征信理论与实务教学课件第六章 信息主体权益保护.ppt
63页
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第六章 信息主体权益保护,本章知识结构图,信息主体权益保护,6.1 主要经济发达国家信息主体隐私权保护相关规定,6.3 征信机构信息系统安全及内控机制,6.2 我国信息主体隐私权保护相关规定,6.1 主要发达经济国家信息主体隐私权保护相关规定,征信数据采集限制与保护,征信报告对外使用限制,征信机构的侵权责任与免责,征信数据采集限制与保护,信用信息的分类,征信数据采集中被征信人的权利,个人信用数据保护的立法模式,信用信息的分类,企业信用信息与个人信用信息,一般信用信息与敏感信用信息,正面信用信息与负面信用信息,企业信用信息,企业基本信息,企业信用记录信息,企业经营管理方面的信息,个人信用信息,个人基本信息,信用信息,消费者信息的查询记录,一般信用信息与敏感信用信息,一般信用信息与敏感信用信息是从一般信息与敏感信息的分类中推演出来的一般信息与敏感信息在个人信息领域表现为一般个人信息和敏感个人信息,而在企业信用信息领域则表现为一般信用信息和作为商业秘密的信用信息。
立法中对法定的敏感信息数据类型的确认,因国家的不同而有所不同正面信用信息与负面信用信息,信用信息可以分为正面信息与负面信息正面信息就是能使信用主体获得信赖与积极评价的一切信息,负面信息则是与信用主体信用相关的非正面信息对于负面信息的征集,各国法律均持肯定态度,但是对于正面信息的征集则各国态度不尽一致征信数据采集中被征信人的权利,同意权,知悉与异议权,个人信用数据保护的立法模式,美国个人信息保护立法模式分析,美国对个人信用数据收集、使用和保护等方面,平衡考虑了征信业发展和个人权利保护两个方面的因素他们立法既为个人征信机构的合理生存和经营保留了适当的空间,也全面考虑了保护消费者个人人权方面的需要美国法律对个人信用数据的平衡保护,个人征信机构收集信用数据的法定许可,个人征信机构必须履行的法定义务,信用数据主体的权利,对个人信用数据保护的责任方式,欧盟(及欧洲主要国家)个人信息保护立法模式,欧盟是个人信息保护立法的模范和先驱欧盟国家最先关注信息通讯技术对社会的影响问题,并导致欧盟于1995年制定了欧盟个人数据保护指令(1998年10月开始生效)欧盟指令价值倾向明显,覆盖范围广泛,规制程度深,执行机制健全。
欧洲理事会协定规定的个人数据保护基本原则,数据质量,数据的特殊类型,数据安全,对数据主体的保护,例外与限制,赔偿责任,扩大的保护,欧洲各国个人信用信息保护法规,德国信息保护法规,作为大陆法系的代表,德国在个人信息立法保护上始终坚守统一立法模式1990年12月公布的资料处理与资料保护继续发展法(简称1990年德国资料法),其鲜明特征是:摈弃了美国隐私权的立法理念,转而确立人格权的基础性法律地位该法第1条规定:“本法之目的在于保护个人免于因个人资料的传输造成人格权的侵害”,从而走上了在立法理念上与美国分道扬镳的道路英国信息保护法规,英国的个人数据保护制度主要由四大部分组成;,法典、判例法、民间实践和执法机构由于受欧盟数据保护立法和理论研究的影响,作为普通法国家的英国在个人数据保护法律方面显示出明显的大陆法系的特征日本个人信息保护立法模式分析,随着2005年4月个人信息保护法的全面实施,意味着日本构筑了一个相对完整的以个人信息保护法为基本法,各部门单行法为补充的法律体系:除作为基本法的个人信息保护法外,对国家机关、地方公共团体、行政机关、独立行政法人等还分别制定了不同的法律和法规日本的个人信息保护立法外形上类似欧盟立法模式,但在实质上更多地采纳了美国立法的许多做法,非常值得我国在制定个人信息保护法时予以借鉴。
征信报告对外使用限制,征信数据的使用方式,个人信用数据使用限制,个人信用数据使用期限规定,征信数据的使用方式,个人信用报告,个人信用评分,个人信用数据市场营销,个人信用数据使用限制,由于个人信用信息涉及个人隐私,因此各国法律对信用信息的使用范围多做出了明确的限制个人信用数据使用期限规定,欧盟指令对时限做了原则性规定,要求保留数据的时间符合采集数据的目的,美国法律规定,正面信息保留10年,负面信息则采取:破产记录保留超过10年、任何民事诉讼、民事判决、被捕记录、缴纳欠税滞纳金记录、被追收或被冲销坏账负面记录只能保留7年,除墨西哥外,拉美国家规定信用报告所含信用记录职能保留短短的几年时间,特别是当债务偿还后美国的,公平信用报告法,规范了个人信用数据使用和传播的范围个人征信机构向机构提供个人信用信息报告应事先通告该当事人,无权将未经授权的个人信用数据其他机构或个人提供欧洲国家比美国要求的严格,欧盟,指令,要求为了保护公共利益情况下,或者在获准被征信人同意的条件下才能使用信息征信机构的侵权责任与免责,征信机构的侵权,在对信用数据进行采集、处理和使用过程中,征信机构、信用数据提供人或征信产品使用人采取不正当的方式进行处理,就可能造成信用数据主体个人隐私、信用、人格尊严受损,其中以征信机构的侵权行为最为严重。
侵权行为,(,1,)超出业务上必需的范围或者收集目的而收集被征信人信息的行为;,(,2,)须同意而未获同意就收集信息的行为;,(,3,)以违法或不正当的手段收集信息的行为,虚构、篡改被征信人信息,或者擅自录入禁止录入信息的行为;,(,4,)不履行法定义务,无正当理由而拒绝被征信人查询、更改、删除请求的行为;,(,5,)对有法定保留期限并超过法定期限的信息记录尚未永久删除的行为;,(,6,)提供错误、过时、不完整信息的行为;,(,7,)泄露商业秘密、个人隐私的行为;,(,8,)丢失被征信人信息资料的行为;,(,9,)须经本人同意而未获同意即向他人提供信息的行为;,(,10,)向法定范围以外的单位或个人提供信息的行为刑事责任,采集信息时,征信机构应当说明自己的身份、征信信息的目的等各国法律都禁止征信机构采取欺骗、窃取、贿赂、利诱、胁迫、利用计算机网络侵扰或者不正当的方式收集信用信息;禁止商业组织以商务调查的方法取得他人的信息;禁止以私人访问的方式取得对信息主体不利的信用信息,以有效保护信息主体的个人隐私权民事责任,征信机构主观上存在过错,征信机构客观方面存在违法行为,被征信个人受到损害,国外征信机构免责立法,征信机构每天都要处理海量数据,在这一过程中,数据错误在所难免,并且,原始数据及其修改权限都在上报数据的机构,自动化的数据采集、整合机制识别不了错误数据。
如果一旦发现错误数据就认定征信机构存在过错,甚至要求承担法律责任,显然有失公允的,必然会阻碍征信业的发展,影响到授信业务的开展,最终会对金融体系的稳定造成损害因此,各国立法都对征信机构数据错误规定了一定的免责条款各国免责的立法情况分类,直接规定征信机构免责的立法情况,遵循“合理程序原则”即可免责的立法情况,6.2 我国信息主体隐私权保护相关规定,个人信用征信系统隐私权保护的法律现状,个人信用数据使用限制,个人信用征信系统中隐私权保护的法律现状,我国现行法律体系关于个人信用征信过程中隐私权保护的法律法规呈零散的状态我国的宪法及民事基本法领域中对公民隐私权并没有明确的规定,对公民的隐私权采取了间接保护的方式相比之下我国的信用征信地方法规发展较早,上海、深圳等地均颁布过“个人信用信息征信管理的相关试行办法”,但这些试行办法在隐私权的保护上还存在有一定的不足个人信用信息基础数据库管理暂行办法,规定,地方性法规规定,征信业管理条例,相关规定,个人信用信息基础数据库管理暂行办法,该暂行办法是我国第一部规范个人信用信息采集和使用的规章规定了对个人信用信息进行保密的原则,对我国各商业银行和征信中心的内部风险控制和具体的操作规程都提出了严格的要求。
明确个人信用信息基础数据库采集信用信息的范围,采集信息应当采取的方式,系统数据库的使用用途、个人如何取得本人信用报告和异议处理的规定;还规定了征信中心和商业银行具有保障的义务和责任,要求对个人信用信息准确性、时效性和安全性负责个人信用信息基础数据库除了从制度方面制定措施保证信用信息的安全以外,还在技术层面采取多重措施来保障个人信息的安全地方性法规,2003 年 12 月出台的上海市个人征信管理试行办法参考了美国公平信用报告法的规定主要内容,界定了个人信用信息的范围,对信息采集方式进行了限定,规定了披露的原则,对征信机构明确了过错责任,征信业管理条例,我国,征信业管理条例,2013,年,3,月,15,日起施行,第,13,条规定,“采集个人信息应当经信息主体本人同意,未经本人同意不得采集但是,依照法律、行政法规规定公开的信息除外企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息第,14,条,,“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。
但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外第,15,条,“,信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人但是,依照法律、行政法规规定公开的不良信息除外个人信用数据使用限制,征信业管理条例,第,20,条,规定,信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供个人数据使用的法律法规,被征信人同意的原则,关联原则,公务机关获得强制性许可原则,个人信用数据使用期限规定,我国,2013,年,征信业管理条例,第十六条,规定:征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为,5,年;超过,5,年的,应当予以删除在不良信息保存期限内,信息主体可以对不良信息做出说明,征信机构应当予以记载6.3 征信机构信息系统安全及内控机制,征信机构信息系统安全等级,征信机构内控机制,征信系统的数据安全管理,网络访问控制,强身份认证,数据通讯机密性,数据存贮机密性,征信系统安全等级,征信机构管理办法,明确要求设立个人征信机构,应当经中央行批准,且信用信息系统应当符合国家信息安全保护等级二级或二级以上标准。
根据我国,信息安全等级保护管理办法,第二章,等级划分与保护规定:第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全对于第二级国家的监督管理要求为:,第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导征信机构内控机制,内控机制建设就是一个组织为了实现既定目标,防范和减少风险的发生,由全体成员的共同参与,对内部业务流程进行全过程的介入和监控,采取权力分解、相互制衡手段,制定出完备的制度保证的过程征信机构是征信体系建设的核心机构,在信用体系的建设中承担重要的职责,其客观公正的评估有赖于内部有效的管理机制我国征信机构内控机制的相关规定,征信业管理条例相关规定,2013年3月15日开始实施的征信业管理条例第六条规定,设立经营个人征信业务的征信机构,应当符合中华人民共和国公司法规定的公司设立条件和下列条件,并经国务院征信业监督管理部门批准1.,主要股东信誉良好,最近,3,年无重大违法违规记录,2.,注册资本不少于人民币,5000,万元;,3.,有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施;,4.,拟任董事、监事和高级管理人员符合本条例第八条规定的任职条件;,5.,国务院征信业监督管理部门规定的其他审慎性条件。
第八条,规定,经营个人征信业务的征信机构的董事、监事和高级管理人员,应当熟悉与。
