总第251期)
JOURNAL OF XIAMEN UNIVERSITY(Arts & Social Sciences)
General Serial No. No. 251
1 2019
大数据时代的个人信用信息保护
—
以个人征信制度的完善为契机
吴旭利
(厦门大学法学院,福建厦门361005)
摘要
:我国个人征信制度具有鲜明的时代特征,但在个人信息保护方面不仅与欧美发达国
家之间存在着明显差距,自身也面临着诸多的挑战。我国个人征信主体权利的实现,应当以权利 的规范与保护为核心,建立在个人信息控制权的基础上。GDPR规则下的欧盟个人征信监管模式 以及FCRA规则下的美国征信监管体系,对我国个人征信监管模式的发展具有借鉴意义。完善我 国的个人征信制度,应当提升个人信息保护的立法层级,平衡个人信用信息使用与个人信息保护 之间的冲突,健全个人征信主体的权利保护与救济体系,发展个人征信行业协会,促进行业自律, 推动个人征信业的发展。
关键词:大数据;个人信用信息;个人征信制度;个人信息控制权中图分类号:D923
文献标识码:A
文章编号:0438-0460(2019>01-0161-12
当今社会,信息既是交易的支持基础,又同时成为一种交易客体。在大数据时代,一种新兴的 经济模式正迅速发展——档案库和数据存储网站悄悄地收集数万亿网上行为记录,等待时机进一
步开发、利用这些信息。[1]2018年8月20日,中国互联网络信息中心发布的《中国互联网络发展状 况统计报告》(第42次)显示,截至2018年6月30日中国互联网用户规模达8. 02亿,互联网普及 率达57. 7% ,m众多互联网服务商积累了海量的网民行为数据。物联网、移动互联网、云计算等信 息技术的快速发展与应用,使得基于大数据而构建的社会信用体系具备现实性。本文以我国个人 征信制度的发展与完善作为研究对象,分析个人征信发展过程中面临的问题,尤其是个人信息保护 问题,以期对中国个人征信制度的完善及个人信用信息保护有所禆益。
一、中国个人征信制度的发展现状
较之欧美发达国家,我国个人征信制度起步较晚,但恰因起步于互联网、大数据、云计算技术大 力发展的时代,注定了我国个人征信制度的发展有着自身特色,具有时代元素。
(一)中国个人征信制度的创新特色
2018年5月23日,百行征信有限公司在深圳挂牌,这是国内第一家市场化的个人征信企业。 该公司由中国互联网金融协会以及芝麻信用等八家征信公司组成®,注册资本为10亿元人民币,
收稿日期:2018-06-21
作者简介:吴旭莉,女,广东惠来人,厦门大学法学院副教授,法学博士,澳大利亚新南成尔士大学法学院中国
国际法与商法研究中心(
CIBEL)高级访问学者。
①八家征信公司分别为:芝麻信用管理有限公司、腾讯征信有限公司、深圳前海征信有限公司、鹏元征信有限 公司、中诚信征信有限公司、考拉征信有限公司、中智诚征信有限公司以及北京华道征信有限公司。
_ 161 •
厦门大学学报(哲学社会科学版)
2019 年
其中,中国互联网金融协会占股36%,其余八家公司各占股8%。早在2015年1月,央行曾通知这 八家公司做好经营个人征信业务的准备,但试点名单公布27个月后央行征信管理局表示,由于互 联网金融业态不稳定以及社会公众对个人信息保护要求越来越高,这八家公司离监管要求差距尚 远,将不分别发放个人征信牌照。百行征信公司的成立开启了我国个人征信的创新之路,中国特色 的个人征信制度主要包括以下特点:
1. 个人征信模式创新,公私征信体系并存。在百行征信成立之前,我国仅有上海资信有限公
司(1999年7月成立)与央行个人信用数据库(2005年8月联网运行)为公众提供个人征信服务, 以央行数据库为主导。截至2017年7月,央行征信系统已覆盖全国9.32亿自然人,提供45.21亿 次个人征信报告查询。新成立的百行征信从其股东组成结构考察,以中国互联网金融协会为最 大股东,尽管存在一定的官方背景,但毕竟是一家股份制企业。央行个人信用数据库主要收集与金 融消费相关的个人信用信息,而百行征信根据自身特点可收集央行征信数据库未能覆盖的领域,二 者各有分工,相互补充,共同拓展个人征信服务业务。4我国的个人征信体系形成公共征信与市场 化征信并存的双轨制体系。
2. 个人信用信息的采集效率高、客户刻画真实。在信息互联互通的征信模式下,互联网消费 平台、社交平台、金融数据平台、线下交易平台、反欺诈业务平台及第三方征信机构等为个人信用信 息的采集提供了便捷途径。从消费平台可采集的个人信息包括姓名、性别、电话号码、住址、婚姻状 况、开户银行、消费习惯等。从社交平台及其所拓展的周边服务可定位用户的社交圈,为用户进行 性格画像。其他平台或多或少接入政府公共部门的数据:从市场监督管理平台可获悉个人投资企 业的持股状况以及企业经营状况;从商业银行系统可获取个人信贷及所参与其他金融活动记录;从 税务信息系统可获得个人缴交各类税收情况;从法院的司法信息系统可获知个人参与的所有诉讼 记录以及裁判执行情况。百行征信集上述平台的功能于一身,又与人人贷、苏宁消费金融等15家 从事互联网金融与消费的机构签订合作协议,[5]这些机构将与百行征信共享信息,为客户提供全 面、准确的个人信用信息产品。
3.
利用数据挖掘技术,实现个人征信数据资源再生利用。互联共享的信用信息为数据分析提
供了海量的样本,数据挖掘技术可以从这些海量的、随机的、模糊的、碎片式的信息中提取不为人 知、隐含其中的有用信息和知识。> 对看似零散的数据进行分类、归纳、关联分析后,通过可视化手 段,再生成有价值的征信信息。互联网技术的运用,可以使数据挖掘在几小时甚至几分钟内完成客 户的信用信息处理,:7;不仅能更准确地提取客户的信用情况,还可以提供更具体、更丰富的信用产 品及服务,实现信用信息资源的再生利用。
(二)个人征信及个人信息保护立法现状
目前,我国规范个人征信的法律主要是2013年1月由国务院颁布的《征信业管理条例》,该条 例旨在规范企业与个人的征信活动。根据该条例,央行及其派出机构作为国务院征信业监管部门 依法监督管理征信业。该条例第2条同时明确国家机关及其他具有管理公共事务职能的组织在履 行职责过程中采集、整理、公布企业或个人相关信息的,不属条例监管范围。2016年5月,央行征 信管理局下发《征信业务管理办法》(草稿),该草稿从信息的采集、整理、保存、加工、提供、使用及 征信业监管等方面对征信业进行详细规定,但该办法至今未出台。
近年来,为解决大数据时代所面临的个人信息保护问题,我国法律从刑事、民事、行政各层面采 取了一系列措施。继2009年2月《刑法修正案》(七)中新增第253条之一侵犯公民个人信息罪 后,2015年8月《刑法修正案》(九)第17条再次就个人信息的刑法保护进行补充,非法提供、出售、 窃取个人信息,不论是单位或个人皆可被处罚。2013年10月,《消费者权益保护法》第二次修正 时,在消费者权利中规定消费者享有个人信息依法得到保护的权利;在经营者义务中规定经营者收 集、使用消费者个人信息应遵循的相关义务。2017年6月1日施行的《网络安全法》从国家网络安
• 162 •
第1期吴旭莉:大数据时代的个人信用信息保护
全战略高度对个人信息进行保护。2017年10月1日开始实施的《民法总则》在第五章“民事权利” 中规定了“个人信息权”。2018年8月27日提交初审的《民法典各分编草案》中,设有人格权编,其 中设专门章节规定隐私权与个人信息。[8]2018年8月31日通过的《电子商务法》第23条规定电子 商务经营者应当依照法律、行政法规的规定收集、使用用户的个人信息。近期,全国人大已将《个 人信息安全法》与《数据保护法》列人立法规划,[9]期待在各界人士的推动下,保护个人信息的专门 法得早日出台。
2018年5月1日,由全国信息安全标准化技术委员会制定的《信息安全技术个人信息安全规 范》(以下简称《个人信息安全规范》)开始实施,这是我国现行的个人信息安全国家标准。英国 《金融时报》评价称,在欧盟《一般数据保护条例》(The EU General Data Protection Regulation, G
PR
D
-
)的启发下,中国意外成为亚洲数据保护的领先者。[1°]
二、中国个人征信制度亟待解决的问题
发展个人征信业势必涉及个人信用信息的收集与运用,个人信用信息作为最有经济价值的个 人信息之一受到来自不同利益群体的觊觎。互联网时代个人征信数据化发展趋势,大大降低个人 征信产品的采集成本,提升个人信用信息的使用价值,但与之相伴而产生的问题亦不容忽视。在个 人征信业的发展过程中,个人信用信息面临的问题主要包括:
1.
不管是征信业立法还是个人信息保护的规范,我国相关法律规范的法律位阶都较低,难以适
应新形势发展。《征信业管理条例》由国务院颁布,属行政法规,出台迄今五年有余,虽不算久远, 但这五年多来,我国数据产业的飞速发展使得该条例已明显滞后。尽管《个人信息安全规范》的实 施令我国的个人信息保护在亚洲领先,但中国与欧美发达国家之间在个人信息保护方面依然存在 明显差距,个人信用信息保护更是面临诸多挑战。
近期,欧美发达国家关于个人信息保护不断推出新规定。2018年5月25日G
2年缓冲期,以便各成员国充分准备、适时调整监管机制以契合G月发布《消费者隐私权法案》(Consumer Privacy Bill of Rights Act, C法案》(Clarifying Lawful Overseas Use of Data Act, CLOUD A2018,CC
PA
CT
DPRPBR
DPR
生效,这是
欧盟《关于保护个人信息处理以及自由移动的指令》(即“95指令”)的升级版,2016年通过后,预留
的要求。美国在2015年2 )政府讨论稿®,旨在为商业
环境下的消费者个人信息保护提供示范。2018年3月23日,美国通过《澄清境外数据的合法使用
)②,对个人数据的跨境流动进行规
CPADPR
定。6月28日,加州议会通过《2018加州消费者隐私法案》(The California Consumer Privacy Act of
),以应对Facebook深陷“数据门”事件后的危机。C
被认为是全美最严厉的个人 ,有的条款甚至更为严苛。③
数据保护法案,将于2020年1月1日起生效。该法案堪称美版G
互联网数据技术的发展,我国个人征信业发展的新变化,国际上推陈出新的规则,令本已处于 较低法律位阶的《征信业管理条例》、《个人信息安全规范》难以适应新形势要求。应当研究国际社 会的先进经验,适时推出符合中国国情的个人征信及个人信息保护法规。
2.
个人信用信息需求广泛,非法采集、销售信用报告的情形严重。中国互联网协会于2016年
向中国网民做过一次全面调查,84%接受调查的网民称有个人信息被泄露的经历,54%的被调查者
有关该讨论稿的具体情况,请参见:http://www. whitehouse. gov/sites/default/files/omb/legislative/letters/ cpbr-act-of-2015-discussion-draft, pdf。
② 有关该法案的具体情况,请参见:https ://www. congress, gov/bill/1 l5th-congress/house-bill/4943。③ 有关该法案的具体情况,请参见:11即8://\\>^^.。391'^3〇7.01§/9〇81/31)-375-8丨81^(1-。31丨£〇01丨3118-£〇1'-(:0!181111^ -privacy- applauds- successful- passage— of- groundbreaking- legislation。
①
• 163 •
®门大学学报(哲学社会科学版)
2019 年
认为信息被严重泄露\"!个人信用信息由于其经济价值,更是面临被非法收集、过度收集、不当泄
露、违法交易以及二次开发等问题。例如,2016年5月,厦门公安机关在一 QQ群中发现一则代查 个人征信记录、房产信息、优质公务员名单的广告。依此线索,警方截获近百万条个人信息、40多 万份个人信用报告,每份报告售价2—5元。:12尽管司法机关严厉打击非法销售个人征信报告的案 件,但类似的案件依然时有发生。
当今中国互联网金融、消费甚为发达,除银行、电商巨头外,还有许多小贷公司、P2P平台、小型 电商等共享互联网经济资源。一些公司由于各种原因无法或不愿接入央行数据库,或者其本身经 营产品的合规性存在疑问,无法从正规渠道取得个人信用报告,进而转向地下市场。尽管登录央行 征信中心官网首页就可以看到醒目提示,该中心未授权任何第三方应用程序(手机APP)查询个人 信用信息,但中国手机用户还是可以在应用系统上找到多款A
PP
查询个人征信,不少A
PP
的下载
次数达1万次以上,有的甚至达百万次,11足见非法交易市场之大。如何在促进个人征信业发展 过程中,既合理收集、开发、运用个人信用信息,又能保护个人权利不受侵害成为迫在眉捷的课题。
3.
个人征信监管制度跟不上时代发展步伐,出现监管真空。个人信用信息的共享对征信市场
至关重要,但对消费者则可能产生负面影响,因此有必要对个人征信业从者进行有效监管。在百行 征信成立前,央行个人征信数据库是我国最重要的个人征信服务机构,而央行及其派出机构同时又 是征信业监管机构,这种管理者与被管理者同属于一个部门的情形,容易出现监管权责不明的现 象。从监管机构的设置看,在个人信用信息主要来自于金融交易的时代,央行基本可满足个人征信 监管需求,还可避免多头监管所产生的弊端。但随着我国最新个人征信制度的发展变化,个人信用 信息收集跨越多部门、多领域,个人征信活动已发展到央行所能掌控的金融系统之外,这些领域的 征信活动或将游离于监管。监管不到位甚至监管失效,M使得滥用个人信用信息、侵害个人信息 权利的事件时有发生,确有必要进一步从立法层面完善个人征信制度。
4. 权利边界模糊以及救济手段缺失,个人征信被侵害者维权困难《征信业管理条例》主要从 管理征信行业的角度规范征信活动应遵循的规则,该条例仅在第3条笼统规定从事征信活动不得 侵犯个人隐私,在征信业务规则中对个人信息主体的同意权、异议权与投诉程序有简单规定。但 是,该条例没有从个人信息保护角度界定个人征信主体的权利体系,更缺乏相应的权利救济程序。 《个人信息安全规范》是一系列信息标准,同样没有权利救济程序。在实务运用场景中,互联网时 代众多服务提供的是人机对话,没有客服向用户做面对面的说明,个人信息运用规则极不透明。一 些平台要求客户授权查询个人信用信息,而客户进行授权时,有关客户权利的提示含糊、不明确,人 们不了解或难以理解个人有哪些具体权利,不知个人信用信息是否将用丁•其他用途、数据是否可被 再度使川;或者平台界面极度不友好,设汁复杂的提示与说明,客户阅读极度不便;或者不授权无法 进行下一步的操作,无法使用产品。在侵犯客户权利时,由于时常在告知与说明中采用要求客户授 权第三方查询个人信用信息的模式,屏蔽真实的信息使用人,一旦发生纠纷,由于立法缺失,难以追 责,客户维权困难。[15]
鉴于我国个人征信领域的个人信息保护存在上述问题,本文将进一步梳理我国个人征信主体 的具体权利,并就完善个人征信领域的个人信息保护提出建议。
三、个人征信主体的具体权利规范与保护
“权利本位”是近现代法衍学的基石。16]法律对个体权利的确认,意味着社会对该个体的认可, 规范该个体权利的法律便成为该群体特定的行为准则,”个人征信主体权利的实现以权利的规范 与保护为核心。较之《征信业管理条例》对个人信息保护一带而过的规定,《个人信息安全规范》规 定了个人信息权利体系,在技术标准层面确定征信企业在个人信息的收集、处理、共享、使用、流转、
• 164 •
第1期吴旭莉:大数据时代的个人信用信息保护
披露等信息处理环节的行为准则。一些学者认为《个人信息安全规范》在软法层面填补了网络安 全规则的空白。
(_)个人征信主体的权利体系
根据《个人信息安全规范》的规定,个人征信主体的权利主要包括:
1. 同意权。《征信业管理条例》第13条规定个人信息采集应经本人同意,但没有进一步展开 规定。《消费者权益保护法》第29条亦规定经营者收集、使用消费者个人信息应遵循合理、正当与 必要原则,并经消费者本人同意。根据《个人信息安全规范》第5.3条要求,同意权涉及收集、委托 处理、对外共享、转让以及公开披露等环节。个人征信主体有权在个人信息被收集前被明确告知所 收集的个人信息将用于何种产品、收集方式、频率、存储地点与期限、数据安全以及是否对外共享、 转让及公开披露等,只有获得信息主体同意后方可收集。收集个人敏感信息®,应当获得信息主体 的明示同意。同时,根据《个人信息安全规范》第7. 7条规定,此等同意权可以撤回。在关于同意 权的规定中,例外规则值得关注。在《个人信息安全规范》第5. 4条中详细列举9种无须征得个人 信息主体授权同意即可收集个人信息的情形,该条款中还包括兜底条款。这些例外情形主要与国 家利益、国防安全、公共利益、公共安全有关,或者个人信息来自于公众渠道,如新闻媒体、政府信息 公开等渠道。《个人信息安全规范》第8. 5条还规定有共享、转让与公开披露环节授权同意的例外 情形,与收集环节的前6种例外情形一致。
2.
最小化、匿名化与去标识化。《网络安全法》第4
1
条规定网络运营者收集使用个人信息时
应当遵循合法、正当、必要原则,对与其提供的服务无关的个人信息禁止收集。《个人信息安全规 范》第5. 2条在此基础上进一步规定,收集个人信息应当与产品具有直接关联、自动采集的信息应 当符合必需的最低频率、间接获得的个人信息应当符合必需的最少数量要求。在个人信息保存环 节也有最小化要求,信息保存期应当是必需的最短时间。超出必要保存期限的个人信息应当删除 或做匿名化处理。在《个人信息安全规范》中,匿名化与去标识化是两个重要的保护个人信息安全 方式。经匿名化处理的个人信息,其信息主体无法再被识别且无法再复原;而去标识化的个人信 息,其处理技术更为复杂,在保留个体颗粒度的基础上,运用哈希函数、加密、假名等方法替换个人 标识,嗣后借助于其他额外辅助信息可再度识别信息主体。[19]
3.
信息访问权。信息访问权是信息主体所具有的访问被信息控制人所掌握的个人信息文档的
权利。[2°]这项权利在《网络安全法》中没有明确规定。根据《个人信息安全规范》第7. 4条规定,个 人信息主体有权要求个人信息控制人提供其所持有的个人信息及其类型、个人信息的来源及其使 用目的及已获得上述个人信息的第三人身份或类型。新近出台的《电子商务法》第24条规定了用 户对个人信息的查询权,这也是用户信息访问权。《电子商务法》从规范电子商务经营者行为的角 度,规定用户信息查询程序,从而保护消费者个人信息安全、保护消费者知情权。
4. 更正与删除权。《征信业管理条例》第25条规定了信息主体的异议与征信机构的删除程 序。《个人信息安全规范》第7. 5条规定,个人信息主体发现个人信息不完整或有错误时,可以要 求信息控制者补充或更正信息。根据第7. 6条的规定,对个人信息控制人违法收集信息、违法使 用、向第三方共享或转让信息或公开披露信息的,个人信息主体有权要求信息控制人或第三方及时 删除。
5.
安全事件的被告知权。在安全事件发生后,个人信息主体有权获悉安全事件的内容及可能
造成的影响、信息控制人是否已采取相应措施或即将采取的处置方案、自主防范及降低安全风险的 建议、相关补救措施以及个人信息保护机构的负责人及其联系方式等。《征信业管理条例》未就安
①参见《个人信息安全规范》附录B,个人敏感信息主要指一旦泄露、非法提供或滥用可能危及人身和财产安 全的信息。
.165 •
厦门大学学报(哲学社会科学版)2019 年
全事件告知程序进行规定。
(二)从“隐私权”到“个人信息自决权”的发展
从《个人信息安全规范》官方公布的参考文献可知悉,该规范参考G(O
ECD
Framework)、欧盟与美国的隐私保护协议(EU
DPR
、经济合作发展组织
PBR
)的隐私保护框架(Privacy Framework )、亚太经合组织(APEC )的隐私保护框架(Privacy
-U. S Privacy Shield)以及美国C
的规定。该规范
参照国际标准,汇集国内顶尖信息研究机构以及相关信息公司的研究成果,虽然其效力层级还只停 留于部门规章层面,并不是法律;只是个人信息安全标准,还没有具体的处罚措施,但尽管如此,中 国还是迈向了个人信息保护的漫漫征途。Ul]
从世界范围观察,个人信息保护的立法正悄然超越原有的隐私权保护的狭窄范畴而逐步转向 个人信息的自决权基础。早在1971年德国学者Steimuller就提出资讯自决权的概念,旨在规范电 脑通讯技术日益发达背景下德国政府收集个人资讯的行为,强调个人有权自主处分自己的个人资 料,有权决定是否将个人资料交付并由他人使用。[22]在〗984年联邦德国的“人口普查案”$中,个 人信息自决权付诸司法。信息自决权包含三个核心内容:(1 )法律保留,即限制信息主体的权利必 须由立法许可;(2)隐私保护;(3 )目的限制原则,收集及使用信息应受到严格限制。[23 ]美国学者
Charles Fried研究隐私权时提出,信息隐私保护不应局限于阻却他人获取个人信息,而应当关注信
息主体的自我控制权利及自主决定信息的使用与流转。:24:在信息保护研究与发展过程中,倾向于 隐私保护的观点一度占据绝对优势地位。隐私权自从美国滥觞以来,旨在保护个人秘密不受侵犯, 抵抗外来因素对私人生活与信息的窥探与侵犯,其从整体而言是一种被动的、防御性权利。例如在 CPBR中,美国通过隐私风险动态评估加强个人信息使用的风险控制,结合隐私风险界定各方主体 的责任。[25]
近年来,个人信息控制论逐渐成为个人信息保护理论的主流。[261例如在G
有使用隐私的概念,而是强调个人对信息的控制权;与此同时,CC
PA
DPR
正文中通篇没
中亦多处包含消费者自决权
的内涵。个人信息自决权则重在强调个人得以自主、自由地决定如何使用个人信息,[27]从而保障 个人的自由人格。未经本人同意而处理个人信息,对个人人格难免产生难以预料的影响,偏离个人 原本的人格塑造预期。因此,个人有权控制个人信息对外披露程度,同意权、同意的撤回权等正是 个人依照法律决定个人信息是否被收集及使用的体现。个人信息自决权已跨出隐私权保护的被动 局面,成为一种控制型、管理型的个人信息保护机制。[28]
四、完善个人征信制度中个人信用信息保护的建议
《个人信息安全规范》为征信业提供了个人信用信息保护的行为指南,个人征信企业应当以该 规范为标准,审查各工作流程是否符合安全规范,保护个人征信主体的权利。同时,我们要清醒地 认识到我国个人征信业发展中的不足,借鉴欧美发达国家的经验与教训,结合个人信息权的保护, 完善我国个人征信制度。
(一)关注个人信息保护立法的国际趋势,提升立法层级
如前所述,《征信业管理条例》及《个人信息安全规范》的法律位阶均较低,不足以全面担当起 维护信息主体权利的使命。在征信业管理方面,期待央行征信管理局继续推动《征信业务管理办 法》的制定。同时,我们看到《个人信息保护法》已列人全国人大的立法规划。这部保护个人信息 的专门法应当以个人信息自决权为主导并具有国际视野。数据时代企业全球化运营趋势以及数据
①联邦德国人口普查案:1983年联邦德国制定《人口普查法》,宪法法院经过激烈讨论,基于一般人格权,依 据《基本法》第1条第1款及第2条第1款,明确提出个人信息自决权:,参见:BVerfG 65, I• 166 .
第1期吴旭莉:大数据时代的个人信用信息保护
dpr
的跨境流动使得越来越多企业受到g、cl
oud
及其他数据保护规则约束,这要求我国个人信
息保护规则应当尽快提升为法律并国际化。
GDPR全面提升“95指令”的效力层级。“95指令”不能在欧盟境内直接适用,还需各成员国 通过立法程序将其规则转化为国内法。从具体适用观察,各欧盟成员国由于文化传统及法制环境 不同,在执行上存在较大差异。而根据GDPR第99条规定,该条例自实施之日起,在欧盟各成员国 范围内直接具有法律约束力,并且具有优先于各国内国法的效力。[29]与此同时,GD辖原则,扩大管辖范围。G
DPR
PR
实行宽泛管
第3条规定,GD
PR
不仅适用于设立在欧盟境内的企业,而不论其行
为是否发生在欧盟境内,只要为欧盟境内的数据主体提供数据或服务,不管是否有偿;或监控数据 主体在欧盟境内的行为均受GDPR管辖。
美国C
通过的C
LOUD
法案的实施,将使美国的信息主权从领土边界拓展到技术可控边界。加州新近
CPA
充分保护消费者信息自决权,例如:消费者有权知悉被收集的所有个人信息的情形
(收集范围、收集目的、是否出售给第三方);消费者有权拒绝企业向第三方出售个人信息;消费者 有权要求删除个人信息;企业可向消费者提供服务优惠换取消费者允许企业出售这些数据;即便消 费者选择不分享个人信息亦有权享受同等的服务与价格;更重要的是,只要存在个人数据泄露的情
形,消费者即可提起诉讼。反对人士提出法案应在2020年生效前进一步修改、完善,若准许任何数 据被泄露个人均可起诉企业,这种权利显然过于宽泛,将严重限制企业发展。FaCeb〇〇k、Amaz〇n等 互联网企业更是提出反对意见。[31]
个人信用信息的运用与保护之间始终存在冲突:过分强调个人信息保护势必削弱数据的流动 性、增加个人征信从业者的成本;但没有限制地过度使用个人信用信息又不利于个人权利保护。以 欧盟与美国的个人数据保护控制标准的对比为例,由于欧盟将个人信息权利归结于基本人权的权 利立场,其个人信息保护标准与力度显然高于美国的规定。欧盟通过建立一套严整的制度规范个 人数据,而美国则更侧重将个人数据保护问题交给市场与行业自律,难以简单评判何种做法更加合 理,但严格的个人数据保护制度在一定程度上将制约互联网行业的发展。玛丽•米克尔的《2018 年互联发展趋势报告》指出,在过去5_10年中,互联网行业发生巨大变化,5年前,只有2家中国 互联网公司的市值(或估值)位列全球互联网公司百强(其中百度列34位,腾讯列71位),如今全 球市值前20名的互联网公司由美国与中国瓜分,美国11家,中国9家,而作为世界最重要经济体 的欧盟没有一家企业进人榜单虽说经济的发展与法律环境的关系非常复杂,难以一概而言,但 欧盟严格的数据处理标准所带来的互联网行业发展的迟缓确实是不争的事实,让我们认清个人数 据保护亦存在经济成本。我国《个人信息保护法》已列入立法规划,该法应当如何定位、如何界定 个人信息权的本质、采用何种个人信息控制模式都是值得我们深思的。
主持编制《个人信息保护法》(专家建议稿)的周汉华先生指出,制定个人信息保护法应借鉴 欧、美等国际社会的经验,引入个人信息控制权概念、明确个人信息主体权利、构筑以保护个人信息 安全为目标、覆盖信息处理全过程的个人信息保护法律。[32]个人信息权保护应建立在个人信息自 决权基础上,《个人信息安全规范》中的同意权、信息访问权、更正与删除权这些权利应当得到充 分、实质遵行,而不仅仅是权利宣言。同时,尽管个人信息的保护将让位于国家安全与公共利益,亦 要把握好国家安全与公共利益的边界,维持个人信用信息权保护与个人征信共享与使用之间的利 益平衡。公共权力应当确定出于公共需要,公共权力应当有助于法律权利的实现,而不应当成为法 律权利实现的桎梏。[33]在个人信用信息公开与个人信息权发生冲突时,在维护社会公共利益的前 提下,应充分考量信息主体的权益,运用最小化、匿名化、去标识化原则,选择副作用最小的方式,以
①相关的具体论述,请参见:Mary Meeker,丨n丨emet Trends 2018,https ://www. kleinerperkins. com/perspectives/
internet- trends- report-2018
• 167 •
厦门大学学报(哲学社会科学版)2019 年
促进最佳利益格局的形成。
我们亦要注意到个人信息的自决与控制不能漫无边际,无限制的个人信息自决权将使人们失 去在交往过程所需的信息基础,[34]合理的拒绝规则(或选退规则)可以缓和刚性的个人信息自决权 带来的弊端。[35期盼在各界人士的努力下,吸收发达国家最新经验与教训、具有合理权利边界、以 个人信息自决权为核心的《个人信息保护法》能早日出台。
(二) 借鉴发达国家经验,优化个人征信监管模式
从发达国家征信业发展的经验分析,良好的个人征信业发展环境,应当有一个良好的征信监管 体系对个人征信的发展进行科学管理。从世界范围上看,个人征信机构的运作模式主要分公共征 信系统模式以及私营征信系统模式,而这两种典型模式分别以欧洲大陆国家及美国作为代表,其各 自的征信监管模式亦各有特点。[36
以法、德为代表的欧陆公共征信模式中,央行在征信活动以及征信监管中扮演着重要角色,[37]
欧盟各国监管当局多数采用被动监管模式。[38:在被动监管模式下,GDPR作为对个人数据运营与 流动进行监管与处罚的重要依据引起广泛关注,其在个人数据监管方面的举措将使个人征信监管 体系更加复杂。GDPR的跨境管辖效力是按照数据主体的数据分布状态实施管辖,改变以往按国 家或地域确定管辖的原则,从事个人征信业务的企业在处理欧盟客户业务时,在数据跨境的情形 下,尤其应当审慎对待,否则将可能面临巨额罚款。
GDPR第51条规定,欧盟成立欧洲数据保护委员会(the European Data Protection Board, ED-
PB
)行使欧盟数据保护最高机构的职责,各国设立或加强原有的独立数据监管部门以适应新形势
要求。数据保护专员制度(DP0)的设立要求,对原有征信机构的监管亦将产生影响。公共征信机 构作为个人数据的控制者与处理者亦是被监管对象,只有及时调整自身定位,检视自身的个人信息 隐私保护政策,充分考虑数据跨境、跨组织流动所产生的影响,保护数据主体在GDPR下的权利才 是应对G
DPR
规则生效的正确举措f9]G
DPR
第55 —58条界定监管机构的权限与职责,监管机构
可要求数据运营商提供必要信息以便调查,以审计、认证实施审查、访问数据或实际进入数据运营 商经营场所等方式进行调查;可以向可能违反条例者发出警告、训斥;要求泄露数据者告知个人数 据泄露情况;命令暂停数据接收或移转等。监管机构有权启动司法程序,将违反条例的行为诉诸司 法机构或启动、参与其他法律程序。
在《公平信用报告法》(Fair Credit Reporting Act, F
CRA
)的框架下,美国的征信监管部门联邦
贸易委员会(FTC)与消费者金融保护委员会(CFPB)在各自职责范围内履行监管职责。美国征信 业在经历初期非法采集民众信息等恶性事件后,各种监管办法已十分齐备,但即便如此,美国征信 业的违法事件还是时有发生,监管部门依旧不断开出罚单。美国征信业亦紧随数据时代发展与时 俱进。在FCRA体系下,明确其适用范围只针对个人信用风险的评估,[40]而在大数据时代,各种利 用互联技术的创新产品层出不穷,成立于2008年的Credit Kamrn公司(Google Capital于2014年对 其进行风险投资)作为创新企业,以个人消费者作为服务对象,其所提供的基础信息是免费的,不 属个人征信机构,不受政府个人征信监管部门监管。[4n创新使得诸多事实征信产品游离政府监管 之外0
较之具有上百年历史的欧美征信业,中国个人征信业尚处起步阶段。百行征信的成立,使我国 个人征信具有公私结合的双轨制特点。征信监管制度的建设应当结合大数据征信发展的新特点, 以个人信息利益保护为原则,科学界定征信产品的监管范围,建立符合时代特色的监管体系,在央 行征信监管部门的牵头下,结合“信用中国”建设,建立跨地区、跨行业的个人征信联合监管机制。
(三) 健全个人征信主体的权利保护与救济体系
个人征信主体权利保护体系的建立包括明确个人征信主体的权利范围,同时应建立完善的处 罚与赔偿标准及司法救济程序。由于《个人信息安全规范》仅是全国信息安全标准化技术委员会
• 168 •
第1期吴旭莉:大数据时代的个人信用信息保护
颁布的安全规范,涉及领域为信息安全标准问题,其性质与层级决定该规范不能规定相关处罚标准 与司法救济程序,《征信业管理条例》第38条对违法征信机构的最高罚款限额为人民币50万元, 无民事赔偿标准。反观欧盟的GDPR
以及美国F
CRA
框架下的行政处罚及民事赔偿规则,巨额的
罚款与赔偿使征信从业者尤其是跨国公司,不得不认真面对个人数据主体的权利及相关隐私保护
政策。
根据G
DPR
的规定,监管机构有权将违反条例、侵害个人数据权利的行为诉诸司法程序,同时,
GDPR
第83条还规定行政处罚的一般条件,设置两档处罚金额,一
档是1000万欧元或企业上一财
年全球营业总额的2% ;—档是2000万欧元或企业上一财年全球营业总额的4% ;皆取二者中的较 高者。处罚金额巨大,足见欧盟对个人数据保护之力度。在2018年5月25日(G
DPR
生效当天),
Facebook与Google就卷入面临39亿欧元及37
亿欧元罚款的诉讼。[42] G
DPR
的实施对大数据、云
计算行业提出了更为严苛的要求。
美国征信监管部门对个人征信企业的违规惩罚十分严厉。FTC
曾以消费者无法申请查询本人
信用信息为由对Experian、Equifax以及TransUnion这三家个人征信巨头开出高额罚款。11近期登
录F
TC
官网,在首页即可查看到2017年发生的涉及1.43亿美国民众个人敏感信息泄露事件。尽
管Equifax称该事件系因黑客攻击,并即刻采取让用户免费查询信用报告、冻结信用以及尽快报税 等措施,[43]但仍将面临诉讼。[44]三大个人征信公司都曾被CFPB
处罚过,2017年,Equifax及
Tmn
-
sUnion因出售给消费者信用评分被罚2310万美元,[45] Experian同样因出售消费者信用评分被罚款
300万美元。[46]除罚款之外,CFPB
的监管方式还包括发警告信敦促征信机构自查整改、行政和解
等。F
TC
与C
FPB
亦曾联合执法,2015年4月,美国绿树服务公司(从事不动产按揭服务)因涉及
非法贷款服务以及不法催讨债务侵害个人信息等被处以赔付受到不法影响的消费者总计4800万 美元的赔偿以及1500万美元的民事罚款,二者合计达6300万美元。[47]其数额之巨,的确足以令人 警醒。
在我国,个人信息被侵害,绝大多数以刑法案件进行处罚,行政处罚案例难以公开查询,民事赔 偿缺乏标准,个人维权困难。个人信息被侵害后如何提起民事诉讼、诉讼过程中相关证据规则、举 证责任分配、民事赔偿标准、精神损害赔偿是否适用等问题均缺乏相应规范。在实践中,是否侵犯 个人隐私权成为判断个人信息侵权成立与否的标准。北京朝阳区法院以该院2003—2017年审理 的74件涉及个人信息的案件为样本进行研究发现,2003年至2005年间原告胜诉或部分胜诉比为 75. 7% ,而近3年该比例却降至47. 3%。[48]2017年12月,江苏省消费者保护委员会起诉北京百度 网讯科技有限公司消费民事公益诉讼一案®,原告代表消费者就个人信息安全被侵害提起公益诉 讼。嗣后,因被告整改而基本符合个人信息保护规范,原告撤回起诉。从法院仅预收80元诉讼费 可推知起诉更多涉及停止侵害,而未涉及侵权损害赔偿,这与我国相关法律的缺失不无关系。只有 尽快切实建立损害赔偿标准与惩罚机制,建立完善的权利救济程序,才能真正保护个人信息权,促 进个人征信业的健康发展。
(四)发展行业协会,促进行业自律,推动个人征信业发展从欧美国家征信业发展的趋势与经验可见,个人征信业的发展,政府主动监管十分有限。除因
在G
DPR以及FCRA等严格监管体系下企业遵守法律规范外,西方政治经济学中政府不过多干预
经济,保障市场充分竞争,依靠行业协会,充分发挥行业自律的行业治理方式也是重要原因之一,值
①
相关的具体情况,请参见:United States v. Equifax Credit Info. Services,Inc.,No. 1 :00-CV-0087 ( N. D. Ga. Union 2000) ;LLC 00C 0235 FTC v. Experian (N. R Mktg. 111. 2000) 0Solutions, Inc. , No. 3-00CV0056-L (N. D. Tex. 2000) ; United States v. Trans ,② 详见江苏省南京市中级人民法院(2018)苏01民初1号民事裁定。
• 169 •
厦门大学学报(哲学社会科学版)2019 年
得借鉴。
美国开设征信机构无须资质审核,不设准入门槛,不用进行审批,也没有征信牌照,其征信行业
A
律发展模式及实效确值关注。政府监管过多,会抑制征信企业的创新能力;政府监管过少,征信
企业又可能不顾及个人用户的权利,导致信用风险。征信行业协会的发展可以平衡政府监管与行 业发展之间的矛盾,通过行业协会章程规范行业从业标准、从业人员的准人、信息共享、产品共同研 发等规则,以行业技术交流与培训等方式促进行业共同发展,在发展中自律、在自律中发展/49]从 而推进个人征信产品的合规运作,维护用户的信息权利。
行业自律规则具有柔性管理的特色,可有效缓解征信业务创新过程中监管行为与征信市场行
为出现的矛盾。以上述Credil Karma公司的业务范围为例,在FCRA体系下,尽管美国征信业形成 多部门综合监管体系,但仍然难以覆盖到这一领域。[5°]大数据时代征信业务随着科技的发展不断 创新,组织形式、经营业态、运行环境都会不断变化,良性的征信监管模式应当是监管部门与征信机 构之间的关系处于动态调整与不断博弈中。政府对征信的监管往往较为刚性,行业自律规则等柔 性管理措施恰好可以在政府监管与新兴的征信市场之间设置缓冲带,增进监管的适应性。应推动 征信行业协会建设,发挥行业自律功能,各征信机构彼此相互监督,形成政府监管与行业自律相结 合的综合监管模式,促进个人征信业的健康发展。
随着中国信用社会的建设,大数据平台的运用使得信用管理与人们的日常生活越来越贴近。 例如,2018年7月5日,在厦门市信用办主持下,厦门信息集团大数据运营公司承建开发的覆盖厦 门市18周岁以上市民的个人信用积分“白鹭分”可在线查询,[51]这是我国目前第一家集政府的公 共信用评价与市场化的第三方信用评价为一体的个人征信运用场景。此后又有多个城市陆续出台 各自的个人信用评分系统,如杭州市“钱江分”、苏州市“桂花分”及威海市“海贝分”等。在新技术 与新政策的影响下,个人信用信息的查询将越来越便捷,个人信用信息的运用场景也会越来越广 泛,传统的个人征信模式不断被突破。政府以公共事业管理者的身份收集个人信用信息较之一般 征信企业更为便捷与全面,尽管不属于个人征信业的被监管范畴,但政府主导下的个人征信亦应当 与一般征信企业一样注重保护个人信息安全,应当既考量社会信用建设的公共需求,又能维护个人 信息权利,在兼顾二者利益平衡的基础之上,建设具有中国特色的社会信用体系,促进社会经济健 康、有序发展。
(本文得到厦门大学课题“个人信用信息适度公幵、合理运用与个人信息权的保护”及国家留 学基金的资助)
注释:
[1] 迈克尔•费蒂克、戴维• C •汤普森:《信誉经济:大数据时代的个人信息价值与商业变革》,王臻译,北京:中信
出版集团,2016年,第5页。
[2] 《第 42 次中国互联网络发展状况统计报告》,http://www. crmic. net. cn/hlwfzyj/hlwxzbg/hlwtjbg/201808/
t20180820_70488.htm。
[3] 贾康:《基于大数据的征信建设探讨》,httpS://www. easyfang. C〇m/a/201806()4375996/。
[4] 刘国刚:《互联网金融背景下我国个人征信行业发展实践与展望》,《金融理论探索》2018年第2期。
[5] 刘双霞、宋亦桐:《“信联”百行征信开业渐近官网已正式上线》,httP://www. sohu. c〇m/a/243408837_319643。[6] 范建华:《信息保护的重要手段——
数据挖掘——
以银行业环境为例》,《金融经济》2012年第4期3
[7] 涂永前、王晓天:《大数据背景下个人征信信息保护的立法完善》,《互联网天地》2017年第5期。[8] 朱宁宁:《六编1034条民法典各分编草案亮相》,《法制日报》2018年8月28日=
[9] 《十三届全国人大常委会立法规划》,中国人大网,http://www. np(.. gov. cn/npc/xinwen/2018-09/10/content_
2061041. htm
• 170 •
第1期吴旭莉:大数据时代的个人信用信息保护
[10] Louise Lucas : China emerges as Asia' s surprise leader on data protection : Europe' s GDPR rales prompt work to im
prove regulation across the region, Financial Times, May 30, 2018.
[11] 《〈中国网民权益保护调查报告2016〉: 54%的网民认为个人信息泄露严重》,http://www. isc. org. cn/zxzx/
xhdt/listinfo-33759. html。
[12] 《厦门警方抓获6名嫌疑人缴获近百万条个人信息》,《海西晨报》2016年6月6日。
[13] 《惊动央行发文警禁,APP征信窃取信息究竟有多疯狂》,https ://baijiahao. baidu. com/s? id =
1603231762435575657&wfr = spider&for = pc。
[14 ]周秀娟:《论互联网金融个人征信的法律监管》,《电子科技大学学报(社科版)》2017年第2期。[15] 彭婷婷、谢新泉:《互联网消费金融背景下征信监管问题探析》,《征信》2017年第2期。[16] 张文显:《法哲学范畴研究》,北京:中国政法大学出版社,2003年,第335页。[17 ]葛洪义:《探索与对话:法理学导论》,济南:山东人民出版社,2000年,第205-206页。[18] 吴沈括、霍文新:《个人信息安全规范国标填补规则空白》,《网络传播》2018年第2期。
[19] 董贞良:《GB/T35273-2017〈信息安全技术个人信息安全规范〉解读》,《中国质量与标准导报》2018年第6
期。
[20 ] Graham Greenleaf, Asian Data Privacy Laws : Trade and Human Rights Perspectives, Oxford University Press ,2017 , p.
215.
[21 ] Graham Greenleaf, Scott Livingston: 11 China's Personal Information Standard: The Long March to Privacy Law\
Privacy Laws and Business International Report, 2017( 150) , pp. 25-28.
[22] 许文义:《个人资料保护法论》,台北:三民书局,2001年,第49、54页。[23] 周佳念:《信息技术的发展与隐私权的保护》,《法商研究》2003年第1期。
[24] Charles Fried, Privacy, 17 ,Yale Law Journal, January, 1968 ,pp. 485-486.
[25] 范为:《美国〈消费者隐私权法案〉中适应大数据发展的个人信息保护新思路及对我国的启示》,载《网络空间
法治化的全球视野与中国实践》,北京:法律出版社,2016年,第307页。
[26] [27] [28]
高富平;《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期。谢远扬:《信息论视角下个人信息的价值——
兼对隐私权保护模式的检讨》,《清华法学》2015年第3期。
洪延青:《评〈网络安全法〉对数据安全保护之得失》,《信息安全与通信保密》2017年第1期。
[29] 彭星:《欧盟〈一般数据保护条例〉浅析及对大数据时代下我国征信监管的启示》,《武汉金融》2016年第9期。
[30] 张新宝:《我国个人信息保护立法主要矛盾研讨》,《吉林大学社会科学学报》2018年第5期。
[31 ]《加州通过“全美最严”网络隐私保护法桂谷企业表质疑》,新华网,http://ww. xinhuanet. com/world/2018- 06/30/c_l29904098. htm。[32] 周汉华:《探索激励相容的个人数据治理之道一中国个人信息保护法的立法方向》,《法学研究》2018年第2
期。
[33] 谈李荣:《金融隐私权与信用开放的博弈》,北京:法律出版社,2008年,第107页。
[34] 杨芳:《个人信息自决权理论及其检讨一兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期。
[35] 任龙龙:《论同意不是个人信息处理的正当性基础》,《政治与法律》2016年第1期。[36] 姚佳:《个人金融征信用征信的法律规制》,北京:社会科学文献出版社,2012年,第94页。[37] 李曙光:《中国征信体系框架与发展模式》,北京:科学出版社,2006年,第152页。[38] 尼古拉•杰因茨:《金融隐私一征信制度国际比较》,万存知译,北京:中国金融出版社,2009年,第156页。[39] Kirkwood Andrew, \"Are You Ready for the GDPR\"? Credit Management, Stamford( Apr 2017) ,p. 24.[40] 李贞彩:《大数据征信的监管思路:来自〈公平信用报告法〉的启示》,《征信》2016年第11期。[41] 刘新海:《美国个人征信互联网服务新趋势研究》,《征信》2015年第12期。
[42] Chuong Nguyen,Facebook and Google racked up $8.8 billion in lawsuits from one day of GDPR,Digital Trends,May
26 , 2018 , https ://www. yahoo, com/news/facebook-google-racked-8-8-184527690. html.[43] Seena Gressin,The Equifax Data Breach: What to Do, https://www. consumer, ftc. gov/blog/2017/09/equifax-data-
breach—what-do.
[44] Nate Raymond,West Virginia sues Equifax over data breach,Reuters Market News April 13, 2018https://www. reu-• 171 •
厦门大学学报(哲学社会科学版)2019 年
ters. corn/article/equifax-cyber/west—Virginia—sues-equifax-over—data—breach-idUSLl N1 RP1 UF.
[45 ] James Rufus Koren: Equifax, TransUnion fined for selling consumers credit scores not used by most lenders, Los An
geles Times, http://www. latimes. com/business/la-fi-cfpb-credit—scores—20170103-story, html.
[46] CFPB, CFPB Fines Experian S3 Million for Deceiving Consumers in Marketing Credit Scores, https://www. con-
sumerfinance. gov/about-us/newsroom/cfpb- fines-experian-3 - million- deceiving- consumers- marketing— credit — scores/.
[47] FTC,National Mortgage Servicing Company Will Pay $63 Million to Settle FTC, CFPB Charges:Green Tree Servicing
Allegedly Deceived Homeowners, Many of Whom Were Already in Financial Distress,https://www. ftc. gov/news-e- vents/press- releases/2015/04/national - mortgage- servicing- company- will- pay—63 — million—settle.[48] 张蕾:《北京朝阳区人民法院:涉公民信息民事侵权案件增多原告胜诉率却下降》,北京新视觉,http://™,
takefoto. cn/viewnews-1625305. html〇[49 ]白云:《个人信用信息法律保护研究》,北京:法律出版社,2013年,第252页Q[50]王景富:《美国征信市场监管体制研究及启示》,《征信》2017年第9期。[51 ]郞眉、陈晓丹:《厦门市民个人信用“白鸾分”正式发布,将覆盖诚信生活各领域》,http://www. taihainet. com/
news/xmnews/shms/2018-07-05/2154525. html〇
[责任编辑:蔡永明]
Protecting Personal Credit Information in Big Data Era :For perfecting the Individual Credit System of China
WU
Xu-li
(School of Law, Xiamen University,Xiamen 361005,Fujian)
Abstract : China' s individual credit system has the distinct characteristics of the times, meanwhile, there is an appar
ent gap in the protection of personal credit information between China and other developed European and American countries ,confronting with many challenges in protecting personal credit information. The core of realization of rights of individuals is regulating and protecting their rights, and basing on the right of control over personal information. The supervisory systems under the GDPR in the EU and FCRA in the USA are references for the development of the individual credit system in China. To perfect the individual credit system of China should promote the legislation hierarchy, maintain the interest balance between the application of personal credit information and the protection of individual rights, establish a sound system to protect the subjects of the individual credit system with juridical relief procedure, and promote the professional association and self-discipline of individual credit system to facilitate the development of individual credit system of China.
Keywords : big data, personal credit information, individual credit system, the right of control over personal information
• 172 •
因篇幅问题不能全部显示,请点此查看更多更全内容