社会信用体系已经发展成为国家治理体系和治理能力现代化的重要组成部分,对于实现中国式现代化具有重大意义。
近年来,我国在推进社会信用体系建设方面,着力良多,成效显著。个人信用信息作为社会信用体系的核心组成部分,其规范发展的重要意义不言而喻。
近日,中国应用法学研究所组织召开个人信用信息法律规制研讨会。来自中央网信办网络法治局,北京大学、中国政法大学、对外经济贸易大学等高校,最高人民法院和地方法院,以及征信业企业的代表围绕个人信用信息授权获取、替代数据采集应用等个人信用信息法律规制前沿问题进行了深入讨论,并立足我国国情和司法实践,对完善相关制度提出了具有适度前瞻性的建议。现将会议研讨情况综述如下:
01个人信用信息的法律规制:平衡信息共享和数据安全之间的关系
随着互联网时代的发展和数据技术的跃进,海量的个人信用数据得以被捕捉、利用,为社会信用体系建设和个人征信行业的发展带来了前所未有的机遇,同时也给个人信用信息保护与数据安全带来了巨大的风险。个人信用信息作为一种基础要素,从长远看,只有平衡个人信用信息的保护与利用,才能够推动我国社会信用体系建设圆满完成,并保障个人征信业的健康、有序、快速发展。鉴于此,个人信用信息的法律规制成为当前个人征信行业乃至我国法治建设必须要面对的重要课题。
与会代表认为,信息共享与数据安全是信用服务行业发展的“一体两面”。信用服务和收集、共享的数据范围持续扩大,对信用服务行业发展有着积极的意义。同时,信用服务行业市场化程度高,需要我们更加高度地重视个人信息保护问题,需要在确保安全的前提下,促进个人信息的合法使用,切实保障个人信息权益,维护国家数据安全。那么这个平衡点如何寻找呢?回答是“依法”,但问题恰恰在于法律的颗粒度太粗,没有一个具有可操作性的规范,导致最终仍然是将问题停留在概念分辨之上。以数据企业为例,所有的数据企业都掌握着存量数据,对存量数据性质的判断目前还存在争议。到今天为止,仍然没有一个详细的操作标准。要平衡这点,关键是要制定细致、具有可操作性的标准,从而让企业知晓边界和界限在哪里。
02个人信用信息的法律保护现状 建立征信的基本目的之一就是解决市场交易各方信息不对称的问题,通过信用风险管理,发挥信用资本参与市场资源配置的作用,提升失信违约成本,改善营商环境。个人征信信息将部分个人信息转化为公共信息,因此可能存在满足社会共享信用信息需求原则与保护个人隐私不受侵害原则的冲突,尤其是在大数据征信背景下,个人信息具有易得性和个人主体对其信用信息的征集难以真正知情和同意,这两项原则之间的冲突将进一步加剧。从事后救济的角度看,民法典第四编人格权编中,第一千零三十条规定民事主体与征信机构等信用信息处理者之间的关系,适用该编有关个人信息保护的规定和其他法律、行政法规的有关规定,并在第六章对隐私权和个人信息保护作出规定。个人信息保护法第二十八条提出对“敏感个人信息”的保护。 司法实践已逐渐出现涉个人信用信息的民事权益纠纷案件,但目前裁判规则方面还存在认识不一致的情况,例如信用利益是否为具有独立价值的人格利益,是通过名誉权还是一般人格权给予保护?再如,对于信用评价不当的,除依照民法典第一千零二十九条行使异议权、更正权和删除权外,是否可以适用第九百九十七条的人格权禁令制度?个人信息保护“通知—同意原则”的实现以明确且清晰的内容告知和及时通知为前提,而告知内容又包括对个人信息的准确定义以及对使用目的和方式的预测,但对于有些平台制定的“不选择即离开”的个人信息及隐私政策,用户实际缺乏选择的权利,且大数据通过算法整合原本孤立的信息,也给何为及时有效的通知以及个人知情及同意权的认定带来困难。和个人信用信息相关联的另一个重要问题是失信惩戒机制,当前存在立法位阶过低、比例原则缺乏明确指引、救济机制不足等问题。此外,对于个人信用信息的法律规制,还要处理好行政保护和司法保护的关系。传统的隐私保护主要是通过司法保护路径得以实现,数字经济时代的个人信息保护则对行政保护提出了很高的要求。民法典规定了个人信息保护民事法律制度,个人信息保护法既明确行政保护制度,又明确个人信息保护的民事救济和公益诉讼制度,个人信用信息保护需要充分用好行政手段和司法手段,两种手段并用,实现相辅相成。
03个人信用信息的法律适用与监管体制
2013年,国务院出台的《征信业管理条例》成为整个征信业制度建立的基础,后来中国人民银行制定的《征信业管理办法》是下位法,二者的关系地位一定要明确,在法律适用上有高下之别,这是回答征信业务中的个人信息保护是否适用个人信息保护法的前提。如果适用个人信息保护法,无论是监管还是司法裁判,最终都要依据个人信息保护法和民法典,那么个人敏感信息、重要信息以及处理规则、跨境提供的规则、个人在个人处理中的告知、同意、决定、查询、删除等,这些问题都可以解决。《征信业管理条例》《征信业管理办法》的相关规定如果与个人信息保护法的基本原则相抵触,那么一定要说明为什么存在特殊性,否则必然要适用个人信息保护法和数据安全法,这是当下展开征信业务的最关键问题。进一步,如果适用个人信息保护法,将来征信业务如何开展?法律适用的问题进一步牵涉到保护和监管的组织架构、组织体制问题。
当前社会信用建设有三个机构在推进,央行负责金融征信,发改委负责社会信用,网信办统筹个人信息保护的数据安全。个人信息涉及多种类型,必然会产生交集,那么将来几个机构之间如何协调。对于涉及社会信用信息的,建立黑名单等是发改委主导的监管和执法活动,如果涉及个人信息保护、数据安全,则是网信办负责。在未来三个机构之间如何分工,如何适用法律,依据什么法律?这些问题都需要把监管体制理顺。
04以个人信用信息为基础的个人征信业的完善建议 网络安全法、数据安全法、个人信息保护法三部法律是我国征信行业关于个人数据安全和个人权益保护方面重要的上位法依据,为征信行业数据采集、加工和使用带来深远影响。针对个人征信业务快速发展过程中存在的问题,有以下四个方面值得努力: 一是加强征信法律法规制度供给,夯实个人信息保护基石。目前征信领域缺少具有顶层设计功能的法律,现有规范效力层级不高,监管依据相对滞后于当前蓬勃发展的征信实践,尚未形成完整的征信信息主体权益保护法律体系。 二是培育市场化个人征信机构,建立健全多层次市场组织体系。我国目前仍处于以公共征信为主导,市场化征信推进过程之中。我国作为世界上人口最多的国家,拥有世界上最大规模的信贷与消费市场,现有的个人征信机构难以完全满足市场对个人征信产品日益增长且多样化的需求。 三是加大对前沿技术的研发应用,利用科技助力行业守正创新。个人征信及相关从业机构在落实已有法律法规基础上,可建立个人征信信息全生命周期安全保护机制,充分运用隐私计算等技术手段对数据进行处理和加工,促进相关信用数据实现有效开发利用,严防个人信息误用、滥用,切实保护个人隐私安全。 四是成立征信企业行业协会,加强行业内部监督和自律管理。可研究成立征信企业行业协会,充分发挥行业协会的组织领导和自律惩戒作用,加强对市场不同类型机构的经营管理及日常经营行为的纪律约束,营造合规经营环境,借助行业内部监督助推个人征信业务持续稳健发展。