征信信息主体权益的保护与研究

征信信息主体权益的保护与研究

杨明,冉静,刘晓婕

中国人民银行山丹县支行

近年来，我们在享受信息及信息技术带来的便利的同时，各行各业都面临着越来越多、越来越重要的个人信息权利保护问题。信用信息作为公认的重要资源，市场需求迅速增长，在进一步凸显征信信息资源重要性的同时，由于缺乏完善的个人信息权益保护法律法规，部分金融机构对信用信息安全重视程度不够，制度执行不力，及社会百姓对征信知识欠缺等，个人信用信息泄露、非法买卖和违规使用等现象时有发生，不仅严重侵害个人信息主体合法权益，而且危及信息主体的生命和财产安全，造成恶劣社会影响，对征信信息安全提出了严峻挑战。因此对个人征信信息权益进行深入研究、改善当下我国社会信用状况不佳的现状具有积极意义。

一、我国个人征信信息主体权益保护的现状

近年来，党中央、国务院高度重视个人信息主体权益保护工作，连续出台多部法律法规保障公民个人信息安全。党的十九大报告对个人信息安全工作提出了新时代的更高要求。同时，第五次全国金融工作会议也对“强化个人隐私、涉密信息数据保护”进行特别强调。当前，对个人信息安全和信息主体权益保护的高标准、强监管、严要求正在全国上下形成共识。因此，在互联网、大数据背景下，寻求新的、更加科学的保护思路与模式，加强征信信息安全管理，维护个人信息主体权益，已经成为当前亟待解决的重要课题，也是新时代征信工作的一项迫切任务。

（一）个人征信信息主体权益的内涵

一般来说，个人作为信息主体依法对其个人信息享有支配、控制并排除他人侵害的权利。在征信领域，信息共享需要信息主体对自身权益做出一定让渡，因此，各个国家会通过法律的形式赋予信息主体一定的权利。知情权、同意权、救济权、信息安全权、重建记录权等五项权利构成了对个人征信信息主体全方位的保护。其中的知情权是指信息主体有权知悉个人信息的收集和处理的具体情况。同意权是指个人信息主体有权决定自身信息采集、存储、加工、传播、使用的范围和途径。救济权包括异议权、投诉权和诉讼权。信息安全权是指个人信息主体有权要求其信息不受他人非法知悉、利用和公开。重建记录权是指个人信息主体有权要求删除超过保存期限的个人不良信息。

（二）我国法律对信息主体权益保护的现状

我国个人信息保护立法还不完善，尚未形成统一、全面的法律体系，目前还没有涉及信息主体权益保护的专门法律。我国的《民事诉讼法》《消费者权益保护法》等法律中，有个别涉及规制征信业的条款。 2005年中国人民银行通过了《个人信用信息基础数据库暂行办法》，该办法在保护个人信用信息方面起到了基础性作用，从法律层面确立了征信业务制度规章及人民银行的监管方式。2013年出台的《信息安全技术公共及商用服务信息系统个人信息保护指南》，规定了个人敏感信息在搜集和使用前需要信息主体的同意和书面授权。2013年3月颁布实施的《征信业管理条例》首次对个人征信信息相关权利进行了关注。2013年12月《征信机构管理办法》也正式实施，我国征信业市场逐步进入有法可依的新阶段。

二、目前我国个人征信信息主体权益保护存在的问题

（一）信息主体权益保护法规制度体系不健全

近年来，借助互联网平台和大数据技术成立的个人征信机构逐步进入征信市场，使信息收集范围和渠道快速扩展，在促进征信业发展的同时增加了监管难度。虽然各方合力加强征信业管理，但总体来看，我国在个人信息主体权益保护和征信立法方面仍然比较滞后，个人信息保护立法缺乏顶层设计；法规制度建设以行政监管和刑事处罚为主；对个人隐私、个人主体权益没有明确的法律界定；对个人信息主体权益被侵害后的补偿没有明确的法律规定。这就导致实践中对信息主体权益保护时缺乏法律依据，事后救济途径欠缺。

（二）信息采集的内容和范围不够规范

征信机构在收集征信数据过程中不能按照相关规定进行数据采集：一是个人信息在未经信息主体同意的情况下被采集。客户在通过互联网办理相关业务时，采集个人信息往往是“概括性授权”的方式，以冗长复杂的条款内容为掩护，用生僻难以理解的词汇来误导客户，客户无法理解其中权利及义务的利害关系，在授权信息采集内容和储存加工方式上作为弱势群体，只能在选项中选择“同意”。二是信息提供者提供信息不准确的情形。客户为达到办理相关业务的资质要求提供虚假信息，导致机构采集到错误信息，或者信息主体身份被盗用，违法收集个人信用资料到数据库中，引发信用主体权益受损。三是不被法律所允许的个人敏感信息被采集。信息提供者在进行互联网活动时的相关信息以电子单位形式储存下来，由于互联网技术的局限性和个人的操作习惯，无法对后台留下的痕迹进行删除，反而被有关机构采集。

（三）信息保存、加工过程中存在漏洞

一是信用评级结果有失准确。征信机构对采集的信息进行加工，形成信用评分、信用评级等增值产品，虽未改变原始数据，但也未赋予机构数据审查的义务，在数据加工过程中存在多次流转的可能性，数据的真实性和信息主体的合法权益难以保障。二是未能按规定删除过期不良信息。我国《征信业管理条例》规定

“对于个人不良信息，自不良行为或事件终止之日起满5年，数据发生机构应予以删除”，但在实际操作中，常有客户反映相关款项已结清多年，但信用记录显示仍为“呆账”，经核实，部分机构并未按规定对期限已满的不良记录主动进行删除。三是不良信息说明无从添加。《征信业管理条例》规定“在不良信息保存期限内，信息主体可以对不良信息进行说明，征信机构应当予以记载”。事实上，多数机构并没有提供添加不良信息说明的渠道，信息主体行使异议权受到限制。

三、加强我国个人征信信息主体权益保护的建议

(一) 完善监管制度框架

一是推动建立专门的个人信息主体权益保护机构。针对目前国内的实际情况，设立专门机构对个人信息主体的合法权益进行保护。二是制定并出台《个人信用信息保护法》。对个人信息的采集手段、渠道和内容等加以规范，并对信息主体的各项权益进行明确。三是完善《征信业管理条例》配套法规制度体系。对信用信息界定、征信机构认定、信息主体授权、异议投诉处理等进行细化和补充，尽量减少制度漏洞，防止市场机构打擦边球，将个人信息主体权益保护落到实处。

(二) 持续强化日常监管

一是采集环节强调知情权。授权书需列明采集信息的来源、内容并及时更新，确保信息主体知晓哪些信息被采集，同时规定市场化机构在告知到位后，信息主体可选择同意或不同意，但不能选择性同意。二是查询环节强调同意权。无论是征信系统还是市场化征信机构在对外提供查询服务时，务必要做到逐笔授权，且必须为“明示授权”。三是使用环节强调有限性。针对某些机构超用途使用信用信息的情况，建议进一步明确信息使用者使用个人信用信息的具体场景，不得“一揽子”约定或在约定时嵌套同意向第三方提供的授权，避免个人信用信息的多头使用。

(三) 切实加强宣传教育

一是加大对广大社会公众的征信宣传力度。强化政府部门、人民银行、金融机构、征信机构之间的协调配合，形成征信宣传教育整体合力。充分依托传统新闻媒体、网络平台，丰富征信宣传教育渠道与内容，拓展征信宣传教育的时空维度，进一步提升国民信用意识。二是加大对征信从业人员的征信培训力度。建议定期开展针对征信监管人员尤其是基层监管人员的培训，提升其业务水平和技能，提高监管效率。广泛开展对接入机构特别是小微机构的培训，提升其合规意识和风险意识，严防征信信息泄露风险，进一步保障个人信息主体权益。