個人征信信息主體權益保護國際經驗及啟示

劉妍

[摘要]近年來，隨著個人征信的廣泛運用，征信信息安全防控形勢面臨嚴峻挑戰。做好新時代征信信息安全管理工作，切實維護信息主體合法權益，已成為當前形勢下迫切需要解決的問題。文章梳理了我國目前個人征信信息主體權益保護的現狀，對歐盟《一般數據保護條例》中的個人征信信息主體保護進行了分析，總結了我國在這方面存在的問題，并參照歐盟經驗，提出了相關建議。

[關鍵詞]個人信息安全;權益保護;國際經驗;個人征信信息主體

[DOI]1013939/jcnkizgsc201928042

1引言

近年來，隨著個人征信的廣泛應用以及大數據、云計算等數字技術的迅猛發展，相關的維權投訴事件明顯增多，信息泄露風險不斷蔓延，征信信息安全防控形勢面臨嚴峻挑戰。在全世界范圍內，個人信息主體權益保護越來越受到金融監管當局的重視。2018年4月，中國人民銀行下發了《中國人民銀行關于進一步加強征信信息安全管理的通知》（銀發〔2018〕102號）（下稱102號文），旗幟鮮明地將個人信息安全和信息主體權益保護的管控要求提到了全新高度。在當前形勢下，如何做好新時代征信信息安全管理工作，切實保護信息主體合法權益，已成為迫切需要解決的問題。文章將通過對歐盟《一般數據保護條例》相關做法的分析，對比我國現狀，借鑒國際先進經驗，提出我國個人征信信息主體權益保護的相關政策建議。

2目前我國個人征信信息主體權益保護主要概況

21我國個人征信信息主體權益保護法規制度

我國《征信業管理條例》賦予了信息主體知情權、異議權和救濟權等權益，對信息提供者、信息使用者及征信機構的義務和責任做了相關規定。為切實防范征信信息泄露風險，中國人民銀行作為國務院征信業監督管理部門，還先后印發《中國人民銀行關于加強征信合規管理工作的通知》（銀發〔2016〕300號）以及102號文等，在金融信用信息基礎數據庫運行機構、接入機構和人民銀行分支機構建立起較為全面的征信信息安全防控機制。

22我國個人征信信息主體權益保護監管現狀

近年來，中國人民銀行采取了多種措施加強征信領域的個人信息保護，運用現場檢查和非現場監管手段規范各類征信參與主體行為。數據顯示，2017年，各級人行檢查接入機構17670個，處罰3147個機構和919名個人，金額達20604萬元，同比增長1312%，現場檢查的廣度、深度、強度都明顯提升。

盡管中國人民銀行等各級監管部門在征信信息保護方面采取了很多措施，取得了一定成效，但是當前我國個人征信信息主體權益保護形勢不容樂觀。與此同時，經濟全球化及對外開放也使得征信監管工作在新時代面臨新考驗，因此必須盡快抓緊學習國際先進的信息保護理念和監管規則，不斷提高征信信息安全管理水平。

3我國個人征信信息主體權益保護存在問題

31基礎立法缺失， 系統性法制建設較為滯后

我國缺乏個人征信信息主體權益保護方面的專門立法，《民法通則》《消費者權益保護法》《征信業管理條例》等只對個人信息保護做了原則性的規定。目前對個人金融信息進行保護的文件依據只有《個人征信信息主體基礎數據庫管理暫行辦法》（中國人民銀行令〔2005〕第3號）以及102號文等，但這些文件只屬于部門規章和規范性文件，不屬于廣義法律范疇。

32監管職責不明確，缺乏清晰的職責范圍和協調機制

目前我國對個人金融信息的保護缺少集中統一的監管法規及框架體系。在《中國人民銀行法》等法規中沒有對個人金融信息保護的監督管理部門做出統一規定。中國人民銀行及行業監管機構各自為政、各司其職，各監管部門行使監管、檢查和處罰的法律依據不充分，由此形成監管缺位、職責不清、效率不高等問題。尤其是互聯網金融中的個人征信信息保護工作目前仍處于多頭管理或者監管真空的狀態。

33基層央行信用信息安全保護難度加大

征信業務涉及部門多、監管難度大，征信信息安全管理工作涉及機構層級多、業務鏈條長，同時，隨著機構接入數量不斷增多，查詢用戶數和查詢量明顯增大，異常查詢數量和異議處理數量也不斷增加，給基層央行帶來很大壓力。以南京市為例，截至2018年年末，南京市個人征信系統累計接入65家機構，2018年個人信用報告查詢總量為7787萬筆，同比增加5%。信用報告的應用范圍廣、可查詢部門多、查詢量快速增長使得個人征信信息主體泄密的風險日漸升高，增加了監管難度。

4歐盟個人征信信息主體權益保護的相關經驗

1995年，歐盟頒布實施了《關于個人信息處理保護及個人信息自由傳輸的指令》（以下簡稱“95指令”）。2016年4月，歐盟議會通過《一般數據保護條例》（GDPR）。至2018年5月25日， GDPR正式實施。該條例制定的主要思路是保護個人數據信息和促進數據自由流動并重，其核心內容主要體現在以下三點。

41強化數據主體權力，延伸保護范圍

GDPR給予數據主體的權利主要包括七項，具體為：數據收集時的知情權、個人數據處理情況的查詢權、錯誤個人數據的更正權、刪除權（被遺忘權）、限制處理權（反對權）、可攜帶權、退出權。GDPR對數據主體權力的強化主要體現在：一是通過強化企業的義務使個人能夠更好地行使知情權、訪問權、反對權等“95指令”已規定的權利。二是賦予了“95指令”之外更多的個體權利。三是將受保護的個人信息范圍大大延伸。

42提升立法層級，加大處罰力度

GDPR統一了歐盟對個人信息保護的監管，從而確保了“一個歐洲一部數據保護法”。GDPR對各國數據監管機構的檢查權、執法權、處罰權以及司法訴訟權進行了明確界定。GDPR明顯加大了處罰力度：對一般性違法，處以最高1000萬歐元或相當于上年全球營業收入總額2%的罰款，兩者取最高一項;對違法行為較惡劣的，施加最高2000萬歐元或相當于上年全球營業收入總額4%的罰款，兩者取最高一項。

43增強監管力度，拓展管轄范圍

在屬地管轄的基礎上兼采屬人管轄，凡在歐盟境內設立的企業或有向歐盟境內個人提供視頻或服務的，都將受到GDPR的管轄。在明確賦予用戶權利、大幅強化企業責任之外，這一條例還規范了監管安排機制。在歐盟層面，增設歐洲數據保護理事會作為數據監管的最高權力機構，確保GDPR在各個成員國的統一適用;在歐盟成員國層面，提出了“一站式”監管，明確了各成員國的管轄權及監管規則，極大地提高了監管效率，降低了企業的監管成本。

5完善我國個人征信信息主體權益保護的政策建議

51完善系統性法律體系建設

進一步完善頂層設計，借鑒西方發達國家的法律保護經驗，在行政法規、部門規章、規范性文件和行業標準構成的多層次征信法規制度體系上，在保障信息主體權益和征信信息安全的前提下，推動個人征信信息主體保護立法，在制度層面為征信體系的發展提供保障。

52兼顧保護與應用的平衡設計信息保護條款

數據確權是保障個人隱私和促進數字經濟健康發展的法律基礎。建議借鑒歐盟個人數據保護立法經驗，在大數據、云計算等快速發展的技術背景下，對《征信業管理條例》數據主體的賦權進行重新修訂和完善。兼顧個人數據權力保障與促進數字經濟健康發展之間的平衡，合理合法應用信用信息，推進信用信息為社會和行業服務。

53明確個人征信信息主體權益保護監管機構

參考GDPR 中歐盟數據安全保護委員會的頂層設計，對信息監管職能進行統一規劃，專設個人征信信息主體權益保護監管機構，統一協調管理信息保護方面的事項，對信息主體給予司法救濟。

參考文獻：

[1]陳雨露個人信息保護與征信業發展[J].中國金融，2017（11）.

[2]萬存知個人信息保護和個人征信監管[J].中國金融，2017（11）.

[3]中國人民銀行杭州中心支行課題組個人征信信息主體權益保護問題研究[J].征信，2018（4）.

[4]王達，伍旭川歐盟《一般數據保護條例》的主要內容及對我國的啟示[J]. 金融與經濟，2018（4）.

[5]鄭鈞，高鼎新歐盟GDPR及其對金融業的影響[J].中國金融，2018（12）.

[6]呂進中我國個人征信信息主體權益保護立法路徑探討[J].中國征信，2018（3）.