(一)个人信用信息权益的法律界定
个人信用信息权益由个人信息保护权益与“超个人法益”构成,因此,它兼具私有与公共属性,且涵盖权力与权能属性的综合权力束。早期学者的研究聚焦个人信用信息权益界定问题。叶名仪指出个人信用信息权益包括知情权、同意权、修复权、决定权、访问权等积极权能与删除权、更正权、异议权等消极权能。时诚基于《中华人民共和国民法典》(下文简称《民法典》)制度框架指出,信用信息自主权益应该包括查阅权、复制权、更正权、删除权。吴高臣分析《个人信息保护法》的法教义学体系建构时发现,信用信息权益应被概括为知情权、决定权、修改权、修复权四项权能。李艺强调个人信用信息权益法律阶位应被提升至宪法层级,只有将个人信用信息权益纳入宪法财产权益范畴,才能确保信息主体的权益不受侵犯。
(二)个人信用信息权益保障机制的研究
构建个人信用信息权益保障机制的关键在于确保信息主体对信息具有控制和救济权利,约束市场机构准确、客观、合法地采集、存储、使用、共享个人信用信息。
曾光辉和陈晟涌认为,我国信用信息权益保障法律体系尚不健全,个人提请异议维权的时间成本较高。从宝辉指出,网络金融平台对于征信主体信息缺乏实质性审核,导致《征信业管理条例》的法律监管效力下降。郭澎强调,在互联网征信业态下,已有监管机制出现割裂、封闭趋势,导致监管存在真空地带。
可见,已有研究主要基于征信行业特征和立法角度探究信用信息权益保障机制完善路径,研究对象以传统征信为主,对大数据背景下的信用信息权益保障机制研究稍显不足。
(三)大数据背景下个人信用信息权益保障机制
传统信用信息权益保障机制难以适配大数据技术引发的征信业态变革。万存知认为,大数据与征信业务在框架与原理上存在本质区别,导致二者的信息权益保障机制不能直接套用。
侯姝琦和程雪军指出,当前法律对于“大数据+金融”背景下,信用信息的监管存在缺位,导致权益保障效力不足。陈禹衡强调,应将信用信息泄漏行为纳入刑法规制,以保护个人信用信息。吴旭莉认为,我国个人信用信息保护法律位阶较低,难以适应大数据背景下个人信用信息保护的场景应用。可见,当前学者关于大数据背景下个人信用信息权益保障机制的研究,主要关注征信立法与法律规制问题。
但是,对如何借鉴国际经验完善个人信用信息权益保障机制的思考不多,鲜有学者从问题梳理与经验镜鉴视角开展研究。本文基于大数据背景,梳理我国个人信用信息权益保障机制存在的问题,并基于国际经验镜鉴,提出完善建议,具有一定的创新性。
二、大数据背景下我国个人信用信息权益保障机制的现实困境
大数据技术为我国完善个人信用信息权益保障机制带来诸多挑战。其中,信息真实性隐忧、过度采集挖掘、监管效力不足及维权渠道不畅,成为当前我国个人信用信息权益保障机制存在的显著问题。
(一)自动化数据处理引发信息真实性隐忧
自动化数据处理技术的应用为个人信用信息带来真实性隐忧。首先,真实的海量数据集是决定信息真实性的基础。但是,过多的个人信息数据对大数据筛选、处理模型产生过度依赖,同时增加了数据清洗时间与验真成本。可能导致个人信用信息数据真实性存疑。其次,大数据技术的应用存在适用性局限。运用自动化数据处理模型获取个人信用信息,仍然过度依赖采集者的主观观察与选择,因此,可能造成个人信用信息数据的不相关。
同时,仅限于互联网层级的数据来源,排斥了未连接互联网的信用主体,导致信用信息数据可靠性存疑。最后,我国政府、金融机构、通信企业间的个人信用信息系统间存在封闭属性,多样的数据采集标准造成了信息系统间割裂式发展,增加了数据整合难度,难以实现大数据技术下的个人信用信息数据共享。
(二)过度数据开采挖掘造成侵权事件多发
运用大数据技术采集个人信用信息,可能会造成过度采集与非法泄露等侵权事件。
一方面,大数据背景下,已有法律尚未明确金融机构与征信企业的数据采集范畴与标准。针对征信信息采集,现行监管体系主要基于《征信业管理条例》第14条规定不得采集宗教信仰、血型、指纹等敏感信息以及收入、存款、不动产情况等经济信息。这一条目限制性规定了信用信息采集范围,为侵权行为留有空间。
另一方面,在大数据背景下,个人消费信贷信息数据往往会在未经信息主体确认与允许下,被过度采集与挖掘,造成主体隐私侵权行为。同时,无论是《个人信息保护法》还是《征信业管理条例》,对于数据采集机构的加工、存储和共享等行为约束过于松散,对二次使用缺乏限制,导致数据非法泄露与安全隐患,需要立法机关明确相关法律。
(三)信用信息权益外延导致监管体系失灵
根据《民法典》第1029条、第1037条规定,个人信用信息权益应该包括知情权、查阅权、复制权、更正权、删除权等权能。然而,伴随着个人信用信息失窃与泄露事件的发生,现有信用信息权益外延不断被拓宽,越来越多的公民开始表达反对权和被遗忘权等诉求,即信息主体有权对金融征信机构采集信用信息数据提出反对与拒绝,有权撤回同意处理信用数据的权限。因此,将信用信息权益拓展至上述两种权利是我国征信业发展难以回避的问题。然而,在信用信息权益外延尚未完成阶段,现有监管体系对侵犯上述权益案例的行政调解和司法处罚,还需针对性识别与救济。同时,后续两种权利的保障实施,无疑会对整个征信行业的数据采集方式、权限获取形式乃至数据类别构成带来颠覆性变革。
(四)权益法律保护缺位引发维权渠道不畅
我国个人信用信息维权机制主要采用行政救济为主,司法救济为辅的方式。如《电信和互联网用户个人信息保护规定》第9条至第11条、第13至第16条、第17条第2款规定,对信用信息侵权的处罚行为仅包括警告、约谈、限期整改和行政罚款等方式,罚款金融上限为3万元,这种处罚力度显然难以对侵权行为形成足够威慑。然而,考虑到大数据技术下信用信息获取便利与泄露风险激增,传统法律保障机制难以适配大数据背景下的个人信用信息侵权行为。以往征信异议申请与征信投诉的行政维权方式,难以满足信用主体维权便利性宗旨。
同时,上述维权模式也难以适配大数据背景下信用信息侵权行为的网络交易跨行业跨地域特征,无疑会引发维权渠道不畅、效果不佳以及处罚不严等情况。因此,应尽快加强信用信息维权的司法救济渠道建设。
有鉴于此,本文考虑建设性地借鉴西方国家个人信用信息保障机制经验,研究完善我国个人信用信息权益保障机制。基于立法与监管双重视角,分析美国、日本和欧盟等个人信用信息保障机制,以期获得个人信用信息权益保障机制的国际镜鉴。
(一)美国个人信用信息权益保障机制
美国政府采用分散立法方式,针对个人信用信息侵权具体场景制定专项法律。具体而言,美国个人信息权益保障法律体系共涵盖16部法律,《公平信用报告法》和《平等信用机会法》构成法律体系核心。其中,《公平信用报告法》明确了个人信用信息的采集范围与采集方式,并对个人与征信机构的权责义务、采集传播等进行约束。分散立法尽可能对侵权场景进行细化,能够保证立法的针对性与司法救济的专业性,但也会占用立法资源、增加基层审判负担,难以适配我国当前现实国情。
在监管机制层面,美国采用政府监管与行业自律并举方式。在政府监管层面,美国联邦贸易委员会(FTC)对个人信用信息采集、信用评级、报告制售、隐私保护等行为进行监管;消费者金融保护局(CFPB)对金融消费者的个人信用信息权益进行监管维护。在行业自律层面,信用报告协会与信用管理协会在金融征信企业运营中扮演监督者角色。
我国征信企业数量、信用信息主体数量巨大,同时,征信行业自律模式发展仍处于萌芽阶段。因此,采用由政府主导的监管模式监管征信企业运营更有效。依照《征信业管理条例》,强化人民银行征信中心对个人信用信息采集的监管作用,更新信用信息基础数据库,能够完善监管流程,细化监管措施,提升监管效能。
(二)日本个人信用信息权益保障机制
日本政府充分吸收美国与欧盟的立法经验,一方面,出台信用信息权益保障的基本法——《个人信息保护法》,明确规定个人信用信息权益界限与保护标准。另一方面,根据行业类别、侵权情形等因素出台单行法律,如《关于金融机构等保护个人数据的指针》《贷款业规制法》《政府信息公开法》,以实现法律体系对侵权个案的覆盖。然而,设立过多法律增加了立法难度、行政与司法维权的复杂性。这一方式显然不适合我国国情,快速有效的法律救济方式是当前国民最迫切的需求。
日本政府主要构建以会员制为主体的行业自律监管体系。其中,全国银行个人信用信息中心(KSC)、株式会社日本信用信息中心(JICC)、株式会社信用信息中心(CIC)分别负责银行信贷、零售金融以及汽车信贷信用信息监管。同时,日本国内行业协会在信用信息采集监管中发挥重要作用。其中,行业协会制定会员章程,运用“查询+数据报送”方式实现信息共享时,对违反章程的企业进行批评、处罚甚至清退出会。日本个人信用信息行业自律监管得益于征信业的规范化业务流程。
然而,我国征信行业正处于蓬勃发展阶段,通过政府构建统一的监管体系,是确保征信业健康发展的有效方式。尽管如此,行业自律监管模式是减轻政府压力、便于主体维权、优化权益保障机制的未来方向。
(三)欧盟个人信用信息权益保障机制
欧盟政府采取统一立法方式,出台个人信用信息权益保障的基本法,来保护个人信用信息权益。具体而言,欧盟出台《一般数据保护条例》在各成员国统一适用,各国立法机关也可通过统一立法,维护公民信用信息异议核查的权利,如英国出台《消费信贷法》。采取统一立法的方式可以避免多法律间的协调性问题。与欧盟类似,我国征信也具有信息类别复杂和主体规模大等特征,因此,统一立法方式更为有效。我国在2021年出台《个人信息保护法》《数据安全法》,标志着信用信息权益保障机制正在通过统一立法方式不断完善。
欧盟采取由政府主导的监管模式,设立最高个人信用信息监管机构——欧盟数据保护委员会(EDPB),该机构拥有最高监督权与最终判决权。各国设立欧洲数据保护专员公署(EDPS)与个人数据保护机构(SA),承担本国个人信用信息权益监管职责。此外,各国还可以设立信用信息单独监管机构,如德国设立联邦数据保护专员委员会。我国与欧盟信用信息监管机制在内在机理上既有相似之处又有显著差别。
一方面,我国与欧盟都是采用政府主导的监管模式,源于统一立法对于法律效力的把控。另一面,中国人民银行征信中心规范了企业信用信息报送与采集流程,并不需要再设二级监管机构,这是我国信用信息监管机制的显著体制优势。
四、大数据背景下我国个人信用信息权益保障机制的完善进路
大数据背景下,我国个人信用信息权益保障机制有待进一步完善。本文立足我国个人信用信息权益保障机制存在的问题,在借鉴国际经验基础上,从制定信息处理标准、明晰数据采集边界、加快大数据征信专项立法以及构建多元保障机制等方面,提出完善个人信用信息权益保障机制的建议。
(一)制定信息处理标准,确保信息真实可靠
明确大数据技术适用范畴,制定信息处理技术的统一标准,是从根本上确保个人信用信息真实可靠的有力措施。因此,建议从政府和行业监管两方面,完善信息处理技术的范式标准。
一方面,建议中国人民银行征信中心严格执行统一的信用信息报送标准,规范报送流程,要求征信企业对数据处理技术的使用进行法律承诺,报备采集个人信用信息的事由权限、内容方法以及保管使用范畴,以保证个人信用信息的时效性与准确性。
另一方面,应立足于大数据技术框架,推进企业大数据征信系统的研发与应用的同时,基于信用信息来源广、数据类型复杂以及清洗难等特征,制定数据加工与挖掘技术的统一使用标准。防止个人信用信息因数据处理方式与模型筛选不同造成的数据失真。制定统一的信息处理技术标准有助于实现跨行业、跨企业信用信息系统的合理对接与数据共享。
(二)明晰数据采集边界,规范征信企业运营
明晰个人信用信息数据采集的范畴与边界,是规范征信企业运营模式的有效方式,更是防范个人信用信息侵权行为的直接途径。鉴于此,建议从两方面明晰信用信息采集边界。
一方面,立足现有统一立法,明确采集原则。征信机构应严格遵照《个人信息保护法》第6条规定,以“最少、必要”的信息采集原则进行个人信用信息数据采集,不得过度采集。同时,监管司法机构应对胁迫、欺骗等非法途径采集信用信息的企业进行严肃惩治,确保征信企业数据采集过程合规合法。
另一方面,限定个人信用信息范畴。应严格对照《个人信息保护法》规定的个人信息范畴采集数据,明确征信企业的数据采集边界,制定信用主体信息采集事项清单,严禁非法采集隐私敏感信息。此外,通过学术研究、司法判定以及民意调查等方式,不断拓展和修正大数据背景下个人信用信息的涵盖范畴。
(三)加快大数据征信专项立法,完备法律监管体系
大数据背景下,已有法律监管体系对个人信用信息侵权行为的约束和惩治效力有所降低。因此,建议从三方面完备法律监管体系。
一是完善已有法律体系框架。当前大数据背景下,信用信息侵权案例具有案情复杂、危害大以及隐蔽性高等特性,《个人信息保护法》与《数据安全法》仍需进一步完善。我国司法机关在落实上述两部法律的同时,关注完善法律体系的诉求,根据法律纠纷案例出现场景与判决结果,不断优化现有法律保障机制。
二是拓展个人信用信息权益内涵。推动被遗忘权与反对权纳入个人信用信息权益框架,完善征信业相关管理条例。
三是尽快推动加快大数据征信专项立法。立法机关应积极推动针对大数据征信的专项立法,对大数据征信的采集、使用、存储以及共享行为进行全方位监管,从根本上解决法律保护缺位问题。
(四)构建多元保障机制,强化司法救济渠道
政府监管与行业自律是两种具有代表性的个人信用信息权益保障机制,同时,司法救济途径的维权便利与效力要优于行政维权。因此,针对个人信用信息维权渠道不畅问题,我国可以构建“政府监管+行业自律”的多元权益保障机制。中国人民银行、中国发展和改革委员会和中国工业和信息化部等监管机构应加强统筹协作,形成监管合力机制。推动建立行业协会等自律监管组织,约束征信机构采集、存储、使用个人数据行为。
针对维权救济机制,考虑到当前我国基层法律机关的案件压力,信用信息救济模式仍应以行政处罚为主。但是,强化司法处罚对侵权行为的制约,应该是未来完善维权救济机制的方向。因此,应逐步完善司法诉讼维权机制,推动简化司法救济流程、缩短维权时间、增强维权便利,切实满足公民的对个人信用信息侵权行为司法救济诉求。