趙園園

一、我國現(xiàn)有立法的不足

我國《征信業(yè)管理條例》代表了征信管理的重要進(jìn)步，但從個人信息保護(hù)的角度來看，仍然存在很多不足?！墩餍艠I(yè)管理條例》第3條規(guī)定，從事征信業(yè)務(wù)及相關(guān)活動，應(yīng)當(dāng)遵守法律法規(guī)，誠實守信，不得危害國家秘密，不得侵犯商業(yè)秘密和個人隱私。但要保護(hù)被征信人的合法權(quán)益，對個人數(shù)據(jù)信息權(quán)利的保護(hù)范圍應(yīng)該超越隱私權(quán)范圍。如果改為依法保護(hù)個人信息的權(quán)利，尤其是隱私權(quán)，則更為合理?！墩餍艠I(yè)管理條例》第13條規(guī)定，采集個人信息應(yīng)當(dāng)經(jīng)信息主體本人同意，未經(jīng)本人同意不得采集。但是，依照法律、行政法規(guī)規(guī)定公開的信息除外。個人數(shù)據(jù)權(quán)及于全部個人數(shù)據(jù)，不管是私密的還是公開的，規(guī)定公開信息可以隨意收集并不妥當(dāng)。個人數(shù)據(jù)與個人隱私的最大區(qū)別在于，隱私在性質(zhì)上是屬于私人的，屬于未向社會公開的范疇。而個人數(shù)據(jù)則可能已經(jīng)公開，或本來就屬于公共事務(wù)的范疇。披露個人宗教信仰、醫(yī)療記錄、通訊內(nèi)容、生活習(xí)慣等敏感信息可能被隱私權(quán)所保護(hù)。但已經(jīng)公開的信息如姓名、地址、電話號碼等常常被濫用的個人數(shù)據(jù)信息，則恰恰一般被歸為已經(jīng)公開的信息。

征信報告對個人的經(jīng)濟(jì)信用極為重要。金融機(jī)構(gòu)負(fù)責(zé)將信用信息上傳至征信中心，對于錯誤信用報告給信用主體造成的損失，法律對此沒有明確規(guī)定，司法實踐對金融機(jī)構(gòu)是否承擔(dān)責(zé)任的判法不一，對此應(yīng)結(jié)合相關(guān)案例詳細(xì)分析個人征信領(lǐng)域侵權(quán)責(zé)任的主體、客體、歸責(zé)原則、責(zé)任方式、損失及賠償范圍等問題，厘清在個人沒有過錯或僅有部分過錯的情況下，金融機(jī)構(gòu)應(yīng)適用過錯推定責(zé)任原則承擔(dān)相應(yīng)侵權(quán)責(zé)任，賠償范圍應(yīng)包括精神損害。

二、加強(qiáng)對個人信息保護(hù)的法律制度之間的協(xié)調(diào)與銜接

我國現(xiàn)有近40部法律、30余部法規(guī)，以及近200部規(guī)章涉及個人信息保護(hù)，其中包括規(guī)范互聯(lián)網(wǎng)信息規(guī)定，醫(yī)療信息規(guī)定，個人信用管理辦法，但這些規(guī)則在立法價值取向上從各自所屬的制度出發(fā)，存在頗多沖突之處，應(yīng)當(dāng)加以協(xié)調(diào)。立法機(jī)構(gòu)應(yīng)盡快出臺《個人信息保護(hù)法》，明確個人信息的邊界與信息保護(hù)主體的責(zé)任義務(wù)，從頂層設(shè)計上織就一張信息安全保護(hù)網(wǎng)。同時，還應(yīng)妥善處理個人信息保護(hù)立法和網(wǎng)絡(luò)、信息安全管理等法規(guī)制度的關(guān)系。

三、建立個人信息保護(hù)的具體有效制度

大數(shù)據(jù)時代紛繁復(fù)雜的個人信息處理場景中，前端的、靜態(tài)的知情同意的框架已不足以應(yīng)對嚴(yán)峻的隱私挑戰(zhàn)，而應(yīng)在個人信息處理的具體場景中進(jìn)行動態(tài)的風(fēng)險控制，變僵化的合規(guī)遵循為靈活的風(fēng)險管理，促進(jìn)個人信息的合理使用，重點(diǎn)規(guī)制個人信息的不合理使用行為。場景與風(fēng)險導(dǎo)向的理念能夠顯著提升個人信息保護(hù)的有效性，減輕企業(yè)不必要的合規(guī)負(fù)擔(dān)，是協(xié)調(diào)隱私保護(hù)與數(shù)據(jù)價值開發(fā)的必由之路。

（一）區(qū)分敏感信息和非敏感信息，建立信息的分類保護(hù)制度

2012年第十一屆全國人民代表大會常務(wù)委員會第三十次會議審議通過《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，為加強(qiáng)公民個人信息保護(hù)、維護(hù)網(wǎng)絡(luò)信息安全提供了法律依據(jù)。為配合《決定》的落實，《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》作為我國首個個人信息保護(hù)國家標(biāo)準(zhǔn)，也已于2013年2月1日起正式發(fā)布實施，其最顯著的特點(diǎn)是將個人信息分為個人一般信息和個人敏感信息，并提出默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎(chǔ)上，只要個人信息主體沒有明確表示反對，便可收集和利用。對于個人敏感信息，則需要建立在明示同意的基礎(chǔ)上，在收集和利用之前，必須首先獲得個人信息主體明確的授權(quán)。

（二）完善數(shù)據(jù)泄露的通知制度，把用戶納入通知范圍

個人信息泄漏特別是個人敏感信息泄漏會給企業(yè)造成巨大的經(jīng)濟(jì)損失，給相關(guān)個人帶來精神及名譽(yù)傷害。美國FBI曾調(diào)查顯示，個人敏感信息泄漏事件的平均損失高達(dá)16.7萬美元，美國司法部將數(shù)據(jù)提高到150萬美元。一家曾發(fā)生過數(shù)據(jù)泄漏事件的美國保險公司表示，其在一次數(shù)據(jù)泄漏事件中的總損失高達(dá)410萬美元，平均每條記錄損失15美元。

我國某第三方機(jī)構(gòu)對國內(nèi)100家購物類平臺隱私條款進(jìn)行了測評，結(jié)果顯示只有10家達(dá)到合格標(biāo)準(zhǔn)。測評結(jié)果顯示，購物平臺最普遍缺失的條款為“給予用戶退訂或拒絕商業(yè)信息的權(quán)利，提供有效途徑及操作指引”。購物平臺出于向用戶推銷促銷活動和商業(yè)廣告等商業(yè)信息的需要，往往會搜集用戶的個人信息和購買習(xí)慣，而用戶則很難找到退訂途徑。此外，用戶很難得知平臺搜集個人信息之后的使用目的、用途和使用范圍。

（三）加強(qiáng)數(shù)據(jù)庫之間的信息共享

目前，國內(nèi)征信數(shù)據(jù)庫包括國家金融信用信息基礎(chǔ)數(shù)據(jù)庫、地方政府建立的公共服務(wù)平臺數(shù)據(jù)、互聯(lián)網(wǎng)企業(yè)建立的基于網(wǎng)絡(luò)行為的數(shù)據(jù)庫、P2P公司通過線上采集和線下團(tuán)隊調(diào)查搭建的數(shù)據(jù)庫等，但是不同類型數(shù)據(jù)庫大都是相互割裂的，分別面向不同的信息服務(wù)對象。同時，同類型數(shù)據(jù)庫之間也是相互割裂的，一方面不同職能部門、不同地區(qū)缺乏信息公開、共享和應(yīng)用的具體制度和規(guī)范，信息的條塊分割、區(qū)域分割和部門壟斷現(xiàn)象較為嚴(yán)重；另一方面互聯(lián)網(wǎng)金融企業(yè)間的數(shù)據(jù)庫由于涉及企業(yè)的核心競爭力，在沒有建立起相應(yīng)的利益激勵機(jī)制之前，大多是不愿意共享的。

此外，還應(yīng)當(dāng)考慮逐步引入被遺忘權(quán)；鼓勵產(chǎn)業(yè)界逐漸賦予用戶數(shù)據(jù)的可攜權(quán)；明確通過技術(shù)標(biāo)準(zhǔn)和安全保障措施，貫徹信息設(shè)計的保護(hù)機(jī)制；按照開放、有序、安全的原則，確立數(shù)據(jù)跨境移動的規(guī)則，加強(qiáng)國際之間的認(rèn)證和協(xié)作，以開放的態(tài)度解決數(shù)據(jù)利用和安全問題。

參考文獻(xiàn)：

郭瑜著：《個人數(shù)據(jù)保護(hù)法研究》，北京大學(xué)出版社2012年版，第278頁。

朱玲：《金融創(chuàng)新背景下的金融服務(wù)法學(xué)2014年度中國金融服務(wù)法學(xué)研究動態(tài)與綜述》，《金融服務(wù)法評論》（第7卷）第474頁。

單磊：《大數(shù)據(jù)時代的個人信息保護(hù)悖論與法律挑戰(zhàn)》，《互聯(lián)網(wǎng)金融法律評論》

范為：《大數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)》，《環(huán)球法律評論》2016年第5期，第100頁。

鄧舒仁：《關(guān)于互聯(lián)網(wǎng)征信發(fā)展與監(jiān)管的思考》，《征信》2015年第1期，第15頁。