内容提要: 信用信息开放是社会信用体系建设的前提和基础,可以减少信息不对称所带来的弊端,同时也可能会侵害到个人信用权。在目前推进征信体系建设十分紧迫的情况下,对个人信用权的法律保护问题进行深入研究就显得尤为重要。本文通过对我国公民信用权保护中存在的问题进行分析,并结合国际征信发达国家的先进经验,提出了我国个人征信体系建设中的数据主体法律保护制度框架。
一、个人信用信息征集中信用权保护的必要性
(一)相关概念
个人信用信息,是指个人在信用交易活动中形成的履行或未履行义务的相关记录或数据。通常,个人信用信息包括个人基本资料、个人商业信用状况、个人社会公共记录和个人守法信息等四个方面。个人基本资料包括姓名、性别、年龄、籍贯、学历、婚姻状况、住址、电话、工作单位等;个人商业信用状况包括银行贷款及还款情况、信用卡使用情况等过往的信用交易记录;社会公共记录包括从事职业、社保缴费情况、纳税情况等;守法情况指有无刑事、行政与民事违法记录等[1].在对公民信用权进行法律上的探讨之前,由于隐私权与信用权有着非常密切的关系,我们还应当明确隐私权的概念。隐私是指个体不愿公开的个人信息。隐私权是法律赋予公民对涉及个人隐私的事项作为或不作为、或要求他人作为或不作为的权利[2].信用权则是指民事主体就其所具有的经济能力在社会中获得的相应信赖与评价而享有的保有和维护的人格权;信用权是资信利益的法权形态[3].在信用信息征集过程中,部分采集信息可能会涉及个人隐私,可能会侵害到个人隐私权和信用权,因此对被征信数据主体进行法律保护要体现信用信息公开与信用权、隐私权保护的适度平衡。
(二)对个人信用权进行法律保护的必要性
随着现代金融业的发展,一个人的信用状况已不单纯是个人的私事,而直接关系到个人的履约能力和他人预期利益的实现,作为交易相对人有权了解其信用状况。个人信用信息的适度开放是社会信用体系建设的前提和基础,如果禁止个人信用信息的披露无疑会大大阻碍征信业的发展,而对个人信用信息的使用不加以限制和规范则无异是对个人权利的践踏。因此,征信体系的健康发展在信息公开以确保市场效率的前提下,同时还要考虑的是对个人信用信息的合理保护问题。
1.强化对信用隐私权的法律保护是国际立法趋势。信用隐私因关乎个人资产、信用状况乃至交易安全,被侵犯的后果较为严重,因此,各国纷纷通过立法来架构各自的信用权保护体系,在最大限度上保护个人信用信息和交易安全。西方征信发达国家都制定了多部法律对公民信用信息权加以适度保护,特别是美国已经形成了较为完备的法律保护体系,对于征信后发国家有很大的借鉴意义。
2.立法保护能够体现知情权与信用权之间的平衡。知情权与隐私权之间的力量关系是此消彼长的,对知情权保护的多一些,隐私权的保护范围就会相应地减少,反之,人们知情的范围就当然地予以减少。因此,如何在个人信用征信制度的建设中协调隐私权与知情权的关系是不可回避的问题。在制定信用权法律之初,就应力求在其间寻求平衡。一是促进信息利用,使征信机构利用个人信息合法化;二是限制政府权力,防止行政机关或征信机构滥用个人信息,侵犯隐私。
3.法律规范确保公民合法的信用权不被侵犯。在现代信息社会里,网络普及、科技发达,伴随着信用权从私密性模式到控制权模式的转变,个人信息被赋予了财产性特征,成为具有巨大商业价值或社会利用价值的资源,信用信息隐私被侵犯的可能性也在加大,因此,公民有正当权利排除他人对个人信息的不当使用及出现纠纷时有明确的法律救济途径。
二、征信发达国家的立法经验和我国的有关规定
加强对个人信息的法律保护已经成为人们的共识,各主要发达国家和地区都相继开展了个人信息保护的专门立法。有资料显示,已经有50多个国家和地区制定了个人信息法律体系。我国在多部法律中对公民隐私权做了规定,对信用权的规定还不是非常明确,部分法规规章对公民信用权有所涉及。
(一)征信业发达国家和地区的立法经验和启示
1.美国的《公平信用报告法》。美国的信用消费比较发达,有完善的消费者信用调查、评估制度和完善的法律体系,能较好地保护个人的权利。美国立法机构在20世纪70年代就制定了一些保护个人信用权的成文法律,其中最重要的就是《公平信用报告法》,该法从信用报告使用目的、信用报告机构和用户的义务、消费者的权利及法律责任等方面做了详细规定。该法将个人信用信息界定为主要是为信贷、保险、就业目的而收集和处理的关于某个消费者的信用价值、信用度、信用能力、品质、综合信誉、个人品德或生活模式的信息,并且规定提供消费者报告的用途主要包括信贷、保险、雇佣、信用评级、政府颁发许可证时的资格审查5种情况,以防止消费者的隐私受到以商业为目的的滥用。该法同时规定:个人信用信息的提供者在出售个人信用信息给信用征信机构时,不需要获得消费者许可但负有保证该信息正确、及时、完整的义务,同时法律赋予消费者对个人信用信息的知情权、接触权、更正权、维护权和保密权。消费者有权了解个人信用信息的性质、内容和接受报告者的姓名,对有争议的信用报告可以要求重新调查;消费者有要求信用情报“公正、适当或正确”的权利,有要求消除在信用机关被登录的“不正确的或陈旧情报”的权利。
2.欧盟国家的相关规定。欧盟先后出台了《保护隐私及跨国交流个人资料准则》、《欧盟个人资料保护指令》、《电子通讯数据保护指令》等相关文件法规,欧盟国家的立法价值取向十分明确,更加关注对个人隐私的关注。1978年,法国的《信息技术与自由法案》,规定收集和处理、使用个人数据,不得损害数据主体的人格和私生活,规定征信数据库必须公布其搜集资料的授权、目的和种类等。英国1984年制定的《数据保护法》,规定只有为特定的和合法的目的,才能持有个人数据;必须采取安全措施,以防止个人数据未经许可而被扩散、更改、透露或销毁;对于遗失、毁坏有关数据,或者未经许可而透露有关数据的,数据主体有权请求赔偿。
3.日本和我国台湾地区对个人信用权的保护规定。日本《个人信用信息中心规则》规定了本人有权知道自己的信用信息是否正确,信用信息调查机关有保证个人信用信息准确性和及时性的义务,信息中心要负责对已登录的错误信息进行修正和删除。另外,日本还专门设定了信用审查协议会,对个人提出的质疑进行审查。在《个人信息保护法》中规定了由于提供错误的个人信用信息,而造成个人权利被损害时,个人可以提出消除有关错误信息,对信息调查机构来说,如属非故意地向金融机构提供了个人不正确信用信息的,要负过失责任。为了更好地保护个人的权利,银行在向其他机构提供个人的信用信息时,必须事前征得客户的同意。我国台湾地区为了强化对信用权的保护,在民法典债编第195条第1项特别信用规定,将信用权确定为人格权,从而使得被侵害人就非财产上的损害也可以请求赔偿。侵权行为除了故意外,也包括过失。从其规定可以看出被害人不仅仅可以请求赔偿财产上的损失,也可以就精神损害要求侵权人进行赔偿。
综上,我们可以得到以下几点借鉴:一是信用权应当作为公民的一项基本权利。如我国台湾地区就将信用权确立为人格权,对信用权侵害规定了精神损害赔偿。二是立法保护个人信用权是各国的通行做法。通过立法规定个人享有的各项权利,规定信用信息提供者、使用者、征信机构的义务及法律责任是必要的,知情权、更正权、维护权和保密权等都是个人信用权的组成部分。三是设立专门机构对信用权侵害进行审查是有效的救济途径。如美国对侵害个人信用权的行为规定了行政责任、刑事责任、民事责任,并由专门的机构-联邦贸易委员会来执行。日本也设立专门机构对个人提出的疑问进行审查,这有利于个人在权利受到侵犯时得到及时救济。
(二)我国对隐私权、信用权的有关规定
1.宪法及法律的有关规定。我国《宪法》规定了公民的人格尊严、住宅、通信秘密权不受侵犯;《刑法》、《民事诉讼法》、《刑事诉讼法》和其他一些行政性法律法规从刑事、民事、行政责任、程序等角度对公民隐私权的保护做出了规定。对于商业、技术秘密的保护,《民法通则》、《合同法》、《商标法》、《专利法》以及其他相关的法律法规都有规定。现在从法律层面上欠缺的是对个人一般信息信用权的保护规定。
2.地方性行政规章。目前主要是一些地方性征信法规的规定,如《上海市个人信用征信管理试行办法》、《长沙市信用征信管理办法》、《天津市社会信用体系建设工作方案》等。如《深圳市个人信用征信及信用评级管理办法》规定:对征信机构和信息提供单位征集、传输、整理个人信用信息,对外提供信用信息服务,违反本办法规定行为的,予以通报批评,并责令限期改正;构成犯罪的,依法追究刑事责任。
3.中国人民银行3号令。2005年10月1日正式颁布实施的《个人信用信息基础数据库管理暂行办法》以人民银行令的形式颁布,简称3号令,这是目前关于个人信用信息管理较为权威的一部行业规章。在这部规章中,对个人信用信息的报送、查询、异议处理、安全管理都做了明确规定,并且对违反该办法规定的行为制定了相关罚则。但由于3号令是一部部门规章,仅对人民银行和商业银行报送个人信贷信用信息具有约束力,对公民信用权还不能起到全方位的保护作用。
4.目前隐私权和信用权保护的立法进展。民法典草案在隐私权一章中规定的主要内容有:自然人享有隐私权。隐私的范围包括私人信息、私人活动和私人空间。收集、储存、公布涉及自然人的隐私资料,应当征得本人同意,法律另有规定的除外。民法典草案在信用权一章中规定的主要内容有:自然人、法人享有信用权。征信机构应当客观、公正地收集、记录、制作、保存自然人、法人的信用资料。征信机构应当合理使用并公开信用资料。人民法院根据当事人履行判决、裁定等法律文书的情况,可以建立执行法律文书等档案。金融机构根据当事人借贷还贷等情况,可以建立还贷记录等档案。工商行政管理部门根据当事人资信情况,可以建立资信档案。质量监督部门可以将检查、抽查结果公布,并建立相应的质量档案。自然人、法人有权查阅、抄录或者复制征信机构涉及自身的信用资料,有权要求修改与事实不符的信用资料[4].
三、我国公民信用权法律保护中存在的问题
由于目前我国还没有一部全国性的征信法规,这种情况严重制约了中国信用经济的培育和发展,不能对个人信用征信中各个环节涉及的信用权保护进行有效的指导。在信用权的立法保护中主要存在以下问题:
(一)征信立法建设滞后于信用体系建设的进程
在加快信用体系建设已成为全社会共识的情况下,我国的征信业已经步入了一个崭新的发展阶段,有关信用建设的成果不断涌现。而目前我国有关征信方面的法律法规却属于“真空”地带,尚没有一项法律法规为征信活动提供直接的依据,在信息采集、加工、处理、披露关键环节上无法可依。其中,个人信用权保护作为征信法规建设的重要一环,目前也没有专门的法律法规对其中的利益关系进行调节,而导致公民权利受到损害却不能得到有效的法律救助,影响到个人参加征信体系的积极性,给征信体系建设带来困难。
(二)权利救济制度缺乏阻碍了征信市场的发展
个人信用权作为一个法律概念在我国还未深入人心,在信用征信过程中,当个人权利受到侵犯时,许多人对此浑然不觉,即便知道也缺乏相应法律手段去维护自己的权益。目前,除人民银行3号令对个人信用信息受到侵害做了较为明确的规定外,其他以地方法规、规章形式出台的相关条文,都存在处罚条款弹性太大,缺乏可操作性的问题,规定都过于简单,而且没有规定相应的民事责任和行政责任,没有明确哪些信息应当属于个人信用征信的范围,征信机构、信用报告提供者及使用者、个人信用征信中信息主体有哪些权利,当数据主体信用权受到侵害时应该采取什么样的救济措施等。同时应当看到,对公民隐私权的保护与信用信息公开的法制建设是相辅相成的,在对公民信用权利救济制度缺乏的情况下,信用信息的公开同样受到限制,这种情况阻碍了征信市场的健康发展。
(三)法律对信息保密的规定存在保护过度的情况
现有的一些法律中具有比较明确的保密条款,个人信用信息数据是不能随意对外提供的,与开展征信工作所需要的信息公开原则相冲突。如《档案法》及其《实施办法》对于档案的利用做了极为严格的规定,如果不履行一定的手续并且符合一定的条件,是没有机会接触档案的。一方面闲置了大量的信息,另一方面,征信机构又不得不对该部分信息进行重新征集,付出不必要的成本。《商业银行法》规定,“商业银行应保障存款人的合法权益不受任何单位和个人的侵犯”。但是什么是合法权益,对此该法并没有明确界定,这就可能导致商业银行以保障存款人的隐私为由拒绝向征信机构提供数据。《国家秘密法》规定:政府机关对国家秘密享有一定的自由裁量。如此,不仅模糊了国家秘密的边界范围,而且为政府部门拒绝公开信用信息提供了口实。《统计法》也专门对资料保密做出了规定,“属于私人、家庭的单项调查资料,非经本人同意,不得泄露”。如果将来的《个人信息法》对征信机构在取得个人信用信息时规定不需要取得信息主体的同意,那么就需要在不同法律之间进行衔接。
四、我国个人征信体系建设中数据主体法律保护制度框架
我国个人信用权保护的制度框架,既要保护个人权利,又要为信息时代个人数据资料的合理利用提供适当的环境。在制度设计上既注重个人对其数据资料的自由意志,又强调对隐私的保护不应当成为阻碍信息合理流动的障碍,力求隐私权保护及征信业发展之间的平衡。
(一)立法保护的模式
目前国际上对于信用隐私权的立法保护有两种模式,第一种为直接保护模式,即通过民事立法直接规定信用权为一项独立的民事权利,并明确规定侵犯这一权利所应承担的法律责任。第二种间接保护模式,即确认侵害信用的行为为侵害商誉权、名誉权等其他人格权而课以法律责任,实现对权利主体信用利益的间接保护。我国现存法律对信用权实际上采取了间接保护的方式。《民法通则》并未明文规定信用权,在实务上采取保护名誉权的方法间接保护信用权。现代市场经济条件下,人们对信用活动的依赖与日俱增,信用活动伴随商品交换无处不在。在信用活动和信用主体都已经普遍化的今天,法律不应仅停留于规范人们的信用行为,而是要积极妥善地保护人们的信用权利和利益。因此,通过民事立法的方式对信用隐私权给予直接保护更为妥当。
(二)个人信用信息的采集范围
个人信用征信制度与信用隐私权的保护之间体现了信息流通与隐私权之间的矛盾,从另一个角度来说,也是知情权与隐私权之间的冲突。因此,法律应寻求社会经济活动中知情权和数据主体隐私让渡权之间的平衡,规定哪些属于可以不经同意而直接采集的信息、需要同意进行采集的信息和禁止采集的信息。从国外有关立法以及中国目前已有的地方规章看,可以直接采集的信息包括以下方面:一是身份基本信息,包含姓名、性别、电话号码、身份证号码等。二是与银行机构发生的贷款信息,包括贷款额、贷款期限、是否逾期等,其他如信用卡授信额度、透支金额、住房公积金贷款信息等也应纳入。三是个人在各类公用事业上付款情况的信息,如水、电、燃气付费信息,电信通讯付费、养路费缴纳情况等。四是国家行政机关、司法机关在行使职权过程中所形成的与个人信用相关的公共纪录信息,如法院民事判决、欠税、交通处罚等公共信息。除可作为信用信息的个人资料外,法律应当明确规定禁止征信机构征集的个人信用信息包括以下方面:民族、种族、基因、血型、指纹、疾病、病史、残疾、性格偏好、遗传缺陷、家庭状况、收入状况、资产状况、健康状况、宗教信仰等信息。婚姻状态在商业银行的信用评价中很有用处,但是否能够作为信用信息仍然需要法律的明确规定。
(三)法律应赋予被征信数据主体的权利
1.同意权。即征信机构收集个人的信用资料,必须征得被征信主体的同意。这种同意原则上必须是书面。征信机构收集、提供该信用资料的目的也必须征得个人同意,如果个人不予同意,征信机构则要明确告知不予同意的后果。由于目前我国个人征信体系建设处于起步阶段,为加快推进信息征集工作,最大限度降低信息征集成本,这种同意权仅可在小范围内使用,如某些法律规定不可向外披露的隐私,须经同意后方可采集使用;对于法律规定可以公开信息,被征信主体原则上不得使用同意权。
2.知情权。个人有权了解征信机构收集、保有的信用资料的内容、性质、使用目的和使用者的名称。当自己的就业、信用申请等被拒绝时,消费者也有权知悉被拒绝的理由以及提供信用报告的机关名称、地址、联系方式。另外,消费者也有权得到一份自己的信用报告。
3.再调查的请求权。当个人对信息有异议或通过其他方式知悉的自己的信用资料有异议,有权要求征信机构对该资料进行再调查,征信机构必须在一定的期限内完成调查工作,否则应承担一定的法律责任。
4.错误的纠正请求权。如果经再调查发现登录的信用资料不准确或不完整或错误,则必须进行修正或删除。但是如果经调查,征信机构有充足的理由认为该信用资料是正确的,或者该信用资料的提供者保证其正确性的前提下,征信机构有权保留该信用资料。当通过再调查发现信用资料有不正确的地方,但是又对其实际情况无法进行确认时,必须将其删除。另外,当双方对信用资料的正确性发生争议,征信机构又无充足理由证明的情况下,必须对该信用资料进行封锁,不能予以提供。
5.提出异议权。如果个人对再调查结果仍不满意,但根据消费者的利益或要求又必须出具信用报告的场合下,消费者有权提交一份异议书阐明争议的性质、内容,征信机构必须把该异议书附带在该信用报告中,在需要时一并提供。另外,个人还有权要求征信机构向自己指定的任何信用资料使用者发出异议书,征信机构也有义务明确、清楚地告知消费者这一权利。
6.信用资料传播的控制权。除法律规定允许的场合,提供个人信用资料必须得到本人同意,这种同意原则上应是书面的。法律规定的场合一般是出于信用交易、保险、雇佣等目的。一般国家的法律都规定信用情报的记录或保管者不能将信用资料向本人以外的个人、团体或机关进行提供,但也规定了一些例外:如情报的提供是为防止对该个人或第三者的生命或健康产生重大危险的紧急时刻而必须进行提供的,但是获得该信用资料的个人、团体或者机关不能在该目的之外利用或提供。
7.信用资料内容的控制权。个人有权要求征信机构不得收集与信用交易、雇佣、保险等目的不符的或不必要的信用资料,对于政治的、社会的或宗教信仰的内容或者犯罪记录、病历或身体障碍、人种、民族或国籍、生活方式或名声、个人存款记录等内容,消费者有权禁止征信机构收集,也有权要求其删除这些内容。
(四)各方的法律义务
实践中,个人信用隐私权受到侵害后,应追究哪一方的法律责任,征信机构、信用信息提供方、信息使用方的法律义务必须得到明确。
1.征信机构的法律义务。一是保证信用信息真实性、时效性。征信机构应用恰当的技术和管理手段确保个人信息的准确性、完整性和及时性。保证个人信用信息不陈旧、不过时,不得对信息提供方报送的个人信用信息进行修改。二是安全性义务。征信机构及其工作人员对征集、利用个人信用信息过程中获得的个人信用信息应当保密,不得向第三人泄露,不得超越规定的使用范围及工作职责范围利用所获得的个人信用信息,否则应当承担民事责任。三是合法搜集信用信息的义务。个人信用征信机构必须采用合法的手段和途径收集个人的信用信息,即个人征信机构搜集个人信用信息程序必须合法。
2.信息提供者的法律权利义务。征信机构主要是从银行、法院、公安、税务以及其他一些公用事业单位等信用信息提供者处收集有关个人信息。对信息提供方做出法律义务的规定非常必要,一是保证信用信息的准确性、完整性和及时性的义务。信息提供者应该定期对自己提供的信息进行调查、核实,确保信用信息正确、及时和完整。二是对征信机构的通知义务。当个人向信息提供者提出某些信息不实的异议时,如果该信息不正确,信息提供者要向征信机构发出更正通知;如果对该信息的正确性信息提供者与个人之间存在争议,信息提供者仍然要把这种情况通知征信机构。信息提供者所拥有的信息发生变化时,负有及时向征信机构发出通知的义务以保证信用信息的准确性和及时性。三是对信用信息的保密义务。信用信息的提供者对于自己所掌握的个人信用信息,除了向法律规定或约定的人提供外,不得向无关第三方提供。
3.信用报告使用者的法律义务。一是信用信息使用目的限制。使用者只能在法律许可的利用目的范围内使用该信用报告。二是信用信息来源披露义务。在我国信用立法中,应该明确使用者的地位和责任。当信用报告使用者依据该报告拒绝为报告主体(信息主体)提供服务或拒绝交易时,应当将制作报告的征信机关的名称、地址、联系方式通知该报告主体。这样一方面有利于信息主体及时向征信机构查证征信机构所收集的自身信息的准确性、全面性和及时性,另一方面还可以及时发现和制止某些不法行为,如身份盗窃行为。
(五)不良信用记录的保留期限
为了保证信用报告的准确,能反映消费者最新的实际信用状况,国际上对于征信机构保存的信用信息都规定了一定的期限,如德国规定,照会情报为1年,信贷债务情报为3年,不履行债务的情报为5年。在美国,对于正面数据要求保留10年,对于负面信息,一般都规定了7到10年的保存期。如破产记录保存期限为10年,刑事诉讼记录保存7年[5].我国对不良信用记录可以按照危害程度,比照国际惯例规定不同的年限,一般不良记录可设为5-7年,严重不良记录设为8-10年。
--------------------------------------------------------------------------------
注释: [1]张新宝.隐私权的法律保护[M].北京:群众出版社,1997,4-6.
[2]李秀芬.论隐私的法律保护范围[J].当代法学,2004,(7):第18卷(4).
[3] 吴汉东.论信用权[J].法学,2001,(1):44.
[4]中国人民银行征信管理局编.“征信与中国经济”国际研讨会文集[M].北京:中国金融出版社,2004:49-50.
[5]王征宇等编著.美国的个人征信局及服务[M].北京:2003,(2):第1版,66.(张明)
出处:《金融理论与实践》2008年第5期