周登憲 王志華 喬麗華

（中國人民銀行菏澤市中心支行，山東 菏澤 274000）

一、引言

個人數(shù)據(jù)信息保護(hù)總是和隱私權(quán)相伴而行。早在第二次世界大戰(zhàn)結(jié)束時，歐洲國家就將隱私定義為一項基本的人權(quán)，并將其寫入1948年的《全球人權(quán)宣言》中。自20世紀(jì)80年代開始，隱私權(quán)在歐盟具有了基本人權(quán)的地位，“隱私權(quán)來源于個人的自我決定權(quán)利，而這一權(quán)利建立在個人是最后且唯一的合法性來源的觀念之上。這意味著作為一項基本原則，每個人都有權(quán)自我決定何種個人數(shù)據(jù)可以被收集、存儲或發(fā)布”。

在當(dāng)今的“信息叢林”社會中，一個國家征信市場的健康、有序發(fā)展，離不開有效、可行的法律約束和規(guī)范。在加強(qiáng)我國征信系統(tǒng)建設(shè)的同時，個人數(shù)據(jù)信息的保護(hù)立法也應(yīng)得到高度重視和強(qiáng)化。

二、個人數(shù)據(jù)信息的定義和內(nèi)容

（一）個人數(shù)據(jù)信息的定義

個人數(shù)據(jù)信息是指屬于個人的具有一定使用價值的或者經(jīng)過加工處理過的信息，是一個具有技術(shù)含量的概念，主要是指個人信息中經(jīng)過特定的加工處理被數(shù)據(jù)化了的內(nèi)容。在互聯(lián)網(wǎng)系統(tǒng)中，具體表現(xiàn)為承載或者標(biāo)識個人信息的數(shù)字單元及其組合。

有些學(xué)者認(rèn)為：個人數(shù)據(jù)信息是與個人的人身、生活、活動相關(guān)聯(lián)。其中一部分是由人的自然屬性決定，主要表現(xiàn)為反映個人基本特征的數(shù)據(jù)，如姓名、肖像、體貌、習(xí)慣、嗜好等；另一部分則反映了社會屬性特征，主要表現(xiàn)為個人社會生活和活動一般特征的數(shù)據(jù)，如住址、通訊方法、職業(yè)、工作單位、職務(wù)等。有些學(xué)者則認(rèn)為：個人數(shù)據(jù)信息主要反映在兩個方面，即它是個人人身自由和相應(yīng)的人身權(quán)利的體現(xiàn)，而人身自由和人身權(quán)利則主要包括個人的身體自由以及與此相應(yīng)的權(quán)利，也包括個人的精神自由以及與此相應(yīng)的權(quán)利。

歐盟及其成員國的法律基本將凡是與特定的個人有關(guān)的所有信息都?xì)w屬于個人數(shù)據(jù)的范圍。德國聯(lián)邦數(shù)據(jù)保護(hù)法規(guī)定，“個人數(shù)據(jù)是指關(guān)于某個特定的或可確定的人的個人情況和實體環(huán)境的一切信息”；荷蘭數(shù)據(jù)保護(hù)法規(guī)定，“個人數(shù)據(jù)是指關(guān)于某個特定的或者可確定的個人的任何信息”；意大利的個人和其他主體的個人數(shù)據(jù)處理法案規(guī)定，“個人數(shù)據(jù)是指關(guān)于可以通過包括個人身份證號碼在內(nèi)的其他信息來確定的自然人、法人或社團(tuán)的一切信息”；歐盟個人數(shù)據(jù)處理保護(hù)和個人數(shù)據(jù)自由流動指令則規(guī)定，“個人數(shù)據(jù)是指關(guān)于某確定的或可確定的自然人（數(shù)據(jù)主體）的一切信息?？纱_定的自然人是指可以直接或間接地通過身份證號碼或相關(guān)生理、心理、精神、經(jīng)濟(jì)、文化、社會身份信息來確定的人”。

表1：個人數(shù)據(jù)信息內(nèi)容

（二）個人數(shù)據(jù)信息的內(nèi)容

受社會制度、經(jīng)濟(jì)發(fā)展水平、文化習(xí)俗及科技水平等諸多因素的約束，各國對個人數(shù)據(jù)信息內(nèi)容的規(guī)定不大相同，但個人數(shù)據(jù)信息的主要內(nèi)容總體歸納如下：（1）個人的基本數(shù)據(jù)信息——個人的姓名、性別、年齡、民族、籍貫等；（2）與個人的身體有關(guān)的數(shù)據(jù)信息——個人的體貌特征（包括身高、體重、肖像等）、器官特征、健康狀況、病史病歷等；（3）與個人家庭有關(guān)的數(shù)據(jù)信息——家庭住址、家庭通訊方式、家庭組成狀況、家庭的收入狀況、家庭的財產(chǎn)狀況等。從公共事務(wù)管理角度人們將個人數(shù)據(jù)信息定義為與個人生活、教育、工作、經(jīng)濟(jì)狀況、社會活動有關(guān)的數(shù)據(jù)信息（見表1）。

三、國際個人數(shù)據(jù)信息保護(hù)情況

（一）國際個人數(shù)據(jù)信息保護(hù)立法

個人數(shù)據(jù)保護(hù)源于歐洲，但在世界范圍內(nèi)越來越多的國家正在加強(qiáng)數(shù)據(jù)保護(hù)。由于各國的經(jīng)濟(jì)、政治、文化、民俗等多元素存在，造成個人數(shù)據(jù)信息的內(nèi)容多元化，相應(yīng)的法律保護(hù)規(guī)范和法律制度存在多元化狀況。歐盟與美國信息化發(fā)展程度較高，相應(yīng)的立法就相對活躍，走在世界前沿。除了專門的個人數(shù)據(jù)保護(hù)法律提供直接的法律保護(hù)外，圍繞著“隱私”、“隱私權(quán)”、“隱私權(quán)保護(hù)”等概念也有相應(yīng)間接性的法律規(guī)范。如美國將法律保護(hù)意義上的個人數(shù)據(jù)信息統(tǒng)一在“隱私”的概念之下，并指出了它的4種基本形態(tài)——個人的秘密、個人的姓名和肖像、個人的私生活和個人的不實形象，并實施相應(yīng)的保護(hù)和規(guī)范。

縱觀全球，歐盟及其成員國也已建立了基本的法律制度框架；工業(yè)發(fā)達(dá)且信息化程度較高的美國法律制度相對完善；亞洲國家和大洋洲國家近幾年來也開始建立其相關(guān)的法律制度。目前，全球制定相關(guān)個人數(shù)據(jù)保護(hù)立法的國家(地區(qū))主要有歐洲、美洲及少許的亞洲國家( 地區(qū)（)見表2）。

在這些立法的國家(地區(qū))中,美國、加拿大等國家數(shù)據(jù)保護(hù)基于共同法和案例法、行政管理法和立法權(quán)等不同的法律；歐盟則建立了一種適用于所有歐盟成員國的“協(xié)調(diào)體制”，數(shù)據(jù)保護(hù)覆蓋公共和私營兩個部門；歐盟成員國及一些東歐國家、拉丁美洲的一些國家和中國香港，相關(guān)立法都是受《歐盟數(shù)據(jù)保護(hù)指令》的啟發(fā)或基于《歐盟數(shù)據(jù)保護(hù)指令》。

（二）歐美個人數(shù)據(jù)保護(hù)體制

1.美國個人數(shù)據(jù)保護(hù)體制。第一個對征信業(yè)進(jìn)行監(jiān)管的國家是美國。美國沒有頒布一般性的數(shù)據(jù)保護(hù)法，而是具有行業(yè)特征的監(jiān)管手段?！豆秸餍欧ā肥敲绹貏e針對信息產(chǎn)業(yè)的第一部法律。征信公司是處于數(shù)據(jù)保護(hù)而受監(jiān)管的第一類產(chǎn)業(yè)。該法均是圍繞披露信用記錄、爭議不準(zhǔn)確性的程序以及記錄使用者的基本責(zé)任等可允許的目的而制定的。根據(jù)1970年的《公平征信法》，能進(jìn)行記錄披露的只有4個主要目的——某種信貸交易、簽發(fā)保單、消費者提起的任何商業(yè)交易、只要報告使用者有合法商業(yè)需要的任何其他目的。

市場的發(fā)展推動了《公平征信法》（1970）改進(jìn)。征信公司以及數(shù)據(jù)提供者被賦予了更多的責(zé)任，而消費者對其信息被賦予了更多的所有權(quán)。1996年的《消費者征信改革法》對《公平征信法》做了修訂，要求征信公司必須對數(shù)據(jù)不準(zhǔn)確的情況進(jìn)行調(diào)查，并將調(diào)查結(jié)果通知消費者，同時免費向其提供一份信用報告。信息錯誤必須在30天內(nèi)消除，并首次為注入銀行的數(shù)據(jù)提供者設(shè)定了責(zé)任和義務(wù)。數(shù)據(jù)提供者被禁止披露那些他們知道或“有意識地避免知道”的不準(zhǔn)確的信息，他們也有責(zé)任來更正、更新和重新報送數(shù)據(jù)。此外，他們必須就所報送的更正數(shù)據(jù)通知所有的征信機(jī)構(gòu)；1998年的《消費者征信就業(yè)澄清法》對《公平征信法》進(jìn)一步修改，指出若沒有消費者的明確同意和書面授權(quán)，任何個人或者機(jī)構(gòu)都不能出于就業(yè)目的獲取任何一份信用報告；1999年的《金融服務(wù)現(xiàn)代化法》對《公平征信法》的修改內(nèi)容體現(xiàn)在，將規(guī)則制定當(dāng)局的意志賦予幾個功能性的監(jiān)管機(jī)構(gòu)來實現(xiàn)；2003年《公平和準(zhǔn)確信用交易法》在《公平征信法》的基礎(chǔ)上增加了一些新的章節(jié)。為了提高信用信息的質(zhì)量，新法賦予消費者監(jiān)督法律事實的主要責(zé)任，即其有權(quán)每年一次免費獲取自己的報告。新法對提供含有醫(yī)療信息的報告賦予了選擇入口的權(quán)利，改變了數(shù)據(jù)提供者對信息的關(guān)注水平。如果數(shù)據(jù)提供者“有合適的理由相信特定信息是不準(zhǔn)確的”，那么他們可以不報送該信息。

表2：國際個人數(shù)據(jù)保護(hù)法

2.歐盟個人數(shù)據(jù)保護(hù)體制。歐洲特別是德國、意大利和幾個東歐國家經(jīng)歷過獨裁統(tǒng)治，基于這個背景的影響，歐洲的數(shù)據(jù)保護(hù)法相對嚴(yán)格。歐盟及其成員國的法律基本將凡是與特定的個人有關(guān)的幾乎所有信息都?xì)w屬于個人數(shù)據(jù)的范圍，對個人數(shù)據(jù)盡可能給予最大限度的保護(hù)。

歐洲的許多法律和指引中的最基本的一些數(shù)據(jù)保護(hù)規(guī)則是——在數(shù)據(jù)采集發(fā)生前通知的權(quán)力、獲取數(shù)據(jù)的權(quán)力、數(shù)據(jù)更正或刪除的權(quán)力、反對采取某些數(shù)據(jù)處理方法的權(quán)力、不讓種族和宗教信仰等變量予以記錄的權(quán)力。最基本的原則之一是“個人應(yīng)獲得有關(guān)數(shù)據(jù)采集的通知，以及不能有任何秘密數(shù)據(jù)采集的行為?！?/p>

在數(shù)據(jù)保護(hù)方面，第一個具有法制性約束的國際工具是1981年的《歐洲歷史會協(xié)定108》（歐洲系列公約第108號有關(guān)個人數(shù)據(jù)自動化處理之個人保護(hù)公約斯特拉斯堡）。該協(xié)定要求簽署國將其原則轉(zhuǎn)換成本國的法律。隨著技術(shù)的進(jìn)步，歐洲跨國數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)對信息自由流動形成潛在的阻礙。1990年歐共體委員會發(fā)布了第一個關(guān)于《歐盟數(shù)據(jù)保護(hù)指引》的草案，經(jīng)過幾年的討論，1995年10月24日歐洲議會和歐盟理事會決定開始采用《關(guān)于涉及個人數(shù)據(jù)處理的個人保護(hù)以及此類數(shù)據(jù)自由流動的指令（95/46/EC）》。該指令指出，“考慮到歐盟內(nèi)部市場的建立和運行，依照條約第7a條之規(guī)定，應(yīng)當(dāng)確保貨物、人員、服務(wù)和資金在該市場內(nèi)的自由流動，這不僅要求個人數(shù)據(jù)能在成員國之間自由流動，而且個人的基本權(quán)利應(yīng)當(dāng)被保護(hù)”；“鑒于有關(guān)個人數(shù)據(jù)處理的國內(nèi)法的目標(biāo)是保護(hù)基本權(quán)利和自由，特別是為《保護(hù)人權(quán)和基本自由歐洲公約》第8條以及共同體法律的基本原則所確認(rèn)的隱私權(quán)，對成員國法律的協(xié)調(diào)不得對已有的保護(hù)有任何降低，相反應(yīng)當(dāng)確保在共同體內(nèi)的高水平保護(hù)”；“鑒于對個人數(shù)據(jù)的任何處理都必須是合法的且對相關(guān)個人是公平的，特別是考慮到數(shù)據(jù)處理的目的，數(shù)據(jù)必須是適當(dāng)?shù)摹⑾嚓P(guān)的，但不能過多；鑒于數(shù)據(jù)處理的目的必須是明確的、合法的且必須在收集數(shù)據(jù)時就已確定，數(shù)據(jù)收集后的處理目的不得與最初明確的目的相矛盾。”

相較而言，美國隱私保護(hù)法案沒有綜合性的覆蓋私營部門和公共部門的《數(shù)據(jù)保護(hù)法》，針對私營部門的法律僅適用于某一特定的行業(yè)，對隱私權(quán)問題的監(jiān)管在聯(lián)邦和州兩個層面進(jìn)行，對數(shù)據(jù)保護(hù)的分散監(jiān)管取代綜合監(jiān)管，私人數(shù)據(jù)是數(shù)據(jù)采集者的基本財產(chǎn)，強(qiáng)調(diào)自律。歐盟隱私保護(hù)方案，是綜合性的數(shù)據(jù)保護(hù)法律，對私營機(jī)構(gòu)的監(jiān)管適用于所有的私營機(jī)構(gòu)，在一些國家實行多層次的管理，有綜合性的數(shù)據(jù)保護(hù)當(dāng)局，數(shù)據(jù)采集須得到個人數(shù)據(jù)所有者預(yù)先同意，不太強(qiáng)調(diào)自律。

四、對我國個人信息數(shù)據(jù)保護(hù)的啟示

無論是歐盟綜合性個人數(shù)據(jù)保護(hù)體制還是美國分散的個人數(shù)據(jù)保護(hù)體制，各國的征信法律都將賦予信息主體相關(guān)權(quán)利和規(guī)定征信機(jī)構(gòu)相關(guān)義務(wù)作為重要的規(guī)范內(nèi)容，對個人信息的采集和使用范圍做出限制，對消費者權(quán)利救濟(jì)作出規(guī)定。

我國關(guān)于個人信息安全的法律條文散落在《憲法》、《中華人民共和國刑法》、《中華人民共和國民法通則》、《中華人民共和國侵權(quán)責(zé)任法》和《反不正當(dāng)競爭法》等國家法律、行政法規(guī)及部門規(guī)章中，涉及了有關(guān)商業(yè)秘密和個人隱私保護(hù)的規(guī)定，但都較為籠統(tǒng)、抽象，不能有效保護(hù)數(shù)據(jù)主體的合法權(quán)益。2013年3月15日，《征信業(yè)管理條例》的實施標(biāo)志著我國第一部征信業(yè)管理法規(guī)出臺?！墩餍艠I(yè)管理條例》對個人征信業(yè)務(wù)實行嚴(yán)格管理，在市場準(zhǔn)入、信息采集范圍、采集和查詢信息方式、行政救濟(jì)及信息安全等方面規(guī)定了具體措施，突出了對個人合法權(quán)益的保護(hù)，但也存在著一些亟待解決的問題。如《征信業(yè)管理條例》所稱征信業(yè)務(wù)指“信用調(diào)查和信用登記”，而征信評級機(jī)構(gòu)的業(yè)務(wù)不受條例約束，也沒有相應(yīng)的信用評級業(yè)務(wù)法規(guī)；對公共征信機(jī)構(gòu)和私營征信機(jī)構(gòu)的業(yè)務(wù)界定不明晰，從而引發(fā)的數(shù)據(jù)信息保護(hù)不明確；關(guān)于個人數(shù)據(jù)信息保護(hù)的條款不夠細(xì)化，體系不夠清楚；沒有提及任何對個人數(shù)據(jù)的流動或跨境流動的約束和規(guī)范。建議細(xì)化《征信業(yè)管理條例》，出臺《個人數(shù)據(jù)信息保護(hù)細(xì)則》或?qū)ｉT針對個人信息保護(hù)問題出臺法律，完善我國個人數(shù)據(jù)保護(hù)體制。

[1]陳飛等譯.個人數(shù)據(jù)保護(hù)：歐盟指令及成員國法律、經(jīng)合組織指導(dǎo)方針[M].北京：法律出版社，2006.

[2]尼古拉·杰因茨著，萬存知譯.金融隱私——征信制度國際比較[M].北京：中國金融出版社，2009.

[3]周超，施海松.論我國征信立法中的信息主體合法權(quán)益保護(hù)[J].福建金融，2012，（1）.

[4]胡大武.征信立法幾個重大問題分析——以地方立法為考察對象[J].上海金融，2011，（1）.

[5]翟相娟.論征信立法對消費者隱私權(quán)的保護(hù)[J].法學(xué)雜志，2008，（4）.

[6]仉曉.淺論個人征信中隱私權(quán)的保護(hù)[J].法制與社會，2011，（4）.

[7]張忠軍.征信法律制度中的政府角色[J].江西財經(jīng)大學(xué)學(xué)報，2005.