2015年第8期 总第199期 征 信 CREDrr REFERENCE No.8 2015 Sefial NO.199 互联网征信个人信息保护立法的探讨 张忠滨 .刘岩松 (1.中国人民银行铁岭市中心支行,辽宁铁岭1 12000; 2.中国人民银行调兵山支行,辽宁调兵山112700) 摘要:互联网金融业务的快速发展,对互联网征信带来了新的挑战,同时也使个人信息保护工作面临一些问题, 如网络客户在信息采集、加工、使用中处于弱势地位,征信数据安全无法得到有效保障,客户信用信息跨境流动缺 乏有效监管等。应加快个人信息保护立法进程,建立个人信息保护机制,满足新技术要求。 关键词:互联网征信;个人信息;信息保护 中图分类号:I)922.281;F832.31 文献标识码:B 文章编号:1674—747X(2015)08一OO44—02 2015年1月初,央行发布决定放开个人征信业 一次性取得的授权是否合法、有效依然值得商榷。 务的通知,包括芝麻信用、腾讯征信等互联网征信公 司获准做好个人征信业务的准备工作。这是我国个 人征信体系迈出市场化的重要一步,但同时,个人信 息保护立法也变得更为迫切。随着个人征信业务向 互联网企业放开,我国个人信息保护的相关法规应 尽快出台。 一二是互联网征信企业数据采集、使用范围无明确规 定。由于消费者在互联网上的所有活动都会被记录 下来,且目前国内外互联网征信机构所使用的信用 信息评价手段也千差万别,因此互联网征信企业应 该或者说可以采集的信息究竟包括哪些内容应予以 明确。《征信业管理条例》虽对禁止采集的信息进 行了列举,但针对互联网征信企业信息采集范围的 、互联网征信使个人信息保规出台更显 迫切 相关规定依然缺位。另外,互联网征信企业对原始 数据进行加工、分析后得出的信用信息使用范围亦 没有明确规定,这也增大了个人信息泄露的风险。 (一)网络客户在信息采集、加工、使用中处于 弱势地位 三是原始数据an-r_后的信息所有权不清。由于互联 网征信企业收集消费者在网络上留下的痕迹后通常 要进行二次加工,才能获得其所需要的信用信息,但 在这一过程中,互联网征信企业是否“天然地”具有 新技术的产生和进步,使互联网征信业迅速发 展,并具备了许多传统征信业所不具有的先天优势, 但在这一过程中,网络客户相对于网络征信企业始 终处于弱势地位。一是互联网征信企业取得客户授 这些加工后信息的所有权也需要法律进行明确。 (二)征信数据安全无法得到有效保障 互联网征信企业多依赖于基于互联网的云存 储、云计算等新型技术,在具备方便、快捷、低成本等 优势的同时,征信数据的安全性也受到空前挑战。 一权的有效性值得商榷。由于网络的虚拟性及跨跃空 间、时间特性,目前许多网站都是通过格式条款一次 性取得消费者对相关信息的“概括性授权”,这种 “概括性授权”往往仅要求消费者同意其使用消费 者的相关信息,但具体这些信息包括哪些内容、如何 储存加工、使用主体有哪些都不会明示。因此,这种 收稿日期:2015—06—22 是互联网络的开放性加大了征信数据泄露的风 险。近年来大量出现的个人网络信息泄露、网站被 作者简介:张忠滨(1974一),男,辽宁铁岭人,经济师,学士,主要研究方向为征信管理;刘岩松(1977一),男,辽宁铁岭人, 经济师,学士,主要研究方向为征信理论与实务。 ・44・ 【问题探讨】 张忠滨,刘岩松互联网征信个人信息保护立法的探讨 黑客攻击等事件,说明互联网安全形势十分严峻。 量均迅速膨胀,各国纷纷从个人信息保护角度进一 步明确信息跨境流动规则。如新加坡的《个人资料 如何保障征信信息在云存储或云计算过程中不会被 泄露,是互联网征信企业必然面对的一个难题。二 是互联网征信企业数据安全保护措施不透明。互联 网征信企业的数据存储、传输和使用的方式、范围等 未向征信对象进行公示,安全保障方面采取了哪些 措施、这些措施是否有效也处于非透明状态。三是 保》、澳大利亚的《隐私法》修正案、《欧盟个人 数据保护指令》均对个人数据的跨境转移作了专项 规定。 三、我国应尽快推出个人信息保规 (一)个人信息保护立法应注意与其他法律法 互联网征信数据泄露责任难确定。对普通百姓来 说,一旦发生互联网征信信息泄露事件,征信对象对 信息泄露的时间、方式、责任者难以确定,泄密者难 以受到追责。 (三)客户信用信息跨境流动缺乏有效监督 由于网络遍布全球,数据流动瞬间即可实现,国 内消费者浏览国站或国内网站在国外架设的服 务器,都会引起数据的跨境流动问题。目前我国对 于征信数据跨境流动的监管,无论从国家法律层面, 还是监管机制方面都缺乏专门的立法和有效的措 施。另外,我国在征信数据跨境流动方面尚未建立 有效的国际合作机制,这对征信数据的合法跨境流 动和征信业的健康发展带来了不利的影响。 二、个人信息保护立法的国际新趋势 (一)进一步完善个人信息保的解释执行 规则 为应对新技术带来的冲击,各国普遍对原有个 人信息保的解释和执行规则进一步完善。如新 加坡发布的《个人数据保关键概念咨询指南》 《个人数据保指定主题咨询指南》和澳大利亚 发布的《隐私法》修正案,重点明晰了相关概念的含 义,对网络IP地址、cookie等是否属于个人信息、是 否应当适用个人信息保都做出了界定,对隐私 保护的原则和具体方针进行了明确。 (二)逐步建立针对特定业务的个A-4- ̄息保护规则 为了应对云计算、移动应用等新业务,各国纷纷 建立针对特定业务的个人信息保护规则。如13本出 台的《云服务信息安全管理指南》《智能手机用户信 息处理措施(草案)》和法国出台的《云计算数据保 护指南》,分别针对云计算的安全管理提出全面的建 议并进行规范。 (三)进一步明确信息跨境流动规则 互联网应用的发展使数据跨境流动的速度和数 规的配合 由于个人信息不仅包括个人隐私,还包括个人 隐私之外的其他信息和具有商业价值的商业信息, 因此,对个人信息保护立法首先要考虑我国法律的 系统性问题,处理好特别法与一般法的关系。应借 鉴13本《金融商品交易法》《个人信息保》《消费 者契约法》之间相互配合,共同敦促金融机构充分重 视客户信息安全、投入足够资金与技术保护客户个 人信息的做法,使我国未来颁布的《个人信息保护 法》与其他法律互为补充,形成合力,共同构成保护 个人信息的完整法律体系。 (二)个人信息保护立法应明确对个人侵害的 赔偿机制 个人信息具有很强的人身属性,与人的日常生 活和职业状况密切相关。因此,个人信息保护立法 应明确由行政机关通过民事或刑事处罚的方式来对 个人实施救济,使信息收集者改正错误的信息收集 行为并对受到侵害的个人进行赔偿;而且还要为个 人提供要求损害赔偿的司法途径。另外,应将数据 泄露通知引入到个人信息保护立法,要求信息管理 者在发生严重的数据泄露时,必须及时通知相关监 管部门及受影响用户。 (三)个人信息保护立法应充分考虑新技术带 来的新要求 我国个人信息保护立法应充分发挥后发优势, 充分考虑新技术、新应用产生的个人信息保护方面 的新变化、新挑战,以确保个人信息保护立法的严谨 性、有效性和可执行性。应借鉴国际上信息保护立 法方面的有益做法,明确和规范个人信息定义和范 畴,规范对云计算、云存储的管理和监督,加强个人 信用数据跨境流动的管理和国际间合作,促进我国 征信业健康发展。 (责任编辑:牛茜) ・45・
