’s acts or decisions.
[2] [德]尼古拉·杰因茨(Nicola Jentzsch)/著,萬存知/譯《金融隱私——征信制度國際比較》(Financial Privacy-An International Comparison of Credit Reporting Systems)中國金融出版社 2009年5月出版 第3頁。
[3]中國新聞網(wǎng),2004年11曰26日新聞《<個人數(shù)據(jù)保護(hù)法>正在制定中》。
[4]2016年4曰1日,波士頓咨詢公司(BCG)發(fā)布首份關(guān)于中國個人征信行業(yè)的全面報(bào)告。
[5]“禁止歸集自然人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律法規(guī)禁止采集的其他自然人信息?!?/span>
[7]《消費(fèi)者權(quán)益保護(hù)法》第29條。
[8]德]尼古拉·杰因茨(Nicola Jentzsch)/著萬存知/譯《金融隱私——征信制度國際比較》(Financial Privacy-An International Comparison of Credit Reporting Systems)中國金融出版社 2009年5月出版 第109頁
[9]主要目的包括:某種信貸交易,簽發(fā)保單,消費(fèi)提起的任何其他商業(yè)交易,只要報(bào)告使用者有合法商業(yè)需要的任何其他目的。
[10]征信公司必須核實(shí)有爭議的數(shù)據(jù)或刪除它。不準(zhǔn)確的信息必須更正,如果特定信息甚至在征信公司調(diào)查以后仍存在爭議,消費(fèi)者應(yīng)將自己的觀點(diǎn)形成一個聲明文件,并將這個聲明加到信用報(bào)告中,在將來隨著報(bào)告?zhèn)鞑ァ?/span>
[11][德]尼古拉·杰因茨(Nicola Jentzsch)
[12] 例如:芝麻信用推出對提供虛假學(xué)歷用于采取降分處理,
[13]例如:人民銀行南京分行、銀監(jiān)會江蘇銀監(jiān)局公布《關(guān)于規(guī)范戈?duì)杻?nèi)住房貸款業(yè)務(wù)促進(jìn)住房金融健康發(fā)展的通知》明確,商業(yè)銀行個人房地產(chǎn)貸款業(yè)務(wù)必須借助征信手段懲戒住房貸款中的失信行為。
[14] “全國社會信用標(biāo)準(zhǔn)化技術(shù)委員會”已于2016年2月批復(fù)成立。
滬公網(wǎng)安備 31010402007129號
