《征信数据采集限制与保护分类解析》由会员分享,可在线阅读,更多相关《征信数据采集限制与保护分类解析(9页珍藏版)》请在金锄头文库上搜索。
1、 第 1 页征信数据采集限制与保护分类解析(一)信用信息的分类1.企业信用信息与个人信用信息在划分企业信用信息类别上,邓白氏公司的信用信息 数据库包括三部分内容:第一 部分是企业基本信息,一是企业名称、住所、电话等身 份识别性信息;二是企业状况信 息,如企业的规模、业务范围及年销售收人等信息;三是企业组织机 构及人员信息,如 企业的投资者、企业部门结构。第二部分是企业信用记录信息:一是企业财务 状况,包 括企业的资产负债表、各种收益率及信用等级信息;二是企业的付款和银行记录,主要 包括企业的各种应付款信息、银行开户信息;三是法院诉讼、判 决等公共信息及涉及企 业信用的公共信息。第三部分是企业经
2、营管理方面的信息,如企业高级管理人员基本情 况信息。就个人信用采集而言,美国征信机 构收集保存的个人信息包括以下几个方面:一是 个人基本信息,如以前和现在的住址、社会保险号码、职业信息及婚姻状况;二是信用 信息,如信贷机构中的付款记录;三是消费者信息的查询记录,某些 査询记录反映了消 费者信用活动的频率。2.般信用信息与敏感信用信息_一般信用信息与敏感信用信息是 从一般信息与敏感信息的分类中推演出来的。一般 信息与敏感信息在个人信息领域表现为一般个人信息和敏感个人信息,而在企业信用信 息领域则表现为一般信用信息和作为商业秘密的信用信息。立法中对法定的敏感信息数据类型的确认,因国家的不同而有所不
3、同。参照 OECD 隐私保护和个人数据跨国流通指南 相关规定,有些信息与个人的信用相关联,可以作 为考量个人信用的因素。但是,由于这些信息敏感度较高,为了尊重个人隐私及维护公 平、非歧视的信用交易秩序,应当禁止征信机构采集。征信机构在采集、处理作为商业第一节主要经济发达国家信息主体隐私权保护相关规定 166秘密的企业信用信息时比其在采集、处理一般企业信用信息时所负的义务重,这不仅仅 体现在征信机构所负的保密义务上,还体现在企业对作为商业秘密的信用信息的绝对同 意权上。3.正面信用信息与负面信用信息第 2 页信用信息可以分为正面信用信息与负面信用信息。根据美 国的公平信用报告法 , 所谓负面信用
4、信息是指“与顾客相关的迟延还款、迟延付款、无偿还债务能力或其他违 约行为” 。而对于正面信用信息该法并没有进行界定。实际上,正面信用信息就是能使信 用主体获得信赖与积极评价的一切信息,负面信用信息则是与信用主体信用相关的非正 面信息,它不限于公平信用报告法所指的违约信息。对于负面信用信息的征集,各国法律均持肯定态度,但是对于正面信用信息的征集 则各国态度不尽一致。美国、英国、德国、意大利、加拿大、智利等国均允许征信机 构 采集正、负面信用信息。但是法国、西班牙、澳大利亚等少数国家却禁止采集正面信用 信息。(二)征信数据采集中被征信人的权利1.同意权征信机构业务的开展涉及信用记录(报告) 、信用
5、调査、信用评分和信用评级等。这 些活动都对被征信人的信用利益产生直接的影响。个人信用信息数据大部分属于个人隐 私,但是由于个人信用报告形式的出现,全面记录个人信用活动,是个人信用信息基础 数据库,所以它们已超出个人隐私的范畴而具有了信用信息的性质。无论是企业信用信 息还是个人信用信息都具有准确性和一定程度的私密性。国外一般通过在立法上赋予被 征信人同意权来保护被征信人利益。比如,西班牙 个人数据保护法第 6 条、第 7 条 规定,个人数据的收集只有在当事人同意的情况下才能进行。我国澳门特别行政区 个 人数据保护法第6 条也规定,个人数据的处理仅在数据当事人明 确同意或在必要的情 况下方可进行。
6、被征信人在信息采集阶段及信息提供阶段均有同意权。如果征信机构是从公开的途径(比如新闻媒体)采集被征信人信用信息,被征信人 不应享有同意权,因为如果仍由被征信人享有同意权的话与信息的公开原则及新闻自由 相违背。在国外,虽然被征信人于此场合没有同意权,但为了保护其利益,法律赋予其 知情权,同时使征信机构承担相应的保证义务。如,澳大利亚 联邦隐私权法就规定, 信息收集者如果自一般发行的刊物上收集被征信人的相关信息,需要告知被征信人(或 信息本人)收集该信息的目的,并且明确地将收集者的身份及获得的收集许可告知被征 信人。同时,信息收集者应当告知信息本人其收集行为是与收集目的相关联的并保证该 信息不是陈
7、旧过时的信息,其收集信息的行为并不会泄露个人隐私并保证采取相关的合 理的保护措施。类第 3 页似的立法还有 1977 年德国联邦信息保护法 ,该法规定了征信机构 在初次征集被征信人的信息时的通知义务。2.知悉与异议权信息主体有知悉其个人信息被何种方式处理的权利。对于知情 内容,各国法律有不 同的规定。例如,英国数据保护法规定,信息本人有权要求信息控制者告知其个人 信息是否由信息控制者处理或以信息控制名义处理,如果处理真实,并可以请求告知下 列事项:其作为信息主体的个人资料;为何目的资料正在或将要被处理; 资料正 向或将向哪些接收者披露。除此之外,在个人信息用于自动化决策时,信息本人可以要 求信
8、息控制者告知该决策是以何种方法做出的。 德国联邦个人资料保护法第 19 条第 1 款规定:“数据主体有权知悉:(1)关于他本人的已存储的任何个人信息 ,包括有关信息 的来源;(2)信息披露的接收者或者接收者的种类;(3)信息存储的目的。 ”信息主体在知悉个人信息不准确、不及时、不完整时,有提出异议进而更正、封 存和删除的权利。我国澳门特别行政区个人数据保护法第 11 条第 1 款规定,在不 得拖延的合理期限内及无须支付过高费用的情况下,数据当事人享有自由地、不受限 制地从负责处理个人数据的实体知悉法定事项的权利,并且对不符合该法规定的数据 尤其是不准确、不完整的数据有更正删除和封存的权利。并且
9、,信息本人可以将以上 情况通知曾知悉有关资料的第三人,第三人也应同样对数据进行更正、删除、销 毁或 封存。(三)个人信用数据保护的立法模式1.美国个人信息保护立法模式分析美国对个人信用数据收集、使用和保护等方面,平衡考虑了征信业发展和个人权利 保护两个方面的因素,其立法既为个人征信机 构的合理生存和经营保留了适 当的空间, 也全面考虑了保护消费者个人人权方面的需要。总体而言,美国法律对个人信用数据的 平衡保护体现在几个方面:(1)个人征信机构收集信用数据的法定许可。.个人征信机构的任务是收集、记录、 整理各种个人信用数据,特别是偿还贷款的数据。美国的个人征信机 构在收集个人信用 数据时,可以不
10、经过被收集者个人的同意,即使是 涉及个人隐私的信用数据,如被收集 人的犯第 4 页罪经历,也可无须得到被收集人的同意进行收集。但有关个人 种族、宗教信仰、 医疗记录、背景资料、生活习惯、政治立场等非信用数据,都不得录入。(2)个人征信机构必须履行的法定义务。为了确保 个人征信机构录人“公正、适当或正确”的信用数据,避免收人“不正确的或陈旧的”信用数据, 公平信用报告法 规定征信机构对个人信用数据情况进行登录时必须对当事人进行严格 确认,同时赋予信 用数据当事人对其信用数据有査阅的请示权、提出 异议的权利等。对于个人信用数据中 有不利于该当事人的内容时,征信机构应把形成这一信用数据信息来源机构的
11、名称、住 所告知该个人;当事人中有对其个人信用数据的完整性和正 确性提出异议的,征信机构 负有再调査的义务;个人征信机构在完成有关信用信息报告时,须采取一系列严密程序 确保信息的正确性。为了能产生更正确的信用信息报告, 1996 年公平信用报告法的 修正案规定,将错误的责任延伸至该信用信息的提供者和做出该信用信息报告的个人征 信机构。(3)信用数据丰体的权利。 公平信用报告法规定每个人有权查看自己的信用档 案,了解自己的信用数据。如果使用消费者信用调査报告中的信息,采取了不利于消费 者的行动,必须通知消费者本人,当事人对于其个人的信用数据存在 异议时,有权要求 个人征信机构对该信息数据进行再调
12、查。不准确的信息必须被纠正或删除。如该信息的 W 提供者对该信用保证是完全正确的,可以再一次保留该信息,而对再调查的结果不满意 If 的当事人可以在信用报告上附记有关其个人提出的有关信息准 确性的意见,个人征信机 168 构应将其附带在该信用信息中,当向银行及其他机 构提供信用信息时,必须把该意见连 同该信息一起提供。当商业机构利用征信机构的信用数据进行市场营销时,消费者拥有 选出的权利,可以要求个人征信机构将自己的名字从邮寄的促销名单中删除。(4)对个人信用数据保护的责任方式。为了 确保个人征信机构履行其义务,保证个 人信用数据主体不受不准确和错误信息的侵害, 公平信用报告法规定了民事诉讼,
13、行 政机关监督、刑事处罚等法律手段,其中,由 当事人提起民事诉讼是确保个人征信机构 遵守法律规定的重要手段。因过失而违反该法的组织或 个人,除了要进行以上各项支付 外,还要增加惩罚性的损失赔偿。如果个人征信机 构及其他机构出于故意或恶意的目的 提供错误的信用数据或拒绝当事人的知情请求, 构成对个人名誉或隐私权侵害的,则要 支付 1 万美元的损失赔偿,这种赔偿属于精神损失的赔偿。第 5 页2.欧盟(及欧洲主要国家)个人信息保护立法模式欧盟毫无疑问是个人信息保护立法的模范和先驱。欧盟国家最先关注信息通信技术 对社会的影响问题,并导致欧盟于 1995 年制定了欧盟关于个人数据处理和自由流动的 ;个人
14、保护指令 (1998 年 10 月开始生效) 。欧盟数据保护指令价值倾向明显,覆盖范围广 泛,规制程度深,执行机制健全。在欧盟数据保护指令的要求下,所有欧盟国家均已完 成了新一轮的个人信息保护立法或者修法工作。尤其是,欧盟数据保护指令规定,第三 国的隐私法律只有经欧盟委员会判定达到 “充分的”保护标准,才能自欧盟向其进行跨 境个人信息传输。这样,非欧盟国家纷纷开始制定个人信息保护法,以满足欧盟数据保 护指令的要求。虽然世界上制定个人信息保护法律的国家很多,但迄今为止,只有加拿 大、阿根廷、匈牙利和瑞士通过了欧盟的“充分性”判断标准。(1)欧洲理事会协定规定的个人数据保护基本原则欧洲理事会协定规
15、定的个人数据保护基本原则包括如下七个方面,分别是:第一 , 数据质量。被自动化处理的个人数据应当: 正当合法地获取和处理;基于特定的合 法目的存储,并不得通过与这些目的相悖的方式而被使用; 与存储的目的具有充分、 相关而不多余的关系;是准确的,并在必要时保持更新; 通过允许识别数据主体的 方式被保存,但保存时间不得超过存储数据所必需的期限。第二,数据的特殊类型。除 非国内法已提供了适当的保护措施,禁止对揭示以下内容的个人数据进冇自动化处理: 人种、政治主张、宗教或其他信仰,以及与健康或性生活有关的 个人数据。与刑事判决 有关的个人数据,也不应当被自动化处理。第三,数据安全。应当采取 适当的安全措施, 保护自动化数据文档中的个人数据,使其免受偶然或未经授权的破坏或意外丢失,同时 免受未经授权的获取、变更或分解。第四,对数据主体的保护。应当使任何人能够: 确认自动化个人数据文档的存在,获悉文档的主荽目的、文档管理者的身份、惯常居 所及其主要营业地;在合理的期限内无过多延迟、无过多花费地 确认,与其相关的个 人数据是否已被存储在个人数据文档中,以及通过能被其理解的方式向其传达这些数据; 如果被处理的数据违反了法律的规定,则可以对这些数据进行矫正与删除; 如果没 有满足数据主体关于
