1996年《消费者信用报告改革法》规定了征信机构对于不准确信息的调查和更正义务,征信机构必须对于信息主体提出的异议信息进行调查核实,如果经核实该信息确实不准确或存在误差,应当根据情况加以更正或删除,并由最大的征信机构将该处理结果通知给其他征信机构。对于信息提供人的义务,该法案规定信息提供者需提供准确个人信息,有义务调查、更正不准确信息并通知征信机构。而对于信用信息使用者而言,其必须按照规定的使用目的使用个人信用报告,当基于信用报告做出对信息主体不利决定时,应当通知信息主体并告知征信机构相关信息。另外,该法案允许关联公司分享个人信息,但前提条件是必须通知信息主体并赋予其选择退出的权利。1999年《格莱姆法案》规定了银行金融机构和非关联第三方间的信息流动,规定在金融机构履行了通知义务并给予消费者选择退出机会后信息得以分享。如果消费者选择退出的话,那么金融银行机构和非关联第三方的信息流转将会被阻断。2003年颁布的《公平与准确信用交易法》
从条文规定来看也显现出平衡利益冲突的价值理念。进一步强化了征信机构、信用报告使用者以及信息提供者的义务,信息主体可以每年在全国范围内的征信机构中免费取得一份个人信用报告,当发现信用报告中存在不准确信息时,享有异议权;信息提供者需建立信息提供的合理程序以符合法律的规定,在向征信机构提供有关信息主体的负面信息时必须要通知信息主体。
第二,在美国个人征信行政监管体系方面。美国个人征信业的发展与市场经济密不可分,正是因为市场对征信有了强烈的需求,征信业才逐渐发展壮大。所以,政府在征信业的产生过程中所起的作用并不大,政府主要承担的是监督和管理的职能,对信用信息服务机构并没有投资和扶持,监管职能是法律法规所赋予的。政府监督检查个人征信业主体是否按照法律规则从事市场经济活动,如果存在违法行为给予一定处罚。目前执行征信行业监管职能的政府部门主要有联邦贸易委员会(Federal Trade Commission,FTC)、司法部(Department of Justice )> 国家信用合作社管理办公室(National Credit Union Administration, NCUA)、储蓄监管办公室(Office of Thrift Supervision)等;此外一些负责银行系统的执法机构,如财政部货币监理局(Office of Comptroller of the Currency, OCC)、联邦储备系统(Federal Reserve System)和联邦储蓄保险公司(Federal Deposit InsuranceCorporation, FDIC)等,由于负责监管与授信有关的行为,也成为征信监管体系的一部分。1行政监管机构按照其职权范围对征信机构作出审批,制定征信机构的业务规则,对违法违规行为进行查处,以保障征信业的有序运行。2第三,在美国行业自律监管方面。目前美国在对个人征信的规制方面,已经形成了行政监督、行业协会自律管理和司法救济等相互协调配合的运作机制。由于拥有良好的法律文化和完善的法律规范作为保障,在制定个人征信的发展方向时,美国倡导市场化运作,依托市场主导和行业自律管理实现个人征信的有效运行。目前,美国在信用征信领域存在的行业协会包括美国信用报告协会(Associated Credit Bureas, Inc.简称 CDIA)、全国信用管理协会(NationalAssociaion of Credit Management,简称NACM)。行业协会的主要功能涵盖多个方面,对内主要是加强协会从业人员和机构的沟通交流,组织开展学术交流会议,举办培训、考试等活动,对外通过与政府沟通,为本行业争取利益。
(2)平衡原则在美国征信制度体系中的适用
美国的征信制度体系并没有上述指导原则的明显痕迹,也就是说美国并没有在其立法中采纳指导原则,这是因为美国认为对个人权利和自由的过度保护必将限制征信业的发展。但是美国征信制度体系所体现的价值理念与指导原则设定的基本目标具有极大的相似性,平衡原则在其体系中得到了适用,美国征信制度体系中所体现的平衡原则表现为更加侧重对信用信息的有效供给。
美国征信立法具有分散性,其对征信领域信息主体权益的保护体现在多个单一法律法规中,这些法律共同构成了美国独具特色的信用征信法律框架。美国国会在2003年通过了《公平与准确信用交易法》,该法律规定州和地方政府所制定的保护信息主体权益的标准不得比《公平信用报告法》更加严格。制定该项规定的目的体现了美国在信用经济发展过程中的立法态度,如果制定了更为严格的标准,会导致信用信息流通的阻隔,信息的有效性和及时性将会大大降低,因此为了保障信用信息在市场上的顺利流通和有效供给,不应制定更为严厉的标准。立法目的或者宗旨是一部法律设立的基本意图和理念,它体现着制度制定者对某事或某行为的倾向性或态度。《公平信用报告法》以信息处理行为的公正、客观,并充分保护个人隐私作为立法宗旨,体现出立法者在制定法律时的意图是通过规制信用报告机构的行为来创建公正、客观的信用征信环境,促进信用经济的发展,而信息主体权益的保护并不是首要目标。
在信息釆集阶段,存在着明示同意与默示同意两种方式。美国是采取默示同意方式最为典型的国家,即如果信息主体在征信机构采集其个人信用信息时没有表示反对或拒绝,则表示同意采集其信息。这一模式为征信机构或信息提供人征集个人信息提供了便利,提高了征信的效率,促进了征信市场的繁荣。
当个人信用信息的使用超出了原来规定的使用目的和用途时如何处理,就涉及到信息的二次利用问题。信息的二次利用旨在促进个人信用信息的流通,有利于征信业的发展,对于二次利用信息的态度反映出不同国家在个人信用信息保护方面的立场。美国在《格雷姆-里奇-布莱利法案》(Gramm-Leach-Bliley)中承认信息二次使用的合法性。该法案赋予了不同公司可以共享消费者金融信息的权利,在当时的经济环境下是一大创举。金融机构对外批露消费者的金融信息受到严格的法律规制,法律规定金融机构首次向消费者提供产品或服务时,必须向其公布隐私政策,该政策应当符合明确性、准确性、清楚性等特点,使消费者能够明了隐私政策的内容,金融机构应做到每年向消费者公布其隐私政策及执行情况。为维护个人的信用权益,该法案确立的最重要的规则是赋予了消费者选择退出的权利,即如果消费者拒绝批露个人信息,表示退出信息共享名单,金融机构就不得再将信息进行批露,信息的二次利用即被隔断。
美国认为规制信用行业势必损害信用利益,也是有一定道理的,在2003年《公平与准确信用交易法》通过后所造成的直接经济损失粗略估计至少1亿美元。1当然,美国并不是无限制的促进信用信息的流通,其明确意识到如果没有对信用信息权益进行有效保护,公众会对征信业失去信心,个人征信最终会陷入恶性循环中,因此,美国对信用信息权利也做出了诸多保护,主要体现在个人信用信息的使用阶段。
2、平衡原则在欧盟征信制度体系中的体现
(1)欧盟征信制度体系概述
要想深入分析欧盟的征信制度,首先必须了解欧盟个人信息保护的历史发展。一直以来欧盟将对个人信息的保护视为保障人权的一部分,从20世纪70年代欧盟已经开始关注对个人信息的保护立法,但当时制定法律的出发点在于促进信息处理者更好的处理和使用信息,并没有将个人权利保护作为处理信息时的重点,当时的法律中出现最多的是“数据” “数据处理者”等字眼,而“信息”“隐私”等体现人文关怀的字眼则鲜少提及。到20世纪70年代晚期,法律基本目标设定的偏颇严重阻碍着人权保护的进程,欧盟立法者意识到问题的严重性,因此个人信息法律的重点转移到对个人信息权益的保护上,但由于历史条件和社会发展水平的限制,当时对个人权利的保障仅仅体现在法律条文中,实践效果并不理想。20世纪90年代,针对保护个人信息权利实践性较弱的弊端,欧盟制定了多项措施强化了个人信息主体在信息流转过程中的参与性,个人权利的保护逐步增强。出台了《关于个人数据自动化处理的个人保护协定》等条约与文件,但并没有对特定行业制定特定规则,所以不能直接找到关于信用报告的特殊规定。
这些规则是非常基础性的,且被缔约方实施,包括德国、英国和法国。同时,国际公约还旨在规范个人数据的跨国流通,加强数据保护之间的合作,该国际公约赋予了数据主体诸多信息权利。20世纪90年代后期,《关于个人数据处理的个人权利保护及此类数据自由流动的指令》的出台标志着欧盟在保护个人信息方面迈入了新台阶,这是迄今为止在欧盟层面关于数据保护最重要的规则,该规定主要的功能是协调制度,而不是对数据保护做最低估计。指令是欧盟一体化逐渐增强的典型例证,对个人信息的保护全面完整,涉及到个人信息处理的每一环节,个人信息主体的弱势地位得到了极大的扭转,与信息控制者相比,两者的地位逐渐趋向平等。
关于个人信用信息保护体系,欧盟采用了综合立法模式,对各行业个人信息的保护制定了统一的标准,最为典型的法律为欧盟1995年通过的《关于个人数据处理的个人权利保护及此类数据自由流动的指令》(以下简称《数据保护指令》)。该指令适用于各个行业,欧盟对征信领域的规制也以指令为依据,通过赋予信息主体多方面权益、规定信息控制者的责任和义务、设立独立的数据保护当局规范法律运作等方式有利地保护了信息主体的权益,因此,笔者以《数据保护指令》为例分析欧盟在衡平个人信息保护与信用信息流通冲突的路径选择。
首先,在监管部门的设置上,为切实保护信息主体的权益,监督信息法律的实施,《指令》规定每个成员国应当成立一个或多个机关,该机关具有完全独立性。成员国应当向该机关进行咨询并听取其意见以保障其所拟定的措施和规定能够保护个人的权利和自由。该机构享有调查权和有效的干预权力,包括在处理操作进行前提出意见的权力,确保这些意见能够适当发表的权力,命令对数据进行组块、消除或破坏的权利,暂时或最终禁止处理的权力,通知或警告管理者的权力,或向国会及其他政治机构通报事宜的权力。根据指令的要求,欧盟各国大多数成立了本国的个人数据保护机构,如德国、法国和西班牙。
第二,在对信息控制者的义务规定上,《数据保护指令》要求征信机构整理数据必须遵循数据质量原则,信息应当以合法适当的途径获得,并以特定的合法目的保存。同时规定了禁止采集的个人信息的范围,涵盖种族血统、政治主张、宗教或哲学信仰、工会成员资格等,例外情况是取得信息主体明确同意或为保护信息主体及其他人的重大利益。明确规定了信息的使用条件,即信息主体明确同意、履行合同、控制人为遵循承担的法律责任、为保护信息主体的重大利益、为公共利益、在保护信息主体基本权利与自由的前提下实现控制人或接受信息披露的第三方追求的合法利益。2信息的使用必须符合采集时的目的和用途,不得逾越范围加工使用信息,严禁信息的二次使用。3信息保护的安全措施应当适当,信息处理过程应当保障信息的安全和严密,避免信息泄露和不当处理。
第三,在对信息主体的权利规定上,为切实保护信用信息权益,《指令》赋予信息主体多项权利,以积极保护的方式为信息主体提供保障。权利内容包括知情权、救济权、自动个人决策权以及拒绝权等。知情权是指信息主体有权向信息控制人了解其个人信息处理的相关情况,查询和获取个人信用报告,当个人信息存在不准确、不完整或误差时,有权提出更正、删除信息的要求。由于处理信息行为的违法性以及其他违法指令规定使信息主体遭受损失的,信息主体享有救济的权利,有权要求责任主体赔偿其损失,此为救济权。指令明确规定了信息主体的自动个人决策权,如果决策者做出决策仅仅是以采集和存储的个人信息如工作表现、信用度、可靠性、行为等为基础的,同时该决定对个人具有实质性影响的话,那么个人可以行使自动决策权,做出不服从此决定的表示。4欧盟在信息主体权利的规定上创新性地提出了拒绝权。5拒绝权是数据保护指令赋予信息主体的一项重要权利,即信息主体可根据个人意愿做出拒绝对其信息进行处理的决定,体现了对信息主体个人信息自决权的尊重和保护。当然,拒绝权的行使并不是没有限制的,出于官方需要或控制人的合法目的,可以阻碍拒绝权的行使,从而处理个人信息,但以直接市场营销为目的处理个人信息的,信息主体有权行使拒绝权。
第四,在信息的跨境流通方面,指令明确规定如非欧盟国家要处理欧盟国家公民的个人信息时必须提供适当的保护,如果个人信息的保护不适当,欧盟委员会将会阻止信息向第三国的流通。当信息涉及终止合同、法律要求或者个人重大利益时,数据主体拥有允许其个人信息跨国流通的权利。对于没有适当隐私法律保护的第三国而言,在使用个人信息之前取得信息主体的明确同意是必需的。
(2)平衡原则在欧盟征信制度体系中的适用
欧盟没有对个人征信领域进行专门的规定,但通过数据保护指令对个人信息领域进行了全面规制,平衡原则在欧盟也得到了较为充分的适用,同美国不同,欧盟对平衡原则的釆纳表现为重视对信用信息权利的保护。在征信法律制度的制定上,欧盟釆取的是统一立法模式,并没有像美国那样单独针对征信领域进行立法,而是通过制定统一法律对所有信息处理领域一视同仁,制定统一的信息权益保护标准。相较于美国而言,这种立法模式对权利的保护无论从深度还是广度而言都更加明显,凸显了欧盟对于人格保护的高度重视。
关于信息主体的选择权模式,欧盟釆取的是明示同意方式,即只有征得信息主体的明确同意才能采集个人信用信息,否则不得采集信息主体的个人信用信息。信息主体的明确同意是信用信息流转的首要条件,这是对信息主体人格利益的充分尊重和保护。而在信息的二次利用上,欧盟法律严格禁止信息的二次利用,认为二次利用是对信息主体权益保护状态的侵犯,不符合征信法律制度设立的目标。另外,在信息主体权利的规定上,欧盟规定信息主体享有拒绝的权利。信息主体是独立的个体,应当根据自我意志决定个人信用信息是否参与征信体系的流转,如果基于多方面因素考虑不愿信息被处理,那么可以拒绝征信机构的信息处理行为。
在对信息主体的司法救济方面,《指令》规定如果信息控制人存在违法的信1承担损害赔偿的民事责任。很重要的一点规定是,在信息主体提起的民事诉讼中,承担举证责任的为信息控制人。信息控制人只有在提出证据证明其对损害的发生不承担任何责任的情况下才能免除责任。举证责任倒置的规定对信息主体的保护更进一步,对信息控制人课以责任可以促使其按照合法的途径和方式处理信息以尽量避免对信息主体造成损害。
