考虑到个人信息收集和利用的泛滥,可能威胁到个人自由,许多国家专门制定了保护个人隐私的法律规范。1967年,美国制定了《信息自由法》,明确规定公民有要求信息公开的权利;1970年,美国制定的《公平信用报告法》对征信活动进行专门规制;1974年,美国制定《隐私权法》,规定了对政府机构收集的资料中的个人信息与隐私权的保护;同年通过的《家庭教育权与隐私法》限制披露计算机存储的教育记录;1980年,美国通过《金融隐私权法》,规定政府机构不得获取私人部门所收集和持有的个人财务信息。德国于1970年颁布了世界上最早的《个人信息保护法》,规制的对象限于政府机关;1977年制定了《联邦信息保护法》将规制对象扩大到私营的信息机关。在英国,1972年,杨格委员会在其报告中确立了10项处理个人信息的原则,这些原则的影响体现在其1984年的《数据保护法》中。澳大利亚于1988年制定了《联邦隐私权法》;后来又于1990年对该法进行了修改,扩大了该法的适用范围,规定了信息隐私权保护的11条原则。
以上征信国家大都制定了征信中保护个人隐私权的法律规范,虽然规则不尽相同,但对个人信息的保护有着许多类似的原则。大致有以下几方面:(1)信息的来源。从本人处获取信息,并得到本人的同意。(2)信息收集范围。只能收集与收集者的职务或者活动有关的信息。(3)收集方法。告知收集该资料的性质和用途,收集者的身份,确认该收集行为的合法性;禁止用不法或不公正的手段搜集信息。(4)资料的性质。收集的资料必须做到具有精确性、相关性、完整性和公平性。(5)使用限制。保证利用信息的目的正当,只有为了信用授予或用于其他正当目的才能利用信息,不能在其他场合随意利用该信息。(6)披露规则。除法律有特别规定外,未经本人同意,不得以任何形式向本人以外的人公开其隐私资料。(7)信息管理。个人信息的保存者或保管者,必须采取严格的措施,防止信息出现丢失、无权限使用、变更、随意提供或出现其他误用行为。(8)主体权利。个人有权知道数据被使用的状况,有权在适当的时候更正或删除个人数据。此外,美国、德国、日本还规定了个人信息泄露的救济程序。
四.我国个人征信中隐私权保护的规范性分析
目前,我国在个人征信方面基本无法可依,必须尽快采取措施,创造一个有利于征信的法律环境。在个人征信体系中,要涉及四方当事人,一是被征信人即所征集的个人信用信息的主体;二是信息的提供者;三是征信机构;四是信用信息使用者。在这一体系中,个人信息隐私会遭到其他三方主体的威胁。所以有必要从法律上对它们进行规制。
(一)对征信机构的法律规制
1.对个人征信机构设立较高的市场准入条件
征信机构在信用体系中起主导作用,尤其是个人征信机构的运营会涉及到众多个人利益和社会利益。因此,对于这类主体进入市场设立严格的条件和程序是非常必要的。一方面要规定征信机构具备从事征信活动的硬件条件,如完善的技术设施,数据库系统,自动或人工核查系统,必要的安全措施等;另一方面,对征信机构的组成人员的素质和管理手段也要予以详细规定。
2.信息主体的同意权
如上文所述,个人信息隐私权是个人对自身可识别信息的控制权,收集个人信息必须要征得信息主体的同意。各国立法都对此作了规定。 但有两类信息需要特别讨论:一类是行政机关、行政事务机构、司法机关在行使职权过程中形成的可供公众查阅的公共记录信息。法律规定这类信息的收集无需征得信息主体的同意,如《上海市个人信用征信管理试行办法》规定对行政机关、行政事务机构、司法机关在行使职权过程中形成的可供公众查阅的公共记录信息和已经公开的个人信用信息无需信息主体的同意就可以收集。实际上,个人对该类信息仍享有信息隐私权,只是对这类信息享有的隐私权不再完整。信息主体失去了他人收集该类信息的同意权,即他人可以不经过该信息主体同意收集此类信息,但当他人依据此类信息对信息主体作一判断时,信息主体有权要求此人告知所收集信息的内容,并可就不正确或有疑问的信息提出异议,同时要求信息收集者对异议进行调查,对不正确内容进行更改。 另一类信息为个人不良信息, 这类信息属于被强制公开的个人信息。事实上,这种公开是剥夺了个人信息隐私权中的同意权(属支配权)。法律规定这种剥夺是对个人某些不良行为的惩罚,特别是当个人的这种不良行为给社会和他人造成或会造成很大损失时,这种剥夺尤为重要。但这种剥夺并不影响权利人对其他权利的行使,信息主体仍可要求使用者将此类信息应用于合法目的,并享有知情权,异议权。所以这两类信息也属于应受保护的范围。
3.信息主体的开示请求权和异议权
信息主体一旦将个人信息披露,就丧失了对这些信息的直接控制权。如果不能赋予信息主体对征信机构收集的个人信息进行检查并提出异议的权利,个人的隐私权就无法得到保护。美国《公正信用报告法》第609条和611条规定了信息主体的知情权和异议权:征信机构必须给予信息主体对其本人信用档案的知情权和接触权;当消费者对自己的信用档案提出异议时,征信机构负有重新调查的义务,对确认为错误的信息必须从消费者的信用档案中删除,并负有将该事实通知各信用报告使用者的义务。《上海市个人信用征信管理试行办法》规定,被征信个人认为征信机构披露的个人信用信息不准确、不完整、不相关或者已经过时时,可以向征信机构提出异议,要求予以更正。
4.信息收集的范围
(1)内容限制
个人信息隐私权所保护的个人信息的范围非常广泛,征信机构收集的信息越多,范围越广,对个人隐私侵犯的可能性就越大,所以必须要明确信息收集的范围,规定哪些信息可以收集,哪些信息禁止收集。日本法律规定征信报告包括下列内容:(1)与信用供给相联系的本人识别信息,如姓名、年龄、住所和出生年月等;(2)与判断个人经济状况有关联的信息,如个人的资产、负债情况、收入、支出以及过去债务的返还情况等;(3)间接地推论个人经济状况的信息,如工作单位、家庭成员、居住情况等;(4)与该次信用供给合同有关的信息,如信用供给金额、交易户头、该债务的返还状况等。 参照上述规定,本文认为征信机构征集的个人信息应包括下列几类:(1)个人身份识别信息。这是保证信息与个人相匹配的基本信息,通常包括姓名、性别、年龄、住址、出生年月等。如《深圳市个人信用征信及信用评级管理办法》规定,个人身份情况包括:姓名、性别、出生日期、身份证号、户籍所在地住址、居所。 (2)个人信用信息,即能推断个人信用状况的信息。这类信息可分为两类,一类是能直接推断出个人信用状况的信息,如个人资产负债情况、收入支出情况、信贷信息、缴费信息等;另一类是间接推断出个人信用状况的信息,如职业、家庭情况、居住情况等。《上海市个人信用征信管理试行办法》规定个人信用信息包括下列内容:(1)据以识别个人身份以及反映个人家庭、职业等情况的个人基本信息;(2)个人与金融机构或者住房公积金管理中心等机构发生信贷关系而形成的个人信贷信息;(3)个人与商业机构、公用事业服务机构发生赊购关系而形成的个人赊购、缴费信息;(4)行政机关、行政事务执行机构、司法机关在行使职权过程中形成的与个人信用相关的公共记录信息;(5)其他与个人信用有关的信息。
【
