互联网金融领域的信用信息保护制度
2018-10-16赵园园
赵园园
一、我国现有立法的不足
我国《征信业管理条例》代表了征信管理的重要进步,但从个人信息保护的角度来看,仍然存在很多不足。《征信业管理条例》第3条规定,从事征信业务及相关活动,应当遵守法律法规,诚实守信,不得危害国家秘密,不得侵犯商业秘密和个人隐私。但要保护被征信人的合法权益,对个人数据信息权利的保护范围应该超越隐私权范围。如果改为依法保护个人信息的权利,尤其是隐私权,则更为合理。《征信业管理条例》第13条规定,采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。个人数据权及于全部个人数据,不管是私密的还是公开的,规定公开信息可以随意收集并不妥当。个人数据与个人隐私的最大区别在于,隐私在性质上是属于私人的,属于未向社会公开的范畴。而个人数据则可能已经公开,或本来就属于公共事务的范畴。披露个人宗教信仰、医疗记录、通讯内容、生活习惯等敏感信息可能被隐私权所保护。但已经公开的信息如姓名、地址、电话号码等常常被滥用的个人数据信息,则恰恰一般被归为已经公开的信息。
征信报告对个人的经济信用极为重要。金融机构负责将信用信息上传至征信中心,对于错误信用报告给信用主体造成的损失,法律对此没有明确规定,司法实践对金融机构是否承担责任的判法不一,对此应结合相关案例详细分析个人征信领域侵权责任的主体、客体、归责原则、责任方式、损失及赔偿范围等问题,厘清在个人没有过错或仅有部分过错的情况下,金融机构应适用过错推定责任原则承担相应侵权责任,赔偿范围应包括精神损害。
二、加强对个人信息保护的法律制度之间的协调与衔接
我国现有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法,但这些规则在立法价值取向上从各自所属的制度出发,存在颇多冲突之处,应当加以协调。立法机构应尽快出台《个人信息保护法》,明确个人信息的边界与信息保护主体的责任义务,从顶层设计上织就一张信息安全保护网。同时,还应妥善处理个人信息保护立法和网络、信息安全管理等法规制度的关系。
三、建立个人信息保护的具体有效制度
大数据时代纷繁复杂的个人信息处理场景中,前端的、静态的知情同意的框架已不足以应对严峻的隐私挑战,而应在个人信息处理的具体场景中进行动态的风险控制,变僵化的合规遵循为灵活的风险管理,促进个人信息的合理使用,重点规制个人信息的不合理使用行为。场景与风险导向的理念能够显著提升个人信息保护的有效性,减轻企业不必要的合规负担,是协调隐私保护与数据价值开发的必由之路。
(一)区分敏感信息和非敏感信息,建立信息的分类保护制度
2012年第十一届全国人民代表大会常务委员会第三十次会议审议通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》,为加强公民个人信息保护、维护网络信息安全提供了法律依据。为配合《决定》的落实,《信息安全技术公共及商用服务信息系统个人信息保护指南》作为我国首个个人信息保护国家标准,也已于2013年2月1日起正式发布实施,其最显著的特点是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。
(二)完善数据泄露的通知制度,把用户纳入通知范围
个人信息泄漏特别是个人敏感信息泄漏会给企业造成巨大的经济损失,给相关个人带来精神及名誉伤害。美国FBI曾调查显示,个人敏感信息泄漏事件的平均损失高达16.7万美元,美国司法部将数据提高到150万美元。一家曾发生过数据泄漏事件的美国保险公司表示,其在一次数据泄漏事件中的总损失高达410万美元,平均每条记录损失15美元。
我国某第三方机构对国内100家购物类平台隐私条款进行了测评,结果显示只有10家达到合格标准。测评结果显示,购物平台最普遍缺失的条款为“给予用户退订或拒绝商业信息的权利,提供有效途径及操作指引”。购物平台出于向用户推销促销活动和商业广告等商业信息的需要,往往会搜集用户的个人信息和购买习惯,而用户则很难找到退订途径。此外,用户很难得知平台搜集个人信息之后的使用目的、用途和使用范围。
(三)加强数据库之间的信息共享
目前,国内征信数据库包括国家金融信用信息基础数据库、地方政府建立的公共服务平台数据、互联网企业建立的基于网络行为的数据库、P2P公司通过线上采集和线下团队调查搭建的数据库等,但是不同类型数据库大都是相互割裂的,分别面向不同的信息服务对象。同时,同类型数据库之间也是相互割裂的,一方面不同职能部门、不同地区缺乏信息公开、共享和应用的具体制度和规范,信息的条块分割、区域分割和部门垄断现象较为严重;另一方面互联网金融企业间的数据库由于涉及企业的核心竞争力,在没有建立起相应的利益激励机制之前,大多是不愿意共享的。
此外,还应当考虑逐步引入被遗忘权;鼓励产业界逐渐赋予用户数据的可携权;明确通过技术标准和安全保障措施,贯彻信息设计的保护机制;按照开放、有序、安全的原则,确立数据跨境移动的规则,加强国际之间的认证和协作,以开放的态度解决数据利用和安全问题。
参考文献:
郭瑜著:《个人数据保护法研究》,北京大学出版社2012年版,第278页。
朱玲:《金融创新背景下的金融服务法学2014年度中国金融服务法学研究动态与综述》,《金融服务法评论》(第7卷)第474页。
單磊:《大数据时代的个人信息保护悖论与法律挑战》,《互联网金融法律评论》
范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期,第100页。
邓舒仁:《关于互联网征信发展与监管的思考》,《征信》2015年第1期,第15页。