研究 | 两大信用立法类型的借鉴意义

导读

由于各国法律传统不同、征信模式不同，法律制度设计存在较大差异。下文将以美国和欧盟为例，介绍国际上具有代表性的风格迥异的两大信用立法类型并从中总结我国信用立法可以借鉴的经验。

对比预览

01

立法模式

分散立法模式是指全国没有保护个人信息的基本法，个人信息立法采取区分不同领域或事项分别立法的模式。

美国涉及数据采集和使用的条款因领域不同而对应不同的法律。如在信用信息方面哪些可以获取、哪些属于机密或隐私，如何采集等问题上需要综合《信息自由法》、《隐私权法》、《公平信用报告法》和《统一商业秘密法》等多部法律法规。

统一立法模式是指由国家立法，统一规范国家机关和民事主体收集、处理和利用个人信息的立法模式。

欧盟的《1995年个人信息保护指令》所规定的个人数据范围极广，几乎包含了所有类型和所有行业的个人信息，即任何与其身份已被识别或者可被识别的自然人有关的信息都属于《指令》所保护的个人信息的范围。

 背后的故事 

为什么欧洲如此重视个人信息保护呢？背后有着沉重的历史……

二战期间，纳粹党羽都是通过一些记录文件来查询犹太人的资料。一些犹太教堂会记录每个犹太信教者的住址、财产等隐私信息。这些资料被纳粹党羽掳走后，便可轻而易举地抓捕迫害犹太人，冻结侵占犹太人财产。

因此，欧洲国家都信奉同一个理念——保护公民的数据隐私，视隐私权为人权的一部分。保护个人隐私被写入了许多欧洲国家的宪法。

02

监管机构

与美国征信法律类似，美国没有一个专门的信用监管机构，监管权主要分属于5个政府部门——财政部货币监理局、美联储、联邦存款保险公司、联邦贸易委员会和国家信用联盟管理办公室。各监管部门依据法律监管各自的监管对象，但信用信息保护往往是其众多职能中的一部分。

例如，联邦贸易委员会的职责是反对市场垄断，保护消费者权益，信用行业的监管只是其众多事务的一部分。

其次，不仅在联邦层面，在州的层面也存在许多监管机构，甚至经常存在重复监管的现象。

直到2012年，美国联邦政府根据《多德-弗兰克法案》整合了多个部门的消费者权益保护职能，将年收入大于700万美元的大型征信机构纳入消费者金融保护局管辖。

欧盟及其成员国均建立了专门的个人信息保护机构，负责个人信息保护的协调和行政管理、执法工作。根据GDPR第68条规定，特别设立欧洲信息保护委员会（European Data Protection Board），其成员由各成员国个人信息保护行政机构首脑或者其代表和欧洲信息保护监督局首脑或其代表组成，委员会的秘书处由欧洲信息保护局担任。

2016年4月8日，欧洲理事会和欧洲议会表决通过了《关于个人信息处理保护及个人信息自由传输的条例》（欧盟官方简称为《欧盟一般个人信息保护条例》，GDPR），被成为史上最严个人信息保护条例。

03

同意权

同意权是指个人享有是否同意征信机构采集或被他人、有关机构使用其信息的权利。目前，实现信息主体同意权的方式主要是“选进（opt-in）”和“选退（opt-out）”两种方式。

“选进”是指在采集或使用信息主体信息前需要取得信息主体的同意。

“选退”指除非信息主体明确提出拒绝采集或使用其信息，否则视其默许同意。

美国征信法律在实现同意权上主要采用“选退”模式。

采集：美国的个人征信机构在收集个人信用数据时，可以不经过被收集个人的同意，即使是涉及个人隐私的信用数据，如被收集人的犯罪经历，也无需得到被收集个人的同意。

使用：一些银行、证券公司为了有针对性地向目标客户群推销产品需要定期向征信机构索取消费者信用信息，这不需要事先征得消费者同意，但消费者有权要求相关机构停止这一行为。只有在公司因人员招聘需要查询信用信息以及贷款机构、保险机构查询信息主体医疗信息时才明确要求事先取得信息主体的书面同意。

欧洲征信法律在实现同意权上主要采用“选进”模式。

在欧洲，保险公司和贷款机构必须事先征得消费者同意。《1995年个人信息保护指令指令》规定，处理个人数据必须取得数据主体的明确同意。对于种族血统、政治观点、宗教或哲学信仰、工会成员资格、与健康或性生活相关的数据等敏感数据，除某些特殊情形外，原则上禁止对其予以处理。

04

立法体系响应能力

美国立法体系具有较快的响应能力。在立法初期，许多法律条款往往并不是最优，但是美国立法机构会根据行业反馈、民众诉求迅速调整。

表1展示了自1970年以来美英法德四国的征信法律的修改次数。在1970年到2003年的30年间，美国征信法律先后大小修改多达20次，平均每年修改0.6次；而在此期间英法德三国修改次数均不超过5次，远低于美国。

特别是在1990年至2000年10年间，征信业快速发展，公众对征信业务发展所带来的个人隐私问题日益关注，美国立法机构先后14次修改相关法律以回应民众诉求和适应新的业态发展。

05

对我国信用立法的借鉴意义

 征信业发展与个人权利保护的平衡 

据英国《金融时报》报道，2016年通过、2018年生效的《欧盟一般个人信息保护条例（GDPR）》推行一年之后：欧盟科技企业获得风投大幅度减少，每笔交易平均规模下降了33%；欧盟的人工智能相关的技术和发展，显著落后于中国与美国这些数据更加开放的国家；GDPR还给企业带来了很多额外的负担；英国和法国的数据保护部门也承认，大批公司上报自己的违规行为的情况，已经让他们的工作面临崩溃。

美国对个人信用数据收集、使用和保护等方面，平衡考虑了征信业发展和个人权利保护两个方面的因素，其立法既为个人征信机构的合理生存和经营保留了适当的空间，也全面考虑了保护消费者个人人权方面的需要。

综上所述，我国的信用立法要在征信业良好发展与个人权利保护两个方面中找到平衡，制定适用于我国国情的、既能有力促进征信业发展的、也能很好保障个人信用信息的征信法律。

 统一立法与分散立法并举 

我们可以借鉴欧盟的统一立法模式，制定一部统一适用于全国的征信法律。同时，考虑到信用信息广泛存在于金融、电信以及其他行业的交易之中，统一立法不可能面面俱到地为各种类型的个人信用信息隐私设计恰如其分的保护制度，因而可以借鉴美国分散立法模式的优点，在统一立法所确立的最低保护标准之外，授权有关行业的主管部门通过行业立法的形式制定适用于该行业的更高的保护标准，从而建立起完善的信用信息保护制度。

综上所述，我国的信用立法可以借鉴欧盟和美国立法的经验，采取统一立法与分散立法并举的立法模式。这样既可以实现欧盟立法所追求的对个人隐私的严格保护，也可以兼顾美国立法所追求的促进个人信用信息的自由流动从而实现其商业价值，促进社会经济的发展之目的。

结语

上文从立法模式、监管机构、同意权、立法体系响应能力四个方面详细介绍了美国和欧盟信用立法的显著不同。我们不仅要了解这些区别，还要从中去学习两种立法模式的优点，结合我国国情需要，“取其精华，弃其糟粕”，总结我们可以借鉴的经验。

参考文献：

[1]杨光.美国征信法律立法变迁的借鉴[J].华北金融,2016(12):47-50+70.    

[2]姚朝兵.个人信用信息隐私保护的制度构建——欧盟及美国立法对我国的启示[J].情报理论与实践,2013,36(03):20-24    

[3]叶谦,常胜.征信理论与实务[M].高等教育出版社:北京,2015.9:165.

[4]纷析智库.始料未及的灾难性后果！欧洲的个人信息保护法实施一周年的反思[EB/OL].

https://www.sohu.com/a/325657137_100167247,2019-7-9.

[5]刘云.欧洲个人信息保护法的发展历程及其改革创新[EB/OL].

http://gngj.gog.cn/system/2017/06/23/015824991.shtml,2017-6-23.

关于信用立法，大家如有其他见解

可添加小源点微信（ID：yuandiancredit）

源点邀请您进群讨论~