互聯網金融領域的信用信息保護制度

趙園園

一、我國現有立法的不足

我國《征信業管理條例》代表了征信管理的重要進步，但從個人信息保護的角度來看，仍然存在很多不足?！墩餍艠I管理條例》第3條規定，從事征信業務及相關活動，應當遵守法律法規，誠實守信，不得危害國家秘密，不得侵犯商業秘密和個人隱私。但要保護被征信人的合法權益，對個人數據信息權利的保護范圍應該超越隱私權范圍。如果改為依法保護個人信息的權利，尤其是隱私權，則更為合理?！墩餍艠I管理條例》第13條規定，采集個人信息應當經信息主體本人同意，未經本人同意不得采集。但是，依照法律、行政法規規定公開的信息除外。個人數據權及于全部個人數據，不管是私密的還是公開的，規定公開信息可以隨意收集并不妥當。個人數據與個人隱私的最大區別在于，隱私在性質上是屬于私人的，屬于未向社會公開的范疇。而個人數據則可能已經公開，或本來就屬于公共事務的范疇。披露個人宗教信仰、醫療記錄、通訊內容、生活習慣等敏感信息可能被隱私權所保護。但已經公開的信息如姓名、地址、電話號碼等常常被濫用的個人數據信息，則恰恰一般被歸為已經公開的信息。

征信報告對個人的經濟信用極為重要。金融機構負責將信用信息上傳至征信中心，對于錯誤信用報告給信用主體造成的損失，法律對此沒有明確規定，司法實踐對金融機構是否承擔責任的判法不一，對此應結合相關案例詳細分析個人征信領域侵權責任的主體、客體、歸責原則、責任方式、損失及賠償范圍等問題，厘清在個人沒有過錯或僅有部分過錯的情況下，金融機構應適用過錯推定責任原則承擔相應侵權責任，賠償范圍應包括精神損害。

二、加強對個人信息保護的法律制度之間的協調與銜接

我國現有近40部法律、30余部法規，以及近200部規章涉及個人信息保護，其中包括規范互聯網信息規定，醫療信息規定，個人信用管理辦法，但這些規則在立法價值取向上從各自所屬的制度出發，存在頗多沖突之處，應當加以協調。立法機構應盡快出臺《個人信息保護法》，明確個人信息的邊界與信息保護主體的責任義務，從頂層設計上織就一張信息安全保護網。同時，還應妥善處理個人信息保護立法和網絡、信息安全管理等法規制度的關系。

三、建立個人信息保護的具體有效制度

大數據時代紛繁復雜的個人信息處理場景中，前端的、靜態的知情同意的框架已不足以應對嚴峻的隱私挑戰，而應在個人信息處理的具體場景中進行動態的風險控制，變僵化的合規遵循為靈活的風險管理，促進個人信息的合理使用，重點規制個人信息的不合理使用行為。場景與風險導向的理念能夠顯著提升個人信息保護的有效性，減輕企業不必要的合規負擔，是協調隱私保護與數據價值開發的必由之路。

（一）區分敏感信息和非敏感信息，建立信息的分類保護制度

2012年第十一屆全國人民代表大會常務委員會第三十次會議審議通過《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，為加強公民個人信息保護、維護網絡信息安全提供了法律依據。為配合《決定》的落實，《信息安全技術公共及商用服務信息系統個人信息保護指南》作為我國首個個人信息保護國家標準，也已于2013年2月1日起正式發布實施，其最顯著的特點是將個人信息分為個人一般信息和個人敏感信息，并提出默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎上，只要個人信息主體沒有明確表示反對，便可收集和利用。對于個人敏感信息，則需要建立在明示同意的基礎上，在收集和利用之前，必須首先獲得個人信息主體明確的授權。

（二）完善數據泄露的通知制度，把用戶納入通知范圍

個人信息泄漏特別是個人敏感信息泄漏會給企業造成巨大的經濟損失，給相關個人帶來精神及名譽傷害。美國FBI曾調查顯示，個人敏感信息泄漏事件的平均損失高達16.7萬美元，美國司法部將數據提高到150萬美元。一家曾發生過數據泄漏事件的美國保險公司表示，其在一次數據泄漏事件中的總損失高達410萬美元，平均每條記錄損失15美元。

我國某第三方機構對國內100家購物類平臺隱私條款進行了測評，結果顯示只有10家達到合格標準。測評結果顯示，購物平臺最普遍缺失的條款為“給予用戶退訂或拒絕商業信息的權利，提供有效途徑及操作指引”。購物平臺出于向用戶推銷促銷活動和商業廣告等商業信息的需要，往往會搜集用戶的個人信息和購買習慣，而用戶則很難找到退訂途徑。此外，用戶很難得知平臺搜集個人信息之后的使用目的、用途和使用范圍。

（三）加強數據庫之間的信息共享

目前，國內征信數據庫包括國家金融信用信息基礎數據庫、地方政府建立的公共服務平臺數據、互聯網企業建立的基于網絡行為的數據庫、P2P公司通過線上采集和線下團隊調查搭建的數據庫等，但是不同類型數據庫大都是相互割裂的，分別面向不同的信息服務對象。同時，同類型數據庫之間也是相互割裂的，一方面不同職能部門、不同地區缺乏信息公開、共享和應用的具體制度和規范，信息的條塊分割、區域分割和部門壟斷現象較為嚴重；另一方面互聯網金融企業間的數據庫由于涉及企業的核心競爭力，在沒有建立起相應的利益激勵機制之前，大多是不愿意共享的。

此外，還應當考慮逐步引入被遺忘權；鼓勵產業界逐漸賦予用戶數據的可攜權；明確通過技術標準和安全保障措施，貫徹信息設計的保護機制；按照開放、有序、安全的原則，確立數據跨境移動的規則，加強國際之間的認證和協作，以開放的態度解決數據利用和安全問題。

參考文獻：

郭瑜著：《個人數據保護法研究》，北京大學出版社2012年版，第278頁。

朱玲：《金融創新背景下的金融服務法學2014年度中國金融服務法學研究動態與綜述》，《金融服務法評論》（第7卷）第474頁。

單磊：《大數據時代的個人信息保護悖論與法律挑戰》，《互聯網金融法律評論》

范為：《大數據時代個人信息保護的路徑重構》，《環球法律評論》2016年第5期，第100頁。

鄧舒仁：《關于互聯網征信發展與監管的思考》，《征信》2015年第1期，第15頁。