摘要:个人信用信息权益保护是社会信用体系建设的重要组成部分,是维护个人在信息时代中行使“知情、同意、异议、删除、修复”等基本权益的有效保障。随着互联网和信用服务产业高速发展,我国在权益保护的立法、监管、平台、自律、宣教等方面取得了积极进展,但仍然存在着个人信息保护法律体系不完善、权益保护运行机制不顺畅、信息安全防控能力有限、社会大众安全意识薄弱等问题。建议国家层面尽快出台个人信用信息保护相关法律,完善个人隐私安全保护标准体系,建立个人信用信息全流程保护机制;地方层面探索建立复议诉讼权保障机制,积极尝试可携带权的应用,加强行业自律和个人信用信息安全保护宣传教育,构建多部门协同监管体系。
关键词:个人信用信息;权益保护;积极权能;消极权能
市场经济就是信用经济,社会信用体系建设是我国社会主义市场经济体制和社会治理的重要制度安排。近年来,党中央、国务院高度重视社会信用体系建设,尤其关注个人信用信息的权益保护,早在此前制定的《征信业管理条例》就有对个信息主体权益的相关规定。今年以来,随着《中华人民共和国民法典》的颁布与《个人信息保护法(草案)》的征求意见,国家对个人信用信息的权益保护有了新要求,特别是自2019年国务院办公厅发布《关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》以来,明确提出加强“信用信息安全和主体权益的保护力度”。个人信用信息权益保护对加快构建个人诚信体系,全面发展数字经济,推动国家治理体系和治理能力现代化具有积极的现实意义。
一、个人信用信息权益的内涵、法律体系和实践经验
(一)个人信用信息权益的内涵和具体内容
自然人作为被采集信用信息的主体,其权益保护体现了公共、市场、金融信用信息征集机构是否客观、准确地利用个人信用信息,是否在信用信息的归集、存储、共享、加工、使用等环节中保障个人拥有对于自身信用信息的控制和救济[1]。从国内外的实践经验上看,个人信息权所包含的内容普遍具有一定的共性,且多以“具体权利+权能”的方式展现(即“作为具体人格权的个人信息权+若干具体的权能”模式)[ 2020年5月28日,第十三届全国人民代表大会正式通过《中华人民共和国民法典》,将个人信息权视为独立的人格权进行保护。],从权能的表现上看,可区分为积极权能和消极权能[2]。积极权能是指个人对自身信息控制和救济的权能,包括知情权、同意权、访问权、可携带权、利用收益权、修复权、复议诉讼权等;消极权能是指个人排除自身信息遭受侵害的权能,包括更正权、限制权、反对权、异议权、删除权等。
1.个人信用信息所拥有的积极权能
知情权。是指个人知悉其个人信息在信用服务系统内的采集、整理、加工、储存和使用的具体情况的权利。个人有权知悉其被归集的信息内容和用途、有权获取个人信用信息记录及其衍生产品的调阅和知晓的权益。
同意权。是指个人享有决定是否同意信用服务机构采集、加工、使用自身的个人信用信息的权益。信用服务机构应在获取个人同意的基础上开展活动,使个人能够合理控制自身信用信息流转和共享的范围。
访问权。是指个人有权访问其自身的信用信息,了解信息处理的目的、信息的类型、信用信息接收者身份及其类型、存储期限、信用服务产品的结果、使用途径及后续影响等。访问权使个人能够自由获取自身信用报告和信用评价的结果,并充分掌握其后续影响。
可携带权(移植权)。是指个人有权接收其先前提供给信用服务机构的个人信用信息,也有权将相关信息迁移至其他信用服务机构。可携带权是欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)的创新,允许个人信用信息跨领域、跨行业流转,为公共、市场、金融信用信息融合应用提供了可能。
利用收益权。是指信用信息具有使用价值和交换价值,既可以由自己允许信用服务机构使用信息,也可以同意其他信用服务机构免费或有偿使用。利用收益权为构建个人信用信息的财产变现机制提供了可能。
2.个人信用信息所拥有的消极权能
更正权。是指个人有权要求控制其个人信用信息的信用服务机构及时更正不正确、不准确、不完整的信息。在个人行使更正权的过程中,信用服务机构必须配合个人进行信息的更正处理,并及时向主体汇报信息的更正情形。
限制权。是指个人在特定条件下有权要求采集个人信用信息的信用服务机构暂时停止数据处理。限制权实施的条件包括:个人信用信息存在错误、信息缺少保护或信息存在非法处理情况但不宜删除,在该前提下允许个人实施限制权。
反对权(拒绝权)。是指个人在特定条件下有权要求采集个人信用信息的信用服务机构永久停止数据处理。反对权实施的条件包括:个人撤回对处理其自身信用信息的同意、处理信用信息所依据的正当事由不成立。
异议权。是指个人通过查询等途径知悉控制其个人信用信息的信用服务机构或公权力机关所保存的信息存在错误、遗漏的,向主管单位及有关部门申请异议、要求更正的权利。
删除权(被遗忘权)。是指在特定条件下,个人有权要求控制其个人信用信息的信用服务机构及时删除其个人信息。删除权实施的条件包括:个人撤回同意或有充足理由反对处理、信用信息收集目的无法实现、信用信息被非法处理、信用信息控制者履行法定义务所必需等。
修复权。是为避免不良信用信息或存在争议的信用信息对本人造成持续或过度的消极影响,保证失信惩戒控制在合理范围内,使失信信用影响可以通过规范化的程序进行恢复。
复议诉讼权。是指当个人的利益受到侵犯后有权寻找法律途径获得救助的权利。复议诉讼权是个人通过司法诉讼程序实现的一种权利,其至少包括“侵权行为停止、消除影响、合理补偿”等内容。
(二)个人信用信息权益保护的立法思路和实践经验
1.英美法系和大陆法系国家
个人信用信息权益保护立法方面,欧美地区走在全球前列,如美国出台的《公平信用报告法》、具有全球大数据时代引领性的欧盟《一般数据保护条例》(GDPR)等一系列法律法规为全球个人信用信息权益保护提供了宝贵的立法经验。与此同时,亚洲信用服务业发展较早的如日本、中国台湾地区出台的《个人信息保护法》、《个人资料保护法》也为个人信用信息权益保护提供了借鉴经验。本文以英美法系和大陆法系国家为区分,对其个人信用信息权益保护的立法思路和实践经验进行分析。
经过多年实践,英美法系和大陆法系国家明确了个人信息权的内涵及外延。从比较法的角度上看,欧亚等采用大陆法系的国家和地区将个人信息权视为具体人格权,在民法等部门法中设立独立的个人信息权实现对人格利益的保护[3],并建立了以“知情同意”和“异议删除”为代表的权能体系和规则体系;英美法系国家则认为,个人信息权是隐私权的延伸,是一种物权[4],如美国个人信息保护体系沿袭自1974年通过的《隐私法》,将其纳入隐私保护之下。在法律体系的建构上,采用条块分割式立法的方式保护个人信息权,如美国采取分散立法的方式保护不同行业、领域的个人信息权,并建立大量的个人信息保护行业自律规范。总体来说,大陆法系和英美法系国家在立法思路和法律体系建构上有所区别,但对个人所享有的信息权能则存在普遍的交集(如图1所示)。
图1 大陆法系和英美法系间个人信用信息权能体系的对比
(1)立法思路:重视个人的“知情同意、异议删除”权益,积极探索新生权益的保护
从英美法系和大陆法系国家和地区关于个人信息权能的表述上(详见表1),可分为以“知情同意”为代表的积极权能和以“异议删除”为代表的消极权能。如图2所示,在积极权能方面,以欧盟和中国台湾地区为例,知情权成为信用服务活动开展的“前提条件”,即在信用服务机构“告知”个人的前提下方可开展信用信息的征集工作。同意权成为信用服务活动开展的“必要条件”,即信用服务机构须征得用户“同意”的条件下,才可进行数据的整理、加工和储存。知情同意衍生出了访问、可携带、利用收益三项新生权益,通过立法保障个人可自由查阅基于自身信息产生的信用产品、允许个人信用信息自由迁移至其他信用服务机构、允许个人在“同意”的前提下依靠自己的信用信息获取合法利益。
图2 积极权能运行机制的基本逻辑
如图3所示,在消极权能方面,以欧盟和美国为例,法律对异议、更正、限制、反对、删除、修复、复议诉讼等权能表述均体现了对信息的完整性、准确性和私密性的保护。从权能的具体表述上看,在异议权方面,在信用信息存在错误的前提下,个人有权提出异议,并要求信用服务机构更正和暂时停止使用;同意权是反对权和删除权的“先决条件”,当个人撤回同意时,即可要求信用服务机构永久停止使用或删除信息;在修复权方面,强调对失信信息的合理修复和消除影响,如美国《公平信用报告法》明确提出了失信信息的修复标准;在复议诉讼权方面,允许个人向监管机构或所在地法院提出司法救济,保障自身消极权能的有效运行。
图3 消极权能运行机制的基本逻辑
(2)实践经验:出台个人信息保护“基本法”,组建统一监管机构
英美法系国家:以“行业自律”为主导,辅以分散立法的保护模式。以美国为例,该国没有在信用行业监管上设立专门的监管机构,主要以行业自律模式为主,辅以大量的分散立法[5]。如出台《联邦贸易委员会法》解决线上、线下的隐私和数据安全问题,出台《公平信用报告法》明确信用服务机构获取个人信用信息应遵守的原则、程序和目的;出台地方法规,如加利福尼亚州出台的“AB 375”法案,对“个人信息”进行广泛定义,将“生物识别信息”、互联网浏览历史记录和购买历史记录纳入个人信息保护范畴。总体来看美国在立法层面已形成一个层次分明、涉及个人信用信息的各项权能保护的体系。但该模式仍存在一定弊端,一是立法层面主要聚焦于个人信用信息的外延,缺乏对个人信用信息的内涵进行定义;二是缺少统一的信用监管机构,导致个人信用信息权益保护执行机制难以有效运行且缺乏有效监督;三是过于依赖行业自律,缺乏统一的行业标准,对个人信用信息保护参差不齐。
欧盟:统一立法和监管的保护模式。在个人信用信息权益的保护上,欧盟采取了“统一立法和统一监管”的发展策略。于2016年正式颁布实施《一般数据保护条例》(GDPR),确保了“一个欧洲一部个人信息保护法”。在监管机构设置层面,增设了欧洲数据保护理事会,将其作为数据监管的最高权力机构,并允许各信用服务机构所在地的监管部门实行一站式监管,明确了管辖权和检查、执法、处罚、司法诉讼等监管规则,极大减轻了跨国数据流动时企业的合规负担[6];在处罚力度方面,对于违反GDPR相关规定的行为,条例设置了巨额的处罚措施。对于一般性违法,处以最高1000万欧元或相当于上年全球营业收入总额2%的罚款;对于违法行为较为恶劣的(如没有保护用户的同意权),处以最高2000万欧元或企业上一年度全球营业收入的4%。自该条例颁布以来,其成效较为突出,2019年1月至5月,欧盟各成员国处理案件28万件,收到至少14.4万次个人投诉和89271次数据泄露通知,开出罚款高达10400万欧元[ 仅“谷歌案”中,由于谷歌公司违反条例中的“知情同意权”和透明性义务,即向谷歌公司作出了条例至今最高额的罚款处罚—5000万欧元。]。条例作为欧洲信用体系基础性建设的典范,其立法和实践模式成为各国争相学习的榜样,但剖析其运行过程中发现,欧盟的监管模式仍存在一定的不足:一是条例对于“知情同意”等权益保护的严苛要求,极大增强了信用服务机构开展征信工作的难度;二是条例对个人信用信息权益的明确界定强化了个人对自身数据的“归属感”,由于个人“趋利避害”的考量和企业与个人间信息不对称的天然存在,条例的实施未必有利于企业和用户建立信任关系;三是条例导致企业必须增加数据安全保护的人工成本以便合规运行,成本的上升可能损及信用大数据等信用新兴产业和业态的创新。
2.国内各地的立法思路和实践经验
我国信用立法工作逐步呈现“顶层部署、地方先行”的态势。在国家层面,2013年以来党中央、国务院高度重视社会信用体系建设,相继出台了《征信业管理条例》、《社会信用体系建设规划纲要(2014-2020)》等一系列法律法规和政策性文件,加快起草“一法两条例”[ “一法两条例”是指《中华人民共和国社会信用法》、《公共信用信息管理条例》和《统一社会信用代码管理办法》,在“一法”方面,目前社会信用法起草工作已列入国家发改委2020年工作打算;在“两条例”方面,2019年7月18日国务院政策例行吹风会上,国家发展改革委副主任连维良指出“加快研究出台公共信用信息管理条例、统一社会信用代码管理办法等法规”。]。在地方层面,截至2020年9月,我国已有8省5市先后出台地方信用条例,形成信用信息管理条例和社会信用综合性立法兼具的格局。信用信息权益保护作为条例的重要组成部分得到业内和社会的广泛关注,本文聚焦于公共信用信息领域,以出台信用信息管理条例的湖北、浙江和出台社会信用综合性立法的上海、厦门为例,对条例中关于个人信用信息权益保护的内容进行分析。
(1)立法思路:着重关注知情、异议、修复、删除等权益,复议诉讼等权益保护仍留有空白
从权能的表述上看(详见表2),地方信用立法承袭了大陆法系国家的实践经验,以“知情同意”和“异议修复”作为积极权能和消极权能的核心。
积极权能:保障个人对公共信用信息的采集和加工全流程“知晓”,保护个人“同意”采集市场信用信息的权益。以湖北、浙江、上海、厦门条例为例,条例中的积极权能突出了对个人“知情权”的保障。个人均有权知晓信息的“采集”和使用情况、信用报告或信用评价的“信息来源”和变动理由,拥有自由查阅自身信息和相关衍生产品的权益;而在同意权方面,由于《征信业管理条例》对公共信用信息的采集留有空白[ 我国《征信业管理条例》第一章第二节第四条明确提出:“国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定,为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布,不适用本条例。”],湖北、上海条例侧重于保护个人市场信用信息被采集的“同意权”,浙江条例则框定了收入、存款等六项需经个人“同意”才可采集的信用信息。
消极权能:侧重于保护个人异议、删除和修复权益,复议诉讼权益保护仍处空白。在消极权能的表述上,均对信用信息的异议、删除、修复、更正权益保护提出了具体的要求,在异议权方面,湖北、浙江、上海条例均着重关注信息的错误、遗漏和侵犯其他合法权益的异议申请保护,浙江在此基础上添加了对申请“超期留存”个人失信信息异议的权益保护内容;在删除权方面,上海、浙江条例更侧重于对个人失信信息删除权益的保障,湖北、厦门条例则体现了对信用主体删除守信信息权益的保护;在修复权方面,湖北、浙江、上海、厦门条例均以“个人主动改正、消除影响”为提出修复申请的前提,未有协助个人开展修复的内容;在复议诉讼权方面,仅有浙江条例明确提出了保护个人的复议诉讼权,但仅限于向省发改委申请复核。
总的来说,地方立法在个人信用信息权益保护上提供了诸多的实践经验,但存在着以下问题:在积极权能部分,受制于社会信用体系建设的阶段性局限,对于个人公共信用信息的共享流通权益(如可携带权等)并未体现;在消极权能部分,一是个人守信信息删除权能表述有限,局限于标准奖励、志愿服务、慈善捐赠等守信信息删除的保护,二是缺少对个人复议诉讼权的保障(仅浙江条例有体现);三是信用修复机制尚未健全,导致个人难以在提出修复申请前获得主管单位的修复协助。
(2)实践经验:权益保护已广泛渗透在立法、平台、机制、自律、宣教等方面,形成体系化发展。
一是关于个人信用信息权益保护。各地立法实践中均已有明确规定。以上海为例,个人信用信息权益保护均在《上海市社会信用条例》、《上海市个人信用征信管理试行办法》等法律法规中有所体现。
二是关于信用信息异议、信息删除、信用修复等业务的权责划分。以湖北、浙江、上海、厦门为例,均由信用中心(或信用信息中心)负责建立健全信息安全管理制度,统一办理公共信用信息异议、信息删除、信用修复等业务。
三是关于异议申请、信用修复等保护机制。以上海为例,编制《“信用中国(上海浦东)”网站行政处罚信息信用修复指南》,明确修复条件和修复流程;制定异议处理操作细则,明确异议申述条件和申诉流程。开通“信用中国(上海浦东)”网站等线上及线下窗口,便于个人提交相关材料。
四是关于对信用服务机构的监管。以上海、厦门为例,均对从事个人信用信息服务的信用服务机构提出明确的规范要求,如《上海市社会信用条例》第四十条明确提出“信用服务机构不得损害信息主体的合法权益”等。要求行业协会加强信用服务行业的自律管理,组织并制定权益保护等行业规范。
五是关于加强个人信用信息权益保护意识的宣传和教育工作。近年来我国各地市均加强信用环境建设,积极开展“6.14信用记录关爱日”等宣传教育活动,向社会大众开展个人信用信息的知识普及和信用辅导,有效提升了民众的信用信息权益保护意识。
3.国内外的立法思路和实践比较
(1)实践相同之处
1)构建多层次的法律体系
我国与欧盟、美国、日本等国家与地区相同,均建立了多层次的个人信用信息权益保护法律体系。如美国形成了以联邦立法、规章制度、判例补充的法律体系,欧盟形成了国际公约、国家立法和行业准则等多层次的法律体系。而我国与欧盟相近,构建了以国家立法为核心,以地方法规、行业准则为补充的等多层次的法律体系。
2)建立覆盖信用服务全流程的保护机制
我国同欧美、日本相同,个人信用信息的权益保护机制覆盖了信用服务活动的全流程,如信用信息的采集、整理、加工、储存、使用、异议处理、信息删除与修复等环节,形成了事前干预、事中控制、事后救济的标准化保护流程。在保护机制设计上,均对个人信息保护的例外情况进行限定,即在不影响国家利益和公共利益时权益才可受到相应保护。
3)注重发挥行业和社会的积极作用
一是同欧美等国出台行业准则等标准规范相近。近年来我国积极推动个人信用信息权益保护的国家标准、地方标准和行业标准的制修订工作,相继出台了《个人信息安全规范》、《信用信息征集规范》等标准,形成了具体的操作细则。二是同美、日等国相近,积极推动行业协会参与个人信用信息权益保护的监管。
(2)实践不同之处
1)个人信用信息的立法思路不同
我国在立法思路和法律体系建设上与英美法系国家(如美国)存在较大差异。一是我国将个人信息权视为独立的人格权,美国则将个人信息权视为物权;二是我国采用多层次的法律体系加强保护工作,而美国则采取平衡立法模式,适当限制了个人的信息权,提升了信用服务业的发展效率。
2)个人信用信息权益保护的监管机制不同
我国与欧盟在个人信用信息权益保护上,均采取“政府主导型”的监管模式,与美国的“行业自律型”和日本的“会员制”有较大的差异。在监管机制的设计上,欧盟采取建立统一监管机构开展监管,而我国则采取由人行(金融信用信息)、各地信用主管部门及信用工作机构(公共信用信息)的分离监管模式。
3)个人信用信息权益保护的运行机制不同
在积极权能方面,欧盟将知情权作为信用服务活动开展的唯一前提,并高度重视保护个人的同意权,而我国更侧重于保障个人对信用服务全流程的“知晓”;在消极权能方面,欧盟侧重于对个人信息删除权的保护,而我国更重视对个人失信信息异议和修复权的保障。
二、我国个人信用信息权益保护存在的主要问题
(一)个人信用信息权益保护的法律制度体系尚未健全
相较于美国以《公平信用保护法》、《电子通讯隐私法》等十余项涉及个人信用信息权益保护的联邦立法和大量规章制度及判例为补充的法律体系以及欧盟以《一般数据保护条例》(GDPR)为主体的多层次法律体系而言,目前我国《个人信息保护法》(草案)正在征求意见,《征信业管理条例》无法满足现实需要,《社会信用法》涉及个人信用信息权益保护的基本法尚在制定之中,关于个人信用信息权益保护的法律制度主要表现为立法层级较低,距离建立完善的权益保护法律体系仍有较大差距。
(二)个人信用信息的权益保护运行机制运转不畅
一是知情权缺乏充分保障。随着互联网时代的高速发展,信息正逐步实现海量生产和互通,个人难以知悉信息流动的全过程,包括信息共享、信息加工、流转和使用过程难以监测、信用评分模型或算法难以知悉等情况。
二是同意权的保护机制不严谨。第一,由于信息技术的复杂性,民众往往难以理解信用服务机构出具的各项授权同意书,且部分条款具有模糊性和强制性,造成个人在同意权的行使上处于不平等的地位;第二,由于提供个人征信服务的部门尚未纳入监管框架,现有的监管手段难以对机构进行渗透,导致个人的同意权缺乏必要的监管保障;第三,个人撤回同意的救济机制尚未建立健全,造成同意权难以得到充分保障。
三是异议处理渠道不通畅。第一,各信用服务机构异议处理管理机制尚未健全,多未做到对异议的实时核实、回复和与主体保持主动联系;第二,各信用服务机构异议处理的运行机制未完善,个人寻找异议申请窗口、知晓流程、提交申请的成本高昂,导致难以行使自身的异议权。
四是信用修复和信息删除机制尚未健全。第一,各地信用修复机制有待进一步完善,修复流程繁琐、修复成本高、失信记录消极影响难以消除等问题导致主体的信用重建困难重重,缺少修复培训、修复承诺等机制导致企业难以在提交修复申请前完成修复工作;第二,个人信息的删除权保护机制有待进一步提高,地方立法对失信信息的删除权保护内容已渐完善,但缺少“删除”个人守信信息的实践经验。
五是新生权益的探索进度滞后于信用建设先进地区。与欧美等信用服务建设先进地区相比,我国在个人信用信息的权益保护建设上差距仍较为明显,对新生权益的探索滞后于欧美国家,如可携带权、利用收益权等积极权能仍处于学术探讨之中,未见地方进行现实探索。
(三)信用信息安全技术防控能力尚有待进一步提升
近年来,我国陆续爆发大规模的个人信息安全风险事件,2019年2月,国内某公司发生了大规模的数据泄露,预估泄露包括姓名、身份证号码、性别、家庭住址在内700万条个人信息,仅2016全年由于个人信息泄露造成的经济损失达百亿元[ 据中国互联网协会《中国网民权益保护调查报告2016》显示,全年国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。]。事件反映了以下几个问题:一是我国信用服务机构在数据安全和隐私安全保护技术上的水平离信用建设先进国家和地区存在着较大的差距;二是缺少技术水平的相关行业标准和规范,网络数据安全制度标准体系尚未健全。三是信息安全的专项治理行动和检查频次有限,不利于敦促机构提升自身防控能力。
(四)社会大众对于自身信用信息风险安全意识仍较为薄弱
根据调查数据显示,当前社会大众对于个人征信的认知程度严重不足,近三成的受访者在不知情的情况下泄露了自己的个人信用信息报告[ 据融360维度《中国大众征信意识情况调查》显示,在征信知识普及方面,仅有10.73%受访者表示非常了解个人征信;有近32.17%的受访者表示自己在个人不知情或被诱导情况下,查询个人信用报告。]。随着信用经济的高速发展,个人征信业务已逐渐成为民众生活场景中不可或缺的组成部分。但就调查数据显示,社会大众对自身个人信用信息存在的安全风险了解有限,缺少防范意识,造成个人信用信息权益受损事件频发。
三、加强个人信用信息权益保护的政策建议
(一)国家层面
1.持续推进我国个人信用信息权益保护制度的完善
提升个人信用信息权益保护的力度,通过立法杜绝权益的侵犯。一是尽快推动出台《个人信息保护法》、《社会信用法》等权益保护的基本法,提高法律位阶。在内容上细化知情同意、异议修复等权益保护的条件和形式,注重程序设计提高实操性。在创新性上,将个人守信信息删除权纳入立法考量的范畴。二是加快制定个人权益保护等条例的实施细则,规范各领域个人信息处理的操作流程、使用规范,细化违规行为的处罚条款,尤其是在符合现有法律法规的框架下,在不减损个人权利义务的情况下,加强个人信息保护规范罚则的设计,适当提高罚款金额上限,形成有效威慑。
2.加强对个人信用信息权益保护的有效监管
为加强对个人信用信息的知情权、同意权的保护,需通过有效监管来规范信用服务业的行为。一是在信用领域探索建立统一的个人信用信息管理机构或权益保护领导小组,建立“横向到边,纵向到底”的监管机制;二是完善权益保护基础设施建设,推动发改和人行系统建立统一的异议申诉和信用修复平台建设,分阶段多层次地实现个人“批量申请”、“在线更正”、“流程信息实时掌握”等功能;三是加强全国信用领域行业协会的建设,提升行业协会从业人员的综合素质,推动全行业形成有效的自律机制。
3.整合技术资源,积极推动个人信用信息安全规范标准建设
一是整合社会资源,依托高等院校、产学研平台、国家实验室等机构,推动区块链、联邦学习和多方安全计算等新型信息技术的研发,支持个人信用信息在安全可控的范围内进行共享流转,拓展个人信用信息应用场景。
二是分步骤、多阶段地推动权益保护信息技术标准的制修订工作。在我国现有工作的基础上,加快推进信息安全、权益保护的行业准则、国家标准的制修订工作,明确个人知情同意、异议修复的标准规范,依次推动数据标准、采集格式、评价模型等标准建设,提高信用服务产品的市场准入门槛,保障个人有效行使自身的权益。
(二)地方层面
1.在立法层面:大胆探索建立复议诉讼权保障机制,积极尝试可携带权的应用
鼓励地方积极开展新生权益的探索试点工作。一是支持地方在各项信用法律法规中探索建立复议诉讼权的保障机制,允许个人向上级机关和法院申请复议或提起行政诉讼;二是紧跟当前信用信息共享融合的发展趋势,依托行业、领域信用体系试点建设,探索个人信用信息的有偿迁移和变现机制,总结成熟经验形成相应管理制度。
2.在监管层面:积极开展多部门联动的信息主体合法权益犯罪打击行动
目前个人信息违法行为的打击多依赖于专项治理行动,不利于形成长效化机制。建议我国部分信息技术能力较强的地区率先探索建立由地方发改委、人民银行、银保监、公安、网信、各系统接入机构通过领导小组或联席会议形式,形成多部门协同合力,鼓励区域联动,严厉打击侵犯个人信用信息合法权益的违法案件,追究相关人员的刑事责任,总结成熟经验并向全国推广。
3.在行业自律方面:引导信用服务机构加强合规、风险控制和管理制度的建设,积极协助受到行政处罚的企业进行失信修复
一是依托行业协会协助信用服务机构根据相关法律法规和标准规范完善信用产品的权益保护机制建设;二是协助信用服务机构 加强对上下游厂商的关联性风险控制,避免由于数据流通导致信息处理违规而承担相应的法律责任;三是依托地方监管部门,积极开展信用服务机构的内控培训工作,协助建立健全安全保护和应急处理的管理制度;四是依托地方信用中心积极协助违规企业做好整改和信用修复。
4.在宣传方面:依托“6.14信用记录关爱日”“诚信万里行”等活动积极开展个人信用信息权益保护宣教工作
一是依托积极办好“6.14信用记录关爱日”“诚信万里行”等诚信宣传教育活动,将个人信用信息权益保护的科普教育纳入活动中,推动权益保护“进社区”、“进机关”、“进企业”、“进高校”;二是依托地方融媒体宣传矩阵,加大对个人信用信息权益保护的宣传,将个人信用信息泄露等侵害案例通过网络、电视、纸媒等渠道传播,唤醒社会大众对于信息保护的安全意识。(曾光辉,系厦门国信信用大数据创新研究院院长;陈晟涌,系厦门国信信用大数据创新研究院研究员)