周登宪 王志华 乔丽华

（中国人民银行菏泽市中心支行，山东 菏泽 274000）

一、引言

个人数据信息保护总是和隐私权相伴而行。早在第二次世界大战结束时，欧洲国家就将隐私定义为一项基本的人权，并将其写入1948年的《全球人权宣言》中。自20世纪80年代开始，隐私权在欧盟具有了基本人权的地位，“隐私权来源于个人的自我决定权利，而这一权利建立在个人是最后且唯一的合法性来源的观念之上。这意味着作为一项基本原则，每个人都有权自我决定何种个人数据可以被收集、存储或发布”。

在当今的“信息丛林”社会中，一个国家征信市场的健康、有序发展，离不开有效、可行的法律约束和规范。在加强我国征信系统建设的同时，个人数据信息的保护立法也应得到高度重视和强化。

二、个人数据信息的定义和内容

（一）个人数据信息的定义

个人数据信息是指属于个人的具有一定使用价值的或者经过加工处理过的信息，是一个具有技术含量的概念，主要是指个人信息中经过特定的加工处理被数据化了的内容。在互联网系统中，具体表现为承载或者标识个人信息的数字单元及其组合。

有些学者认为：个人数据信息是与个人的人身、生活、活动相关联。其中一部分是由人的自然属性决定，主要表现为反映个人基本特征的数据，如姓名、肖像、体貌、习惯、嗜好等；另一部分则反映了社会属性特征，主要表现为个人社会生活和活动一般特征的数据，如住址、通讯方法、职业、工作单位、职务等。有些学者则认为：个人数据信息主要反映在两个方面，即它是个人人身自由和相应的人身权利的体现，而人身自由和人身权利则主要包括个人的身体自由以及与此相应的权利，也包括个人的精神自由以及与此相应的权利。

欧盟及其成员国的法律基本将凡是与特定的个人有关的所有信息都归属于个人数据的范围。德国联邦数据保护法规定，“个人数据是指关于某个特定的或可确定的人的个人情况和实体环境的一切信息”；荷兰数据保护法规定，“个人数据是指关于某个特定的或者可确定的个人的任何信息”；意大利的个人和其他主体的个人数据处理法案规定，“个人数据是指关于可以通过包括个人身份证号码在内的其他信息来确定的自然人、法人或社团的一切信息”；欧盟个人数据处理保护和个人数据自由流动指令则规定，“个人数据是指关于某确定的或可确定的自然人（数据主体）的一切信息。可确定的自然人是指可以直接或间接地通过身份证号码或相关生理、心理、精神、经济、文化、社会身份信息来确定的人”。

表1：个人数据信息内容

（二）个人数据信息的内容

受社会制度、经济发展水平、文化习俗及科技水平等诸多因素的约束，各国对个人数据信息内容的规定不大相同，但个人数据信息的主要内容总体归纳如下：（1）个人的基本数据信息——个人的姓名、性别、年龄、民族、籍贯等；（2）与个人的身体有关的数据信息——个人的体貌特征（包括身高、体重、肖像等）、器官特征、健康状况、病史病历等；（3）与个人家庭有关的数据信息——家庭住址、家庭通讯方式、家庭组成状况、家庭的收入状况、家庭的财产状况等。从公共事务管理角度人们将个人数据信息定义为与个人生活、教育、工作、经济状况、社会活动有关的数据信息（见表1）。

三、国际个人数据信息保护情况

（一）国际个人数据信息保护立法

个人数据保护源于欧洲，但在世界范围内越来越多的国家正在加强数据保护。由于各国的经济、政治、文化、民俗等多元素存在，造成个人数据信息的内容多元化，相应的法律保护规范和法律制度存在多元化状况。欧盟与美国信息化发展程度较高，相应的立法就相对活跃，走在世界前沿。除了专门的个人数据保护法律提供直接的法律保护外，围绕着“隐私”、“隐私权”、“隐私权保护”等概念也有相应间接性的法律规范。如美国将法律保护意义上的个人数据信息统一在“隐私”的概念之下，并指出了它的4种基本形态——个人的秘密、个人的姓名和肖像、个人的私生活和个人的不实形象，并实施相应的保护和规范。

纵观全球，欧盟及其成员国也已建立了基本的法律制度框架；工业发达且信息化程度较高的美国法律制度相对完善；亚洲国家和大洋洲国家近几年来也开始建立其相关的法律制度。目前，全球制定相关个人数据保护立法的国家(地区)主要有欧洲、美洲及少许的亚洲国家( 地区（)见表2）。

在这些立法的国家(地区)中,美国、加拿大等国家数据保护基于共同法和案例法、行政管理法和立法权等不同的法律；欧盟则建立了一种适用于所有欧盟成员国的“协调体制”，数据保护覆盖公共和私营两个部门；欧盟成员国及一些东欧国家、拉丁美洲的一些国家和中国香港，相关立法都是受《欧盟数据保护指令》的启发或基于《欧盟数据保护指令》。

（二）欧美个人数据保护体制

1.美国个人数据保护体制。第一个对征信业进行监管的国家是美国。美国没有颁布一般性的数据保护法，而是具有行业特征的监管手段。《公平征信法》是美国特别针对信息产业的第一部法律。征信公司是处于数据保护而受监管的第一类产业。该法均是围绕披露信用记录、争议不准确性的程序以及记录使用者的基本责任等可允许的目的而制定的。根据1970年的《公平征信法》，能进行记录披露的只有4个主要目的——某种信贷交易、签发保单、消费者提起的任何商业交易、只要报告使用者有合法商业需要的任何其他目的。

市场的发展推动了《公平征信法》（1970）改进。征信公司以及数据提供者被赋予了更多的责任，而消费者对其信息被赋予了更多的所有权。1996年的《消费者征信改革法》对《公平征信法》做了修订，要求征信公司必须对数据不准确的情况进行调查，并将调查结果通知消费者，同时免费向其提供一份信用报告。信息错误必须在30天内消除，并首次为注入银行的数据提供者设定了责任和义务。数据提供者被禁止披露那些他们知道或“有意识地避免知道”的不准确的信息，他们也有责任来更正、更新和重新报送数据。此外，他们必须就所报送的更正数据通知所有的征信机构；1998年的《消费者征信就业澄清法》对《公平征信法》进一步修改，指出若没有消费者的明确同意和书面授权，任何个人或者机构都不能出于就业目的获取任何一份信用报告；1999年的《金融服务现代化法》对《公平征信法》的修改内容体现在，将规则制定当局的意志赋予几个功能性的监管机构来实现；2003年《公平和准确信用交易法》在《公平征信法》的基础上增加了一些新的章节。为了提高信用信息的质量，新法赋予消费者监督法律事实的主要责任，即其有权每年一次免费获取自己的报告。新法对提供含有医疗信息的报告赋予了选择入口的权利，改变了数据提供者对信息的关注水平。如果数据提供者“有合适的理由相信特定信息是不准确的”，那么他们可以不报送该信息。

表2：国际个人数据保护法

2.欧盟个人数据保护体制。欧洲特别是德国、意大利和几个东欧国家经历过独裁统治，基于这个背景的影响，欧洲的数据保护法相对严格。欧盟及其成员国的法律基本将凡是与特定的个人有关的几乎所有信息都归属于个人数据的范围，对个人数据尽可能给予最大限度的保护。

欧洲的许多法律和指引中的最基本的一些数据保护规则是——在数据采集发生前通知的权力、获取数据的权力、数据更正或删除的权力、反对采取某些数据处理方法的权力、不让种族和宗教信仰等变量予以记录的权力。最基本的原则之一是“个人应获得有关数据采集的通知，以及不能有任何秘密数据采集的行为。”

在数据保护方面，第一个具有法制性约束的国际工具是1981年的《欧洲历史会协定108》（欧洲系列公约第108号有关个人数据自动化处理之个人保护公约斯特拉斯堡）。该协定要求签署国将其原则转换成本国的法律。随着技术的进步，欧洲跨国数据保护标准对信息自由流动形成潜在的阻碍。1990年欧共体委员会发布了第一个关于《欧盟数据保护指引》的草案，经过几年的讨论，1995年10月24日欧洲议会和欧盟理事会决定开始采用《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令（95/46/EC）》。该指令指出，“考虑到欧盟内部市场的建立和运行，依照条约第7a条之规定，应当确保货物、人员、服务和资金在该市场内的自由流动，这不仅要求个人数据能在成员国之间自由流动，而且个人的基本权利应当被保护”；“鉴于有关个人数据处理的国内法的目标是保护基本权利和自由，特别是为《保护人权和基本自由欧洲公约》第8条以及共同体法律的基本原则所确认的隐私权，对成员国法律的协调不得对已有的保护有任何降低，相反应当确保在共同体内的高水平保护”；“鉴于对个人数据的任何处理都必须是合法的且对相关个人是公平的，特别是考虑到数据处理的目的，数据必须是适当的、相关的，但不能过多；鉴于数据处理的目的必须是明确的、合法的且必须在收集数据时就已确定，数据收集后的处理目的不得与最初明确的目的相矛盾。”

相较而言，美国隐私保护法案没有综合性的覆盖私营部门和公共部门的《数据保护法》，针对私营部门的法律仅适用于某一特定的行业，对隐私权问题的监管在联邦和州两个层面进行，对数据保护的分散监管取代综合监管，私人数据是数据采集者的基本财产，强调自律。欧盟隐私保护方案，是综合性的数据保护法律，对私营机构的监管适用于所有的私营机构，在一些国家实行多层次的管理，有综合性的数据保护当局，数据采集须得到个人数据所有者预先同意，不太强调自律。

四、对我国个人信息数据保护的启示

无论是欧盟综合性个人数据保护体制还是美国分散的个人数据保护体制，各国的征信法律都将赋予信息主体相关权利和规定征信机构相关义务作为重要的规范内容，对个人信息的采集和使用范围做出限制，对消费者权利救济作出规定。

我国关于个人信息安全的法律条文散落在《宪法》、《中华人民共和国刑法》、《中华人民共和国民法通则》、《中华人民共和国侵权责任法》和《反不正当竞争法》等国家法律、行政法规及部门规章中，涉及了有关商业秘密和个人隐私保护的规定，但都较为笼统、抽象，不能有效保护数据主体的合法权益。2013年3月15日，《征信业管理条例》的实施标志着我国第一部征信业管理法规出台。《征信业管理条例》对个人征信业务实行严格管理，在市场准入、信息采集范围、采集和查询信息方式、行政救济及信息安全等方面规定了具体措施，突出了对个人合法权益的保护，但也存在着一些亟待解决的问题。如《征信业管理条例》所称征信业务指“信用调查和信用登记”，而征信评级机构的业务不受条例约束，也没有相应的信用评级业务法规；对公共征信机构和私营征信机构的业务界定不明晰，从而引发的数据信息保护不明确；关于个人数据信息保护的条款不够细化，体系不够清楚；没有提及任何对个人数据的流动或跨境流动的约束和规范。建议细化《征信业管理条例》，出台《个人数据信息保护细则》或专门针对个人信息保护问题出台法律，完善我国个人数据保护体制。

[1]陈飞等译.个人数据保护：欧盟指令及成员国法律、经合组织指导方针[M].北京：法律出版社，2006.

[2]尼古拉·杰因茨著，万存知译.金融隐私——征信制度国际比较[M].北京：中国金融出版社，2009.

[3]周超，施海松.论我国征信立法中的信息主体合法权益保护[J].福建金融，2012，（1）.

[4]胡大武.征信立法几个重大问题分析——以地方立法为考察对象[J].上海金融，2011，（1）.

[5]翟相娟.论征信立法对消费者隐私权的保护[J].法学杂志，2008，（4）.

[6]仉晓.浅论个人征信中隐私权的保护[J].法制与社会，2011，（4）.

[7]张忠军.征信法律制度中的政府角色[J].江西财经大学学报，2005.