個人征信信息主體權(quán)益保護國際經(jīng)驗及啟示

劉妍

[摘要]近年來，隨著個人征信的廣泛運用，征信信息安全防控形勢面臨嚴峻挑戰(zhàn)。做好新時代征信信息安全管理工作，切實維護信息主體合法權(quán)益，已成為當前形勢下迫切需要解決的問題。文章梳理了我國目前個人征信信息主體權(quán)益保護的現(xiàn)狀，對歐盟《一般數(shù)據(jù)保護條例》中的個人征信信息主體保護進行了分析，總結(jié)了我國在這方面存在的問題，并參照歐盟經(jīng)驗，提出了相關(guān)建議。

[關(guān)鍵詞]個人信息安全;權(quán)益保護;國際經(jīng)驗;個人征信信息主體

[DOI]1013939/jcnkizgsc201928042

1引言

近年來，隨著個人征信的廣泛應用以及大數(shù)據(jù)、云計算等數(shù)字技術(shù)的迅猛發(fā)展，相關(guān)的維權(quán)投訴事件明顯增多，信息泄露風險不斷蔓延，征信信息安全防控形勢面臨嚴峻挑戰(zhàn)。在全世界范圍內(nèi)，個人信息主體權(quán)益保護越來越受到金融監(jiān)管當局的重視。2018年4月，中國人民銀行下發(fā)了《中國人民銀行關(guān)于進一步加強征信信息安全管理的通知》（銀發(fā)〔2018〕102號）（下稱102號文），旗幟鮮明地將個人信息安全和信息主體權(quán)益保護的管控要求提到了全新高度。在當前形勢下，如何做好新時代征信信息安全管理工作，切實保護信息主體合法權(quán)益，已成為迫切需要解決的問題。文章將通過對歐盟《一般數(shù)據(jù)保護條例》相關(guān)做法的分析，對比我國現(xiàn)狀，借鑒國際先進經(jīng)驗，提出我國個人征信信息主體權(quán)益保護的相關(guān)政策建議。

2目前我國個人征信信息主體權(quán)益保護主要概況

21我國個人征信信息主體權(quán)益保護法規(guī)制度

我國《征信業(yè)管理條例》賦予了信息主體知情權(quán)、異議權(quán)和救濟權(quán)等權(quán)益，對信息提供者、信息使用者及征信機構(gòu)的義務(wù)和責任做了相關(guān)規(guī)定。為切實防范征信信息泄露風險，中國人民銀行作為國務(wù)院征信業(yè)監(jiān)督管理部門，還先后印發(fā)《中國人民銀行關(guān)于加強征信合規(guī)管理工作的通知》（銀發(fā)〔2016〕300號）以及102號文等，在金融信用信息基礎(chǔ)數(shù)據(jù)庫運行機構(gòu)、接入機構(gòu)和人民銀行分支機構(gòu)建立起較為全面的征信信息安全防控機制。

22我國個人征信信息主體權(quán)益保護監(jiān)管現(xiàn)狀

近年來，中國人民銀行采取了多種措施加強征信領(lǐng)域的個人信息保護，運用現(xiàn)場檢查和非現(xiàn)場監(jiān)管手段規(guī)范各類征信參與主體行為。數(shù)據(jù)顯示，2017年，各級人行檢查接入機構(gòu)17670個，處罰3147個機構(gòu)和919名個人，金額達20604萬元，同比增長1312%，現(xiàn)場檢查的廣度、深度、強度都明顯提升。

盡管中國人民銀行等各級監(jiān)管部門在征信信息保護方面采取了很多措施，取得了一定成效，但是當前我國個人征信信息主體權(quán)益保護形勢不容樂觀。與此同時，經(jīng)濟全球化及對外開放也使得征信監(jiān)管工作在新時代面臨新考驗，因此必須盡快抓緊學習國際先進的信息保護理念和監(jiān)管規(guī)則，不斷提高征信信息安全管理水平。

3我國個人征信信息主體權(quán)益保護存在問題

31基礎(chǔ)立法缺失， 系統(tǒng)性法制建設(shè)較為滯后

我國缺乏個人征信信息主體權(quán)益保護方面的專門立法，《民法通則》《消費者權(quán)益保護法》《征信業(yè)管理條例》等只對個人信息保護做了原則性的規(guī)定。目前對個人金融信息進行保護的文件依據(jù)只有《個人征信信息主體基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》（中國人民銀行令〔2005〕第3號）以及102號文等，但這些文件只屬于部門規(guī)章和規(guī)范性文件，不屬于廣義法律范疇。

32監(jiān)管職責不明確，缺乏清晰的職責范圍和協(xié)調(diào)機制

目前我國對個人金融信息的保護缺少集中統(tǒng)一的監(jiān)管法規(guī)及框架體系。在《中國人民銀行法》等法規(guī)中沒有對個人金融信息保護的監(jiān)督管理部門做出統(tǒng)一規(guī)定。中國人民銀行及行業(yè)監(jiān)管機構(gòu)各自為政、各司其職，各監(jiān)管部門行使監(jiān)管、檢查和處罰的法律依據(jù)不充分，由此形成監(jiān)管缺位、職責不清、效率不高等問題。尤其是互聯(lián)網(wǎng)金融中的個人征信信息保護工作目前仍處于多頭管理或者監(jiān)管真空的狀態(tài)。

33基層央行信用信息安全保護難度加大

征信業(yè)務(wù)涉及部門多、監(jiān)管難度大，征信信息安全管理工作涉及機構(gòu)層級多、業(yè)務(wù)鏈條長，同時，隨著機構(gòu)接入數(shù)量不斷增多，查詢用戶數(shù)和查詢量明顯增大，異常查詢數(shù)量和異議處理數(shù)量也不斷增加，給基層央行帶來很大壓力。以南京市為例，截至2018年年末，南京市個人征信系統(tǒng)累計接入65家機構(gòu)，2018年個人信用報告查詢總量為7787萬筆，同比增加5%。信用報告的應用范圍廣、可查詢部門多、查詢量快速增長使得個人征信信息主體泄密的風險日漸升高，增加了監(jiān)管難度。

4歐盟個人征信信息主體權(quán)益保護的相關(guān)經(jīng)驗

1995年，歐盟頒布實施了《關(guān)于個人信息處理保護及個人信息自由傳輸?shù)闹噶睢罚ㄒ韵潞喎Q“95指令”）。2016年4月，歐盟議會通過《一般數(shù)據(jù)保護條例》（GDPR）。至2018年5月25日， GDPR正式實施。該條例制定的主要思路是保護個人數(shù)據(jù)信息和促進數(shù)據(jù)自由流動并重，其核心內(nèi)容主要體現(xiàn)在以下三點。

41強化數(shù)據(jù)主體權(quán)力，延伸保護范圍

GDPR給予數(shù)據(jù)主體的權(quán)利主要包括七項，具體為：數(shù)據(jù)收集時的知情權(quán)、個人數(shù)據(jù)處理情況的查詢權(quán)、錯誤個人數(shù)據(jù)的更正權(quán)、刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)（反對權(quán)）、可攜帶權(quán)、退出權(quán)。GDPR對數(shù)據(jù)主體權(quán)力的強化主要體現(xiàn)在：一是通過強化企業(yè)的義務(wù)使個人能夠更好地行使知情權(quán)、訪問權(quán)、反對權(quán)等“95指令”已規(guī)定的權(quán)利。二是賦予了“95指令”之外更多的個體權(quán)利。三是將受保護的個人信息范圍大大延伸。

42提升立法層級，加大處罰力度

GDPR統(tǒng)一了歐盟對個人信息保護的監(jiān)管，從而確保了“一個歐洲一部數(shù)據(jù)保護法”。GDPR對各國數(shù)據(jù)監(jiān)管機構(gòu)的檢查權(quán)、執(zhí)法權(quán)、處罰權(quán)以及司法訴訟權(quán)進行了明確界定。GDPR明顯加大了處罰力度：對一般性違法，處以最高1000萬歐元或相當于上年全球營業(yè)收入總額2%的罰款，兩者取最高一項;對違法行為較惡劣的，施加最高2000萬歐元或相當于上年全球營業(yè)收入總額4%的罰款，兩者取最高一項。

43增強監(jiān)管力度，拓展管轄范圍

在屬地管轄的基礎(chǔ)上兼采屬人管轄，凡在歐盟境內(nèi)設(shè)立的企業(yè)或有向歐盟境內(nèi)個人提供視頻或服務(wù)的，都將受到GDPR的管轄。在明確賦予用戶權(quán)利、大幅強化企業(yè)責任之外，這一條例還規(guī)范了監(jiān)管安排機制。在歐盟層面，增設(shè)歐洲數(shù)據(jù)保護理事會作為數(shù)據(jù)監(jiān)管的最高權(quán)力機構(gòu)，確保GDPR在各個成員國的統(tǒng)一適用;在歐盟成員國層面，提出了“一站式”監(jiān)管，明確了各成員國的管轄權(quán)及監(jiān)管規(guī)則，極大地提高了監(jiān)管效率，降低了企業(yè)的監(jiān)管成本。

5完善我國個人征信信息主體權(quán)益保護的政策建議

51完善系統(tǒng)性法律體系建設(shè)

進一步完善頂層設(shè)計，借鑒西方發(fā)達國家的法律保護經(jīng)驗，在行政法規(guī)、部門規(guī)章、規(guī)范性文件和行業(yè)標準構(gòu)成的多層次征信法規(guī)制度體系上，在保障信息主體權(quán)益和征信信息安全的前提下，推動個人征信信息主體保護立法，在制度層面為征信體系的發(fā)展提供保障。

52兼顧保護與應用的平衡設(shè)計信息保護條款

數(shù)據(jù)確權(quán)是保障個人隱私和促進數(shù)字經(jīng)濟健康發(fā)展的法律基礎(chǔ)。建議借鑒歐盟個人數(shù)據(jù)保護立法經(jīng)驗，在大數(shù)據(jù)、云計算等快速發(fā)展的技術(shù)背景下，對《征信業(yè)管理條例》數(shù)據(jù)主體的賦權(quán)進行重新修訂和完善。兼顧個人數(shù)據(jù)權(quán)力保障與促進數(shù)字經(jīng)濟健康發(fā)展之間的平衡，合理合法應用信用信息，推進信用信息為社會和行業(yè)服務(wù)。

53明確個人征信信息主體權(quán)益保護監(jiān)管機構(gòu)

參考GDPR 中歐盟數(shù)據(jù)安全保護委員會的頂層設(shè)計，對信息監(jiān)管職能進行統(tǒng)一規(guī)劃，專設(shè)個人征信信息主體權(quán)益保護監(jiān)管機構(gòu)，統(tǒng)一協(xié)調(diào)管理信息保護方面的事項，對信息主體給予司法救濟。

參考文獻：

[1]陳雨露個人信息保護與征信業(yè)發(fā)展[J].中國金融，2017（11）.

[2]萬存知個人信息保護和個人征信監(jiān)管[J].中國金融，2017（11）.

[3]中國人民銀行杭州中心支行課題組個人征信信息主體權(quán)益保護問題研究[J].征信，2018（4）.

[4]王達，伍旭川歐盟《一般數(shù)據(jù)保護條例》的主要內(nèi)容及對我國的啟示[J]. 金融與經(jīng)濟，2018（4）.

[5]鄭鈞，高鼎新歐盟GDPR及其對金融業(yè)的影響[J].中國金融，2018（12）.

[6]呂進中我國個人征信信息主體權(quán)益保護立法路徑探討[J].中國征信，2018（3）.