1、本章知識結構圖信息主體權益保護6.1 主要經濟發達國家信息主體隱私權保護相關規定6.3 征信機構信息系統安全及內控機制6.2 我國信息主體隱私權保護相關規定 6.1 主要發達經濟國家信息主體隱私權保護相關規定征信數據采集限制與保護征信報告對外使用限制征信機構的侵權責任與免責征信數據采集限制與保護信用信息的分類征信數據采集中被征信人的權利個人信用數據保護的立法模式信用信息的分類企業信用信息與個人信用信息一般信用信息與敏感信用信息正面信用信息與負面信用信息企業信用信息企業基本信息企業信用記錄信息企業經營管理方面的信息個人信用信息個人基本信息信用信息消費者信息的查詢記錄一般信用信息與敏感信用信息一般

2、信用信息與敏感信用信息是從一般信息與敏感信息的分類中推演出來的。一般信息與敏感信息在個人信息領域表現為一般個人信息和敏感個人信息，而在企業信用信息領域則表現為一般信用信息和作為商業秘密的信用信息。立法中對法定的敏感信息數據類型的確認，因國家的不同而有所不同。正面信用信息與負面信用信息信用信息可以分為正面信息與負面信息。正面信息就是能使信用主體獲得信賴與積極評價的一切信息，負面信息則是與信用主體信用相關的非正面信息。對于負面信息的征集，各國法律均持肯定態度，但是對于正面信息的征集則各國態度不盡一致。征信數據采集中被征信人的權利 同意權知悉與異議權個人信用數據保護的立法模式美國個人信息保護立法模式

3、分析 美國對個人信用數據收集、使用和保護等方面，平衡考慮了征信業發展和個人權利保護兩個方面的因素。他們立法既為個人征信機構的合理生存和經營保留了適當的空間，也全面考慮了保護消費者個人人權方面的需要。美國法律對個人信用數據的平衡保護個人征信機構收集信用數據的法定許可個人征信機構必須履行的法定義務信用數據主體的權利對個人信用數據保護的責任方式歐盟（及歐洲主要國家）個人信息保護立法模式 歐盟是個人信息保護立法的模范和先驅。歐盟國家最先關注信息通訊技術對社會的影響問題，并導致歐盟于1995年制定了歐盟個人數據保護指令（1998年10月開始生效）。歐盟指令價值傾向明顯，覆蓋范圍廣泛，規制程度深，執行機制

4、健全。歐洲理事會協定規定的個人數據保護基本原則數據質量數據的特殊類型數據安全對數據主體的保護例外與限制賠償責任擴大的保護歐洲各國個人信用信息保護法規德國信息保護法規 作為大陸法系的代表，德國在個人信息立法保護上始終堅守統一立法模式。1990年12月公布的資料處理與資料保護繼續發展法（簡稱1990年德國資料法），其鮮明特征是：擯棄了美國隱私權的立法理念，轉而確立人格權的基礎性法律地位。 該法第1條規定:“本法之目的在于保護個人免于因個人資料的傳輸造成人格權的侵害”，從而走上了在立法理念上與美國分道揚鑣的道路。英國信息保護法規 英國的個人數據保護制度主要由四大部分組成;法典、判例法、民間實踐和執法

5、機構。由于受歐盟數據保護立法和理論研究的影響，作為普通法國家的英國在個人數據保護法律方面顯示出明顯的大陸法系的特征。日本個人信息保護立法模式分析 隨著2005年4月個人信息保護法的全面實施，意味著日本構筑了一個相對完整的以個人信息保護法為基本法，各部門單行法為補充的法律體系:除作為基本法的個人信息保護法外，對國家機關、地方公共團體、行政機關、獨立行政法人等還分別制定了不同的法律和法規。 日本的個人信息保護立法外形上類似歐盟立法模式，但在實質上更多地采納了美國立法的許多做法，非常值得我國在制定個人信息保護法時予以借鑒。征信報告對外使用限制征信數據的使用方式個人信用數據使用限制個人信用數據使用期限

6、規定征信數據的使用方式個人信用報告個人信用評分個人信用數據市場營銷個人信用數據使用限制由于個人信用信息涉及個人隱私，因此各國法律對信用信息的使用范圍多做出了明確的限制。個人信用數據使用期限規定歐盟指令對時限做了原則性規定，要求保留數據的時間符合采集數據的目的美國法律規定，正面信息保留10年，負面信息則采取：破產記錄保留超過10年、任何民事訴訟、民事判決、被捕記錄、繳納欠稅滯納金記錄、被追收或被沖銷壞賬負面記錄只能保留7年除墨西哥外，拉美國家規定信用報告所含信用記錄職能保留短短的幾年時間，特別是當債務償還后。美國的公平信用報告法規范了個人信用數據使用和傳播的范圍。個人征信機構向機構提供個人信用信

7、息報告應事先通告該當事人，無權將未經授權的個人信用數據其他機構或個人提供。歐洲國家比美國要求的嚴格，歐盟指令要求為了保護公共利益情況下，或者在獲準被征信人同意的條件下才能使用信息。征信機構的侵權責任與免責征信機構的侵權 在對信用數據進行采集、處理和使用過程中，征信機構、信用數據提供人或征信產品使用人采取不正當的方式進行處理，就可能造成信用數據主體個人隱私、信用、人格尊嚴受損，其中以征信機構的侵權行為最為嚴重。侵權行為（1）超出業務上必需的范圍或者收集目的而收集被征信人信息的行為；（2）須同意而未獲同意就收集信息的行為；（3）以違法或不正當的手段收集信息的行為，虛構、篡改被征信人信息，或者擅自錄

8、入禁止錄入信息的行為；（4）不履行法定義務，無正當理由而拒絕被征信人查詢、更改、刪除請求的行為；（5）對有法定保留期限并超過法定期限的信息記錄尚未永久刪除的行為；（6）提供錯誤、過時、不完整信息的行為；（7）泄露商業秘密、個人隱私的行為；（8）丟失被征信人信息資料的行為；（9）須經本人同意而未獲同意即向他人提供信息的行為；（10）向法定范圍以外的單位或個人提供信息的行為。刑事責任采集信息時，征信機構應當說明自己的身份、征信信息的目的等。各國法律都禁止征信機構采取欺騙、竊取、賄賂、利誘、脅迫、利用計算機網絡侵擾或者不正當的方式收集信用信息；禁止商業組織以商務調查的方法取得他人的信息；禁止以私人訪

9、問的方式取得對信息主體不利的信用信息，以有效保護信息主體的個人隱私權。民事責任征信機構主觀上存在過錯征信機構客觀方面存在違法行為被征信個人受到損害國外征信機構免責立法征信機構每天都要處理海量數據，在這一過程中，數據錯誤在所難免，并且，原始數據及其修改權限都在上報數據的機構，自動化的數據采集、整合機制識別不了錯誤數據。如果一旦發現錯誤數據就認定征信機構存在過錯，甚至要求承擔法律責任，顯然有失公允的，必然會阻礙征信業的發展，影響到授信業務的開展，最終會對金融體系的穩定造成損害。因此，各國立法都對征信機構數據錯誤規定了一定的免責條款。各國免責的立法情況分類直接規定征信機構免責的立法情況遵循“合理程序

10、原則”即可免責的立法情況6.2 我國信息主體隱私權保護相關規定個人信用征信系統隱私權保護的法律現狀個人信用數據使用限制個人信用征信系統中隱私權保護的法律現狀我國現行法律體系關于個人信用征信過程中隱私權保護的法律法規呈零散的狀態。我國的憲法及民事基本法領域中對公民隱私權并沒有明確的規定，對公民的隱私權采取了間接保護的方式。相比之下我國的信用征信地方法規發展較早，上海、深圳等地均頒布過“個人信用信息征信管理的相關試行辦法”，但這些試行辦法在隱私權的保護上還存在有一定的不足。個人信用信息基礎數據庫管理暫行辦法規定地方性法規規定征信業管理條例相關規定個人信用信息基礎數據庫管理暫行辦法該暫行辦法是我國第

11、一部規范個人信用信息采集和使用的規章。規定了對個人信用信息進行保密的原則，對我國各商業銀行和征信中心的內部風險控制和具體的操作規程都提出了嚴格的要求。明確個人信用信息基礎數據庫采集信用信息的范圍，采集信息應當采取的方式，系統數據庫的使用用途、個人如何取得本人信用報告和異議處理的規定；還規定了征信中心和商業銀行具有保障的義務和責任，要求對個人信用信息準確性、時效性和安全性負責。個人信用信息基礎數據庫除了從制度方面制定措施保證信用信息的安全以外，還在技術層面采取多重措施來保障個人信息的安全。地方性法規2003 年 12 月出臺的上海市個人征信管理試行辦法參考了美國公平信用報告法的規定。主要內容界定

12、了個人信用信息的范圍對信息采集方式進行了限定規定了披露的原則對征信機構明確了過錯責任征信業管理條例我國征信業管理條例2013年3月15日起施行，第13條規定，“采集個人信息應當經信息主體本人同意，未經本人同意不得采集。但是，依照法律、行政法規規定公開的信息除外。企業的董事、監事、高級管理人員與其履行職務相關的信息，不作為個人信息。”第14條，“禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規規定禁止采集的其他個人信息。征信機構不得采集個人的收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息。但是，征信機構明確告知信息主體提供該信息可能產生的不利后果，并

13、取得其書面同意的除外。”第15條，“信息提供者向征信機構提供個人不良信息，應當事先告知信息主體本人。但是，依照法律、行政法規規定公開的不良信息除外。”個人信用數據使用限制征信業管理條例第20條規定，信息使用者應當按照與個人信息主體約定的用途使用個人信息，不得用作約定以外的用途，不得未經個人信息主體同意向第三方提供。個人數據使用的法律法規被征信人同意的原則關聯原則公務機關獲得強制性許可原則個人信用數據使用期限規定我國2013年征信業管理條例第十六條規定：征信機構對個人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應當予以刪除。在不良信息保存期限內，信息主體可以對不良信息做出

14、說明，征信機構應當予以記載。6.3 征信機構信息系統安全及內控機制征信機構信息系統安全等級征信機構內控機制征信系統的數據安全管理網絡訪問控制強身份認證數據通訊機密性數據存貯機密性征信系統安全等級征信機構管理辦法明確要求設立個人征信機構，應當經中央行批準，且信用信息系統應當符合國家信息安全保護等級二級或二級以上標準。根據我國信息安全等級保護管理辦法第二章，等級劃分與保護規定：第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。對于第二級國家的監督管理要求為： 第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準

15、進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。征信機構內控機制內控機制建設就是一個組織為了實現既定目標，防范和減少風險的發生，由全體成員的共同參與，對內部業務流程進行全過程的介入和監控，采取權力分解、相互制衡手段，制定出完備的制度保證的過程。征信機構是征信體系建設的核心機構，在信用體系的建設中承擔重要的職責，其客觀公正的評估有賴于內部有效的管理機制。我國征信機構內控機制的相關規定征信業管理條例相關規定 2013年3月15日開始實施的征信業管理條例第六條規定，設立經營個人征信業務的征信機構，應當符合中華人民共和國公司法規定的公司設立條件和下列條件，并經國務院征信業監督

16、管理部門批準。1.主要股東信譽良好，最近3年無重大違法違規記錄2.注冊資本不少于人民幣5000萬元；3.有符合國務院征信業監督管理部門規定的保障信息安全的設施、設備和制度、措施；4.擬任董事、監事和高級管理人員符合本條例第八條規定的任職條件；5.國務院征信業監督管理部門規定的其他審慎性條件。第八條規定，經營個人征信業務的征信機構的董事、監事和高級管理人員，應當熟悉與征信業務相關的法律法規，具有履行職責所需的征信業從業經驗和管理能力，最近3年無重大違法違規記錄,并取得國務院征信業監督管理部門核準的任職資格。征信機構管理條例 2013年12月20日起實施的征信機構管理條例第六條規定，設立個人征信機

17、構，除應當符合征信業管理條例第六條規定外，還應當具備以下條件： 1.有健全的組織機構； 2.有完善的業務操作、信息安全管理、合規性管理等內控制度； 3.個人信用信息系統符合國家信息安全保護等級二級或二級以上標準。西方國際征信機構內控機制征信機構運營模式可以大致劃分為兩種類型：以美、英為代表的市場主導型和歐洲大陸大多數國家所采納的政府主導型，其內控機制和管理模式則呈現不同的特點。美國征信機構的市場化的內控模式美國征信機構組織模式，是獨立于政府之外的第三方私營機構，將個人信息進行收集、加工后，有償提供給信息需求者，并且依據市場的需求來完善自己的經營與管理模式，提升運營效率。美國征信機構組織模式的特

18、點征信機構私有化獨立性強市場化原則運作征信機構伴隨著信用交易的市場需求產生而產生，隨著市場信用交易規模的發展而發展。其公司機制為公司制形式，以營利為目的，以股東利益最大化為前提，股東出資比例決定公司投票權比例，一切決策按照商業化目的進行，服務的范圍不受限制。 美國征信機構市場化的運作機制，政府并沒有對其具體的內控機制進行明確的法律規定。政府主導型德國為代表的公共征信模式又稱為政府主導的征信模式，即主要是依靠政府的力量建立征信機構，政府通過行政手段強制要求個人或企業向征信機構提供其信用信息或數據，從而建立個人信用信息數據庫，并通過法律形式保障信息或數據的真實性。政府主導的征信模式的特點A、具有一定的強制性。通過法律與決議的形式保證個人信用信息的可得性與真實性。B、公私征信機構并存。公共與私營征信機構并立，且互為補充。C、壟斷與競爭并存。既有公共征信機構對個人基本信用信息的壟斷，又有私營機構間的競爭。 政府為主導的征信機構征信模式，雖然體現政府對于征信機構數據的來源和分享有一定的強制性，但是對征信機構的日常運行管理，則干預較少。小結個人信用信息數據大部分屬于個人隱私，無論是企業信用信息還是個人信用信息都