上海市个人信用征信法律制度研究

第一部分:国际社会个人信用征信法规的状况和评价

一、国际社会个人信用征信的法律规制

世界各国对信用信息征集活动的立法普遍较晚，完整的立法大多开始于上个世纪90年代。意大利1996年颁布《数据保护法》；瑞典1998年通过《个人数据保护法》；英国1984年颁布《数据保护法》；而西班牙1999年制定《个人数据保护法》。[1]美国虽然与欧洲一些国家相比立法较早，但作为信用报告活动的核心法规《公平信用报告法》（FCRA）是在1974年才生效的。美国和欧洲国家（主要介绍英国和欧盟）对个人信用征信的法律规制比较完善。而80年代之后国际社会就征信签订了一些条约，如OECD1980年《个人数据的隐私保护和跨国界流动的指导原则》、欧洲委员会1981年《个人自动文档保护公约》和联合国1990年签署的《个人数据自动化档案指导原则》。

 (一)美国的个人信用征信法规

在信用征信方面法律比较健全的是美国，与信用相关的法律共有《公平信用报告法》（FCRA）、《平等信用机会法》、《金融服务现代化法》（GLBA）、《公平债务催收作业法》等17项之多[2]，其中约3/5是消费者保护法律，由联邦交易委员会(FTC)负责执法和解释，而另外2/5属于规范金融机构向市场投放信用类的法律，由联邦储备委员会(FRC)负责主要执法和解释。[3]FCRA和GLBA是其中最重要的两部法律。为了保护消费者的个人信息隐私权，美国国会在FCRA中规定了征信机构、消费者信用报告用户、信息提供主体对消费者的一系列义务和消费者的权利；又在GLBA中规定了金融机构对客户非公开个人信息的保密义务。

1、FCRA规定了消费者信用信息报告机构（Consumer Reporting Agencies）即征信机构的各种义务。

第603条：征信机构在全国范围基础上编辑和保管关于消费者的档案，任何下列有关消费者的情况都属于全国性的：（1）公共记录信息；(2)从惯常提供该信息的机构和普通的商业途径中得来的信用账户信息。

第604条：征信机构只能对符合特定条件的当事人提供消费者报告。对征信机构档案中消费者信用信息的使用限于五种目的：信贷；保险；雇佣；获得政府许可证或其他好处；涉及同消费者进行商业交易的其他合法商业需要。除此以外，任何其他目的需要法院的决议或获得消费者的同意。不得因预见将来会允许的目的而发布消费者信用信息报告。

第605条：超过规定保存期限的信息不得再被记录在消费者报告中（7年以上的不利信息或10年以上的破产信息）。

第607条：征信机构出售消费者报告要核实购买方的身份及其用途，并对消费者报告的准确性负责，确保报告中的一切信息尽最大可能地正确。征信机构不得为雇用目的报告公共档案信息中的不利项目，除非保持“严格程序”（即征信机构必须检查新用户，用户必须证明使用此信息的目的并同意不把此种信息用于其他目的），使信息切合当前情况，如果做不到这一点，征信机构必须把已经报告这种不利信息和向谁报告，通知给消费者。

第609条：征信机构必须给予消费者对其本人的信用档案的知情权和接触权。征信机构根据消费者的请求，可以向消费者披露该消费者所有的文件信息、信息来源和曾获得消费者信用报告者的身份。当消费者对其本人的信用信息提出异议时，征信机构负有重新调查的义务，对确认为错误的信息必须从消费者信用档案中删除并负有将该事实通知各信用报告使用者的义务。

此外，第616条、第617条和第620条规定了征信机构的民事赔偿责任和刑事责任。

2、FCRA规定了消费者信用报告用户在某种情况下的通知义务。第606条要求订购消费者信用报告的用户，应事先通知消费者可能要作调查报告；通知他该报告会涉及他的品质、一般名誉、个人特点和生活方式的信息；通知他有权要求从用户那里了解报告的性质与范围。第615条规定如果消费者信用信息报告的用户“全部或部分”根据消费者信用信息报告中的信息，拒绝给予消费者信贷、保险、就业等，应通知该消费者，并告诉他编写消费者信用报告的征信机构的名称和地址。如果由于根据征信机构以外获得的信息，拒绝提供信贷等，使用此种信息的用户，在消费者提出要求后，必须将此种信息的性质 （而不是具体来源）告诉消费者。

3、FCRA也规定了信息提供主体的义务。第623条规定，向征信机构提供信用信息的机构或个人负有保证提供正确信息的义务，对消费者提出异议的信息负有调查并将结果告知征信机构的义务。

4、另一方面，FCRA规定了消费者的个人信用信息隐私权。FCRA给予了消费者了解其档案和纠正档案中信息的有限权利。包括：消费者档案中有关该消费者一切信息（医疗信息除外）的性质与内容；信息的来源，仅用于编写“消费者调查报告”的信息除外；征信机构在过去两年内为雇用目的，或在提出要求前6个月内为任何其他目的所提供的任何消费者信用信息报告的任何收受者的姓名。不过，消费者没有法定权利看他本人的实际档案。

GLBA第6802条（e）款规定了金融机构可以向信用报告机构提供消费者的非公开个人信息也可以从信用报告机构获得消费者的非公开个人信息；第6803条（a）款中规定，在金融机构与客户建立信用关系之初或在保持客户关系期间应至少每年一次，向消费者提供有关本金融机构的隐私政策和做法的通知，该通知应包括以下内容：（1）本金融机构可能向其披露消费者非公开个人信息的非关联的第三方的类型；（2）将已在本金融机构销户的客户的非公开个人信息向非关联第三方进行披露的政策与做法；（3）本金融机构收集的非公开个人信息的种类；（4）本金融机构保护客户的非公开个人信息秘密性与安全性的政策。[4]

（二）   欧洲的个人信用征信法规

英国有关的法律规定比较完善，并成立了隶属于议会的信息委员会专门从事信息数据管理工作。1974年《消费信贷法》和1984年《数据保护法》对数据的取得和使用做了详细规定，对征信公司和保留个人信息的部门实行数据使用的报备制度，规定个人有权知道收集了什么信息及谁使用了这些信息并且这些信息只能保留6年。在法律允许的范围内，金融机构和零售商、个人都可以查询；信息数据范围包括公共信息、判决书、帐户信息、查询信息、关联信息、欺诈信息和其他信息。[5]

欧洲委员会于1981年签署和发布了《个人自动文档保护公约》。《公约》要求：获取和录入数据必须公正、合法；保存和使用必须在具体、正当的目的下进行；保持数据信息的准确性，必要时更新数据；数据保存不能超过必要的时间长度；数据主体应当被及时地、并以合适的形式被告知关于他本人的数据情况；数据主体有权对数据正确性提出质疑、修订和消除的要求；关于敏感数据问题，《公约》规定：种族、政治观点和派别、宗教信仰、健康状况、性取向和刑事起诉等信息禁止被征集，除非所在国家提供适当的法律保护；但有关敏感数据和个人知情权的规定在特殊情况下不再有效：（1）涉及国家安全、公众利益、军事利益和刑事起诉；（2）为对数据主体进行某种保护或涉及他人的自由和权利时；不允许仅仅以保护隐私的理由禁止数据跨国界传输，但每个国家有权根据数据的性质进行具体的规定。[6]

1995年通过了欧盟数据保护指令(Directives on Data Protection, 95/46/EC )，其目的是通过协调其15个成员国—奥地利、比利时、丹麦、芬兰、法国、德国.希腊、爱尔兰、意大利、卢森堡、荷兰、葡萄牙、西班牙、瑞典和英国—之间的数据保护法律以使个人数据在成员国之间自由流动，但禁止个人数据从欧盟转移到欧盟成员国以外的国家，除非该非成员国符合欧洲的个人隐私保护的恰当(adequate)标准。[7]制。指令对个人数据的保护主要包括8项原则：（1）质量相关准则。个人数据的处理必须公正、合法、并与其收集和处理的目的相关、匹配且不得超出该范围。（2）数据处理的合法标准。除法定例外情形，个人数据的处理必须经数据主体明确同意。（3）处理数据的特别种类。禁止对有关种族、血统、出身、政治观点、宗教或哲学信仰、行业协会成员身份及健康或性生活等敏感数据进行处理，除非数据主体明确表示同意以及法定的例外情形。（4）对数据主体的通知准则。除法定其他例外情形，数据管理者或其代理人在处理数据前必须向数据主体提供包括管理者或其代理人的身份、该数据的计划使用目的等信息。（5）数据主体有权使用数据。数据管理者必须保证给予数据主体下列权利：不受限制、不被耽搁、无需额外费用，在合理期间内知晓其个人数据是否在被处理及其处理目的、数据接收方类型、数据来源等信息；数据主体有权纠正、删除不正确和不完整的信息。（6）例外及限制性规定。在对涉及国家安全、防卫、公共安全、刑事犯罪的调查、起诉或国家重要经济利益等的数据进行处理时，可限制数据主体的权利范围。（7）数据主体反对处理其数据的权利。除法定例外情形，数据主体有权在任何时候拒绝对其数据进行处理，当该反对意见被证明是正当时，数据管理者在进行数据处理时不得再包括该数据。（8）数据处理的保密性和安全性。数据管理者和处理者必须采取适当措施以确保数据的秘密性和安全性。 [8]