個人信用徵信法律問題研究

我國徵信業發展還處於初級階段，相關法律制度還不健全，一些研究還不夠深入。本文以美國《公平信用報告法》的立法及實踐為主要參考材料，結合我國實際情況，選取個人信用徵信機構的法律性質、信用信息的採集和利用、信用信息的法律保護以及個人信用信息隱私權與信息共享利益的平衡等五個問題進行了深入研究。 第一章為個人信用徵信概述。本章釐清了信用、個人信用的基本概念，總結了信用徵信系統的作用，認為信用徵信機構是一種社會責任機構，並分析了我國發展徵信機構應注意的若干問題。 信用(Credit)是一個含義非常豐富的概念。從法學的角度說，信用與賒購、信貸等信用交易有關，是與民事主體的還款能力和意願相對應的社會評價。信用市場存在信息不對稱現象可以通過建立信息共享制度予以解決，信息共享制度的物質形式就是信用報告系統。 在監督人們履行責任方面，信用報告機構與新聞媒體和法院具有相似性。信用徵信機構在性質上也是一種社會責任(accountability)機構。美國《公平信用報告法》(Fair Credit Reporting Act,FCRA)為保護消費者報告機構(Consumer Reporting Agency)免受法定披露的影響，對其法律責任進行了限制。我國立法有必要借鑑美國經驗，為個人信用徵信機構制定詳細的程式性義務，並在一定條件下豁免其法律責任。 個人信用徵信法律的核心問題是保護個人信用資料隱私權。歐盟《關於個人資料處理及自由流通個人保護指令》(Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data)對包括個人信用信息在內的所有個人資料進行統一保護，而美國《公平信用報告法》(Fair Credit Reporting Act)則單獨為個人信用信息隱私保護進行立法。我國人民銀行、上海和深圳的立法主要借鑑美國法律制度，與歐盟相比，在保護隱私方面還存在不少差距。 第二章分析了個人信用信息採集法律問題。本章著重分析歐盟和美國在採集個人信用信息方面的區別，對採集信息是否需要當事人同意、信息採集的範圍、敏感信息、信息安全性、信息準確性和政府機構公開個人信息等問題進行了深入研究，對一些問題提出了不同的看法。 美國信用徵信系統(Credit Reporting System)採集個人信用信息不必經過消費者同意，而歐盟指令則規定必須獲得資料主體的同意。在實踐中，獲得同意的形式有選入(opt in)和選出(opt out)。選入制度要求獲得資料主體的明確同意，成本很高。然而，選出制度也能保證個人的選擇權。我國立法一方面應明確列舉可以採集的信息，另一方面還應明確禁止採集的信息。銀行向徵信機構提供個人信用信息是當前世界徵信體系的一個慣例，我國應儘快立法允許共享個人部分金融信息，解除銀行的保密義務。 徵信系統不得採集個人敏感信息。我國立法在參照國際法律制度的同時，應結合國情，確定敏感信息的具體類別。 個人信用信息的準確和完整對於資料主體和信息利用者來說都是非常重要的。美國FCRA規定信用徵信機構必須遵循合理程式以確保信息最大程度的準確性，消費者個人也可就信息準確問題提起異議程式。為了確保信息的準確性，政府、消費者和信用徵信行業應該發揮各自的作用。 即使是犯罪之類的不良信息，資料主體對其也具有隱私利益。政府機構保有大量個人信息，其中有些信息在公開之後有可能侵犯個人的隱私。因此，政府機構公開個人信用信息必須具體情況具體分析。 為鼓勵信息提供者提供個人信用信息，我國有必要借鑑美國FCRA的規定，在明確信息提供者保護資料主體個人隱私權的同時，對其法律責任做出一定豁免。 第三章分析了個人信用信息利用法律問題。本章詳細分析了美國FCRA關於許可用途的規定，對僱傭用途、政府機構利用、消費者告知進行了深入分析。 美國FCRA規定消費者報告只能在某些指定用途下才能披露。為推廣信用市場，培育信用文化，我國應對信用報告的用途做出更為具體的規定。因僱傭用途申請信用報告應徵得本人的同意。應參照美國法律，對預先篩分業務進行規範，個人應有權選出。為方便行政機關開展執法工作，同時保護個人資料隱私權，建議將一般行政機關查詢個人信用信息的範圍限制在姓名、地址、聯繫電話、工作單位等項內容。 資料本人有權知悉其個人資料被收集處理的有關事項。美國FCRA非常詳細地規定了消費者報告機構、用戶和信息提供機構的告知義務。特別是在消費者報告對於拒絕信貸、保險或僱傭、提高信貸或保險價格或其他不利措施產生了部分作用時，用戶必須告訴消費者。這些告知對於保護消費者利益是非常重要的。我國現有的法律沒有告知方面的規定，有必要加以改進。 資料本人有權就其檔案信息的完整性和準確性問題向消費者報告機構提出異議，消費者報告機構應進行調查並告知信息提供者。信息提供者在消費者提出異議時也有同樣的義務。我國現有法律在異議程式方面存在不一致的現象，應以方便資料本人為原則加以改進。 個人信用信息利用的期間應有所限制，不同類別的信息保存期限不同。建議我國法律對正面信息規定一定的保留期限，對不良信息分類進行區別對待。 第四章詳細探討了個人信用信息隱私權與信用信息共享利益的平衡原則。論文深入分析了隱私及個人信息隱私權保護的基本概念、歐美金融隱私保護的區別，並對我國相關立法在平衡個人信用信息隱私權與公共利益方面所應採取的原則提出了相應的建議。 保護個人資料隱私權必須兼顧公共利益。在平衡個人隱私權和公共利益時，歐盟式立法強調個人資料自決權，只有在具備充分的公共利益時，個人資料隱私權才可以作出一定程度的減損；相對而言，美國式立法更加強調信息流動的重要性，只有當對個人資料隱私權造成實質性損害或損害威脅時，才不得處理個人資料。前者要求收集和利用資料者充分舉證公共利益的存在，而後者側重於要求阻止資料處理者證明損害隱私權的事實或威脅。兩相比較，歐盟式立法使得收集和利用資料更加困難。 目前我國內需市場上的信用交易水平還很低，發展市場經濟迫切需要建立一個誠信的社會經濟環境。建立和發展個人信用徵信系統對我國經濟具有重大意義。我們應該借鑑美國FCRA經驗，鼓勵收集個人信用信息，並對其利用做出適當限制。一旦利用給個人隱私帶來重大損害或重大損害威脅，就必須禁止此種用途。 第五章為個人信用徵信系統各方的法律責任。信用徵信機構侵犯個人資料隱私權的違法行為方式主要有：非法採集隱私信息；非法披露個人信用信息；泄露個人信用信息。世界各國立法一般對個人資料侵權行為採用過錯歸責原則，同時在舉證責任上採取推定過錯的方法。美國FCRA為信用報告機構、用戶和信息提供者規定了許多程式性義務，如其違反，則推定存在過錯。我國立法應加強程式方面的規定。個人信用徵信活動對個人隱私造成侵害的損害後果，既包括人格利益損害，即精神損失，也包括財產利益的損害。考慮到確定個人信用資料隱私權賠償數額比較困難，我國應規定法定損害賠償金額。同時，為了打擊和預防個人信用信息侵權行為，建議制定懲罰性損害賠償制度，並賦予法官較大的自由裁量權。 我國目前還沒有一個統一的個人信用信息隱私權保護機構。依靠銀行行業監管機構實施數據保護和執行徵信法規有可能導致數據不完整，降低其利用價值，而且銀行監督機構很難直接處理與消費者有關的事宜。我國應儘快設立獨立的徵信管理機構。