網上投稿
(本文由上海律協社會公共服務業務研究委員會上傳并推薦)
【摘 要】社會信用的地方立法作為社會信用體系建設的主要制度保障備受觀眾。但與此同時,近期各大媒體曝光的多起電信網絡詐騙案件將公眾關心的焦點聚焦在個人信息、數據和隱私保護等問題。如何實現個人信用信息在安全可控的環境中合法地為信用主體提供交易便利與便捷的初衷,需要在保障信用信息互通共享的前提下,最大限度地保障信息主體的權益。
【關鍵字】個人信息 個人數據 信用立法 權益保護
一、 引言
《上海公共信用信息歸集和使用管理辦法》(以下簡稱“辦法”)已于2016年3月1日實施,《辦法》依據國務院《社會信用體系建設規劃綱要(2014--2020年)》(以下簡稱“國家規劃”)制定,適用于本市行政區域內公共信用信息的歸集、使用和相關管理活動。自2002年起,江蘇、北京、廣東、浙江等地陸續頒布個人和企業信用征信的政府規章。2007年,陜西省頒布首部公共信用立法,將誠信建設納入法律范疇。根據《國家規劃》,各地陸續出臺關于信用聯動獎懲相關法律文件,例如,浙江、江蘇、廣東省等。2016年初,“社會信用立法”已被列為本市人大常委會年度立法預備項目;10月11日,《上海市社會信用條例(草案)》成為2016年度立法正式項目。在整個信用體系建設中,“個人隱私”、“個人信息”、“個人數據”已成為立法者與各界關注的焦點。
二、 區分“個人隱私”、“個人信息”、“個人數據”的概念
《國家規劃》將保護“個人隱私”列為信用法律法規和標準體系的重要內容,《辦法》、《征信業管理條例》、《深圳市個人信用征信及信用評級管理辦法》法規涉及的概念是“個人信息”。同時,歐盟、美國適用的概念是“個人數據”。那么,信用立法應當保護的法律客體究竟為何?
1、 何為“個人隱私”?
在《憲法》第二章“公民的基本權利和義務”、《民法通則》第五章“民事權利”尚無“隱私權”的專門規定。《辭海》中“隱”字的第一個意思即為“隱蔽、隱藏”。《BLACK’S LAW DICTIONARY》將“privacy”定義為個人的行為與思想具有不被公眾關注和侵犯的狀態。“隱私”這個術語在不同的文化中表示不同的概念。在歐洲,“隱私”被認為是人權,這個信念源自第二次世界大戰,今天,“隱私”在大多數歐洲國家受到憲法保護,并在很多國際協定中得到體現。在美國,立法機關頒布法律,以在執法機構和個人隱私權益兩者之間保持平衡。
2、何為“個人信息”、“個人數據”?
“個人信息”相對與“公共信息”,在《征信業管理條例》和各地公共信用信息法規規章中,并非直接規定“個人信息”的內容,而是通過明確“公共信用信息”的內容、限制征信機構和政府信用歸集平臺歸集內容的方法,逐漸勾勒“個人信用信息”的范圍。可以這樣理解,“個人信息”是與自然人相關的全部信息,“個人信用信息”則是與自然人“信用”相關聯的那部分信息,信息的載體即數據。故此,割裂“信息”與“數據”的關聯性,獨立解釋“個人信息”與“個人數據”并無實際意義。
3、建議國內信用立法統一采用“個人數據”概念
我國的“個人數據”保護立法尚在制定中
按照歐盟《數據保護指令》第2條a項的定義,“個人數據”,是指與一個已被識別或可被識別的自然人(數據主體)相關的任何信息。歐盟法令對于“個人數據”、“個人信息”的定義是相同的,而“個人隱私”范疇則更寬泛,包括現實生活中的“隱私”,也包括表現為數據形式的信息。筆者建議,由于“個人隱私”的理解存在主觀認識的差異,更為有效的保護途徑是借用知識產權的保護方式,為“個人數據”創制特定的保護制度,確立信息主體對“個人數據”的所有權,從保護“個人數據”的角度來防范“個人隱私”泄露。
三、 國內現有的“個人數據”法律保護雛形
“個人數據”保護起步滯后于征信業的發展,又與征信行業密切相關。2015年被業界稱為個人征信市場的“元年”,
消費金融發展迅猛,對于個人征信的需求是巨大的。然而,個人征信的健康有序發展須以“個人數據”保護為前提。
1、 各地公共信用立法對“個人數據”的保護模式
國內各地信用立法形式包括:地方人大立法(廣東省、陜西省、無錫市等)、政府規章(上海市、福建省、遼寧省等)、地方規范性文件(截止2016年2月共計34例),內容包含公共信息歸集和使用、企業信用信息公開。公共信用立法對“個人數據”的保護模式是限定“個人數據”歸集目的與歸集內容、創設信息主體更正錯誤信息的機制,以此保護信息主體的對于“個人數據”的權益。例如,《辦法》第14條禁止采集自然人特殊信息,包括“禁止歸集自然人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律法規禁止采集的其他自然人信息”。《辦法》第27、28、29、30條依次規定了“失信信息逾期刪除”、“異議申請”、“異議處理”、“異議標注”和“保密”。
2、征信業行業監管對“個人數據”的保護安排
國內征信行業監管規則對“個人數據”采集適用的是“明文規定不可采集”為例外的許可態度。例如,2002年的《深圳市個人信用征信及信用評級管理辦法》定義的“個人信用信息”范圍尤為寬泛,2007年的《江蘇省個人信用征信管理暫行辦法》相對于前者已顯謹慎。
可見,地方立法存在差異。我國征信業行業監管法規(《征信業管理條例》、《征信機構管理辦法》)禁止采集的“個人信用信息”還包括“個人的收入、存款、有價證券、商業保險、不動產的信息和納稅數額的信息,但是,征信機構明確告知信息主體提供該信息可能產生的不利后果,并取得其書面同意的除外。”該條款可以理解為信息主體創設了征信機構采集部分信息的“選擇入口”。
3、現有“個人數據”保護規定的缺陷
然而,在互聯網+的背景下,消費者的個人身份識別信息、消費信息、其他非相關信息都有可能被產品、服務提供方收集。現有的法律規定并未禁止前述歸集行為,僅賦予消費者事前同意權(《消費者權益保護法》第29條)。消費者無權對“個人數據”行使處分、轉移、刪除、出售等所有權權利,這與國外的“個人數據”數據保護存在較大差距。
四、 歐盟、美國的“個人數據”法律保護制度
國外征信業發展催生“個人數據保護”立法。歐盟采取全面的數據保護立法模式,其中,法國采取排他性的公共信息采集模式;美國采取行業監管的模式。
1、 歐盟的“個人數據”保護制度
隱私被歐洲人認為是人權,同時被認為是人民基本權利的一種保護。歐盟27個國家有數據保護法,信息主體的權利包括:在數據采集發生前通知的權利、獲取數據的權利、數據更正或刪除的權利、反對采取某些數據處理方式的權利、不讓種族、宗教信用等變量予以記錄的權利;其中,最基本的原則之一是,個人應獲得有關數據采集的通知,以及不能有任何秘密進行數據采集的行為。否則,個人信息處理仍將處于非法狀態。歐盟成員國采取綜合的數據保護立法,適用范圍覆蓋所有的私營部門,而不是僅一個行業。
2、 法國的公共信息采集制度
法國是公共征信制度的代表。法國的信息共享機制的特點是集中性、非競爭性,信息不允許在公共信用登記系統和(私營)征信公司之間可以共享。而且,信息采集僅限于負面信息。法國對共享正面信息沒有明確的法律禁止,但只有在法律明確授權的情況下,正面信息才能被記錄。法國數據保護局指出,正面信息易于偏離初始目的而轉作他用,因為豐富的信息會導致為其他目的所用,如市場營銷或就業審查。更重要的是,法國要求金融機構無論出于什么目的不能將從登記系統中獲取的信用報告以任何方式轉移給其他方使用。這意味著銀行方面的交易是禁止的。在法國體制中,“個人數據”受到嚴格的保護。
3、 美國行業監管模式
美國是第一個對征信業進行監管的國家。起初,消費者無從知悉個人信息,也無法獲取自己的信用記錄。1970年,《公平信用報告法》頒布,該法圍繞披露信用記錄的特定目的、異議處理程序的主線,規定征信公司在編輯信息時有責任遵循“保證最大可能準確的合理程序”的原則。然而,當時的信息共享制度實質上對消費者還是不透明的。
1996年,《消費者征信改革法》引入更新數據和阻止使用爭議數據的權利。但仍不存在“選擇入口”(opt-in),這是與歐洲體制的一個主要區別。1998年,《消費者征信就業澄清法》規定,沒有消費者的明確同意和書面授權,任何人和任何方都不能出于就業目的獲取任何一份信用報告。1999年,《金融服務現代化法》對金融機構施以隱私監管,金融機構與非附屬第三方之間的信息流將受到監管。2003年,《公平和準確信用交易法》的立法目的是防治身份盜用犯罪行為,該法賦予消費者監督法律實施的主要責任,即有權每年一次免費獲取自己的報告,也賦予消費者對提供含有醫療信息的報告的選擇入口權。
盡管美國在經歷了跨世紀的立法修正,行業監管趨于嚴格,消費者的權益日趨增多,然而,歐洲學者依然認為美國采取了“偏離準線的和不完整的體制”,進而斷言,如果發展中國家采用的監管制度模仿美國在20世紀70年代和80年代的監管制度,則將面對同樣的行業發展亂象與監管難題,“個人隱私”保護更是困難重重。
五、 結論
縱覽歐盟、美國的個人數據保護立法之后,我們更需要審視國內經濟發展需求:普惠金融期待個人征信短板的早日完善;首批獲準進入個人征信業務準備期的企業手握消費者數據,已陸續推出“類個人信用產品”與“個人信用評級”;全方位的信用聯動獎懲機制已經啟動并將大范圍地貫徹落實。如果采取法國的統一信息采集模式將無法滿足征信業發展,也已然不符合現有的信息采集制度。
但同時,個人在參與經濟社會活動中實則少有關于信息泄露后果方面的知識,不具備對相關隱私風險進行全面評估的能力,當其不得不披露個人信息時,法律應當予以指引與保護,以平衡個人與信息歸集方(行政部門、商業主體)的利益,不可盲目地促進征信業發展為單一目的,錯失對“個人數據”保護立法的良機。
筆者建議,立足長遠,本次上海的地方性信用立法可兼顧征信行業發展需要與信息主體權益保護。特別注意保護“個人數據”,借鑒國際認同的“個人數據”保護準則,創設必要的制度安排:
其一,可以考慮賦予信息主體對于“個人數據”的所有權,明確“個人數據”與“大數據”之間關系,賦予信息主體對“個人信息”的取回權。現實中,凡是消費者“個人數據”流動路徑節點的主體均有非法出售、提供、加工、使用的可能,如不加規制,未來的所謂“個人征信”機構將多如牛毛,數據孤島更易形成,數據標準更難形成,征信行為的公信力更受質疑,實則阻礙行業長遠發展。
其二,可以考慮賦予信息主體對“個人數據”的“選擇入口權”,對于信息主體的同意必須書面明示,但應避免消費者應行使“選擇入口權”喪失交易機會與分配福利的權利。
其三,可以考慮制定“個人數據”報數標準,提高、規范第三方向公共信用信息歸集平臺、金融基礎數據庫、其他信息歸集平臺提供數據的質量,避免過多無效數據形成“數據噪音”。
其四,可以考慮為信用懲戒設定科學的評估模型,避免沒有必然關聯性的“個人信息”造成信息主體福利受損。在公共行政領域中,使用信用作為聯動獎懲既有國家政策支持又有司法解釋的依據,還有部門之間的工作安排,但在國家標準化運用規范出臺前,地方立法可以有所作為。
最后,建議慎重考慮公共信息與金融信息在公共領域與私人領域的無限制共享,在可預見的將來,跨境數據流動將稱為國際貿易的重要組成部分,有必要為核心信用數據制定安全規則,特別金融、醫療領域。
參考文獻
[1]中國新聞網:2004年11曰26日新聞《<個人數據保護法>正在制定中》。
[2]2016年4曰1日,波士頓咨詢公司(BCG)發布首份
關于中國個人征信行業的全面報告。
滬公網安備 31010402007129號
