征信业管理条例范文
时间:2023-11-17 20:58:02
征信业管理条例篇1
【关键词】《征信业管理条例》 基层央行 征信监管 商业银行
《征信业管理条例》(以下简称《条例》)的正式颁布实施,标志着我国征信业发展走上法制轨道。《条例》明确了中国人民银行及其派出机构对征信业和金融信用信息基础数据库运行机构的监管职责,同时也对基层人民银行征信管理工作提出了新的要求。本文从湖南省贯彻落实《条例》的实践出发,总结成效,分析问题,并提出了《条例》实施后加强商业银行征信监管的建议。
一、贯彻落实《条例》的主要做法和成效
(一)深入开展《条例》专项宣传,增强社会公众信用意识
2013年3月15日至6月14日,中国人民银行长沙中心支行立足湖南实际,组织开展了内容丰富、形式多样的宣传活动,形成了地方政府大力支持、金融机构全面参与、新闻媒体跟踪报道的多方联动的宣传态势,营造了“学《条例》、讲诚信、守信用”的良好氛围。辖内各级人民银行牵头组织宣传队深入社区、村镇、企业、学校上门宣传,在广场、商圈、车站等人流密集区设置宣传展板和咨询台,并联合电视、广播、报刊、网络等媒体全面普及征信法规宣传;各银行业金融机构不仅在营业网点悬挂横幅、张贴海报、播放电子标语、发放折页,还通过在单位网站信息、发送短信等方式,向客户宣传征信知识。据不完全统计,活动期间,全省累计举办宣传活动1000余次,张贴标语、海报12万余份,发放折页30万余份,媒体报道300余次,宣传受众近200万人次,有效提升了社会公众对《条例》的理解和认同。
(二)层层组织《条例》学习培训,提升征信从业人员业务水平
一是邀请征信管理局专家为全省征信从业人员及高校师生讲授《条例》培训第一课,7000余人通过电视电话会议系统参加学习,为后续培训的开展打下坚实基础。二是抽调人民银行征信业务骨干组成再培训队伍,在连续两个月时间内,对全省48家接入机构以及有关政府部门、部分小贷和担保公司、高校师生、企业人员进行培训,并部署各银行业金融机构开展系统内再培训,累计举办培训362场次,参训人员达2万余人次,覆盖全省所有征信从业人员;三是在“6.14”信用记录关爱日,举办全省银行业金融机构《条例》知识竞赛,以自问自答、限时计分的形式,全面检验29家机构征信从业人员对《条例》的掌握程度,并通过电视电话会议系统在全省同步展示,观众近2万人,取得了以赛代训,事半功倍的良好效果。
(三)全面开展《条例》贯彻自查,指导金融机构逐项落实到位
根据人民银行总行统一部署,2013年7月至10月,长沙中支组织指导辖内银行业金融机构和金融信用信息基础数据库运行机构对本单位征信业务及相关活动进行了全面自查。自查内容包括个人信息采集、信息提供、信息查询、信息使用、取得同意方式、异议处理和内控制度7个方面,主要发现个人信息采集书面同意、提供个人不良信息事先告知、格式合同条款的提示和说明、内部征信管理制度等4方面存在不符合《条例》规定的问题。同时,督促各单位认真制定整改方案,完善内控制度、梳理业务流程和改造系统,逐项落实《条例》及相关征信制度要求,目前除不良信息告知外,各项问题均已整改到位。
二、《条例》落实过程中发现的问题分析
2013年4季度,在各接入机构对《条例》进行全面自查的基础上,长沙中支组织在全省范围开展了以商业银行为主要对象的专项执法检查,促进了征信相关业务的规范运行,与此同时,检查也反映出基层央行履行征信监管职责时存在的一些薄弱环节。
(一)商业银行征信业务存在的主要问题
在《条例》实施后,商业银行对征信管理的认识普遍有所增强,但仍存在“重应用,轻管理”的现象。一是征信管理制度不完善。部分商业银行分支机构尚未建立贷后管理查询内部授权制度和查询管理程序,也未在系统用户变动后及时向征信管理部门报备。二是系统用户管理不规范。一些基层网点业务量大、人员调动频繁,存在管理员用户、查询用户兼任和多人使用同一查询用户的现象;有的查询用户虽已调离征信岗位,但未及时停用。三是查询流程不严密。主要表现授权日期在查询日期之后,贷后管理查询无内部审批授权,查询原因与实际业务不符等。四是违规查询个人信用报告。例如,无授权查询借款人配偶或企业法人、出资人的个人信用报告,查询授权书要素填写不全,一次授权多次查询等。五是存在向持无效贷款卡企业放款和自然人做担保未办理贷款卡等问题。
(二)基层央行征信监管面临的主要问题
1.征信法规体系不完善。《条例》对于征信监管的相关规定比较原则,现实工作中的操作性还有待加强。同时,《条例》相关配套制度还不完备,而现有的《个人信用信息基础数据库管理暂行办法》和《银行信贷登记咨询管理办法(试行)》的部分内容已难以适应当前征信监管需求,如对规范查询授权的理解、查询原因错误的违规认定均界限模糊,操作难度较大,企业征信系统数据质量监管制度内容没有细化,难以进行有效管理。
2.征信监管手段有待改进。此次检查历时2个多月,全省共计组织71个检查组,对12家银行业金融机构的114家分支机构进行了现场检查,但受检查人员、时间、工作安排等条件影响,检查覆盖面仍较为有限,难以实现对征信相关业务的动态化管理。特别是因缺乏非现场监管和数据分析的手段,基层央行无法直接提取商业银行数据统计、查询明细等情况,只能依赖日常办理征信业务的统计数据和运用Excel等软件进行简单批量对比,难以针对性地开展数据核查和校对,影响了监管效率。
3.征信监管队伍建设有待加强。一方面,基层央行征信人员配置不足,当前市州中支尚无对应的征信部门编制,平均征信人员不超过3人,同时还需兼任信用体系建设、评级管理、征信宣传、金融稳定等工作,县支行业务股更是对口金融稳定、调查统计等多个部门,在人员紧张的情况下,缺乏时间和精力开展针对性征信监管。另一方面,实施高效、严谨的征信监管对执法人员的综合素质有较高要求,需要熟练掌握征信、法律、会计、计算机等业务知识,而目前基层央行征信队伍的人员结构和教育背景较为复杂,普遍缺乏针对性的专业技能教育培训,执法水平有待提升。
三、《条例》实施后加强商业银行征信监管的建议
(一)加快完善征信监管法律法规
一是对照《条例》的相关要求,完善现有征信规章制度,研究制定《企业信用信息数据库管理暂行办法》,使其适应企业征信系统规范运行的需要,修订和完善现有《个人信用信息基础数据库管理暂行办法》,对信用信息采集、查询使用、异议处理、安全管理及违规处罚做出明确规定,提高基层央行征信监管的规范化和程序化水平。二是尽快出台《条例》的相关配套制度,如数据核查与监测、异议处理、侵权责任追究等制度和措施,加强基层人民银行对数据质量和信息保护的检查监管力度。
(二)创新、优化征信监管手段和方法
一是建立征信业务情况定期报告制度,要求商业银行对影响征信工作的重大事项,如业务系统升级、制度变化、安全管理等进行报备,及时掌握其征信相关业务运行情况,加强业务指导和管理。二是优化非现场监管手段,研发征信监管信息子系统,向基层人民银行适当下放辖内异常查询监测、数据实时批量比对等权限,提升其非现场监管能力。三是实施有效重点监管,将现场检查和非现场监督相结合,根据非现场监测中发现的征信制度执行不严、业务不规范情况,确定重点检查的对象和业务范围,提升征信检查的针对性和实效性。
(三)加强征信监管队伍建设
一是加强征信人员综合业务培训,培育一批既熟练掌握征信业务操作流程,又熟悉行政执法流程和相关法律法规的复合型征信专业人才,切实提升征信执法水平。二是建立和完善人才培养机制,搭建人才交流平台,通过交叉检查、联合调研、人员交流等方式,促进征信队伍中各类人才的合理、有效利用,为征信人才成长提供制度保障。三是加强征信人员的廉政教育和法制教育,打造一支“团结进取、素质过硬、风清气正”的征信监管队伍,树立人民银行征信人员的良好形象。
参考文献
[1]王煜.全面提高征信管理与服务水平[J].中国金融,2013,(6):42-44.
[2]魏大鹏.《征信业管理条例》视角下基层央行有效监管问题探讨[J].征信,2013,(11):50-52.
[3]杨云光.征信管理工作进入制度与体系全面推进的时代[J].时代金融,2013,(3):108-109.
征信业管理条例篇2
一、加强理论学习,自觉践行科学发展观
加强理论学习,是确保征信管理工作朝着正确方向前进的指向明灯,是提高工作效率,实现工作目标的根本保证。在工作中,我时刻关注理论发展的新动向,以先进理论指导具体工作。在总行学习实践科学发展观的讨论会上,精心准备,总结交流心得体会,得到领导肯定。结合征信立法工作,加强调研,在调研中深入实践和落实科学发展观。机关党委将本人撰写提交的“学习实践科学发展观,开创征信管理新局面系列调研”之《征信立法研究报告》作为人民银行学习实践科学发展观调研报告推荐给中央国家工委。
二、积极参与制定《征信管理条例》,已获行长办公会专题讨论原则通过
积极推动出台《征信管理条例》,一直是近年来总行征信管理局的重点工作之一。经过前几年的探索和积淀,征信立法的条件正越来越成熟。根据国务院法制办2008年1月向国务院上报的《关于社会信用体系法制建设专项工作的工作安排》,总行于年内向国务院法制办上报《征信管理条例(送审稿)》。总行领导运筹帷幄,果断决策,全局上下协同作战,殚精竭虑,《条例》的立法工作正稳步加快推进,现已取得重大进展。
本人全程参与了《条例》的制定。先后参与了对地方信用立法、信用服务市场及社会信用体系建设等情况的调研,直接执笔或参与撰写了相关调研报告;多次对征信的概念内涵、行业发展模式、业务种类、业务管理方式、许可条件等问题进行了较系统和深入的探讨;根据国务院新“三定”方案对人民银行征信管理职责的调整,对2002年上报国务院的《征信管理条例(代拟稿)》及近几年来形成的数个条例草稿进行了认真研究;多次参加了征信管理局、条法司以及国务院法制办等部门组织的征信立法专题讨论会及内部改稿会;积极听取和学习了有关专家、学者对《条例》制定中诸如征信的概念和边界、征信管理的出发点、征信立法亟待解决的问题以及征信管理的手段、方式等诸多重要议题的意见和建议;较准确地领悟和贯彻落实了总行领导的有关指示精神,所提意见较好的被《条例》采纳吸收。12月5日,《征信管理条例》已经行长办公会专题讨论并原则通过
。
三、根据立法工作需要,着力就相关重点征信法律制度进行专题研究
一是开展了地方信用立法的调查。为理清征信体系建设与地方信用体系建设的关系,参与完成了《地方征信立法的分析与评价》研究报告;二是对我国征信业发展模式进行了探索性研究。撰写了《论我国征信发展模式——以征信产品的公共属性为视角》,得到局领导好评;三是为摸清各类征信机构的市场定位、经营状况和发展中存在的问题,研究设计促进征信服务市场发展的制度措施,完成了《关于我国征信市场发展状况的报告》,签报苏宁副行长,并送条法司、人事司阅;四是通过国际金融公司了解国际数据跨境流动与保护问题的做法,组织重点出口企业和相关商业银行召开座谈会,就征信数据跨境流动的必要性和可能性进行了研究,并结合美国、欧盟处理征信数据跨境流动的经验,完成了《欧美数据跨境流动比较研究》。《关于我国征信市场发展状况的报告》和《欧美数据跨境流动比较研究》两篇成果入选征信管理局即将出版的《征信管理专题研究报告》和《世界版图下的征信业——十五个国家和地区征信法律制度比较研究》两部书稿,目前两部书稿已交金融出版社审稿;五是借鉴国外征信立法经验,采它山之石以攻玉,在处领导的直接指导和亲切关心下,组建了国外征信理论与实务研究小组,完成了《美国平等信用机会法研究与启示》,被《参阅件》采用。
四、积极关注征信系统运行中出现的新问题和新情况,根据领导指示,提出完善建议
xxxx年以来,根据局、处领导的指示,本人密切关注征信系统和征信市场管理中出现的新问题、新情况,就商业银行合规使用信用信息、个人异议受理及处理情况、征信诉讼等问题进行了调查研究;密切跟踪有关有关诉讼案件,向有关分支行提出了妥善处理诉讼案件的建设性意见;直接与当事人积极友好地沟通,宣传有关政策,化解纠纷,妥善处理了公民来信和投诉事件;根据苏行长对征信中心《关于个人征信系统异议处理流程及解决其中存在问题的请示》的批示,研提了意见和建议签报苏行长;为尽快建立涉及人民银行分支行征信管理部门、征信中心和商业银行关于异议处理、投诉、诉讼情况的报告制度,完成了《中国人民银行关于建立个人征信异议处理、投诉和诉讼案例报告制度的通知》的签报,近期即将以行发文。
五、其他工作
一是日常公文办理。本年度较高质量地办理
办结签报、会签文件、请示件、通知、公民来信等各类公文数十件,提高了公文处理水平;二是认真办理全国人大和政协委员提出的与征信管理工作有关的议案、提案和建议;三是着手研究《条例》出台后的释义和有关配套制度建设。如制定《征信机构管理暂行办法》,对不同类型的征信机构明确准入及监管措施,健全市场退出机制,又如按照征信分类监管的原则,借鉴国际经验,制定一系列征信机构业务操作规范及指引,规范征信机构经营行为,再如制定征信活动异议处理规程,明确征信投诉、举报处理程序,切实保护信息主体的合法权益等;四是多次参加征信管理有关的培训班和研讨会,提高了征信管理理论水平和工作能力。
六、一点感想
征信业管理条例篇3
第二条本省行政区域内企业信用信息的提供、收集、评估和披露等公开活动,适用本条例。法律、法规另有规定的,从其规定。
本条例所称企业信用信息,是指在企业经济活动和社会活动中形成的能用于了解、分析、判断企业信用状况的信息。
本条例所称企业,是指经过工商注册登记的从事生产经营和服务活动的各类经济组织。
第三条企业信用信息公开活动应当遵循客观、公正、准确、及时的原则,依法维护企业合法权益,保护国家秘密、商业秘密和个人隐私。
第四条县级以上人民政府应当加强对企业信用信息公开活动的领导。
各级人民政府行政主管部门应当在各自职权范围内开展企业信用信息公开活动。
各级人民政府信息化行政主管部门负责企业信用信息公开活动的政策指导、协调和监管。
国家税务、海关、检验检疫、证券、银行、保险、电力、电信、邮政等驻粤管理机构依法开展企业信用信息公开活动。
第五条鼓励企业向社会公众、征信机构公开自身信用信息。
企业应当建立内部信用管理制度,加强内部信用管理,防范企业信用风险。
第六条各级人民政府行政主管部门以及依法授权或者委托行使行政管理职能的组织(以下简称行政机关)依法履行职责过程中产生、收集的企业信用信息,应当予以公开:
(一)企业的基本登记事项;
(二)对企业和企业经营者实施行政许可的情况;
(三)确认企业资质、企业经营者资格的情况,对企业的产品、服务、管理体系的认证情况;
(四)对企业的重要设备、设施、产品、物品进行专项或者周期性检验、检疫、监测的结果;
(五)征收税收、社会保险费,收取行政事业性费用情况;
(六)企业担保的登记情况;
(七)依照法律、法规、规章规定或者经省人民政府批准,对企业进行考核、评比、评优、达标、升级、排序、表彰等情况;
(八)对企业和企业经营者给予行政处罚的情况;
(九)行政、司法机关依法对企业的财物采取查封、扣押、冻结等强制措施的情况;
(十)企业拖欠、逃匿员工工资的情况;
(十一)企业发生的重大质量、安全生产事故责任追究的情况;
(十二)对企业和企业经营者的其他违法行为的查处情况,对企业实施执法监督检查的有关情况和处理结果;
(十三)其他应予以公开的企业信用信息。
第七条省、市人民政府可以授权事业单位负责处理有关行政机关的企业信用信息公开事务。
省、市人民政府授权的负责处理有关行政机关的企业信用信息公开的事业单位(以下简称授权信用公开单位)不得对外开展企业信用评估业务。
第八条行政机关应当推行电子政务,通过信息网络等方式实现行政机关企业信用信息共享,并及时向社会公开,方便公民、法人和其他组织获取企业信用信息。
行政机关、授权信用公开单位应当按照法律、法规、规章的规定使用企业信用信息,不得滥用,不得违法限制企业经营活动。
第九条公民、法人或者其他组织可以通过信息网络,也可以书面向有关行政机关或者授权信用公开单位,查询本条例第六条规定的企业信用信息。
查询本企业信用信息的,行政机关或者授权信用公开单位可以提供本条例第六条规定以外的本企业信用信息。
行政机关或者授权信用公开单位能够当场提供的,应当场提供;不能当场提供的,应在受理之日起十五日内提供。
第十条公民、法人或者其他组织申请复制企业信用信息的,行政机关和授权信用公开单位可以收取成本费用。收费标准由省人民政府价格行政主管部门核准。
第十一条依法设立、从事企业信用信息收集、评估和披露等公开活动的企业(以下简称征信机构)实行市场化运作、政府监管和行业自律。
征信机构依法成立、变更后,应在三十日内向当地信息化行政主管部门备案。
信息化行政主管部门应当依法向社会公开有关备案信息。
第十二条征信机构开展企业信用信息公开活动应当独立、客观、公正和审慎,确保征信产品的准确性,不得编造、篡改企业信用信息,不得损害企业合法权益,不得妨碍社会公共利益和安全。
征信机构应当通过合法途径收集企业信用信息,不得以骗取、窃取、胁迫或者其他不正当手段收集企业信用信息。
征信机构与被征信企业存在资产关联或者其他利害关系,可能影响征信活动公正性的,征信机构不得提供有关该企业信用状况的征信产品。
第十三条鼓励公民、法人和其他组织在项目合作、商业投资、商务采购、经营决策等活动中使用征信产品,查验对方的信用状况。
第*条征信机构发生征信系统重大运行故障或者事故、信用信息严重泄漏以及其他重大情况,应立即做出处理并向当地信息化行政主管部门报告。
第十五条公民、法人或者其他组织认为行政机关或者授权信用公开单位和征信机构提供或者披露的企业信用信息有错误的,可提出异议申请,并提供相关依据,行政机关、授权信用公开单位和征信机构应当在十五日内进行核实,分别作出以下处理,并将处理结果书面告知异议申请人:
(一)发现确有错误的,应当立即更正;
(二)查证后确实无误的,维持原有信息;
(三)难以查证的,对该信息不予公开。
第十六条公民、法人或者其他组织认为行政机关、授权信用公开单位或者征信机构的企业信用信息公开活动,侵犯其合法权益或者存在其他违法行为的,可向信息化行政主管部门投诉或者举报。
信息化行政主管部门应当自收到投诉或者举报之日起五个工作日内决定是否受理,并自受理投诉或者举报之日起三十日内做出处理和答复。
第十七条行政机关、授权信用公开单位提供的企业信用信息,以及征信机构提供的征信产品仅作为判断企业信用状况的参考。
第十八条行政机关、授权信用公开单位违反本条例第九条第三款、第十五条规定的,由有关主管部门责令改正;情节严重的,对直接负责的主管人员和其他直接责任人员依法给予处分。
信息化行政主管部门违反本条例第十六条第二款规定的,由有关主管部门责令改正;情节严重的,对直接负责的主管人员和其他直接责任人员依法给予处分。
行政机关及其工作人员违法行使企业信用信息公开职权,侵犯公民、法人或其他组织的合法权益造成损害的,依法承担国家赔偿责任。
第十九条征信机构及其工作人员违法本条例第十一条第二款、第十二条、第*条、第十五条规定的,由信息化行政主管部门责令改正,处以一万元以上三万元以下的罚款。
征信机构及其工作人员侵犯公民、法人或其他组织的合法权益造成损害的,依法予以赔偿。
第二十条本条例自年月日起实施。
第十七条行政机关、授权信用公开单位提供的企业信用信息,以及征信机构提供的征信产品仅作为判断企业信用状况的参考。
第十八条行政机关、授权信用公开单位违反本条例第九条第三款、第十五条规定的,由有关主管部门责令改正;情节严重的,对直接负责的主管人员和其他直接责任人员依法给予处分。
信息化行政主管部门违反本条例第十六条第二款规定的,由有关主管部门责令改正;情节严重的,对直接负责的主管人员和其他直接责任人员依法给予处分。
行政机关及其工作人员违法行使企业信用信息公开职权,侵犯公民、法人或其他组织的合法权益造成损害的,依法承担国家赔偿责任。
征信业管理条例篇4
关键词:金融;征信;信用信息;征信投诉;信息安全与隐私保护;征信市场监管;征信体系建设
研究背景与概念界定
(一)研究背景
截至2016年5月末,人民银行征信中心运营的金融信用信息基础数据库分别收录8.9亿自然人和2152万户企事业经济组织的信用信息,年日均查询信用报告分别达231万次和24万次。征信体系建设的快速发展和信用报告的广泛使用对提升社会公众信用意识、推动全社会信用体系建设发挥了积极作用。与其相对,由于我国社会信用制度建设特别是征信法制建设的严重滞后,近年来,非法采集、加工、披露、使用社会主体信用信息,侵犯征信信息主体合法权益的案例层出不穷,作为征信业监管部门的人民银行及其分支机构受理的投诉案件也相应增多。由于绝大部分投诉事项给信息主体带来的损失多是升学、就业、升职等机会利益,一旦错过时机将很难弥补,社会公众对征信监管机构公正高效解决投诉的期盼日益增强。但现实情况是,受认识不统一、投诉制度不健全、操作性不强、投诉渠道不畅通、责任追究机制不完善等因素制约,再加上信息主体特别是个人信息主体在征信活动中处于相对弱势地位,容易获得舆论关注。在征信信息主体投诉案件的处理中,征信监管部门面临的压力和难度日益加大。放眼国际,征信业发展相对规范的国家或地区在保护信息主体隐私权方面均有自己成熟的做法。当信息控制者违法侵犯信息主体合法权益时,信息主体有权向征信监管部门投诉并要求其做出处理。世界主要国家的实践给我们设计符合我国实际的征信信息主体投诉机制提供了可供借鉴的经验。理论和现实均表明建立健全征信信息主体投诉机制对保护社会主体隐私权、促进征信业健康发展具有重要意义。建设征信信息主体投诉机制不能就事论事,而应以现实为基础进行深入系统研究。本文将对国内外征信信息主体投诉制度进行研究,在分析我国征信信息主体投诉制度建设存在的问题的基础上,对建立健全我国征信信息主体投诉机制提出对策建议。
(二)征信信息主体投诉概念界定
所谓投诉,从广义上可理解为举报、控诉或反映意见,要求相关机构或组织给个说法。按照我国法律有关投诉的规定,狭义的投诉是指权益被侵害者对涉案组织侵犯其合法权益的违法犯罪事实,有权向有关国家机关主张自身权利。狭义的投诉与行政法学界关于投诉性质与法律后果的研究更相吻合。与此相应,征信信息主体投诉也有广义和狭义之分。广义的征信信息主体投诉是指信息主体认为征信过程中相关各方的工作态度、程序、方式方法等不当或违规而向有权部门反映情况,提出意见建议或请求,由受理投诉部门协调处理的行为。狭义的征信投诉则指征信活动中,信息主体认为信息控制者侵犯其合法权益而向征信监管机构投诉并要求其处理的行为。广义的征信信息主体投诉更类似于社会监督活动,投诉受理部门依其权限可以自己做出处理决定或是移送其他有权处理部门。狭义的征信信息主体投诉是信息主体提起的行政救济行为,需要征信监管部门做出相应的确认或裁决。考虑到《征信业管理条例》等关于征信信息主体投诉的相关规定与狭义征信信息主体投诉的内涵更吻合,因此,我们将以狭义的征信信息主体投诉为基础进行论述。
一、国内外征信信息主体投诉制度概况
(一)国内情况
我国关于征信信息主体投诉的相关制度在《条例》、《征信投诉办理规程》(下称《规程》)、《征信业务管理办法(征求意见稿)》(下称《办法》)中均有规定。
1.《条例》的内容。《条例》在信息主体异议与投诉一章中规定:“信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉。受理投诉的机构应当及时进行核查和处理,自受理之日起30日内书面答复投诉人。”①《条例》规定的征信投诉具有以下特点:(1)投诉提起人是认为权利遭受侵害的信息主体;(2)被投诉者为征信机构、信息提供者及信息使用者;(3)投诉内容是认为被投诉者的不法或不当行为侵害其合法权益,需要进行救济;(4)投诉受理机构为人民银行及其分支机构。
2.《规程》的内容。为规范各级人民银行办理征信投诉工作,维护信息主体合法权益,人民银行以行发文的形式出台了《规程》。主要内容包括:(1)明确了投诉的提起对象为信息主体,受理机构为所在地人民银行;(2)征信投诉办理遵循的原则;(3)投诉以本人提起为原则,以委托为例外;以当面为原则,以“传真、书信、电子邮件”为例外;(4)投诉申请需提交的资料;(5)投诉受理与登记,包括投诉人基本情况、投诉事项、具体诉求、提交的证据材料等;(6)受理处理期限,不予受理的情形以及告知事项;(7)投诉取证与核查的方式、内容及程序;(8)投诉处理决定的做出及异议处理,投诉的日常管理与监督等。
3.《办法》的内容。关于征信投诉的规定,《办法》除在投诉的提起原因里增加了“信息主体对信息提供者、征信机构异议处理不满”以及要求“信息提供者、信息使用者、征信机构应当按照中国人民银行及其分支机构要求一并提交书面报告”等规定外,其他内容基本是对《条例》的重申。需要特别说明的是,由于《办法》尚在征求意见阶段,其文件性质、具体内容都有待观察。
(二)世界主要国家和地区征信信息主体投诉制度建设情况
由于法律传统、经济水平、监管理念等方面的差异,世界各国在征信监管法律制度设计方面呈现出两种不同的模式。但无论采取哪种模式,征信业发展相对规范成熟的国家或地区在保护信息主体隐私权方面的做法较统一。在此我们仅对每一模式中有代表性的国家(地区)、国际组织的制度进行分析:
1.美国倡导的效力优先模式。该模式倾向于推动信息有效供给和流动自由,其信用立法遵循效率优先原则,对业务的限制性规定较少,监管以行业自律为主,以此减少信息过度保护给行业发展和经济运行带来的负面影响。在信息主体隐私权保护方面以特别法的形式建立了全面的法制体系,以防止信息主体的信息在商业领域过度使用,并积极平衡信息主体权利与社会公共利益间的矛盾。根据美国《公平信用交易法》,信息主体发现个人信息被用于非法律许可目的时,有权向联邦贸易委员会投诉,为确保投诉顺利进行,该法还从程序和实体两个方面赋予其调查与强制执行的权利。同时,该法规定,联邦贸易委员会在处理信息主体投诉过程中,如果被投诉人确认有违法行为的,可以通过具结书、和解、行政诉讼或司法程序等形式对侵害信息主体合法权益的行为予以纠正。在民事赔偿方面,该法在区分过错原因的基础上建立了系统的民事责任体系。对因过失违反该法规定造成的损害,征信机构的赔偿范围包括侵权行为造成的实际损害、诉讼费及律师费;故意违反该法的,除承担上述赔偿责任外,还应向被侵害人支付惩罚性损害赔偿金;对提供错误信用报告有故意甚至是恶意目的,侵犯被侵权人名誉或隐私的,权利人有权提出最高1万美元的精神损害赔偿。该模式的另一代表国家英国根据其颁布的《消费信用法》成立了信息委员会,当征信机构未按规定给予信息主体应当享有的权利时,信息主体有权向信息委员会投诉,信息委员会有权检查征信机构对该信息主体信用报告中的信息记录情况。
2.欧盟倡导的隐私保护型模式。该模式特别重视信息主体隐私权保护,强调信息保护的国家作用,对征信信息采集、处理、披露等流程均制定了严格的合规性标准。1995年出台的《数据保护指令》要求各成员国应设立一个或多个公共机构负责监督该法在本国境内的实施,负责审理在数据处理中就个人权利和自由保护等提出的投诉、咨询。该机构的权力包括:(1)调查权,即为监管目的进入数据库获取数据流动操作的内容以及收集信息的权力;(2)干预权,在个人数据传输操作前应该提供适当的意见,颁布数据流动、消除或销毁信息的禁令,将违反指令或本国规定的行为提交司法部门提起法律诉讼等。2016年4月,欧洲议会通过的《通用数据保护条例》(简称《条例》)从保护公民基本权利的理念出发,要求在欧盟境内设立的符合法定条件的征信机构应设立数据保护官履行征信信息主体权益保护职责。同时明确规定,对违反《条例》规定侵犯数据主体合法权利的行为处以2千万欧元或企业上一年度全球营业收入的4%罚金并实行就高原则。这大幅提高了个人数据保护标准,增加了征信机构对数据商业价值开发的合规成本。按照《联邦数据保护法》的规定,德国政府设立了联邦数据保护专员负责处理信息主体针对联邦公共征信机构在个人数据收集、处理、使用中的侵权行为提出的申诉。为保证数据保护专员的权威性和独立性,该法还规定数据保护专员受议会监督并提交职责履行情况的工作报告。
二、我国征信信息主体投诉制度存在的问题和不足
(一)对征信信息主体投诉的性质认识不一
理论界关于投诉的性质尚有争论,其实质是行政机关对投诉行为的处理是否有可诉性。与此相应,理论界对征信信息主体投诉性质的界定也有不同主张。有的认为,《条例》第26条在规定信息主体的投诉对象时仅包括征信机构或信息提供者、侵害其合法权益的信息使用者并未将征信监管机构对投诉的处理列入其中。因此,征信信息主体投诉行为实质是行为。有的则提出《条例》关于信息主体投诉权的规定赋予了征信监管机构法定职责,其做出的处理将给信息主体权益带来影响,具有明显行政确认或行政裁决效力。从实务来看,人民银行各分支机构在处理征信信息主体投诉时也有区别。有的将其作为事件予以对待,而有的则将其作为行政裁决允许投诉人、被投诉机构申请复议。
(二)法律规定过于粗略,可操作性不强
《条例》的规定略显粗略和模糊,针对性和操作性不强。比如,在提起投诉时,《条例》仅规定可以向“所在地”国务院征信业监督管理部门提起。从实际看,对“所在地”的理解有申请人所在地、被投诉人所在地之分;对自然人而言所在地有户籍地、居住地、临时居所地之别;如果所投诉的是侵权行为,所在地还包括侵权行为发生地、侵权结果发生地。当上述地址不在同一地时,申请人很难确定向何地监管部门提起投诉,也可能造成监管部门间的相互推诿。又如,投诉如何提起,举证责任如何分配,征信监管部门具体的职责有哪些,核查权如何行使等都没有规定。同时,《规程》对投诉处理中存在的诸如投诉的受理审查形式、投诉的移交、监管部门不作为的责任追究等涉及不多或未予规定,导致各分支机构在处理投诉案件时标准不统一,出现“同案不同判”的现象,从而影响投诉案件处理的公平性。(
三)投诉提起的条件不统一,法律制度脱节
一方面,《办法》关于投诉的提起增加了针对“信息主体对信息提供者、征信机构异议处理不满”的规定。增加这条规定的初衷或许是为了让相关机构重视异议处理,但这可能与条例的本质不符。因为,这会给外界特别是征信活动参与各方一种“征信异议应先经信息提供者或是征信机构处理后才能提出投诉”的错觉,而《条例》并未作此规定。况且,信息主体对信息提供者、征信机构异议处理不满本身就包含了认为其合法权益受到侵犯的含义,已经包括在“有侵犯其合法权益的行为”的规定里,没有必要再进行单独规定。另一方面,《办法》在“侵犯其合法权益行为”前面增加了“在征信业务及其相关活动中”的限制,这相当于将信息主体的投诉对象限定在了征信过程中。与此相对,《条例》并未做出类似限制性规定。从实际情况看,信息提供者、信息使用者、征信机构对信息主体合法权益的侵犯并不会全部发生在征信过程中,《办法》的规定有缩减信息主体投诉权行使范围之嫌。
(四)投诉处理机构的权威性不强
首先,负责处理投诉的各级人民银行并不具有对错误信息的更改权。按照《规程》的规定,被投诉机构对投诉处理决定没有异议的,人民银行只能要求被投诉人在规定期限内进行整改并上报整改报告,对拒不整改的,可依据《条例》给予相应的处罚。错误信息的更正只能依赖信息提供者被动进行,人民银行并不能依职权进行主动更正。对信息主体而言,所投诉事项造成的权益侵害时效性极强,一旦作为信息主体交易方甚至是债权人的信息提供者对其错误信息的修改缺乏主动性、积极性时,错误信息给投诉人带来的损失将很难真正得到弥补,从而导致投诉申请人陷入“赢了官司输了钱”的局面。其次,人民银行在金融信用信息基础数据库运行管理中集“运动员”与“裁判员”于一身,很难保持投诉案件处理的中立性。作为信息主体通过让渡自身信息控制权以满足社会公共利益需求的补偿,理应有一个公正权威的裁判机构来校正征信中信息提供方和信息主体间不平衡的法律关系,这是征信的根本理念之一。但就我国目前的公共征信体系而言,金融信用信息基础数据库由人民银行所属的征信中心负责运营,省及省级以下人民银行分支机构除具有征信管理的职责外,还承担了征信中心的职能。根据《个人信用信息基础数据库管理暂行办法》,各级人民银行在一定范围内履行异议处理的职责。而据统计,目前人民银行受理的征信信息主体投诉案件绝大部分是因对金融信用信息基础数据库记录的信用信息异议处理不满所致。人民银行在金融信用信息基础数据库信息异议处理中既当“运动员”又做“裁判员”,很难公正处理投诉案件,从而影响投诉在保护信息主体权益方面的作用。最后,投诉处理决定的执行力不足。目前,我国征信体系已初步形成了公共征信为主、社会征信为辅的政府主导模式。负责征信业务的机构包括人民银行建设的金融信用信息基础数据库、民营征信机构及各级政府部门建立的信息服务中心。截至目前,在人民银行备案的企业征信机构已有130余家,评级机构100余家,进入业务准备期的个人征信机构8家,从事征信业务的未备案机构以及各级各部门建立运营的信息服务中心则更多。数据来源除银行等金融机构外,还有来自政府部门、行业协会甚至是互联网站的信息,内容除传统信贷信息及其他金融信用信息外,还包括大量的生产生活信息、行政处罚信息甚至是个人社交信息。这不仅给征信监管工作带来挑战,也给信息主体投诉权益维护增加了难度。因此,需要相关法律法规在赋予征信监管机构征信信息投诉案件处理权的同时,更要赋予其投诉案件生效裁决的强制执行力。但现实情况是,除人民银行制定的《规程》这一内部文件对生效的投诉裁决执行有所规定外,其他相关法律法规并未予以明确规定。当投诉事项是由政府部门提供的错误信息所致时,要让各级政府部门依据人民银行内部规定作出的裁决对错误信息予以更正的难度将很大,从而使征信信息主体通过投诉途径更正错误信息的愿望在一定程度上落空。
(五)问责机制不健全
投诉事项一旦为监管机构确认属实并生效后,被投诉人理应承担相应的法律责任,但事实上《条例》关于问责机制的规定仍有不完善之处。
一是法律责任规定不完善。比如,对信息提供者的民事责任仅规定了向金融信用信息基础数据库提供或查询信息违法行为的民事责任,对信息提供者向社会征信机构提供或查询信息侵犯信息主体权益的民事责任未做规定。又如,对信息使用者的法律责任仅规定了未按照与个人信息主体约定用途使用个人信息或者未经个人信息主体同意向第三方提供个人信息情节严重或造成严重后果的情形。除上述情形外,信息使用者侵犯信息主体合法权益的其他违规行为《条例》则没有涉及。再如,信息提供者未事先告知信息主体本人向征信机构、金融信用信息基础数据库提供非依法公开的个人不良信息造成严重后果的,仅规定了行政责任,而没有规定民事责任。
二是罚款数额设定不尽合理,法律的震慑作用有限。科学设定、适当组合行政处罚中罚款数额对增强行政处罚的效力具有积极作用。但《条例》在对各类违法行为均采用了单一的数额罚方式,并未与比例罚等方式结合使用;对罚款限额的设定为最高50万元,与世界其他国家相比,征信市场主体违规成本相对较低。
三是对相关主体法律责任承担顺序未予明确。完整的征信产业链一般由数据生产(提供)者、征信机构、征信信息使用者构成,三方都可能对信息主体合法权益造成侵害。对于信息主体而言,征信业务专业性强,权益受侵害时要精准定位主张权利的对象将很困难。这就需要法律明确相关主体承担责任的顺序或是赋予征信信息主体选择权利主张对象的权利。否则,上述三方可能在责任承担上相互推诿,阻碍征信信息主体权利的实现。
三、完善我国征信信息主体投诉制度的对策建议
(一)明确界定征信信息主体投诉的性质
结合国际经验和我国实际,应将征信监管部门对征信投诉的处理行为界定为行政确认或裁决的具体行政行为。理由是:(1)《条例》规定的投诉需要征信监管部门做出行政确认或裁决。信息主体投诉有广义和狭义两个层面,其中狭义的征信投诉是指在征信过程中,信息主体认为自己合法权益受到损害而提出投诉,这对征信监管部门来说属于依法申请的行政行为。《条例》关于信息主体投诉权的规定明显符合狭义征信投诉的特征,需要征信监管部门通过走访、调查甚至是检查等方式核实相关情况后做出相应的行政确认或裁决,理应归入具体行政行为范畴;(2)有利于更好地维护信息主体权益。按照我国《行政诉讼法》的规定,能提起行政诉讼的前提是所诉行为属于具体行政行为。将征信监管对信息主体投诉的处理界定为行政确认或裁决行为,一旦信息主体对征信监管部门做出的处理不服时,可向法院提讼。这在督促征信监管部门妥善处理投诉的同时也将其纳入法院受案范围,起到了畅通信息主体维权渠道的作用;(3)投诉处理属具体行政行为得到了监管部门认可。根据《规程》,“投诉人、被投诉机构对投诉处理结果持有异议的,可以向做出投诉处理决定的人民银行分支机构上一级机构申请复议”。而结合我国《行政复议法》关于行政复议受案范围的规定可以看出,对信息主体投诉的处理属于具体行政行为得到了征信监管部门的认可。考虑到《规程》仅属人民银行内部规定,为确保投诉权的真正实现,有必要在正式出台的《办法》中予以明确规定。
(二)建立切合实际的投诉管辖制度
对《条例》规定的“所在地”的理解,《规程》虽然做出了“投诉人所在地”、“被投诉机构所在地”的解释,但仍不完善。为此,建议在出台的《办法》等制度中建立投诉受理的选择管辖制度,即信息主体可以选择向投诉人户籍地、居住地、临时住所地、被投诉人所在地甚至是侵权行为发生地、侵权结果发生地所属的人民银行分支机构提起申请。同时,明确信息主体一旦做出选择,在人民银行做出处理决定前,投诉人不得就选择作出变更,防止投诉人多头申请,以节约成本。为防止人民银行分支机构间因管辖不明导致相互推诿,还应建立移交管辖制度。明确规定投诉由被投诉机构所在地人民银行处理,但处理结果的反馈由最初受理的人民银行负责,同时对案件移交的时限、程序、移交双方的权利义务等做出规定。
(三)完善征信信息主体投诉处理的流程
一是以肯定与否定相结合的模式明确投诉提起的条件,杜绝信息主体滥用投诉权。投诉应同时符合下列条件:(1)申请人应与投诉事项有直接利害关系;(2)有明确的被投诉人;(3)有具体的投诉请求和事实及理由;(4)投诉事项属于人民银行征信监管职权。不予受理的情况包括:(1)无明确投诉对象;(2)无具体投诉事项和理由;(3)投诉事项已经人民银行核实并做出了生效决定,无新情况、新理由;(4)投诉事项已经司法机关做出了生效判决。
二是完善征信监管机构在投诉处理中的职权职责。具体包括对投诉事项的走访、核实权;调查询问当事人,查阅、复制与投诉事项有关的文件、资料,查看相关信息系统的权利;通过受理投诉进行行政指导,开展有关征信业务调查和统计等权利。同时负有保守秘密、遵循法定程序、违规应承担法律责任等义务。
三是建立投诉举证责任倒置制度。由被投诉人负责举证证明与投诉事项无因果关系或投诉人有过错或第三人对投诉事项负有过错等,否则即推定其有过错并承担相应的法律责任。
四是建立生效处理决定强制执行制度。规定处理决定一旦生效,相关当事人必须执行,拒不执行的相关当事人应承担相应的法律责任,人民银行也有权申请法院强制执行。
五是建立联动机制。优化人民银行内部投诉管理体系,加强征信与法律事务、消费者权益保护等部门间的协调配合;大力推行投诉网上办理全流程监管,督促各级人行认真做好投诉办理登记反馈工作,提高案件办理透明度;以人民银行为中心,加强与政府职能部门、金融机构、征信机构和信息应用部门的沟通协调,建立上下统一与横向联动相结合的投诉处理机制;加强业务监管,规范业务流程;进一步完善信息采集、整理、保存、加工及对外提供等环节的监督,切实防范征信业务中的违法违规行为。
(四)建立健全责任追究机制
一是对征信机构以及信息提供者、信息使用者所有违反《条例》规定的行为,都应承担相应的法律责任。无论是向公共征信机构还是社会征信机构提供、查询、使用信息,只要信息提供者、信息使用者的行为给信息主体造成侵害,都应承担相应的民事、行政甚至是刑事责任。
二是赋予信息主体适当的精神损害求偿权。由于很多投诉事项给申请人带来的大多是诸如升学、就业、升职等机会利益损失,损失程度难以估量,可考虑在一定范围内赋予信息主体精神损害求偿权,以弥补投诉事项给申请人带来的损失。
三是明确民事责任承担的连带责任或先行赔偿制度。对给征信信息主体造成的损失,如果数据生产(提供)者、征信机构、征信信息使用者不能证明自己对损害发生无过错的,由其对被侵权人承担连带赔偿责任。赋予信息主体权利主张的选择权。鉴于征信业务的专业性和复杂性,当信息主体有证据证明其合法权益受损但无法确定损失是由数据生产(提供)者、征信机构、征信信息使用者哪一方造成时,允许信息主体选择向上述三方中的任何一方求偿,被选定的求偿者应对信息主体履行先行赔偿义务,赔偿完成后可以再向有实际过错的一方索赔。
四是适当提高罚款限额。可以借鉴国内外行政罚款数额设定方式,以数额罚与比例罚相结合的方式,明确违反征信法律法规的市场主体将被处以一定限额或是指定期间内全部收入一定比例的罚款,并在两者间实行就高原则。
五是建立支持制度。针对信息主体通过司法途径向侵权方主张因其违反征信业管理法律法规而遭受损失有困难的情况,可考虑以立法的形式明确消费者权益保护组织、征信监管机构有支持或代表信息主体行使权的义务。
参考文献:
[1]中国人民银行征信管理局.现信学[M].北京:中国金融出版社,2015.
[2]艾茜.个人征信法律制度研究[M].北京:法律出版社,2008.
[3]葛华勇.征信工作实务[M].北京:中国金融出版社,2012.
[4]刘海英,蒲舟军.构建个人信息法律保护制度的思考[J].上海金融.2008(8).
[5]刘瑞晶.对被征信个人信息的规范利用和法律保护对策研究[J].特区经济,2008(5).
[6]肖永红.维护信息主体投诉权若干问题探析[J],征信,2009(2).
[7]王融.欧盟《统一数据保护条例》详解[J].中国征信,2016(7).
[8]中国人民银行征信管理局.现信学[M].北京:中国金融出版社,2015.
征信业管理条例篇5
关键词:个人信用档案管理 法律关系主体 规制
个人信用档案管理的法律关系实则是以个人信用档案为核心在征信机构、个人信用档案主体、信用档案信息提供者、信用档案使用者之间形成的多重法律关系,这种法律关系的内容体现为法律上的权利和义务,因此法律关系主体的权利与义务是立法的重点①。由于目前我国没有个人征信法起草的计划,最有可能尽快出台的全国性征信法规仍是《征信管理条例》。因此,笔者将结合《征信管理条例》(征求意见稿),具体阐述对个人信用档案管理法律关系主体的规制,并对《征信管理条例》(以下简称《条例》)提出改进意见。
一、对个人信用征信机构的规制②
个人信用征信机构,指经有关部门批准成立的,专门从事采集、存储、加工处理信用信息,提供信用档案和其他信用咨询服务的组织。它是独立于信用交易双方的第三方,具有中介性质。
目前,我国现有的法律体系中,对征信机构的管理,以地方政府规章或部门规章为主,尚没有法律位阶较高的专门法对征信机构的从业资格、经营范围进行监管。征信机构设立无序、混乱。笔者认为应从以下方面对征信机构的义务做出规范。
1.尊重个人信用档案主体权利的义务
征信机构应充分保障公民对自己的个人信用档案信息的知情权、异议权。这在《条例》中也有所规定,“第四十条 信息主体认为其信息存在错误、遗漏的,有权向征信机构提出异议,要求更正。征信机构应当按照国务院征信业监督管理部门的规定受理异议申请,并在收到异议申请之日起20个工作日内完成对异议信息的核查和处理,书面答复异议申请人。个人提出异议申请,征信机构未按照前款规定办理的,该信息主体有权以书面方式要求该征信机构一次性删除其全部信息。”但是《条例》中缺少了对征信机构通知、确认等义务的规定,通过立法要求征信机构记录信息主体不良信用信息时,即负面信用信息将被列入‘黑名单’时,征信机构应通知本人,并核实信息的真实性、完整性与准确性。美国信用档案管理中,对于负面信息入库,一般会有2-3次的友情提醒。
2.对个人信用档案信息规范化管理的义务
在个人信用档案信息收集时,首先须有特定的、合法的目的,并且需要依照法律规定的途径和方式进行,不得以欺骗或其他违反法律规定的手段取得他人信息。《条例》中第十五条也体现了“合法收集的原则”,但是却没有对“限制收集”做出明确的规定,应尽快完善。限制收集是指,将需收集的个人信息限制在最小的范围内,尽可能不收集或者收集最少的个人信息,即可收集可不收集的信息,采取不收集的原则。
在个人信用档案使用时应采用限制原则。征信机构利用个人信用档案,应通知个人信用档案主体,并征得个人信用档案主体的同意,法律规定的除外。征信机构还应对信用档案申请使用者的身份、使用目的进行严格的把关,以保证信用档案的使用在法律规定的范围内。这在《条例》中也有所体现。
《条例》第十七条规定,征信机构对所收集的信息应当客观、及时进行整理、保存和加工,不得歪曲、篡改,并应当采取必要、合理的措施以确保信息的及时更新。这正是征信机构保障个人信用档案信息准确性、真实性的义务。信用信息真实、准确是个人信用档案发挥作用的生命线。因此征信机构在收集信用信息时,就应按照法定的程序征集、审查,制定相关的内部操作机制与校对机制,保证信用信息处理前后一致。
《条例》第二十三条规定,征信机构应当建立健全征信信息保密管理制度,建立信息查询内部分级管理制度,在信息收集、整理、保存、加工和使用过程中确保信用信息不被泄露。征信机构的工作人员应严格遵守保密制度,不得擅自查询或越权查询该机构拥有的信息,不得泄露在业务工作中获悉的信息。这对征信机构的安全保护义务起到很好的法律规范作用。
3.保持独立、公正的义务
信用信息对个人关系重大,信用信息的公正性就显得尤其重要。如果征信机构受某种利益的左右,信用档案信息失去了公正、客观性,不仅不能服务于社会,提高经济运行效率;相反还会贻害于人,成为扰乱市场的一个根源。因此,征信机构作为独立于市场交易的第三方,应客观、公正地收集信用信息,提供信用信息服务。不应受到除法律以外的政府、企业或个人的干涉。《条例》中对于这点并没有提出,笔者认为在总则或征信机构的一般规则中应有所体现。
二、对个人信用档案主体的保护
个人信用档案主体,就是指其信用信息被征信机构收集、处理和利用的人,即被征信人。对于个人信用档案主体的称呼,美国使用的是“消费者”,而欧盟使用的则是“数据主体”。一般而言,个人信用档案主体应当为个人(即自然人),而不包括法人或其他组织。
整个信用档案管理流程是围绕个人信用信息展开的,个人信用档案的建立又是以个人信用信息在一定范围内公开为前提的,因此不可避免地会涉及到个人信用档案主体的隐私问题,这也是个人信用档案立法的焦点。《条例》对个人信用档案主体的保护,从“总则”中的基本原则到“分则”中的具体规则都有体现。但是笔者认为《条例》对于个人信用档案主体的保护是不全面的,随着个人权利空间的逐步拓展和权利种类的渐趋细化,与个人信用档案有关的个人权利不仅包括隐私权,还有可能涉及个人的信用权、自由权、姓名权、名誉权等多种人格权。因此应充分明确个人信用档案主体的信息权。
为了有效规避公民信息在经济社会中可能受到的侵犯,我国个人信用档案立法应强调个人信用档案主体享有以下信息权利③:
个人信用信息同意权,是指个人信用档案主体决定其信息是否被该征信机构征收,基于何种目的、以何种方式在什么范围被处理、利用的权利。《条例》也规定除了行政机关、司法机关以及法律、法规授权的具有管理公共事务职能的组织已经依法公开的信息和其他已经公开的信息外,征信机构收集、保存、加工个人信息应当直接取得信息主体的同意。
个人信用信息知情权,是指个人信用档案主体有权知道其信用信息处理情况。个人信息知情权是实现个人信息权其他方面的基础,因为只有个人信用档案主体才会对自身的信息存在高度的敏感性,最容易发现个人信用信息中的错误,能积极主动更改错误信息和已过时信息,从而保证收集和使用信用信息的准确性和完整性。《条例》第三十九条中的“信息主体有权按照国务院征信业监督管理部门的规定向征信机构查询自己的信用档案。信用档案应包括信用信息、信用信息来源和信用信息查询记录”正体现了这一点。
个人信用信息更正权,是指个人信用档案主体发现其信用信息不正确、不完整、未更新,可要求有关征信机构更正、补充的权利。个人信用信息更正权的赋予,既是个人信用信息知情权演绎和发展的必然逻辑,也是实现对个人隐私权保护的有效制度安排。
个人信用信息删除权,是指个人信用档案主体要求征信机构删除其信息的权利。在个人信用档案管理中,对确认为错误的信息,征信机构非法储存、超范围储存、逾期储存个人信用信息的,个人信用档案主体均有权要求予以删除。
应该说《条例》中以上规定对公民的信息更正、删除、保密权的保护是比较完善的,但是对异议处理完毕以后除了书面答复个人信用档案主体外,还应免费提供一份信用档案,以保证个人信用档案主体了解自己的异议处理的最终情况。
个人信用信息救济权,当个人信用档案主体的权利受到侵害时,应获得事后的民事、行政、司法上的补救。《条例》第四十一条规定,信息主体认为征信机构、信用信息提供者和信用信息使用者侵害其合法权益的,可以向国务院征信业监督管理部门投诉。救济制度可以启动个人信用档案主体对征信机构、信用信息提供者、信用档案使用者的监督程序,使我国对个人信用档案主体的保护制度更加完善。
个人信用信息封锁权,是指个人信用档案主体对其信用信息的准确性向征信机构提出异议,在异议未解决期间,个人信用档案主体有权要求征信机构以一定方式暂停信息继续处理和利用。另外,当双方对信用资料的正确性发生争议,征信机构又无充足理由证明的情况下,也必须对该信用信息进行封锁,不能予以提供。这是《条例》中所欠缺的,笔者认为有必要增加。个人信用档案信息的封锁权可以保障异议处理期间,公民的合法权益。
三、对信用档案信息提供者的规制
个人信用档案信息提供者,是指为征信机构提供其掌握的关于公民的信用信息的社会组织或个人,如银行、保险公司,公共服务部门(如水、电、气)等。
信用信息的正确性、及时性、完整性很大程度上依赖信用信息提供者的行为规范,但我国对于信用信息提供者约束的法律条款少之又少。对于征信法律关系中重要的当事人之一,如何对其行为进行规范,明确其法律责任,是一个值得深入探讨的课题。
笔者认为,信用档案信息提供者的义务应包括类似于征信机构义务的方面,因为他们都涉及到信用档案信息的传输环节。要保证信用信息的准确性、完整性和及时性,对信用信息保密,应当告知信息主体该信息特定的提供对象和提供该信息可能产生的不利后果,并取得信息主体的书面同意等。
四、对个人信用档案使用者的规制
个人信用档案使用者,是指利用征信机构为其提供的个人信用档案进行授信、雇佣等活动的个人或机构。当前社会中,信用档案使用者往往也正是个人信用档案信息的提供者,如诸多的商业银行、保险公司。
笔者认为,个人信用档案信息使用者的义务主要应该有④:
一是使用目的限制。个人信用档案信息的使用者,只有在法律允许的范围内或取得个人信用档案主体的授权后才可使用。
二是信用档案信息来源披露义务。信用档案信息使用者根据信用档案信息,做出不提供服务或拒绝交易的决定后,有义务以口头或书面的形式,告知个人信用档案主体关于做出决定的依据或原因,并且提供出具信用档案征信机构的联系方式,还应清楚、全面地告知个人信用档案主体提出异议的权利和途径,这样一方面有利于信息主体及时向征信机构查证征信机构所收集的自身信息的准确性、全面性和及时性,另一方面还可以及时发现和制止某些不法行为,如身份盗窃行为。
《条例》对信用信息使用人也进行了使用限制,并规定了侵害的法律责任。但是对使用范围定位的缺失,不能不说是一种缺憾。笔者认为,应出台相关的法律法规对信用信息披露进行约束,可将个人信用档案信息的披露限制在以下方面:
一是金融机构、保险机构等向公民提供相关业务服务时,调查其信用状况,以判断其支付能力与偿还能力;二是有关政府机构做出行政许可时的调查;三是潜在雇主需要了解个人诚信情况,以便做出是否雇佣的决定;四是个人信用档案主体申请查询本人的信用记录或授权他人使用;五是法律、法规规定可以披露的。
注释:
①吴国干.个人信用征信基本法律关系探略[j]. 湖北社会科学,2008(8):131-134.
②谢静?.关于征信机构的几个法律问题[j]. 社科纵横,2006(7):90-91.
③俞银燕.信用档案管理中的个人信息权及其保护策略[j]. 山西档案,2009(2):39-40.
征信业管理条例篇6
一、实践及成效
(一)以“两综合,两管理”为平台,强化征信监管
为依法履行央行监管职能,人行拉萨中支出台了《自治区银行业金融机构执行人民银行政策情况评价办法(试行)》、《自治区机构开业管理与金融服务工作指引(试行)》等文件,对商业银行开业管理、工作评价、系统接入等作出了规范。在这些制度中,征信管理作为一项重要工作。如在综合评价操作规程中,征信工作权重比例占到了10%,属于权重比例最高的业务之一,增强了商业银行对征信监管重要性的认识。近年来开展了对工、农、建行自治区分行的综合执法检查,征信业务积极参与其中,在对农行区分行的3家分支机构进行执法检查过程中,征信业务依据其违规行为的处罚金额达11万元,是近几年征信检查处罚力度最大的。通过征信执法检查,规范了征信业务,对商业银行实施了有效监管。同时,掌握和了解了商业银行征信业务开展情况,提高了征信干部素质和能力。
(二)以日常监管为抓手,建立联动机制
为建立沟通协调长效机制,人行拉萨中支通过数据核对、召开联席会议等形式加强和商业银行的沟通。一是建立数据核对机制。每年10月向各商业银行发送年审数据核对通知,对年审过程发现的问题要求各商业银行进行核对确认,并下发问题通报和整改要求。按季对征信中心下发的企业数据进行核对,掌握商业银行数据情况,提高商业银行数据质量。二是建立异议处理监督机制。为保障被征信人的异议和纠错等权力,要求各商业银行确定异议处理电话联系人,对需要商业银行核查或确需更改的异议事项进行电话督促,及时掌握处理情况,保护企业和个人的合法权益。三是建立年度征信工作联席会议机制。人行拉萨中支按年度召开由各商业银行分管行领导和征信相关部门负责人参加的征信工作联席会议,通报商业银行在征信工作中存在的问题,提高了商业银行领导对征信工作的重视,形成良好的监管联系机制。
(三)以宣传培训为载体,增强监管效果
提高商业银行征信人员的业务水平是规范征信工作的基础,也是商业银行对存在问题进行彻底整改的保证。拉萨中支结合“信用记录关爱日”、“征信宣传月”等活动,要求各商业银行积极参加,主动、详细地向社会公众宣传解答征信业务知识,强化商业银行业务人员对征信知识的了解和掌握,提高商业银行业务人员信息主体合法权益保护的认识和征信服务意识。同时,针对在现场检查和日常监督中商业银行征信工作中普遍存在的问题,举办商业银行征信业务培训班,提升了商业银行征信工作水平,为实施监管打下了基础。
二、问题和困难
(一)对征信监管认识不足
商业银行对征信监管认识不到位。在以往征信监管中我们发现,部分商业银行片面地认为征信只是人民银行提供的一项金融服务,没有认识到人行的征信职能除提供服务外,最重要的还要履行监管职能,因此其理解和主动配合不够。由于人民银行分支机构征信管理处和征信分中心是两块牌子一套人马,征信监管职能和服务职能没有分离,职能不清晰,存在“重服务、轻监管”的倾向,对商业银行征信监管没有得到应有的重视。
(二)征信制度滞后
由于《征信管理条例》还没有正式出台,征信相关的配套制度没有及时更新完善。目前对商业银行实施监管的依据只有早期制定的两个办法,即企业征信系统对应的《银行信贷登记咨询管理(试行)办法》(银发〔1999〕281号)及个人征信系统对应的《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号)和相关配套制度,在实效和时效上都已不适应当前征信监管的需要,特别是《银行信贷登记咨询系统管理(试行)办法》面临着银行信贷登记咨询系统已于2007年就被联网上线的企业征信系统代替的尴尬局面。两个办法中涉及的检查和处罚条款不但不能适应目前的征信业务,还存在很多空白,导致人民银行在行使征信业务执法检查时依据不够充分,存在一定的法律风险。
(三)监管手段单一
近几年对商业银行的征信监管主要是运用现场检查手段,但现场检查受到检查人员、时间等条件的限制,检查面不广,不能全面了解商业银行的征信业务情况。现场检查对检查人员的要求较高,需要人员既熟悉掌握征信业务及制度,又要掌握一定的法律知识,而现有的征信执法队伍还不成熟,有的地方人员难以达到要求,执法检查不能达到良好效果。另外,目前人民银行分支机构无法在征信系统中直接提取商业银行数据统计、查询明细等情况,非现场监管手段不多。
三、思考及建议
我们认为:加强征信监管关键在于提高对商业银行征信监管必要性和重要性的认识。
(一)要充分认识征信监管是人民银行履行征信管理职能的集中体现
2003年国务院在人民银行“三定”方案中正式赋予人民银行征信管理的职责。2009年和2011年在国务院法制办的两次《征信管理条例》(意见征求稿)中也明确提出:中国人民银行是国务院征信业监督管理部门,负责对征信机构及其业务活动实施监督管理。人民银行作为征信监管部门,通过监管手段规范商业银行征信业务是有效履行职能的需要。
(二)要充分认识征信监管是维护信息主体合法权益的客观需求
征信系统中收集了企业和个人在经济活动中产生的基本信息、信贷信息及税收、公积金、行政处罚、奖励等非银行信息,这些信息涉及企业及个人隐私,需要在信息披露和保护隐私之间保持一种平衡,保证商业银行“有条件”地采集、保存、使用征信数据。此外,在征信数据的采集过程中,不可避免的会出现错误信息,及时纠正错误信息也是维护信息主体合法利益的内容。为了保护企业和个人的合法权益,防止企业及个人信息不被滥用,保障被征信人的知情、异议和纠错等权力,需要人民银行实施征信监管,维护信息主体合法权益。
(三)要充分认识征信监管是信贷征信业健康发展的保障
信贷征信业的主要载体是两大征信系统,而商业银行是征信系统中最大的信息提供方和信息应用方。商业银行通过查询征信系统,核实借款人的信用状况,防范金融风险。同时将信贷信息录入相关数据库,完善征信系统,在大量的征信信息中,银行贷款记录占了90%以上。当前,商业银行在行业自律上有所欠缺,具体表现为:内部制度建设不完善、岗位责任落实不到位、从业人员素质不高、权益保护意识不强。这些现象导致征信系统数据不准、信息主体利益受到侵害,阻碍了征信系统正常功能的发挥,影响信贷征信业的正常发展。因此需要加强对商业银行征信的监管,保证征信系统的公信力,推动信贷征信业的健康发展。
(四)从当前征信工作实际出发,建议采取措施提高对商业银行的征信监管水平
1.完善征信制度。规章制度是对商业银行实施监管的基础,由于征信立法需要一定的时间和程序,即便《条例》出台,也难以在短时间内把征信工作过程中各方面的关系理顺。因此我们要提前考虑,根据实际需要完善相关制度,研究制定企业征信系统的相关管理办法,修改和完善现有的《个人基础数据库管理暂行办法》,对信用信息采集、查询使用、异议处理、安全管理及违规处罚作出明确规定,改善现在对商业银行,提高对商业银行征信管理的规范化和程序化,为正常开展征信监管提供保障。
2.明确检点。由于现有人民银行分支机构征信部门管理和服务职能没有分开,要处理好服务和监督的关系,不能用监管来代替服务。在实施监管特别是现场执法检查中,重点检查商业银行在查询信息时是否取得授权、是否合法合规使用信息、用户设置是否符合安全规定、是否及时回复和处理异议事项等方面,而对于数据报送质量则采用数据核对等方式进行。
3.创新监管手段。构建针对商业银行的“两综合、两管理”监管执法体系,有效履行征信管理职责,搭建良好的工作平台。把现场检查和非现场监督结合起来,减少检查成本,提供工作效率,除了对商业银行进行现场执法检查外,可以通过数据核查、召开征信联席会议、对商业银行征信人员进行考评测试等非现场方式,加强征信管理。灵活运用行政处罚、高级管理人员约见谈话、下发通报等方式建立约束机制,同时在条件允许的情况下对商业银行进行一定的奖励,增强征信监管的效果。
征信业管理条例篇7
世界上第一家征信公司于1830年在英国伦敦成立。20世纪以来,随着市场经济和信用交易的兴起,欧美国家的企业征信、个人征信、资信评级、公共征信等行业发展较快。1932年我国第一家征信公司“中国征信所”组建成立;90年代起随着对外开放程度不断深入,我国征信和资信评级业得到长足发展。
信用服务行业是指加工处理企业、社会资产、个人信息,为客户提供相关信用产品产品和服务的行业,包括企业征信、个人征信、市场调查、资信评级、信用保险、商业保理、商账追收、信用管理咨询和信用担保等业态。国民经济行业分类将信用服务业分在商务服务业,将其定义为专门从事信用信息采集、整理和加工,并提供相关信用产品和信用服务的活动。
2013年出台的《征信业管理条例》规定,征信业包括企业征信、个人征信和金融信用信息基础数据库等,但未对资信评级业进行明确。综合已有资料,按照业务开展情况,信用服务业可分为核心业务和衍生业务,前者指与信用信息处理有关的业务,包括征信业和资信评级业;后者指由信用信息处理衍生而来的信用服务其他业务,如信用保险、信用担保、商业保理、商账追收、信用管理咨询及培训等。鉴于征信、资信评级业是信用服务核心业务,规范管理征信、资信评级业对加强信用服务行业监管具有重要意义,本文主要讨论征信、资信评级业的监管问题。
二、我国征信及资信评级业监管的现状及存在问题
目前我国约有150家征信机构和资信评价机构,2014年业务收入20多亿元,2015年初中国人民银行批准同意8家征信机构开展个人征信业务,标志着我国征信业进入规范、快速发展轨道。
(一)监管现状
目前,征信及资信评级行业监管主要由中国人民银行等部门依据《征信业管理条例》及相关政策文件组织实施。一是按照《征信业管理条例》和《征信机构管理办法》规定,中国人民银行作为企业征信、个人征信业务的监管部门。二是资信评级业方面,2006年中国人民银行《中国人民银行信用评级管理指导意见》,规范信用评级机构在银行间债券市场和信贷市场开展信用评级业务的行为,发改委、保监会、证监会等部门根据本部门业务管理情况对信用评级机构进行监管(发改委负责企业债发行审批、保监会负责保险资金投资债券事项审批、证监会负责证券市场管理等),因此资信评级业由中国人民银行、发改委、保监会、证监会等共同实施监管。各监管部门以业务为导向建立了适合本部门业务实际情况的评级机构认可制度,大公国际、中诚信评级、东方金诚、联合资信、上海新世纪资信等机构拥有所谓“全牌照”业务能力,即可在所有业务中开展资信评级。具体见表。
中国人民银行等部门按照职责分工主要采取以下监管措施:一是明确行业准入制度,依据相关法规制度建立行政许可制度,规定行业准入门槛,规范征信产品和信用评级结果的提供。如按照《征信业管理条例》规定,从事个人征信业务的机构注册资本至少为5000万元,其资格由中国人民银行审批;从事企业征信业务的机构,需到中国人民银行备案;从事企业债发行评级的机构需获得国家发改委的认可备案。二是明确业务管理规则,各信用服务机构依据人民银行、发改委、保监会、证监会等部门制定的具体领域的业务规则开展工作,违反规则要受到惩戒。三是明确违规责任,通过行政法规、部门规章等形式明确从业机构的违规责任,并规定罚则。
(二)存在的主要问题
一是监管边界不清晰。资信评级业在各业务领域都有对应的主管部门。由于监管部门众多,导致对信用评级机构的重复监管或监管缺位,制约行业快速发展。此外,按照规定企业征信机构需要备案,但目前存在部分未备案机构继续开展业务的情况,相关监管不到位。
二是法规制度不健全。人民银行虽已出台信用评级管理指导意见,规定了资信评级业务规则,但由于只是部门规范性文件,约束力不足,无法强制约束其他业务领域。征信业方面,有关业务规则还需完善,需要有关部门出台《征信业管理条例》配套措施。
三是缺乏行业自律组织。还未建立如证券业协会、银行业协会之类的全国性信用服务行业自律组织。部分地方虽已建立信用协会,但此类组织难以承担管理全行业的职能。行业自律组织的缺乏,加大了行政监管部门的管理压力,也导致整个行业缺乏合力,影响行业总体发展。
四是从业人员总体素质有待提高。我国征信、资信评级业处于起步阶段,从业人员数量较少,总体素质亟待提高。近年各省通过信用管理师培训,相关情况有所改善,但由于信用管理从业人员职业资格鉴定只是推荐性要求,并未强制执行,对提高从业人员水平的约束有限。
三、欧美征信及资信评级业监管的主要特点及启示
(一)欧洲
欧洲的征信业主要由政府推动,信用服务市场发展没有美国成熟。主要特点:一是监管部门以央行为主。由于公共信用信息系统由央行主导建设,因此形成以央行为主导的征信、资信评级业监管机制。二是严格保护征信数据。1970年德国颁布了世界上最早的信用数据保护法《黑森州信息法》,1995年欧盟颁布《数据保护指令》,欧盟国家在数据保护与跨境数据流动方面处于世界领先地位。
(二)美国
美国企业征信、个人征信、资信评级业务非常发达,出现邓白氏、标准普尔、穆迪、惠誉等世界性机构。主要特点:一是完善的法规制度体系,共出台了16项法案(原为17项,其中1项被废止)。二是完备的行政监管机构。美国没有专门的信用监管机构,监管职能分散在各个部门,其中银行系统方面主要包括财政部货币监理局、联邦储备系统、联邦存款保险公司;非银行系统方面主要包括联邦贸易委员会、司法部、国家信用联盟管理办公室等。其中,联邦贸易委员会主要负责拟订信用管理提案、监督执行消费者信用保护法律,是最重要的信用监管机构。三是齐全的行业自律组织。全国信用管理协会、消费者数据业务协会、美国收账协会、国际信用协会等行业自律组织为行业监管提供有益补充。
(三)启示
一是监管制度完备。美国、欧洲监管部门将信用法规制度建设放在首要位置,完备的法规制度体系为行业监管提供强大的制度保障。二是信息主体权益保护有力。欧美两地都把保护社会主体权益作为征信及资信评级业监管的核心任务,信息主体权益保护能有效促进信用信息的充分流动,有力培育社会对信用服务的需求。三是监管责任明确。不管是多部门共同监管还是以央行为主导的监管,欧美两地的监管部门职责明晰,各施其职,监管充分有效。
四、规范管理我国征信及资信评级行业的对策建议
(一)建立统一的监管部门
为应对资信评级业监管部门分散等问题,建议统筹协调征信业、资信评级业两个业态的监管,可以考虑赋予中国人民银行监管资信评级业的职责,确立中国人民银行为征信业、资信评级业的唯一监管部门,发改委、保监会、证监会等部门可根据业务需要,与中国人民银行联合出台关于具体领域的评级业务规定。
(二)加强信息主体权益保护
信息主体权益保护是征信业、资信评级业蓬勃发展的生命线。建议中国人民银行等有关部门高度重视信息主体特别是公民个人的权益保护工作,可根据《征信业管理条例》相关规定,进一步出台个人信息权益保护相关业务规则,明确对征信机构和资信评级机构保护信息主体权益的要求,确保业务开展有规则、主体权益有保障。
(三)建立全国性行业协会
加大行业自律力度,组建全国征信业协会和全国资信评级业协会,分别负责协调联络行业内所有企业,制定会员机构及其从业人员行为准则,建立行业信用约束机制和诚信服务承诺公开制度等。
(四)开展从业人员职业能力评定
深化职业技能鉴定制度,扩大信用管理师考试规模,依托全国征信业协会和全国资信评级业协会,组织开展全国信用管理职业技能鉴定考试,以该职业技能考评制度为基础,在全国范围内建立征信业、资信评级业从业人员准入和退出制度。
征信业管理条例篇8
我国个人信息保护的突出问题
很长一段时间以来,我国没有认识到个人信息保护的重要性,直到目前为止,我国还没有制定专门的个人信息保护方面的法律。特别是互联技术飞速发展和广泛应用的今天,个人信息保护程度远未达到欧盟“充分性保护”标准。近年来,我国也在多项法律法规中关注和强化了对个人信息的保护,对个人信息的保护主要体现在与个人信息保护有关的法律法规中设置个人信息保护条款和通过信息控制人的单方承诺或特定行业的自律规范的承诺对个人信息加以自律性质的保护。由于尚未形成完整的个人信息保护的法律体系,对个人信息保护散见于各个部门法中,难以形成有力的保护,缺乏具体、可操作性的规定。
随着移动互联网的普及和智能穿戴等物联网设备的应用,多重来源的个人信息进行比对累积,能够形成完整的个人画像并实现实时追踪,增加了敏感信息暴露的风险。在数据开发价值的驱使下,个人信息的收集日益密集和隐蔽,个人信息的流转、交易形成链条,信息处理主体多元化、信息传播方式层层嵌套,个人信息保护问题也日益凸显。
一是个人信息收集不合规。以某知名互联网小额贷款公司为例,在其产品《用户服务合同》中“您同意并授权服务商收集您的信息包括但不限于”一项里,明确要求客户授权收集用户除传统相关信用记录以外的包括生物特征、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等信息,并在“信息分享”一栏中要求客户同意并授权服务商向某信用管理有限公司等征信机构发送信息。《征信业管理条例》第十四条明确规定“禁止征信机构采集个人的、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”。“征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息”。《中国人民银行金融消费者权益保护实施办法》第二十八条规定“收集个人金融信息时,应当遵循合法、合理、必要原则,按照法律法规要求和业务需要收集个人金融信息,不得收集与业务无关的信息或者采取不正当方式收集信息”。可见,该互联网小额贷款产品涉及征信业务的部分条款明显违背了《征信业管理条例》《中国人民银行金融消费者权益保护实施办法》的相关规定。
二是目的限定原则被不断突破。个人信息比对及二次利用是大数据价值开发的核心,个人信息超出原初目的的利用在大数据环境下已经成为常态,传统目的限定原则被不断突破。此外,以互联网小额信贷产品为例,互联网小额贷款公司扮演的角色更多是中介机构,资金来源则是走银行通道。目前多数使用互联网小额贷款产品的个人未意识到自己正在与小额贷款公司发生业务关系。互联网小贷产品未通过足以引起金融消费者注意的文字、符号、字体等特别标识说明用户是在向小额贷款公司借款。
三是个人对信息的控制权被架空。实际操作中,个人信息收集的隐蔽性、传播的复杂性远远超出了预先告知和用户的理解能力,个人用户除了点击同意外,别无其他选择,用户对个人信息的控制权利实质上被架空。此外,在多方主体责任认定方面,多元主体尤其是第三方信息中介的迅速发展,传统架构中难以寻求有效的适用规定,造成责任界定不清与监管空白。
四是金额展示规则不合理。近期某地发生一起涉及互联网小额贷款产品的相关案例,经调查,目前凡是通过该互联网小贷产品取得个人消费贷款的用户,其相关借贷记录都会报送至个人金融信用信息基础数据库,也即显示在个人信用报告中。某知名互联网小额贷款有限公司表示,目前该公司采取客户历史当月累计最大借款额报送至个人金融信用信息基础数据库。比如,客户程某2016年9月在平台累计借款19笔,金额总计165100元,且该月为程某历史当月累计最大借款额,尽管客户后期按期归还,且借款金额逐月减少,但程某信用报告中始终展示9月份向其发放的165100元个人消费贷款。此外,程某本月应还款和本月实还款分别为171264元和74389元,展示金额与实际业务明显不符。如继续采取客户历史当月累计最大借款额展示在用户人信用报告中,不仅不合理,更重要的是对客户在银行业金融机构办理相关业务将会产生严重不良影响。该公司客服表示,公司已经意识到展示规则存在的问题,正在商议规则改动事宜。
五是个人信息保护流于形式。当前形势下,信息收集者注重信息背后隐藏的巨大财富,而疏于个人信息保护绝非例。在某互联网小额贷款产品服务协议中规定“鉴于技术限制,不能确保用户的全部私人通讯及其他个人信息、资料通过本隐私规则中未列明的途径泄露出去”。中国人民银行金融消费者权益保护实施办法第二十二条明确规定“金融机构的格式合同条款及服务协议文本……不得含有减轻、免除己方责任……”的情形。互联网小额贷款产品公司保护在业务过程中产生的客户隐私信息可以说责无旁贷,而免除由于未知因素导致的客户信息泄露责任易引发道德风险,最终导致客户信息大规模泄露。
欧盟个人信息保护的改革经验
欧盟一贯倡导立法保护个人信息数据
目前,欧盟对互联网环境下个人信息的隐私权保护是世界上最为全面和严格的。欧盟有关个人数据保护历史可以追溯到20世纪90年代。1995年,欧盟通过了《数据保护指令》,为欧盟成员国立法保护个人数据设立了最低标准。2002年7月欧盟《隐私与电子通讯指令》,确定了未来互联网个人数据保护的基本原则,如通信和互联网服务商需要采取适当措施保证通信和互联网服务的安全性,在未征得用户同意的情况下禁止存储和使用用户数据,告知用户数据进一步处理意图和用户有权不同意以保障用户的知情权等。
2009年11月,欧盟通过了《欧洲Cookie指令》,其核心内容是对电子商务中Cookie的使用加以规范和必要的信息披露管理。Cookie是互联网常用的用户跟踪和识别技术。2002年的《隐私与电子通讯指令》要求网站告知用户启用cookie及如何删除或作废Cookie,但绝大多数网站都会把这部分内容放置在用户注册时必须“同意”的用户协议中。《欧洲Cookie指令》则要求网站在用户初始使用时网站必须关闭Cookie的使用,直到用户明确同意启用Cookie时才能开启此功能。《欧洲Cookie指令》是《隐私与电子通讯指令》的重要补充,其强化了用户的知情权,对互联网企业生成、使用和管理以Cookie为核心的用户个人数据提出了完整规范的管控要求,以避免数据滥用或以不够安全的方式操作与存储用户个人数据。
可见,针对时代的需要和技术的发展,欧盟在不同阶段通过了不同的数据保护修正指令。但是这些修正内容还是架构在1995年C布的《数据保护指令》基本框架之上,而“95指令”已经不能适应互联网时代需求的陈旧框架。在这种形势下,致力于重新数据保护新秩序的《一般数据保护条例》应运而生。
欧盟数据保护的核心框架:《一般数据保护条例》2012年1月25日,欧洲议会公布了《一般数据保护条例》草案,条例共11章99条。2015年12月15日,欧盟执委会通过了《一般数据保护条例》,2016年4月14日,欧洲议会投票通过了《一般数据保护条例》,在欧盟官方杂志公布正式文本的两年后也即2018年正式生效,以欧盟法规的形式确定了对个人数据的保护原则和监管方式。《条例》统一了此前欧盟内零散的个人数据保护规则,以保护公民的基本权利为理念,增加的数据保护要求和实施的复杂性远高于“95指令”,堪称史上最严格数据保护条例。
一是法律效力明显提升。《条例》将取代“95指令”并直接适用于欧盟各成员国。《条例》和“95指令”具有完全不同的法律效力。“指令”(Directive)需要各成员国据此在本国立法并加以执行,“95指令”和后续的各个修正指令不能直接应用到各成员国。而“条例”(Regulation)正式实施之后立即在整个欧盟范围内生效,无需在各成员国内立法确认,以统一的标准推进个人数据保护。
二是打破传统立法管辖权。传统的立法管辖权通常是按照国家(地域)划分。在《条例》中,数据保护约束同样适用于向欧盟居民提品或者服务,甚至只是收集或监控数据的非欧盟企业和组织,而与这些企业和组织所在位置无关。即非欧盟的企业和组织向欧盟用户提供服务,无论收费与否,要严格遵从欧盟数据保护条例的相关要求。由于互联网上数据分布本身也是在动态变化的,这还意味着法律管辖范围也有可能按照数据的迁移而不断变化。所以,虽然是欧盟的数据保护条例,但却有可能应用到全球任何企业身上。此举开创了一个法律管辖范围不是严格按照地域/国家划分,而是按照数据的分布来认定的先例。
三是明确数据处理原则。《条例》规定数据处理应遵循合法、正当、透明;处理数据的目的有限;仅处理为达到目的的最少数据;确保数据准确、时新;储存数据的期限不得长于为达到目的所需的时间和采取技术和管理措施以保护数据安全等原则。《条例》禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。《条例》还特别规范了儿童个人数据的处理,即处理16岁以下儿童的个人数据必须获得该儿童父母或监护人的同意或授权。
四是创新引入两项重要权利。《条例》开创性地引入了被遗忘权和可携带权。被遗忘权是指当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方,数据控制者应通知该第三方删除该数据。可携带权是指数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。此外,如果数据信息发生泄漏,数据控制者应在72小时内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误地通知数据主体,以便数据主体及时采取措施。
五是大幅提升违规成本。《条例》规定违法的惩罚金额由成员国自行确定,惩罚上限处于欧盟立法中较高标准。对于一般性违法行为,罚款上限是一千万欧元或前一年全球营业收入的2%(两值中取大者);对于严重违法行为或造成严重后果,罚款上限是两千万欧元或前一年全球营业收入的4%(两值中取大者),全面提升了对个人数据的保护力度。
政策建议
加快制定《个人信息保护法》。积极探索制定符合时代特征的系统的个人信息保护法律,对个人信息类型、采集范围与原则、存储技术、运用与传播、法律适用范围等作出明确规定,特别是赋予个人撤销授权的权利,增强个人对信息的控制权,构建安全、信任的大数据产业法律环境。
构建网络个人信息保护标准化体系。当前互联网环境下信息共享、存储和管理的隐私信息规模急速增长,收集、利用个人信息的技术迅速发展,构建网络个人信息保护标准化体系有利于增强个人信息处理各环节的透明度,保证个人信息的加工和运用留有痕迹,始终处于可追踪状态。
建立个人信息保护协调机制。从近年来我国关于个人信息保护的立法内容和集中领域不难看出,个人信息不当采集和以实施信息网络诈骗这种跨行业运用成为危害公民合法权益的主要形式,因此有必要建立灵活弹性、应对迅速的个人信息保护协调机制。
重拳打击侵害个人信息行为。督导有关行业按照最新法律法规对涉及个人信息的授权条款、格式文书等认真梳理、切实整改,规范机构经营行为,坚决制止侵害信息主体合法权益的行为,重拳打击新领域内征信违规情况,形成示范效应,做到在规范中创新,在创新中发展。
积极参与国际执法协作。技术的快速发展和深层次运用决定了信息跨境流通更加便捷和具有隐蔽性,围堵信息跨境流通、企图将信息数据仅在一国区域内几无可能。未来,建议运用场景理念推动国际通用框架的构建,尊重国际共通因素,调节地区差异因素,积极参与国际执法协作和框架协议规范跨境流通。
《一般数据保护条例》的出台震动了向个人提供互联网服务,并长期大量收集用户个人数据的互联网服务商。《条例》中严格的数据保护势必阻碍数据的商业价值挖掘,并将给企业带来巨大额外成本。笔者认为,几乎任何行业都处于创新和监管的动态博弈之中,过度创新和过度监管都会带来负外部性。在《一般数据保护条例》的约束与引导下,欧洲的未来大数据时代将走上一条独特道路。互联网组织自由收集、分析和管理用户信息的权限会被严格限定和监管,互联网个人信息保护力度达到了前所未有的高度。反过来,严格的个人数据保护所带来的额外成本、复杂的数据使用授权和政府过度监管也极大约束了大数据所带来的创新空间。如何处理好创新与监管的动态博弈关系是一门需要深入研究的操作艺术。