《征信理論與實務(wù)》課件第六章 信息主體權(quán)益保護

1、本章知識結(jié)構(gòu)圖信息主體權(quán)益保護6.1 主要經(jīng)濟發(fā)達國家信息主體隱私權(quán)保護相關(guān)規(guī)定6.3 征信機構(gòu)信息系統(tǒng)安全及內(nèi)控機制6.2 我國信息主體隱私權(quán)保護相關(guān)規(guī)定 6.1 主要發(fā)達經(jīng)濟國家信息主體隱私權(quán)保護相關(guān)規(guī)定征信數(shù)據(jù)采集限制與保護征信報告對外使用限制征信機構(gòu)的侵權(quán)責任與免責征信數(shù)據(jù)采集限制與保護信用信息的分類征信數(shù)據(jù)采集中被征信人的權(quán)利個人信用數(shù)據(jù)保護的立法模式信用信息的分類企業(yè)信用信息與個人信用信息一般信用信息與敏感信用信息正面信用信息與負面信用信息企業(yè)信用信息企業(yè)基本信息企業(yè)信用記錄信息企業(yè)經(jīng)營管理方面的信息個人信用信息個人基本信息信用信息消費者信息的查詢記錄一般信用信息與敏感信用信息一般

2、信用信息與敏感信用信息是從一般信息與敏感信息的分類中推演出來的。一般信息與敏感信息在個人信息領(lǐng)域表現(xiàn)為一般個人信息和敏感個人信息，而在企業(yè)信用信息領(lǐng)域則表現(xiàn)為一般信用信息和作為商業(yè)秘密的信用信息。立法中對法定的敏感信息數(shù)據(jù)類型的確認，因國家的不同而有所不同。正面信用信息與負面信用信息信用信息可以分為正面信息與負面信息。正面信息就是能使信用主體獲得信賴與積極評價的一切信息，負面信息則是與信用主體信用相關(guān)的非正面信息。對于負面信息的征集，各國法律均持肯定態(tài)度，但是對于正面信息的征集則各國態(tài)度不盡一致。征信數(shù)據(jù)采集中被征信人的權(quán)利 同意權(quán)知悉與異議權(quán)個人信用數(shù)據(jù)保護的立法模式美國個人信息保護立法模式

3、分析 美國對個人信用數(shù)據(jù)收集、使用和保護等方面，平衡考慮了征信業(yè)發(fā)展和個人權(quán)利保護兩個方面的因素。他們立法既為個人征信機構(gòu)的合理生存和經(jīng)營保留了適當?shù)目臻g，也全面考慮了保護消費者個人人權(quán)方面的需要。美國法律對個人信用數(shù)據(jù)的平衡保護個人征信機構(gòu)收集信用數(shù)據(jù)的法定許可個人征信機構(gòu)必須履行的法定義務(wù)信用數(shù)據(jù)主體的權(quán)利對個人信用數(shù)據(jù)保護的責任方式歐盟（及歐洲主要國家）個人信息保護立法模式 歐盟是個人信息保護立法的模范和先驅(qū)。歐盟國家最先關(guān)注信息通訊技術(shù)對社會的影響問題，并導致歐盟于1995年制定了歐盟個人數(shù)據(jù)保護指令（1998年10月開始生效）。歐盟指令價值傾向明顯，覆蓋范圍廣泛，規(guī)制程度深，執(zhí)行機制

4、健全。歐洲理事會協(xié)定規(guī)定的個人數(shù)據(jù)保護基本原則數(shù)據(jù)質(zhì)量數(shù)據(jù)的特殊類型數(shù)據(jù)安全對數(shù)據(jù)主體的保護例外與限制賠償責任擴大的保護歐洲各國個人信用信息保護法規(guī)德國信息保護法規(guī) 作為大陸法系的代表，德國在個人信息立法保護上始終堅守統(tǒng)一立法模式。1990年12月公布的資料處理與資料保護繼續(xù)發(fā)展法（簡稱1990年德國資料法），其鮮明特征是：擯棄了美國隱私權(quán)的立法理念，轉(zhuǎn)而確立人格權(quán)的基礎(chǔ)性法律地位。 該法第1條規(guī)定:“本法之目的在于保護個人免于因個人資料的傳輸造成人格權(quán)的侵害”，從而走上了在立法理念上與美國分道揚鑣的道路。英國信息保護法規(guī) 英國的個人數(shù)據(jù)保護制度主要由四大部分組成;法典、判例法、民間實踐和執(zhí)法

5、機構(gòu)。由于受歐盟數(shù)據(jù)保護立法和理論研究的影響，作為普通法國家的英國在個人數(shù)據(jù)保護法律方面顯示出明顯的大陸法系的特征。日本個人信息保護立法模式分析 隨著2005年4月個人信息保護法的全面實施，意味著日本構(gòu)筑了一個相對完整的以個人信息保護法為基本法，各部門單行法為補充的法律體系:除作為基本法的個人信息保護法外，對國家機關(guān)、地方公共團體、行政機關(guān)、獨立行政法人等還分別制定了不同的法律和法規(guī)。 日本的個人信息保護立法外形上類似歐盟立法模式，但在實質(zhì)上更多地采納了美國立法的許多做法，非常值得我國在制定個人信息保護法時予以借鑒。征信報告對外使用限制征信數(shù)據(jù)的使用方式個人信用數(shù)據(jù)使用限制個人信用數(shù)據(jù)使用期限

6、規(guī)定征信數(shù)據(jù)的使用方式個人信用報告?zhèn)€人信用評分個人信用數(shù)據(jù)市場營銷個人信用數(shù)據(jù)使用限制由于個人信用信息涉及個人隱私，因此各國法律對信用信息的使用范圍多做出了明確的限制。個人信用數(shù)據(jù)使用期限規(guī)定歐盟指令對時限做了原則性規(guī)定，要求保留數(shù)據(jù)的時間符合采集數(shù)據(jù)的目的美國法律規(guī)定，正面信息保留10年，負面信息則采取：破產(chǎn)記錄保留超過10年、任何民事訴訟、民事判決、被捕記錄、繳納欠稅滯納金記錄、被追收或被沖銷壞賬負面記錄只能保留7年除墨西哥外，拉美國家規(guī)定信用報告所含信用記錄職能保留短短的幾年時間，特別是當債務(wù)償還后。美國的公平信用報告法規(guī)范了個人信用數(shù)據(jù)使用和傳播的范圍。個人征信機構(gòu)向機構(gòu)提供個人信用信

7、息報告應(yīng)事先通告該當事人，無權(quán)將未經(jīng)授權(quán)的個人信用數(shù)據(jù)其他機構(gòu)或個人提供。歐洲國家比美國要求的嚴格，歐盟指令要求為了保護公共利益情況下，或者在獲準被征信人同意的條件下才能使用信息。征信機構(gòu)的侵權(quán)責任與免責征信機構(gòu)的侵權(quán) 在對信用數(shù)據(jù)進行采集、處理和使用過程中，征信機構(gòu)、信用數(shù)據(jù)提供人或征信產(chǎn)品使用人采取不正當?shù)姆绞竭M行處理，就可能造成信用數(shù)據(jù)主體個人隱私、信用、人格尊嚴受損，其中以征信機構(gòu)的侵權(quán)行為最為嚴重。侵權(quán)行為（1）超出業(yè)務(wù)上必需的范圍或者收集目的而收集被征信人信息的行為；（2）須同意而未獲同意就收集信息的行為；（3）以違法或不正當?shù)氖侄问占畔⒌男袨?，虛?gòu)、篡改被征信人信息，或者擅自錄

8、入禁止錄入信息的行為；（4）不履行法定義務(wù)，無正當理由而拒絕被征信人查詢、更改、刪除請求的行為；（5）對有法定保留期限并超過法定期限的信息記錄尚未永久刪除的行為；（6）提供錯誤、過時、不完整信息的行為；（7）泄露商業(yè)秘密、個人隱私的行為；（8）丟失被征信人信息資料的行為；（9）須經(jīng)本人同意而未獲同意即向他人提供信息的行為；（10）向法定范圍以外的單位或個人提供信息的行為。刑事責任采集信息時，征信機構(gòu)應(yīng)當說明自己的身份、征信信息的目的等。各國法律都禁止征信機構(gòu)采取欺騙、竊取、賄賂、利誘、脅迫、利用計算機網(wǎng)絡(luò)侵擾或者不正當?shù)姆绞绞占庞眯畔ⅲ唤股虡I(yè)組織以商務(wù)調(diào)查的方法取得他人的信息；禁止以私人訪

9、問的方式取得對信息主體不利的信用信息，以有效保護信息主體的個人隱私權(quán)。民事責任征信機構(gòu)主觀上存在過錯征信機構(gòu)客觀方面存在違法行為被征信個人受到損害國外征信機構(gòu)免責立法征信機構(gòu)每天都要處理海量數(shù)據(jù)，在這一過程中，數(shù)據(jù)錯誤在所難免，并且，原始數(shù)據(jù)及其修改權(quán)限都在上報數(shù)據(jù)的機構(gòu)，自動化的數(shù)據(jù)采集、整合機制識別不了錯誤數(shù)據(jù)。如果一旦發(fā)現(xiàn)錯誤數(shù)據(jù)就認定征信機構(gòu)存在過錯，甚至要求承擔法律責任，顯然有失公允的，必然會阻礙征信業(yè)的發(fā)展，影響到授信業(yè)務(wù)的開展，最終會對金融體系的穩(wěn)定造成損害。因此，各國立法都對征信機構(gòu)數(shù)據(jù)錯誤規(guī)定了一定的免責條款。各國免責的立法情況分類直接規(guī)定征信機構(gòu)免責的立法情況遵循“合理程序

10、原則”即可免責的立法情況6.2 我國信息主體隱私權(quán)保護相關(guān)規(guī)定個人信用征信系統(tǒng)隱私權(quán)保護的法律現(xiàn)狀個人信用數(shù)據(jù)使用限制個人信用征信系統(tǒng)中隱私權(quán)保護的法律現(xiàn)狀我國現(xiàn)行法律體系關(guān)于個人信用征信過程中隱私權(quán)保護的法律法規(guī)呈零散的狀態(tài)。我國的憲法及民事基本法領(lǐng)域中對公民隱私權(quán)并沒有明確的規(guī)定，對公民的隱私權(quán)采取了間接保護的方式。相比之下我國的信用征信地方法規(guī)發(fā)展較早，上海、深圳等地均頒布過“個人信用信息征信管理的相關(guān)試行辦法”，但這些試行辦法在隱私權(quán)的保護上還存在有一定的不足。個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法規(guī)定地方性法規(guī)規(guī)定征信業(yè)管理條例相關(guān)規(guī)定個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法該暫行辦法是我國第

11、一部規(guī)范個人信用信息采集和使用的規(guī)章。規(guī)定了對個人信用信息進行保密的原則，對我國各商業(yè)銀行和征信中心的內(nèi)部風險控制和具體的操作規(guī)程都提出了嚴格的要求。明確個人信用信息基礎(chǔ)數(shù)據(jù)庫采集信用信息的范圍，采集信息應(yīng)當采取的方式，系統(tǒng)數(shù)據(jù)庫的使用用途、個人如何取得本人信用報告和異議處理的規(guī)定；還規(guī)定了征信中心和商業(yè)銀行具有保障的義務(wù)和責任，要求對個人信用信息準確性、時效性和安全性負責。個人信用信息基礎(chǔ)數(shù)據(jù)庫除了從制度方面制定措施保證信用信息的安全以外，還在技術(shù)層面采取多重措施來保障個人信息的安全。地方性法規(guī)2003 年 12 月出臺的上海市個人征信管理試行辦法參考了美國公平信用報告法的規(guī)定。主要內(nèi)容界定

12、了個人信用信息的范圍對信息采集方式進行了限定規(guī)定了披露的原則對征信機構(gòu)明確了過錯責任征信業(yè)管理條例我國征信業(yè)管理條例2013年3月15日起施行，第13條規(guī)定，“采集個人信息應(yīng)當經(jīng)信息主體本人同意，未經(jīng)本人同意不得采集。但是，依照法律、行政法規(guī)規(guī)定公開的信息除外。企業(yè)的董事、監(jiān)事、高級管理人員與其履行職務(wù)相關(guān)的信息，不作為個人信息?！钡?4條，“禁止征信機構(gòu)采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。征信機構(gòu)不得采集個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息。但是，征信機構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并

13、取得其書面同意的除外?！钡?5條，“信息提供者向征信機構(gòu)提供個人不良信息，應(yīng)當事先告知信息主體本人。但是，依照法律、行政法規(guī)規(guī)定公開的不良信息除外?！眰€人信用數(shù)據(jù)使用限制征信業(yè)管理條例第20條規(guī)定，信息使用者應(yīng)當按照與個人信息主體約定的用途使用個人信息，不得用作約定以外的用途，不得未經(jīng)個人信息主體同意向第三方提供。個人數(shù)據(jù)使用的法律法規(guī)被征信人同意的原則關(guān)聯(lián)原則公務(wù)機關(guān)獲得強制性許可原則個人信用數(shù)據(jù)使用期限規(guī)定我國2013年征信業(yè)管理條例第十六條規(guī)定：征信機構(gòu)對個人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應(yīng)當予以刪除。在不良信息保存期限內(nèi)，信息主體可以對不良信息做出

14、說明，征信機構(gòu)應(yīng)當予以記載。6.3 征信機構(gòu)信息系統(tǒng)安全及內(nèi)控機制征信機構(gòu)信息系統(tǒng)安全等級征信機構(gòu)內(nèi)控機制征信系統(tǒng)的數(shù)據(jù)安全管理網(wǎng)絡(luò)訪問控制強身份認證數(shù)據(jù)通訊機密性數(shù)據(jù)存貯機密性征信系統(tǒng)安全等級征信機構(gòu)管理辦法明確要求設(shè)立個人征信機構(gòu)，應(yīng)當經(jīng)中央行批準，且信用信息系統(tǒng)應(yīng)當符合國家信息安全保護等級二級或二級以上標準。根據(jù)我國信息安全等級保護管理辦法第二章，等級劃分與保護規(guī)定：第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。對于第二級國家的監(jiān)督管理要求為： 第二級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準

15、進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。征信機構(gòu)內(nèi)控機制內(nèi)控機制建設(shè)就是一個組織為了實現(xiàn)既定目標，防范和減少風險的發(fā)生，由全體成員的共同參與，對內(nèi)部業(yè)務(wù)流程進行全過程的介入和監(jiān)控，采取權(quán)力分解、相互制衡手段，制定出完備的制度保證的過程。征信機構(gòu)是征信體系建設(shè)的核心機構(gòu)，在信用體系的建設(shè)中承擔重要的職責，其客觀公正的評估有賴于內(nèi)部有效的管理機制。我國征信機構(gòu)內(nèi)控機制的相關(guān)規(guī)定征信業(yè)管理條例相關(guān)規(guī)定 2013年3月15日開始實施的征信業(yè)管理條例第六條規(guī)定，設(shè)立經(jīng)營個人征信業(yè)務(wù)的征信機構(gòu)，應(yīng)當符合中華人民共和國公司法規(guī)定的公司設(shè)立條件和下列條件，并經(jīng)國務(wù)院征信業(yè)監(jiān)督

16、管理部門批準。1.主要股東信譽良好，最近3年無重大違法違規(guī)記錄2.注冊資本不少于人民幣5000萬元；3.有符合國務(wù)院征信業(yè)監(jiān)督管理部門規(guī)定的保障信息安全的設(shè)施、設(shè)備和制度、措施；4.擬任董事、監(jiān)事和高級管理人員符合本條例第八條規(guī)定的任職條件；5.國務(wù)院征信業(yè)監(jiān)督管理部門規(guī)定的其他審慎性條件。第八條規(guī)定，經(jīng)營個人征信業(yè)務(wù)的征信機構(gòu)的董事、監(jiān)事和高級管理人員，應(yīng)當熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī)，具有履行職責所需的征信業(yè)從業(yè)經(jīng)驗和管理能力，最近3年無重大違法違規(guī)記錄,并取得國務(wù)院征信業(yè)監(jiān)督管理部門核準的任職資格。征信機構(gòu)管理條例 2013年12月20日起實施的征信機構(gòu)管理條例第六條規(guī)定，設(shè)立個人征信機

17、構(gòu)，除應(yīng)當符合征信業(yè)管理條例第六條規(guī)定外，還應(yīng)當具備以下條件： 1.有健全的組織機構(gòu)； 2.有完善的業(yè)務(wù)操作、信息安全管理、合規(guī)性管理等內(nèi)控制度； 3.個人信用信息系統(tǒng)符合國家信息安全保護等級二級或二級以上標準。西方國際征信機構(gòu)內(nèi)控機制征信機構(gòu)運營模式可以大致劃分為兩種類型：以美、英為代表的市場主導型和歐洲大陸大多數(shù)國家所采納的政府主導型，其內(nèi)控機制和管理模式則呈現(xiàn)不同的特點。美國征信機構(gòu)的市場化的內(nèi)控模式美國征信機構(gòu)組織模式，是獨立于政府之外的第三方私營機構(gòu)，將個人信息進行收集、加工后，有償提供給信息需求者，并且依據(jù)市場的需求來完善自己的經(jīng)營與管理模式，提升運營效率。美國征信機構(gòu)組織模式的特

18、點征信機構(gòu)私有化獨立性強市場化原則運作征信機構(gòu)伴隨著信用交易的市場需求產(chǎn)生而產(chǎn)生，隨著市場信用交易規(guī)模的發(fā)展而發(fā)展。其公司機制為公司制形式，以營利為目的，以股東利益最大化為前提，股東出資比例決定公司投票權(quán)比例，一切決策按照商業(yè)化目的進行，服務(wù)的范圍不受限制。 美國征信機構(gòu)市場化的運作機制，政府并沒有對其具體的內(nèi)控機制進行明確的法律規(guī)定。政府主導型德國為代表的公共征信模式又稱為政府主導的征信模式，即主要是依靠政府的力量建立征信機構(gòu)，政府通過行政手段強制要求個人或企業(yè)向征信機構(gòu)提供其信用信息或數(shù)據(jù)，從而建立個人信用信息數(shù)據(jù)庫，并通過法律形式保障信息或數(shù)據(jù)的真實性。政府主導的征信模式的特點A、具有一定的強制性。通過法律與決議的形式保證個人信用信息的可得性與真實性。B、公私征信機構(gòu)并存。公共與私營征信機構(gòu)并立，且互為補充。C、壟斷與競爭并存。既有公共征信機構(gòu)對個人基本信用信息的壟斷，又有私營機構(gòu)間的競爭。 政府為主導的征信機構(gòu)征信模式，雖然體現(xiàn)政府對于征信機構(gòu)數(shù)據(jù)的來源和分享有一定的強制性，但是對征信機構(gòu)的日常運行管理，則干預較少。小結(jié)個人信用信息數(shù)據(jù)大部分屬于個人隱私，無論是企業(yè)信用信息還是個人信用信息都