个人征信信息主体权益保护国际经验及启示

来源:用户上传      作者:刘妍

　　[摘要]近年来，随着个人征信的广泛运用，征信信息安全防控形势面临严峻挑战。做好新时代征信信息安全管理工作，切实维护信息主体合法权益，已成为当前形势下迫切需要解决的问题。文章梳理了我国目前个人征信信息主体权益保护的现状，对欧盟《一般数据保护条例》中的个人征信信息主体保护进行了分析，总结了我国在这方面存在的问题，并参照欧盟经验，提出了相关建议。
　　[关键词]个人信息安全;权益保护;国际经验;个人征信信息主体
　　[DOI]1013939/jcnkizgsc201928042
　　1引言
　　近年来，随着个人征信的广泛应用以及大数据、云计算等数字技术的迅猛发展，相关的维权投诉事件明显增多，信息泄露风险不断蔓延，征信信息安全防控形势面临严峻挑战。在全世界范围内，个人信息主体权益保护越来越受到金融监管当局的重视。2018年4月，中国人民银行下发了《中国人民银行关于进一步加强征信信息安全管理的通知》（银发〔2018〕102號）（下称102号文），旗帜鲜明地将个人信息安全和信息主体权益保护的管控要求提到了全新高度。在当前形势下，如何做好新时代征信信息安全管理工作，切实保护信息主体合法权益，已成为迫切需要解决的问题。文章将通过对欧盟《一般数据保护条例》相关做法的分析，对比我国现状，借鉴国际先进经验，提出我国个人征信信息主体权益保护的相关政策建议。
　　2目前我国个人征信信息主体权益保护主要概况
　　21我国个人征信信息主体权益保护法规制度
　　我国《征信业管理条例》赋予了信息主体知情权、异议权和救济权等权益，对信息提供者、信息使用者及征信机构的义务和责任做了相关规定。为切实防范征信信息泄露风险，中国人民银行作为国务院征信业监督管理部门，还先后印发《中国人民银行关于加强征信合规管理工作的通知》（银发〔2016〕300号）以及102号文等，在金融信用信息基础数据库运行机构、接入机构和人民银行分支机构建立起较为全面的征信信息安全防控机制。
　　22我国个人征信信息主体权益保护监管现状
　　近年来，中国人民银行采取了多种措施加强征信领域的个人信息保护，运用现场检查和非现场监管手段规范各类征信参与主体行为。数据显示，2017年，各级人行检查接入机构17670个，处罚3147个机构和919名个人，金额达20604万元，同比增长1312%，现场检查的广度、深度、强度都明显提升。
　　尽管中国人民银行等各级监管部门在征信信息保护方面采取了很多措施，取得了一定成效，但是当前我国个人征信信息主体权益保护形势不容乐观。与此同时，经济全球化及对外开放也使得征信监管工作在新时代面临新考验，因此必须尽快抓紧学习国际先进的信息保护理念和监管规则，不断提高征信信息安全管理水平。
　　3我国个人征信信息主体权益保护存在问题
　　31基础立法缺失， 系统性法制建设较为滞后
　　我国缺乏个人征信信息主体权益保护方面的专门立法，《民法通则》《消费者权益保护法》《征信业管理条例》等只对个人信息保护做了原则性的规定。目前对个人金融信息进行保护的文件依据只有《个人征信信息主体基础数据库管理暂行办法》（中国人民银行令〔2005〕第3号）以及102号文等，但这些文件只属于部门规章和规范性文件，不属于广义法律范畴。
　　32监管职责不明确，缺乏清晰的职责范围和协调机制
　　目前我国对个人金融信息的保护缺少集中统一的监管法规及框架体系。在《中国人民银行法》等法规中没有对个人金融信息保护的监督管理部门做出统一规定。中国人民银行及行业监管机构各自为政、各司其职，各监管部门行使监管、检查和处罚的法律依据不充分，由此形成监管缺位、职责不清、效率不高等问题。尤其是互联网金融中的个人征信信息保护工作目前仍处于多头管理或者监管真空的状态。
　　33基层央行信用信息安全保护难度加大
　　征信业务涉及部门多、监管难度大，征信信息安全管理工作涉及机构层级多、业务链条长，同时，随着机构接入数量不断增多，查询用户数和查询量明显增大，异常查询数量和异议处理数量也不断增加，给基层央行带来很大压力。以南京市为例，截至2018年年末，南京市个人征信系统累计接入65家机构，2018年个人信用报告查询总量为7787万笔，同比增加5%。信用报告的应用范围广、可查询部门多、查询量快速增长使得个人征信信息主体泄密的风险日渐升高，增加了监管难度。
　　4欧盟个人征信信息主体权益保护的相关经验
　　1995年，欧盟颁布实施了《关于个人信息处理保护及个人信息自由传输的指令》（以下简称“95指令”）。2016年4月，欧盟议会通过《一般数据保护条例》（GDPR）。至2018年5月25日， GDPR正式实施。该条例制定的主要思路是保护个人数据信息和促进数据自由流动并重，其核心内容主要体现在以下三点。
　　41强化数据主体权力，延伸保护范围
　　GDPR给予数据主体的权利主要包括七项，具体为：数据收集时的知情权、个人数据处理情况的查询权、错误个人数据的更正权、删除权（被遗忘权）、限制处理权（反对权）、可携带权、退出权。GDPR对数据主体权力的强化主要体现在：一是通过强化企业的义务使个人能够更好地行使知情权、访问权、反对权等“95指令”已规定的权利。二是赋予了“95指令”之外更多的个体权利。三是将受保护的个人信息范围大大延伸。
　　42提升立法层级，加大处罚力度
　　GDPR统一了欧盟对个人信息保护的监管，从而确保了“一个欧洲一部数据保护法”。GDPR对各国数据监管机构的检查权、执法权、处罚权以及司法诉讼权进行了明确界定。GDPR明显加大了处罚力度：对一般性违法，处以最高1000万欧元或相当于上年全球营业收入总额2%的罚款，两者取最高一项;对违法行为较恶劣的，施加最高2000万欧元或相当于上年全球营业收入总额4%的罚款，两者取最高一项。 　　43增强监管力度，拓展管辖范围
　　在属地管辖的基础上兼采属人管辖，凡在欧盟境内设立的企业或有向欧盟境内个人提供视频或服务的，都将受到GDPR的管辖。在明确赋予用户权利、大幅强化企业责任之外，这一条例还规范了监管安排机制。在欧盟层面，增设欧洲数据保护理事会作为数据监管的最高权力机构，确保GDPR在各个成员国的统一适用;在欧盟成员国层面，提出了“一站式”监管，明确了各成员国的管辖权及监管规则，极大地提高了监管效率，降低了企业的监管成本。
　　5完善我国个人征信信息主体权益保护的政策建议
　　51完善系统性法律体系建设
　　进一步完善顶层设计，借鉴西方发达国家的法律保护经验，在行政法规、部门规章、规范性文件和行业标准构成的多层次征信法规制度体系上，在保障信息主体权益和征信信息安全的前提下，推动个人征信信息主体保护立法，在制度层面为征信体系的发展提供保障。
　　52兼顾保护与应用的平衡设计信息保护条款
　　数据确权是保障个人隐私和促进数字经济健康发展的法律基础。建议借鉴欧盟个人数据保护立法经验，在大数据、云计算等快速发展的技术背景下，对《征信业管理条例》数据主体的赋权进行重新修订和完善。兼顾个人数据权力保障与促进数字经济健康发展之间的平衡，合理合法應用信用信息，推进信用信息为社会和行业服务。
　　53明确个人征信信息主体权益保护监管机构
　　参考GDPR 中欧盟数据安全保护委员会的顶层设计，对信息监管职能进行统一规划，专设个人征信信息主体权益保护监管机构，统一协调管理信息保护方面的事项，对信息主体给予司法救济。
　　参考文献：
　　[1]陈雨露个人信息保护与征信业发展[J].中国金融，2017（11）.
　　[2]万存知个人信息保护和个人征信监管[J].中国金融，2017（11）.
　　[3]中国人民银行杭州中心支行课题组个人征信信息主体权益保护问题研究[J].征信，2018（4）.
　　[4]王达，伍旭川欧盟《一般数据保护条例》的主要内容及对我国的启示[J]. 金融与经济，2018（4）.
　　[5]郑钧，高鼎新欧盟GDPR及其对金融业的影响[J].中国金融，2018（12）.
　　[6]吕进中我国个人征信信息主体权益保护立法路径探讨[J].中国征信，2018（3）.

转载注明来源:https://www.xzbu.com/2/view-15060614.htm