2007年国务院《关于社会信用体系建设的若干意见》特别强调了信用服务市场的培育对于社会信用体系建设所具有的重要意义,为信用服务市场的培育与发展明确了政策导向,提出了更具体的任务要求,主要体现在:第一,明确提出“建立全国范围信贷征信机构与社会征信机构并存、服务各具特色的征信机构体系”,为征信市场的培育确定了基本的方向;第二,将“促进信用信息共享”与“整合信用服务资源”相提并论,作为“建设企业和个人信用服务体系”的基本手段;第三,明确提出“要鼓励扩大信用产品使用范围,培育信用服务市场需求,支持信用服务市场发展”;第四,基于“政府信息公开是信用服务市场发展的基础”这一全新的认识,强调“依法公开在行政管理中掌握的信用信息”的同时,明确地方政府充分利用信用记录、改善地方信用环境的职责要求。
在2006年建成全国集中统一的企业征信系统和个人征信系统之后,中国人民银行征信中心于2009年4月开始进行硬件升级,2011年2月又启动了二代征信系统建设。2014年完成二代业务制度升级规划初稿,同时开展制度梳理和标准制定等配套基础工作,制定征信术语和征信数据元等系统标准。全面采集有助于反映信息主体信用状况的信用信息并及时更新,始终是征信系统建设的主要目标,关系征信系统的核心竞争力。征信系统采集的信息,从信息来源上分为两类,金融信息与非金融信息。金融信息的采集范围已经扩大到商业银行以外,包括了非银行金融机构提供的信息。非金融信息,又被称为“反映信用状况的其他信息”,主要是指法院、税务、环保、公积金管理中心等公共部门提供的信息。从信息内容来分,征信系统采集的信息包括基本信息和行为信息。企业基本信息的采集,既有“被动式”的,即企业主动提交后由中国人民银行分支机构或金融机构审核后录入征信系统的方式;也有“主动式” 的,即商业银行在与企业发生信贷业务时采集企业基本信息。这意味着,中国人民银行征信中心主导的企业信息系统尚未与国家工商行政管理总局建立企业信息的共享机制。个人基本信息的采集渠道主要有两个:一是从社会保险经办机构或住房公积金管理中心采集身份和职业信息;二是商业银行与个人发生信贷业务时,采集个人基本信息,报送给个人征信系统。反映信用状况的其他信息的采集方式主要有三种:一是采取行政手段与政府部门进行合作采集,直接与数据源单位进行数据交换;二是通过市场化手段与数据源单位签订协议的方式进行合作采集,直接与数据源单位进行数据交换,来源于市场机构的企业非金融负债信息采集就采用这种方式;三是征信分中心从当地数据源单位获取数据再报送至征信中心,如征信分中心与当地公积金管理中心合作采集住房公积金缴存信息等。
在这一时期,我国并未制定专门的法律来规范个人信息的收集和使用,国务院2013年制定的《征信业管理条例》虽然是针对征信机构信息采集和使用而制定的行政法规,但却开创了我国个人信息保护的先河。征信中心也非常重视信息主体权益保护的问题,通过制定内部工作规程的方式,《征信业管理条例》切实维护信息主体的知情权、同意权、异议权和重建信用记录权等合法权益,对待个人信息,完全不同于企业信息。《征信业管理条例》并未给“个人信息”下一个定义,只是明确将“企业的董事、监事、高级管理人员与其履行职务相关的信息”排除在个人信息之外。《征信业管理条例》在规定“采集个人信息应当经信息主体本人同意,未经本人同意不得采集”这个一般原则的基础上,根据不同类型的信息规定了不同的采集规则,包括公开信息例外、禁止采集的信息、经特别同意方能采集的信息。针对采用格式合同条款取得个人信息,《征信业管理条例》规定了足以引起注意的提示和明确说明义务。为保护信息主体的知情权和异议权,《征信业管理条例》规定了较为详细的查询规则、异议和更正规则。
在信息的使用问题上,《征信业管理条例》规定了一个较为明确的“授权查询规则”,征信中心也建立了相应的工作规范,一是要求金融机构通过合同来取得信息主体书面同意查询。严格规范金融机构查询行为,督促金融机构完善查询内控制度。二是对于非本人查询信用报告的,规范查询授权管理,严格查询材料的审查,防范信息泄露风险。三是建立企业和个人信用报告违规查询监测系统和监测机制,及时发现违规查询行为并采取措施制止,更好地保护信息主体权益,维护金融市场和征信市场的稳定。(www.xing528.com)
然而,这个“初级”版本的“个人信息保护法”,有些方面的规定值得商榷。首先,在采集主体的适用范围问题上,同意规则的规定并未限定其适用的主体范围,但禁止采集的规定和特别同意规则明确仅适用于征信机构的采集行为。这是行业立法难以避免的尴尬。信息问题毫无疑问是征信行业面临的瓶颈问题,但这个问题又显然不是一部行业立法能从根本上予以解决的。其次,《征信业管理条例》在信息采集行为与信息提供行为的关系问题上,存在模糊处理的嫌疑。该条例第十五条规定:“信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。但是,依照法律、行政法规规定公开的不良信息除外。”征信本质上是一种信息的采集和加工活动,被加工的信息源于征信活动之外,征信机构为加工的目的而采集的信息必然来自信息提供者,因此,信息提供者向征信机构提供信息,只是征信机构采集信息的另一种表达而已。如果将同意规则与该第十五条结合起来解释,结论就是:征信机构采集不良信息之外的个人信息,只需遵守同意规则、禁止采集规则和特别同意规则,不良信息的采集还需遵守“告知信息主体”的义务。对于正面信息的采集,则只需遵守同意规则。从理论上来说,将负面信息与正面信息区别对待,确实是在征信的行业需求与个人信息和隐私保护之间进行平衡的结果。正如尼古拉·杰因茨在其著作中指出的,“有些信息的财产权可以较好地定位给数据主体以控制信息的披露和使用。不过,其他一些事实的财产权,如有关个人的负面信息(破产信息),就最好不要定位给个人,因为当事人有一种掩盖这种信息的强烈倾向,而不管这类信息总体上看却对社会有利的基本事实”。[16]这种理论立场也实际上成为一些国家信息保护法律制度的基本立场。“在负面数据从银行向征信机构转移的情况下,消费者实际上不能行使选择出口的权力,因为人们经常争论,与个人隐私利益相比,银行体系的稳定性是一个级次更高的公共利益。因此,在英国、法国和德国,消费者仅仅被告知其数据被传播。”[17]依此政策考量,《征信业管理条例》第十五条可以被解释为:征信机构采集不良信息,只需要信息提供者告知信息主体即可,而无须征求信息主体的同意。由此,该条规定构成同意规则的例外,而非增设新的义务。再次,从实践的层面来看,《征信业管理条例》所规定的同意规则,并未明确征求同意的义务主体。从《征信业管理条例》第十九条的规定来看,采用格式合同条款取得个人信息主体的同意,是一种可以采取的方式。而且,该条规定的采集主体,包括信息提供者,也包括征信机构。依《征信业管理条例》第十四条第二款的规定,征信机构采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息的,应“明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意”。然而,征信机构如何取得信息主体的同意、征信机构如何与信息主体建立合同关系、信息主体是否在其信息被采集之前就与征信机构签订合同、如果征信机构并未与信息主体建立合同关系,征信机构如何认定向其提供信息的部门和机构已经取得了信息主体的同意,也许,这些问题还需通过征信机构之间在业务开展上的竞争活动来解决。最后,《征信业管理条例》第十六条规定了征信机构对个人不良信息的保存期限,超过5年的,应当予以删除。这个规定的目的与上述负面信息特别采集规则存在冲突,毕竟,即使经过5年,不良信息的参考价值并未丧失,信息采集都无须征求信息主体的同意,设置保存期限显然反映了立法者们在立场上的不确定。
《征信业管理条例》明确了国家设立金融信用信息基础数据库的职责,为信用信息共享平台的建设提供了非常扎实的制度支撑,也确立了征信市场的准入规则,明确了企业征信机构和个人征信机构的设立条件,随后出台的《征信机构管理办法》细化了征信机构审批的条件和程序,为落实《关于社会信用体系建设的若干意见》提出的“建立全国范围信贷征信机构与社会征信机构并存、服务各具特色的征信机构体系”的任务目标奠定了制度的基础。然而,由于《征信业管理条例》明确规定“国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定,为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布,不适用本条例”,《征信业管理条例》也没有为政府信息公开机制与信用服务市场培育建立制度上的接口,征信机构可以获取的公开信息的范围和方式,取决于《政府信息公开条例》的规定。包括征信在内的信用服务行业,是一个以信息收集和加工为主要业务内容的行业。由于专门的信息保护立法的欠缺,《征信业管理条例》既可以被看作是一个新的起点,也可以被认为是一个新问题的提出者。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。