《征信数据采集限制与保护分类解析》由会员分享,可在线阅读,更多相关《征信数据采集限制与保护分类解析(9页珍藏版)》请在金锄头文库上搜索。
1、征信数据采集限制与保护分类解析(一)信用信息的分类1.公司信用信息与个人信用信息在划分公司信用信息类别上,邓白氏公司的信用信息数据库涉及三部分内容:第一 部分是公司基本信息,一是公司名称、住所、电话等身份辨认性信息;二是公司状况信 息,如公司的规模、业务范畴及年销售收人等信息;三是公司组织机构及人员信息,如 公司的投资者、公司部门构造。第二部分是公司信用记录信息:一是公司财务状况,包 括公司的资产负债表、多种收益率及信用级别信息;二是公司的付款和银行记录,重要 涉及公司的多种应付款信息、银行开户信息;三是法院诉讼、判决等公共信息及波及企 业信用的公共信息。第三部分是公司经营管理方面的信息,如公
2、司高档管理人员基本情 况信息。就个人信用采集而言,美国征信机构收集保存的个人信息涉及如下几种方面:一是 个人基本信息,如此前和目前的住址、社会保险号码、职业信息及婚姻状况;二是信用 信息,如信贷机构中的付款记录;三是消费者信息的查询记录,某些査询记录反映了消 费者信用活动的频率。2.般信用信息与敏感信用信息_一般信用信息与敏感信用信息是从一般信息与敏感信息的分类中推表演来的。一般 信息与敏感信息在个人信息领域体现为一般个人信息和敏感个人信息,而在公司信用信 息领域则体现为一般信用信息和作为商业秘密的信用信息。立法中对法定的敏感信息数据类型的确认,因国家的不同而有所不同。参照OECD 隐私保护和
3、个人数据跨国流通指南有关规定,有些信息与个人的信用有关联,可以作 为考量个人信用的因素。但是,由于这些信息敏感度较高,为了尊重个人隐私及维护公 平、非歧视的信用交易秩序,应当严禁征信机构采集。征信机构在采集、解决作为商业第一节重要经济发达国家信息主体隐私权保护有关规定166秘密的公司信用信息时比其在采集、解决一般公司信用信息时所负的义务重,这不仅仅 体目前征信机构所负的保密义务上,还体目前公司对作为商业秘密的信用信息的绝对同 意权上。3.正面信用信息与负面信用信息信用信息可以分为正面信用信息与负面信用信息。根据美国的公平信用报告法, 所谓负面信用信息是指“与顾客有关的迟延还款、迟延付款、免费还
4、债务能力或其她违 约行为”。而对于正面信用信息该法并没有进行界定。事实上,正面信用信息就是能使信 用主体获得信赖与积极评价的一切信息,负面信用信息则是与信用主体信用有关的非正 面信息,它不限于公平信用报告法所指的违约信息。对于负面信用信息的征集,各国法律均持肯定态度,但是对于正面信用信息的征集 则各国态度不尽一致。美国、英国、德国、意大利、加拿大、智利等国均容许征信机构 采集正、负面信用信息。但是法国、西班牙、澳大利亚等少数国家却严禁采集正面信用 信息。(二)征信数据采集中被征信人的权利1.批准权征信机构业务的开展波及信用记录(报告)、信用调査、信用评分和信用评级等。这 些活动都对被征信人的信
5、用利益产生直接的影响。个人信用信息数据大部分属于个人隐 私,但是由于个人信用报告形式的浮现,全面记录个人信用活动,是个人信用信息基本 数据库,因此它们已超过个人隐私的范畴而具有了信用信息的性质。无论是公司信用信 息还是个人信用信息都具有精确性和一定限度的私密性。国外一般通过在立法上赋予被 征信人批准权来保护被征信人利益。例如,西班牙个人数据保护法第6条、第7条 规定,个人数据的收集只有在当事人批准的状况下才干进行。国内澳门特别行政区个 人数据保护法第6条也规定,个人数据的解决仅在数据当事人明确批准或在必要的情 况下方可进行。被征信人在信息采集阶段及信息提供阶段均有批准权。如果征信机构是从公开的
6、途径(例如新闻媒体)采集被征信人信用信息,被征信人 不应享有批准权,由于如果仍由被征信人享有批准权的话与信息的公开原则及新闻自由 相违背。在国外,虽然被征信人于此场合没有批准权,但为了保护其利益,法律赋予其 知情权,同步使征信机构承当相应的保证义务。如,澳大利亚联邦隐私权法就规定, 信息收集者如果自一般发行的刊物上收集被征信人的有关信息,需要告知被征信人(或 信息本人)收集该信息的目的,并且明确地将收集者的身份及获得的收集许可告知被征 信人。同步,信息收集者应当告知信息本人其收集行为是与收集目的有关联的并保证该 信息不是陈旧过时的信息,其收集信息的行为并不会泄露个人隐私并保证采用有关的合 理的
7、保护措施。类似的立法尚有1977年德国联邦信息保护法,该法规定了征信机构 在初次征集被征信人的信息时的告知义务。2.知悉与异议权信息主体有知悉其个人信息被何种方式解决的权利。对于知情内容,各国法律有不 同的规定。例如,英国数据保护法规定,信息本人有权规定信息控制者告知其个人 信息与否由信息控制者解决或以信息控制名义解决,如果解决真实,并可以祈求告知下 列事项:其作为信息主体的个人资料;为什么目的资料正在或将要被解决;资料正 向或将向哪些接受者披露。除此之外,在个人信息用于自动化决策时,信息本人可以要 求信息控制者告知该决策是以何种措施做出的。德国联邦个人资料保护法第19条第1 款规定:“数据主
8、体有权知悉:(1)有关她本人的已存储的任何个人信息,涉及有关信息 的来源;(2)信息披露的接受者或者接受者的种类;(3)信息存储的目的。”信息主体在知悉个人信息不精确、不及时、不完整时,有提出异议进而改正、封 存和删除的权利。国内澳门特别行政区个人数据保护法第11条第1款规定,在不 得迟延的合理期限内及不必支付过高费用的状况下,数据当事人享有自由地、不受限 制地从负责解决个人数据的实体知悉法定事项的权利,并且对不符合该法规定的数据 特别是不精确、不完整的数据有改正删除和封存的权利。并且,信息本人可以将以上 状况告知曾知悉有关资料的第三人,第三人也应同样对数据进行改正、删除、销毁或 封存。(三)
9、个人信用数据保护的立法模式1.美国个人信息保护立法模式分析美国对个人信用数据收集、使用和保护等方面,平衡考虑了征信业发展和个人权利 保护两个方面的因素,其立法既为个人征信机构的合理生存和经营保存了合适的空间, 也全面考虑了保护消费者个人人权方面的需要。总体而言,美国法律对个人信用数据的 平衡保护体目前几种方面:(1)个人征信机构收集信用数据的法定许可。.个人征信机构的任务是收集、记录、 整顿多种个人信用数据,特别是归还贷款的数据。美国的个人征信机构在收集个人信用 数据时,可以不通过被收集者个人的批准,虽然是波及个人隐私的信用数据,如被收集 人的犯罪经历,也可不必得到被收集人的批准进行收集。但有
10、关个人种族、宗教信奉、 医疗记录、背景资料、生活习惯、政治立场等非信用数据,都不得录入。(2)个人征信机构必须履行的法定义务。为了保证个人征信机构录人“公正、合适或对的”的信用数据,避免收人“不对的的或陈旧的”信用数据,公平信用报告法 规定征信机构对个人信用数据状况进行登录时必须对当事人进行严格确认,同步赋予信 用数据当事人对其信用数据有査阅的请示权、提出异议的权利等。对于个人信用数据中 有不利于该当事人的内容时,征信机构应把形成这一信用数据信息来源机构的名称、住 所告知该个人;当事人中有对其个人信用数据的完整性和对的性提出异议的,征信机构 负有再调査的义务;个人征信机构在完毕有关信用信息报告
11、时,须采用一系列严密程序 保证信息的对的性。为了能产生改对的的信用信息报告,1996年公平信用报告法的 修正案规定,将错误的责任延伸至该信用信息的提供者和做出该信用信息报告的个人征 信机构。(3)信用数据丰体的权利。公平信用报告法规定每个人有权查看自己的信用档 案,理解自己的信用数据。如果使用消费者信用调査报告中的信息,采用了不利于消费 者的行动,必须告知消费者本人,当事人对于其个人的信用数据存在异议时,有权规定 个人征信机构对该信息数据进行再调查。不精确的信息必须被纠正或删除。如该信息的W 提供者对该信用保证是完全对的的,可以再一次保存该信息,而对再调查的成果不满意 If 的当事人可以在信用
12、报告上附记有关其个人提出的有关信息精确性的意见,个人征信机 168 构应将其附带在该信用信息中,当向银行及其她机构提供信用信息时,必须把该意见连 同该信息一起提供。当商业机构运用征信机构的信用数据进行市场营销时,消费者拥有 选出的权利,可以规定个人征信机构将自己的名字从邮寄的促销名单中删除。(4)对个人信用数据保护的责任方式。为了保证个人征信机构履行其义务,保证个 人信用数据主体不受不精确和错误信息的侵害,公平信用报告法规定了民事诉讼,行 政机关监督、刑事惩罚等法律手段,其中,由当事人提起民事诉讼是保证个人征信机构 遵守法律规定的重要手段。因过错而违背该法的组织或个人,除了要进行以上各项支付
13、外,还要增长惩罚性的损失补偿。如果个人征信机构及其她机构出于故意或歹意的目的 提供错误的信用数据或回绝当事人的知情祈求,构成对个人名誉或隐私权侵害的,则要 支付1万美元的损失补偿,这种补偿属于精神损失的补偿。2.欧盟(及欧洲重要国家)个人信息保护立法模式欧盟毫无疑问是个人信息保护立法的模范和先驱。欧盟国家最先关注信息通信技术 对社会的影响问题,并导致欧盟于1995年制定了欧盟有关个人数据解决和自由流动的 ;个人保护指令(1998年10月开始生效)。欧盟数据保护指令价值倾向明显,覆盖范畴广 泛,规制限度深,执行机制健全。在欧盟数据保护指令的规定下,所有欧盟国家均已完 成了新一轮的个人信息保护立法
14、或者修法工作。特别是,欧盟数据保护指令规定,第三 国的隐私法律只有经欧盟委员会鉴定达到“充足的”保护原则,才干自欧盟向其进行跨 境个人信息传播。这样,非欧盟国家纷纷开始制定个人信息保护法,以满足欧盟数据保 护指令的规定。虽然世界上制定个人信息保护法律的国家诸多,但迄今为止,只有加拿 大、阿根廷、匈牙利和瑞士通过了欧盟的“充足性”判断原则。(1)欧洲理事会协定规定的个人数据保护基本原则欧洲理事会协定规定的个人数据保护基本原则涉及如下七个方面,分别是:第一, 数据质量。被自动化解决的个人数据应当:合法合法地获取和解决;基于特定的合 法目的存储,并不得通过与这些目的相悖的方式而被使用;与存储的目的具
15、有充足、 有关而不多余的关系;是精确的,并在必要时保持更新;通过容许辨认数据主体的 方式被保存,但保存时间不得超过存储数据所必需的期限。第二,数据的特殊类型。除 非国内法已提供了合适的保护措施,严禁对揭示如下内容的个人数据进冇自动化解决: 人种、政治主张、宗教或其她信奉,以及与健康或性生活有关的个人数据。与刑事判决 有关的个人数据,也不应当被自动化解决。第三,数据安全。应当采用合适的安全措施, 保护自动化数据文档中的个人数据,使其免受偶尔或未经授权的破坏或意外丢失,同步 免受未经授权的获取、变更或分解。第四,对数据主体的保护。应当使任何人可以: 确认自动化个人数据文档的存在,获悉文档的主荽目的
16、、文档管理者的身份、惯常居 所及其重要营业地;在合理的期限内无过多延迟、无过多耗费地确认,与其有关的个 人数据与否已被存储在个人数据文档中,以及通过能被其理解的方式向其传达这些数据;如果被解决的数据违背了法律的规定,则可以对这些数据进行矫正与删除;如果没 有满足数据主体有关本条2款和3款规定的确认、传达、矫正或删除数据的规定,则数据 主体可以规定补偿。第五,例外与限制。对个人数据保护的例外或限制必须是基于如下 目的并且在民主社会中必须采用的措施:保护国家安全、公共安全、国家的财政利益 或克制刑事犯罪;保护数据主体或她人的权利和自由。第六,补偿责任。对违背有关 数据保护基本原则的行为,应当承当合适的制裁措施与补偿责任。第七,扩大的保护。 个人数据保护中所有的规定都不得被解释为是对一方授予数据主体超过欧洲理事协会协 -定规定之更多保护措施的限制或其她影响。其她国家或地区的立法所确立
