《征信理論與實(shí)務(wù)》課件第六章 信息主體權(quán)益保護(hù)

1、本章知識結(jié)構(gòu)圖信息主體權(quán)益保護(hù)6.1 主要經(jīng)濟(jì)發(fā)達(dá)國家信息主體隱私權(quán)保護(hù)相關(guān)規(guī)定6.3 征信機(jī)構(gòu)信息系統(tǒng)安全及內(nèi)控機(jī)制6.2 我國信息主體隱私權(quán)保護(hù)相關(guān)規(guī)定 6.1 主要發(fā)達(dá)經(jīng)濟(jì)國家信息主體隱私權(quán)保護(hù)相關(guān)規(guī)定征信數(shù)據(jù)采集限制與保護(hù)征信報(bào)告對外使用限制征信機(jī)構(gòu)的侵權(quán)責(zé)任與免責(zé)征信數(shù)據(jù)采集限制與保護(hù)信用信息的分類征信數(shù)據(jù)采集中被征信人的權(quán)利個(gè)人信用數(shù)據(jù)保護(hù)的立法模式信用信息的分類企業(yè)信用信息與個(gè)人信用信息一般信用信息與敏感信用信息正面信用信息與負(fù)面信用信息企業(yè)信用信息企業(yè)基本信息企業(yè)信用記錄信息企業(yè)經(jīng)營管理方面的信息個(gè)人信用信息個(gè)人基本信息信用信息消費(fèi)者信息的查詢記錄一般信用信息與敏感信用信息一般

2、信用信息與敏感信用信息是從一般信息與敏感信息的分類中推演出來的。一般信息與敏感信息在個(gè)人信息領(lǐng)域表現(xiàn)為一般個(gè)人信息和敏感個(gè)人信息，而在企業(yè)信用信息領(lǐng)域則表現(xiàn)為一般信用信息和作為商業(yè)秘密的信用信息。立法中對法定的敏感信息數(shù)據(jù)類型的確認(rèn)，因國家的不同而有所不同。正面信用信息與負(fù)面信用信息信用信息可以分為正面信息與負(fù)面信息。正面信息就是能使信用主體獲得信賴與積極評價(jià)的一切信息，負(fù)面信息則是與信用主體信用相關(guān)的非正面信息。對于負(fù)面信息的征集，各國法律均持肯定態(tài)度，但是對于正面信息的征集則各國態(tài)度不盡一致。征信數(shù)據(jù)采集中被征信人的權(quán)利 同意權(quán)知悉與異議權(quán)個(gè)人信用數(shù)據(jù)保護(hù)的立法模式美國個(gè)人信息保護(hù)立法模式

3、分析 美國對個(gè)人信用數(shù)據(jù)收集、使用和保護(hù)等方面，平衡考慮了征信業(yè)發(fā)展和個(gè)人權(quán)利保護(hù)兩個(gè)方面的因素。他們立法既為個(gè)人征信機(jī)構(gòu)的合理生存和經(jīng)營保留了適當(dāng)?shù)目臻g，也全面考慮了保護(hù)消費(fèi)者個(gè)人人權(quán)方面的需要。美國法律對個(gè)人信用數(shù)據(jù)的平衡保護(hù)個(gè)人征信機(jī)構(gòu)收集信用數(shù)據(jù)的法定許可個(gè)人征信機(jī)構(gòu)必須履行的法定義務(wù)信用數(shù)據(jù)主體的權(quán)利對個(gè)人信用數(shù)據(jù)保護(hù)的責(zé)任方式歐盟（及歐洲主要國家）個(gè)人信息保護(hù)立法模式 歐盟是個(gè)人信息保護(hù)立法的模范和先驅(qū)。歐盟國家最先關(guān)注信息通訊技術(shù)對社會的影響問題，并導(dǎo)致歐盟于1995年制定了歐盟個(gè)人數(shù)據(jù)保護(hù)指令（1998年10月開始生效）。歐盟指令價(jià)值傾向明顯，覆蓋范圍廣泛，規(guī)制程度深，執(zhí)行機(jī)制

4、健全。歐洲理事會協(xié)定規(guī)定的個(gè)人數(shù)據(jù)保護(hù)基本原則數(shù)據(jù)質(zhì)量數(shù)據(jù)的特殊類型數(shù)據(jù)安全對數(shù)據(jù)主體的保護(hù)例外與限制賠償責(zé)任擴(kuò)大的保護(hù)歐洲各國個(gè)人信用信息保護(hù)法規(guī)德國信息保護(hù)法規(guī) 作為大陸法系的代表，德國在個(gè)人信息立法保護(hù)上始終堅(jiān)守統(tǒng)一立法模式。1990年12月公布的資料處理與資料保護(hù)繼續(xù)發(fā)展法（簡稱1990年德國資料法），其鮮明特征是：擯棄了美國隱私權(quán)的立法理念，轉(zhuǎn)而確立人格權(quán)的基礎(chǔ)性法律地位。 該法第1條規(guī)定:“本法之目的在于保護(hù)個(gè)人免于因個(gè)人資料的傳輸造成人格權(quán)的侵害”，從而走上了在立法理念上與美國分道揚(yáng)鑣的道路。英國信息保護(hù)法規(guī) 英國的個(gè)人數(shù)據(jù)保護(hù)制度主要由四大部分組成;法典、判例法、民間實(shí)踐和執(zhí)法

5、機(jī)構(gòu)。由于受歐盟數(shù)據(jù)保護(hù)立法和理論研究的影響，作為普通法國家的英國在個(gè)人數(shù)據(jù)保護(hù)法律方面顯示出明顯的大陸法系的特征。日本個(gè)人信息保護(hù)立法模式分析 隨著2005年4月個(gè)人信息保護(hù)法的全面實(shí)施，意味著日本構(gòu)筑了一個(gè)相對完整的以個(gè)人信息保護(hù)法為基本法，各部門單行法為補(bǔ)充的法律體系:除作為基本法的個(gè)人信息保護(hù)法外，對國家機(jī)關(guān)、地方公共團(tuán)體、行政機(jī)關(guān)、獨(dú)立行政法人等還分別制定了不同的法律和法規(guī)。 日本的個(gè)人信息保護(hù)立法外形上類似歐盟立法模式，但在實(shí)質(zhì)上更多地采納了美國立法的許多做法，非常值得我國在制定個(gè)人信息保護(hù)法時(shí)予以借鑒。征信報(bào)告對外使用限制征信數(shù)據(jù)的使用方式個(gè)人信用數(shù)據(jù)使用限制個(gè)人信用數(shù)據(jù)使用期限

6、規(guī)定征信數(shù)據(jù)的使用方式個(gè)人信用報(bào)告?zhèn)€人信用評分個(gè)人信用數(shù)據(jù)市場營銷個(gè)人信用數(shù)據(jù)使用限制由于個(gè)人信用信息涉及個(gè)人隱私，因此各國法律對信用信息的使用范圍多做出了明確的限制。個(gè)人信用數(shù)據(jù)使用期限規(guī)定歐盟指令對時(shí)限做了原則性規(guī)定，要求保留數(shù)據(jù)的時(shí)間符合采集數(shù)據(jù)的目的美國法律規(guī)定，正面信息保留10年，負(fù)面信息則采?。浩飘a(chǎn)記錄保留超過10年、任何民事訴訟、民事判決、被捕記錄、繳納欠稅滯納金記錄、被追收或被沖銷壞賬負(fù)面記錄只能保留7年除墨西哥外，拉美國家規(guī)定信用報(bào)告所含信用記錄職能保留短短的幾年時(shí)間，特別是當(dāng)債務(wù)償還后。美國的公平信用報(bào)告法規(guī)范了個(gè)人信用數(shù)據(jù)使用和傳播的范圍。個(gè)人征信機(jī)構(gòu)向機(jī)構(gòu)提供個(gè)人信用信

7、息報(bào)告應(yīng)事先通告該當(dāng)事人，無權(quán)將未經(jīng)授權(quán)的個(gè)人信用數(shù)據(jù)其他機(jī)構(gòu)或個(gè)人提供。歐洲國家比美國要求的嚴(yán)格，歐盟指令要求為了保護(hù)公共利益情況下，或者在獲準(zhǔn)被征信人同意的條件下才能使用信息。征信機(jī)構(gòu)的侵權(quán)責(zé)任與免責(zé)征信機(jī)構(gòu)的侵權(quán) 在對信用數(shù)據(jù)進(jìn)行采集、處理和使用過程中，征信機(jī)構(gòu)、信用數(shù)據(jù)提供人或征信產(chǎn)品使用人采取不正當(dāng)?shù)姆绞竭M(jìn)行處理，就可能造成信用數(shù)據(jù)主體個(gè)人隱私、信用、人格尊嚴(yán)受損，其中以征信機(jī)構(gòu)的侵權(quán)行為最為嚴(yán)重。侵權(quán)行為（1）超出業(yè)務(wù)上必需的范圍或者收集目的而收集被征信人信息的行為；（2）須同意而未獲同意就收集信息的行為；（3）以違法或不正當(dāng)?shù)氖侄问占畔⒌男袨?，虛?gòu)、篡改被征信人信息，或者擅自錄

8、入禁止錄入信息的行為；（4）不履行法定義務(wù)，無正當(dāng)理由而拒絕被征信人查詢、更改、刪除請求的行為；（5）對有法定保留期限并超過法定期限的信息記錄尚未永久刪除的行為；（6）提供錯(cuò)誤、過時(shí)、不完整信息的行為；（7）泄露商業(yè)秘密、個(gè)人隱私的行為；（8）丟失被征信人信息資料的行為；（9）須經(jīng)本人同意而未獲同意即向他人提供信息的行為；（10）向法定范圍以外的單位或個(gè)人提供信息的行為。刑事責(zé)任采集信息時(shí)，征信機(jī)構(gòu)應(yīng)當(dāng)說明自己的身份、征信信息的目的等。各國法律都禁止征信機(jī)構(gòu)采取欺騙、竊取、賄賂、利誘、脅迫、利用計(jì)算機(jī)網(wǎng)絡(luò)侵?jǐn)_或者不正當(dāng)?shù)姆绞绞占庞眯畔?；禁止商業(yè)組織以商務(wù)調(diào)查的方法取得他人的信息；禁止以私人訪

9、問的方式取得對信息主體不利的信用信息，以有效保護(hù)信息主體的個(gè)人隱私權(quán)。民事責(zé)任征信機(jī)構(gòu)主觀上存在過錯(cuò)征信機(jī)構(gòu)客觀方面存在違法行為被征信個(gè)人受到損害國外征信機(jī)構(gòu)免責(zé)立法征信機(jī)構(gòu)每天都要處理海量數(shù)據(jù)，在這一過程中，數(shù)據(jù)錯(cuò)誤在所難免，并且，原始數(shù)據(jù)及其修改權(quán)限都在上報(bào)數(shù)據(jù)的機(jī)構(gòu)，自動(dòng)化的數(shù)據(jù)采集、整合機(jī)制識別不了錯(cuò)誤數(shù)據(jù)。如果一旦發(fā)現(xiàn)錯(cuò)誤數(shù)據(jù)就認(rèn)定征信機(jī)構(gòu)存在過錯(cuò)，甚至要求承擔(dān)法律責(zé)任，顯然有失公允的，必然會阻礙征信業(yè)的發(fā)展，影響到授信業(yè)務(wù)的開展，最終會對金融體系的穩(wěn)定造成損害。因此，各國立法都對征信機(jī)構(gòu)數(shù)據(jù)錯(cuò)誤規(guī)定了一定的免責(zé)條款。各國免責(zé)的立法情況分類直接規(guī)定征信機(jī)構(gòu)免責(zé)的立法情況遵循“合理程序

10、原則”即可免責(zé)的立法情況6.2 我國信息主體隱私權(quán)保護(hù)相關(guān)規(guī)定個(gè)人信用征信系統(tǒng)隱私權(quán)保護(hù)的法律現(xiàn)狀個(gè)人信用數(shù)據(jù)使用限制個(gè)人信用征信系統(tǒng)中隱私權(quán)保護(hù)的法律現(xiàn)狀我國現(xiàn)行法律體系關(guān)于個(gè)人信用征信過程中隱私權(quán)保護(hù)的法律法規(guī)呈零散的狀態(tài)。我國的憲法及民事基本法領(lǐng)域中對公民隱私權(quán)并沒有明確的規(guī)定，對公民的隱私權(quán)采取了間接保護(hù)的方式。相比之下我國的信用征信地方法規(guī)發(fā)展較早，上海、深圳等地均頒布過“個(gè)人信用信息征信管理的相關(guān)試行辦法”，但這些試行辦法在隱私權(quán)的保護(hù)上還存在有一定的不足。個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法規(guī)定地方性法規(guī)規(guī)定征信業(yè)管理?xiàng)l例相關(guān)規(guī)定個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法該暫行辦法是我國第

11、一部規(guī)范個(gè)人信用信息采集和使用的規(guī)章。規(guī)定了對個(gè)人信用信息進(jìn)行保密的原則，對我國各商業(yè)銀行和征信中心的內(nèi)部風(fēng)險(xiǎn)控制和具體的操作規(guī)程都提出了嚴(yán)格的要求。明確個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫采集信用信息的范圍，采集信息應(yīng)當(dāng)采取的方式，系統(tǒng)數(shù)據(jù)庫的使用用途、個(gè)人如何取得本人信用報(bào)告和異議處理的規(guī)定；還規(guī)定了征信中心和商業(yè)銀行具有保障的義務(wù)和責(zé)任，要求對個(gè)人信用信息準(zhǔn)確性、時(shí)效性和安全性負(fù)責(zé)。個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫除了從制度方面制定措施保證信用信息的安全以外，還在技術(shù)層面采取多重措施來保障個(gè)人信息的安全。地方性法規(guī)2003 年 12 月出臺的上海市個(gè)人征信管理試行辦法參考了美國公平信用報(bào)告法的規(guī)定。主要內(nèi)容界定

12、了個(gè)人信用信息的范圍對信息采集方式進(jìn)行了限定規(guī)定了披露的原則對征信機(jī)構(gòu)明確了過錯(cuò)責(zé)任征信業(yè)管理?xiàng)l例我國征信業(yè)管理?xiàng)l例2013年3月15日起施行，第13條規(guī)定，“采集個(gè)人信息應(yīng)當(dāng)經(jīng)信息主體本人同意，未經(jīng)本人同意不得采集。但是，依照法律、行政法規(guī)規(guī)定公開的信息除外。企業(yè)的董事、監(jiān)事、高級管理人員與其履行職務(wù)相關(guān)的信息，不作為個(gè)人信息。”第14條，“禁止征信機(jī)構(gòu)采集個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息。征信機(jī)構(gòu)不得采集個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息。但是，征信機(jī)構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并

13、取得其書面同意的除外。”第15條，“信息提供者向征信機(jī)構(gòu)提供個(gè)人不良信息，應(yīng)當(dāng)事先告知信息主體本人。但是，依照法律、行政法規(guī)規(guī)定公開的不良信息除外?！眰€(gè)人信用數(shù)據(jù)使用限制征信業(yè)管理?xiàng)l例第20條規(guī)定，信息使用者應(yīng)當(dāng)按照與個(gè)人信息主體約定的用途使用個(gè)人信息，不得用作約定以外的用途，不得未經(jīng)個(gè)人信息主體同意向第三方提供。個(gè)人數(shù)據(jù)使用的法律法規(guī)被征信人同意的原則關(guān)聯(lián)原則公務(wù)機(jī)關(guān)獲得強(qiáng)制性許可原則個(gè)人信用數(shù)據(jù)使用期限規(guī)定我國2013年征信業(yè)管理?xiàng)l例第十六條規(guī)定：征信機(jī)構(gòu)對個(gè)人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應(yīng)當(dāng)予以刪除。在不良信息保存期限內(nèi)，信息主體可以對不良信息做出

14、說明，征信機(jī)構(gòu)應(yīng)當(dāng)予以記載。6.3 征信機(jī)構(gòu)信息系統(tǒng)安全及內(nèi)控機(jī)制征信機(jī)構(gòu)信息系統(tǒng)安全等級征信機(jī)構(gòu)內(nèi)控機(jī)制征信系統(tǒng)的數(shù)據(jù)安全管理網(wǎng)絡(luò)訪問控制強(qiáng)身份認(rèn)證數(shù)據(jù)通訊機(jī)密性數(shù)據(jù)存貯機(jī)密性征信系統(tǒng)安全等級征信機(jī)構(gòu)管理辦法明確要求設(shè)立個(gè)人征信機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)中央行批準(zhǔn)，且信用信息系統(tǒng)應(yīng)當(dāng)符合國家信息安全保護(hù)等級二級或二級以上標(biāo)準(zhǔn)。根據(jù)我國信息安全等級保護(hù)管理辦法第二章，等級劃分與保護(hù)規(guī)定：第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。對于第二級國家的監(jiān)督管理要求為： 第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)

15、進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。征信機(jī)構(gòu)內(nèi)控機(jī)制內(nèi)控機(jī)制建設(shè)就是一個(gè)組織為了實(shí)現(xiàn)既定目標(biāo)，防范和減少風(fēng)險(xiǎn)的發(fā)生，由全體成員的共同參與，對內(nèi)部業(yè)務(wù)流程進(jìn)行全過程的介入和監(jiān)控，采取權(quán)力分解、相互制衡手段，制定出完備的制度保證的過程。征信機(jī)構(gòu)是征信體系建設(shè)的核心機(jī)構(gòu)，在信用體系的建設(shè)中承擔(dān)重要的職責(zé)，其客觀公正的評估有賴于內(nèi)部有效的管理機(jī)制。我國征信機(jī)構(gòu)內(nèi)控機(jī)制的相關(guān)規(guī)定征信業(yè)管理?xiàng)l例相關(guān)規(guī)定 2013年3月15日開始實(shí)施的征信業(yè)管理?xiàng)l例第六條規(guī)定，設(shè)立經(jīng)營個(gè)人征信業(yè)務(wù)的征信機(jī)構(gòu)，應(yīng)當(dāng)符合中華人民共和國公司法規(guī)定的公司設(shè)立條件和下列條件，并經(jīng)國務(wù)院征信業(yè)監(jiān)督

16、管理部門批準(zhǔn)。1.主要股東信譽(yù)良好，最近3年無重大違法違規(guī)記錄2.注冊資本不少于人民幣5000萬元；3.有符合國務(wù)院征信業(yè)監(jiān)督管理部門規(guī)定的保障信息安全的設(shè)施、設(shè)備和制度、措施；4.擬任董事、監(jiān)事和高級管理人員符合本條例第八條規(guī)定的任職條件；5.國務(wù)院征信業(yè)監(jiān)督管理部門規(guī)定的其他審慎性條件。第八條規(guī)定，經(jīng)營個(gè)人征信業(yè)務(wù)的征信機(jī)構(gòu)的董事、監(jiān)事和高級管理人員，應(yīng)當(dāng)熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī)，具有履行職責(zé)所需的征信業(yè)從業(yè)經(jīng)驗(yàn)和管理能力，最近3年無重大違法違規(guī)記錄,并取得國務(wù)院征信業(yè)監(jiān)督管理部門核準(zhǔn)的任職資格。征信機(jī)構(gòu)管理?xiàng)l例 2013年12月20日起實(shí)施的征信機(jī)構(gòu)管理?xiàng)l例第六條規(guī)定，設(shè)立個(gè)人征信機(jī)

17、構(gòu)，除應(yīng)當(dāng)符合征信業(yè)管理?xiàng)l例第六條規(guī)定外，還應(yīng)當(dāng)具備以下條件： 1.有健全的組織機(jī)構(gòu)； 2.有完善的業(yè)務(wù)操作、信息安全管理、合規(guī)性管理等內(nèi)控制度； 3.個(gè)人信用信息系統(tǒng)符合國家信息安全保護(hù)等級二級或二級以上標(biāo)準(zhǔn)。西方國際征信機(jī)構(gòu)內(nèi)控機(jī)制征信機(jī)構(gòu)運(yùn)營模式可以大致劃分為兩種類型：以美、英為代表的市場主導(dǎo)型和歐洲大陸大多數(shù)國家所采納的政府主導(dǎo)型，其內(nèi)控機(jī)制和管理模式則呈現(xiàn)不同的特點(diǎn)。美國征信機(jī)構(gòu)的市場化的內(nèi)控模式美國征信機(jī)構(gòu)組織模式，是獨(dú)立于政府之外的第三方私營機(jī)構(gòu)，將個(gè)人信息進(jìn)行收集、加工后，有償提供給信息需求者，并且依據(jù)市場的需求來完善自己的經(jīng)營與管理模式，提升運(yùn)營效率。美國征信機(jī)構(gòu)組織模式的特

18、點(diǎn)征信機(jī)構(gòu)私有化獨(dú)立性強(qiáng)市場化原則運(yùn)作征信機(jī)構(gòu)伴隨著信用交易的市場需求產(chǎn)生而產(chǎn)生，隨著市場信用交易規(guī)模的發(fā)展而發(fā)展。其公司機(jī)制為公司制形式，以營利為目的，以股東利益最大化為前提，股東出資比例決定公司投票權(quán)比例，一切決策按照商業(yè)化目的進(jìn)行，服務(wù)的范圍不受限制。 美國征信機(jī)構(gòu)市場化的運(yùn)作機(jī)制，政府并沒有對其具體的內(nèi)控機(jī)制進(jìn)行明確的法律規(guī)定。政府主導(dǎo)型德國為代表的公共征信模式又稱為政府主導(dǎo)的征信模式，即主要是依靠政府的力量建立征信機(jī)構(gòu)，政府通過行政手段強(qiáng)制要求個(gè)人或企業(yè)向征信機(jī)構(gòu)提供其信用信息或數(shù)據(jù)，從而建立個(gè)人信用信息數(shù)據(jù)庫，并通過法律形式保障信息或數(shù)據(jù)的真實(shí)性。政府主導(dǎo)的征信模式的特點(diǎn)A、具有一定的強(qiáng)制性。通過法律與決議的形式保證個(gè)人信用信息的可得性與真實(shí)性。B、公私征信機(jī)構(gòu)并存。公共與私營征信機(jī)構(gòu)并立，且互為補(bǔ)充。C、壟斷與競爭并存。既有公共征信機(jī)構(gòu)對個(gè)人基本信用信息的壟斷，又有私營機(jī)構(gòu)間的競爭。 政府為主導(dǎo)的征信機(jī)構(gòu)征信模式，雖然體現(xiàn)政府對于征信機(jī)構(gòu)數(shù)據(jù)的來源和分享有一定的強(qiáng)制性，但是對征信機(jī)構(gòu)的日常運(yùn)行管理，則干預(yù)較少。小結(jié)個(gè)人信用信息數(shù)據(jù)大部分屬于個(gè)人隱私，無論是企業(yè)信用信息還是個(gè)人信用信息都