征信宝官网
赢在信用时代

国外企业征信和个人征信系统建设情况

国外征信

国外征信

一、各国企业和个人征信体系的产生和发展

(一)征信及征信体系

征信即资信调查,是指对经济主体的信用信息进行收集、整合,并以此对其信用状况进行评价的经济活动。

资信调查服务一般是专业服务机构(征信机构)代理客户对交易另一方的信用等方面的情况进行调查和评价,为客户选择或确定交易伙伴、签约、确定结算方式或处理交易中问题等决策提供参考。

征信体系由以下4个部分构成,1、为不同信用管理需求提供征信服务的信用管理中介机构;2、为规范征信机构的行为,保护企业和个人正当权益,促进征信行业发展所制定的法律法规;3、政府对征信机构的监督和管理,包括行业自律组织的建立。4、成熟与发展的征信市场。

(二)征信行业的产生和发展

征信业在国外已有100多年历史,它是在一国的市场交易由原始的物物交易、现金交易向信用交易的转变中产生、并随着信用交易的发展而发展的信用管理服务行业。

自19世纪中期开始,由于交易中诈骗、赖帐导致交易双方不信任的情况频繁出现,影响了交易的发展。为促进交易顺利进行,在欧美主要国家,提供资信服务的征信公司纷纷成立。1830年在英国伦敦成立了世界第一家征信公司,美国、法国、德国、日本的首家征信公司分别创立于1837、1858、1860和1893年。20世纪30年代由于世界性经济大危机的暴发,企业交易中失信问题严重恶化,加快了征信行业的发展。

20世纪70年代,各国开始对有关信用管理的立法。从20世纪70年代至80年代,美国陆续出台了一些信用管理法律、法规,逐步形成了完整的信用管理法律框架;80年代至90年代,欧洲各国陆续颁布了有关信用管理法律。其间,联合国、OECD、欧盟等国际组织先后制定了指导性或公约性法律文件,来规范征信活动,从而使得信用管理行业获得了一个良好、规范的外部发展环境。

20世纪80年代以来,随着世界经济一体化程度的提高和通讯技术的高速发展,已经建立起庞大的全球企业数据库的大型信用管理公司开始完善其全球服务网络。进入90年代后,发达国家、尤其是美国、英国的大型征信公司开始在服务功能和业务范围上转变,即从主要经营信用信息产品到主要提供信用管理顾问服务,征信公司的分支机构从国内迅速向国外扩展,在数据处理快速组合方面愈加完善,并取得了在本国信用管理服务业市场竞争中的绝对优势。

    (三)公共信用调查机构与私人信用调查机构

按建立征信机构的投资主体和目的分类,世界银行将全球的征信机构分为公共信用调查机构和私人信用调查机构。

所谓公共信用调查机构,主要是指有政府部门出资建设的、以金融监管为主要目的的征信机构,其主要目的不是赚取利润,一般少收费或不收费。大多数国家的公共信用调查机构都是由该国的中央银行或金融管理部门建立的。按欧洲中央银行委员会的定义,公共信用调查机构是“一个旨在给商业银行、中央银行和其他银行监督机构提供有关相对于整个银行系统的公司和个人债务状况的信息系统”。私人信用调查机构不是由政府部门开设的,一般按市场原则运作。也有一些非政府投资的机构,是非赢利的征信机构,也被称为私人信用调查(征信)机构,这些机构是征信市场上信用信息产品的主要生产者和提供者。

世界上第一家公共征信机构也起源于欧洲。1934年,德国成立第一家公共征信机构。在以后的20多年间,公共征信机构的发展缓慢,只有法国、智利、土耳其等几个国家建立了公共征信机构。20世纪60年代—80年代,公共征信机构的发展逐渐加快,有22个国家建立了公共征信机构。

1989年以后,无论是私人征信机构、还是公共征信机构都进入了一个快速发展时期。在世界银行调查的30个有公共征信机构的国家中,有14个国家的公共征信机构是在1990—2000年期间建立的;在对全球50个私人征信机构的调查显示,大约有半数的机构是1989年以后开设的。与此同时,在征信业最发达的美国,却处于行业的合并与大征信公司对外扩张的并存的时期。20世纪80年代中期以来,美国独立征信机构大约从2000多家减少到2000年的400家。

由于公共征信机构和私人征信机构在建立目的上的根本区别,二者在信用信息的收集、整理、发布和机构的安排上都有诸多的不同。在信用信息的收集方面,私人征信机构在收集信息的渠道、范围等方面比公共征信机构要广泛的多。公共征信机构通常是以金融监管当局的名义在金融机构强制性地收集企业或个人的信用信息,而私人征信公司以合同方式收集信用信息。由于公共征信机构主要是为金融监管服务的,因此仅收集规定限额以上的企业(贷款大户)的信用信息和与防范信贷风险有关的个人信用信息。私人征信机构主要收集小额信贷信息或者收集小企业和个人信息。在信用信息的发布方面,公共征信机构整理的数据一般只提供给为公共征信机构提供数据的金融机构,以及银行监督机构。

根据世界银行调查,全球各国的征信机构设置分三种情况:一些国家只有私人征信机构,如美国、加拿大、英国、澳大利亚、新西兰等;一些国家只有公共征信机构,如法国、土耳其等;而大多数国家既有公共征信机构,又有私人征信机构。一些国家,私人征信机构的建立早于公共征信机构的建立,而另一些国家则恰恰相反。

世界银行的研究报告中认为,至少有两个因素对征信机构框架的形成有一定的影响。1、公共征信机构通常会在对债权人的权利保护不很得力的国家出现;2、隐私保护规定的宽严程度可能影响上述机构框架的形成。如“法国的隐私保护规定十分严格,严格的令私人征信机构实际上找不到生存空间”,而美国的隐私保护规定比较温和,征信行业的发展很繁荣。更重要的是,公共征信机构和私人征信机构不是简单的取代关系,而是互补关系,它们相互补充,成为一个国家征信体系的重要组成部分。

(四)国外征信发展的趋势

纵观各国征信发展的历史与现状,其发展趋势主要体现在以下三个方面。

一是在目前的经济发展阶段,确定市场规则已成为市场经济有序、健康发展的必不可少的前提条件之一。一些拉美国家缺乏征信方面的法律已成为这些国家征信业发展缓慢的一个重要原因。因此,在近几年考虑建设征信体系的国家,如印度都将征信法律法规建设与征信机构的建设一并考虑,同时进行。

二是公共征信机构出现明显的私有化趋势。目前各国的公共征信系统高度依赖计算机集成技术、高级软件来管理信用数据,而服务目的和对象又相对单一,投入和运作成本都很大。在产品和资本市场全球化的进程中,公共征信系统越来越难以提供一家公司全面、准确而又可靠的信用信息等原因,一些建立了公共征信机构的国家,如亚美尼亚、巴基斯坦等正在考虑公共征信机构私有化问题,而印度在考虑建设全国性信用局时就设想建成一个由外资参股的征信机构。世界银行调查报告认为,从长远看,各国的公共信用调查机构也许会逐步被私人或跨国私人信用调查机构所取代。

三是国外征信行业集中度迅速提高。从20世纪90年代早期开始,国外征信机构已经出现跨国界、集中化发展趋势。美国最大的3家征信局在欧洲进行进行广泛兼并,将欧洲一些全国性的征信局收归旗下;在德国、英国征信行业集中化的现象同样发生。

二、征信法律的国际比较

世界各国的经验表明,征信立法对征信业的发展具有十分深远的影响。相对于100多年征信业发展史来说,世界各国与征信活动有关的立法普遍较晚,大多始于20世纪70年代,一些国际性公约出台于80年代,90年代许多国家又对征信立法进行完善和修正。如在征信行业最为活跃的美国,1971年才正式颁布了作为征信活动的核心法规《公平信用报告法》;意大利、德国则在1990年才颁布有关隐私保护的法律。

目前,征信法律体系框架主要由一些国际性公约和各国的相关征信法律、法规构成。国际性公约旨在建立一套各国共同遵守的国际性准则,使各国能够在此基础上制定自己相关的法律法规。从各国的立法情况看,大部分国家都遵守了相应的国际公约,但也有一些例外。比如美国在对个人数据征集限制方面并没有遵守上述公约。在美国是否有权获取数据取决于是否出于“合理的目的”(reasonable purpose),而不是取决于是否得到本人的书面或其他形式的许可。之所以如此,是因为美国认为在数据收集和使用过程中过多、过严的限制不利于征信行业的发展和与此相关的目标的实现。

就一国而言,规范征信活动的法律框架一般由宪法和相关的法律、法规组成。除美国等几个少数国家有以征信活动为立法对象的法律、法规外,多数国家都没有单独为征信活动立法,而是将信用信息的征集和使用纳入《数据保护法》中,而该法律还规范包括医疗、市场营销、就业等其他涉及个人信息登记在内的一系列活动。

由于文化传统和立法背景不同,各国涉及征信的法规内容和法律结构都有差别,在隐私保护和征信方面,有不同的倾向性。美国没有全面的个人数据保护法,对个人隐私权的保护和个人数据收集和使用的法律基础是在多年的法庭判决中逐步发展完善的,已经收录在关于政府和私人机构数据库的法律中。无论如何,从世界各国有关征信立法的情况看,有关法规主要涉及以下几个方面的内容:(1)立法目的。表明立法的宗旨,同时也表明所立法规的倾向性。(2)信息征集的目的和动机。具体明确信息征集的目的和动机,保证任何信息的征集行为处在合理的动机之下。(3)信息的采集。对信息征集范围进行明确界定,包括对敏感信息的征集条件和方法。(4)信息的保存。对所征集信息的存储进行规定,包括存储方式、安全性措施、以及有关信息的保存时间等。(5)信息披露和使用。对信息的披露方式、使用范围和使用方式进行规定。(6)有争议信息的纠正。对有争议的信息或错误信息纠正的程序、费用负担、纠正完成时间长度进行规定。(7)特殊情况下个人信息的使用。对各种特殊情况下使用个人信息进行规定,比如涉及国家安全等若干方面。

(一)国际性公约和部分国家征信立法的基本情况

1、国际性公约

1)欧洲理事会《个人数据自动处理的个人保护条例》(1981年1月);

2)欧盟议会《关于在处理个人数据和个人数据自由流动中个人保护的指引》(1995年10月);

3)OECD《个人数据的隐私保护和跨国界流动的指导原则》(1980年9月);

4)联合国《个人数据自动化档案指导原则》(1990年)。

2、欧洲国家的征信立法

1)瑞典《个人数据法及有关信息》(1998年);

2)奥地利《联邦个人数据保护法》(1996年);

3)意大利《关于数据处理中个人和其他数据主体的保护法》(1999年);

4)葡萄牙《个人数据保护法》(1995年);

5)德国《个人数据保护法》(1970年颁布,这是世界上最早的关于个人数据保护的立法);《一般交易约定法》(1976年制定);《联邦数据保护法》(1977年制定,简称77年法,1990年重新制定)。

6)比利时《个人数据处理中隐私的保护法》(1998年);

7)爱尔兰《个人数据条例》(1998年);

8)英国《数据保护法》(1984年颁布,1998年修订)。

3、北美地区征信立法

1)美国关于信用报告的核心法规《公平信用报告法》于1970年正式颁布,1999年11月修正。《诚实租借法》、《信息自由法》、《公平债务催收作业法》、《信用修复机构法》、《平等信用机会法》和《隐私法》作为补充,与《公平信用报告法》共同构成消费者保护中有关信用保护的法律和法规。

2)加拿大《个人数据保护和电子文档法》(2000年)。

4、澳大利亚《联邦隐私权法》(1988年颁布,1990年修正)

5、日本《行政机关电脑处理个人数据保护法》(1988年),《贷款业规制法》、《分期付款销售法》。

6、发展中国家的征信立法

1)秘鲁《私人征信机构管理和信息所有者保护法》(1998年);

2)斯里兰卡《征信所法》(1998年);

3)印度《征信所法》(正在拟定中)。

(二)国际性公约的基本原则

随着经济全球化趋势的日益发展和个人权利保护的国际共识的逐步形成,国际性的个人数据保护公约已成为国际法体系中不可缺少的、重要的组成部分。目前,关于个人信息保护的国际性公约有:OECD《个人数据的隐私保护和跨国界流动的指导原则》,欧洲委员会《个人自动文档保护公约》,联合国《个人数据自动化档案指导原则》,和欧盟议会《关于在处理个人数据和个人数据自由流动中个人保护的指引》。这四个国际性公约的基本目的和内容大致相同,旨在保护个人隐私权力和人权。下面,以 OECD《个人数据的隐私保护和跨国界流动的指导原则》(下称“指导原则”)为例来说明。

《指导原则》制定了个人数据征集应当遵循的七个一般性原则:

(1)数据征集有限原则。要求个人数据征集行为遵守:(a)任何个人数据的征集必须合法和公正,并在数据主体的同意的情况下进行;(b)只能征集于既定目的相关和必要的个人数据;数据要准确并及时更新。

(2)目的声明原则。对于征集数据的目的,必须在数据征集前予以说明。后期使用必须限制在该目的之下。如果超出既定的目的,必须在每次调整前予以说明。

(3)有限使用原则。对于个人数据的使用,当使用意图超出了已经申明过的目的时,数据征集者不能提供,除非得到数据主体的同意,或法律的授权。

(4)安全性原则。数据库必须有适当的安全保护措施,避免数据丢失和在没有授权情况的进入、使用、删改和破坏。

(5)开放性原则。(征信机构)应当让公众了解系统的发展、操作、基本政策和数据征集的基本目的。

(6)数据主体知情原则。数据主体有权知道有关自己的数据的收集情况。同时,需在合理的时限内被告知;如果收费,不能过高;通知必须使用便于阅读的方式。

(7)可信赖原则。数据征集者应当忠实地贯彻上述六项原则。

在数据的跨国际流动方面,《指导原则》要求成员国采取一定的措施和步骤保证数据在成员国内部跨国界流动的正常进行,除非数据流入国没有执行《指导原则》所制定的基本原则,或数据的输出违反了国内有关隐私保护法。成员国可以根据数据的具体性质和隐私保护方面的法规,在输入国没有相等程度的保护措施情况下,可以对某些特别类型的数据输出制定限制条款。

(三)各国征信立法的基本内容

在协调个人隐私保护与征信行业发展的矛盾方面,立法的不同倾向性必然导致各国征信业在发展程度上的明显差别。欧洲国家征信起步时间与美国大致相同,但是由于欧洲国家更为重视个人隐私的保护,对征信机构限制较多,致使征信机构运作成本较高,最终导致欧洲国家在征信方面落后于美国。近年来,欧洲国家已经开始意识到立法倾向对征信业发展的影响以及由此带来的许多不良后果,对一些法规着手进行修订。而美国对个人信用数据采集使用的规定过于宽松,也引起社会关注,随着美国人对隐私的重视,这种宽松的管理趋于收敛,从趋势看,欧美可能形成更加类似的数据保护准则。下面以美国、英国、加拿大、瑞典四个国家的有关法规为例,对征信法所涉及的几个关键环节的问题进行比较分析:

1、  立法意义和目的

美国《公平信用报告法》明确指出:公正、准确的信用对银行系统具有十分重要的意义。不准确的信用报告直接制约着银行系统效率的提高。不合理的征信方法有害于公众的信心。个人征信部门在有关信息征集、信用评级等活动中扮演重要的角色。为保证信用报告机构在从事征信活动做到公正、客观,充分保护个人隐私,特立《公平信用报告法》。

瑞典《个人数据法》中指出:立法的目的在于对个人权利的保护,避免在个人数据征集过程中受到侵犯。

从立法目的的对比看,两部法律存在显著的倾向性差别。美国《公平信用报告法》注重维护一个公正、有效的信用征集系统,而个人隐私保护从属于第二位。与此不同,瑞典《个人数据法》重点是提供个人权利保护的法律依据。

2、数据征集和使用的基本原则

美国《公平信用报告法》在第一款第四条明确指出:必须保证征信机构在进行信息征集和使用过程中保持公正、客观,并做到对个人隐私权的尊重。这是数据征集和使用的基本原则。

瑞典《个人数据保护法》规定:(1)数据收集者必须保证数据的收集和录入过程具有合法性。(2)保证数据的征集和录入以正确的方式进行。(3)一切数据征集活动都是在明确声明过的公正的目的下进行。而其他一切超出目标范围的数据不能进行征集。(4)数据必须是准确的,必要时予以更新。(5)删除错误或不完整的数据。

3、信息征集的目的和范围

美国《公平信用报告法》规定:个人信息征集只有在下列三种目的下进行:(A)有关个人、家庭的信贷、保险活动;(B)有关就业的目的;(C) 其他被授权的目的。

《公平信用报告法》对数据的征集范围进行了界定,下列性质的数据不包括在征信范围:(1)有关个人之间的交易活动的信息;(2)公司内部、分支机构之间的交易活动;(3)信用卡发卡机构给予消费者直接或间接的授信额度;(4)破产纪录超过十年以上的信息不包括在信息收集范围内;(5)超过七年以上的民事诉讼、判决和逮捕纪录不包括在信息收集的范围之内;(6)拖欠税款纪录,自缴纳该税款七年以后,不再作为信息收集范围;(7)任何其他负面信息,超过七年后不再作为收集的对象。

英国《数据保护法》要求,个人数据的征集必须遵循适度、相关、不超出既定的、具体的和合法的目的范围。

作为个人数据的一般性保护法,加拿大的《个人信息保护和电子文挡法》、英国《数据保护法》、瑞典的《个人数据法》均没有对数据收集范围给出明确的界定,只是给出了两个基本原则:(1)不得超过已经声明的目的所要求的范围征集、保存、使用数据;(2)敏感数据不能作为征集范围。特殊情况例外。

4、数据的采集程序

美国《公平信用报告法》规定:征信部门要用文件形式说明对有关个人信息收集的目的。在合理的动机和目的下,信用征信机构可以进行数据收集。

瑞典《数据保护法》规定:数据征集和录入必须在征得信息相关人的许可后方可进行,并且要求数据征集者采取被征集人要求的相应措施,保证:(1)数据征集人能够履行其法律义务;(2)数据被征集人的利益得到保护;(3)能够服务于公共利益。

美国《公平信用报告法》几乎对个人数据的征集没有规定任何实质性的限制条件。相比之下,欧洲国家(瑞典作为一个代表)要求个人数据的征集必须在获得数据主体同意的情况下方能进行。这给征信带来很大的不方便,同时必然增加信息征集成本。欧洲国家之所以这样规定,一方面与重视个人隐私、尊重个人权利的传统有关;另一方面,也与综合立法的形式有很大关系。

5、数据报告机构的责任

美国《公平信用报告法》规定:(1)任何向征信机报送数据的机构不得报送已经知道是不准确、不完整的数据;(2)如果数据主体对数据准确性和完整性提出质疑,报送机构应当在报送时同时将质疑告知征信机构;(3)在已经报送的数据中发现不完整或不准确,应当及时通知征信机构,并报送补充的数据或纠正后的数据;(4)对于规则性报送数据的金融机构,如果个人在其开设有信用账户(credit account),关闭账户时,报送机构应将此事通知征信机构。

该项条款主要对信贷机构、保险部门等定期向征信机构提供数据的约束。同时,《公平信用报告法》规定了对没有履行其义务的数据报送机构处罚条款。这些条款对保证数据质量发挥着重要作用。

6、数据主体的权力

英国《数据保护法》规定:在特定理由下,个人有权在任何时间用书面的形式要求数据征集者在合适的时候停止有关他本人数据的征集、录入;或停止某种方式和内容的数据的征集和录入。其中特定的理由是有关数据的征集或者在既定目的下收集的数据对他或另外的人产生或可能产生损害。但是这种权利在下列情况下不使用:(1)作为合同一方,为签署或履行合同的需要;(2)数据的征集和录入对保护数据主体的重要利益是必要的。

《数据保护法》要求,数据征集者在收到数据主体的通知后的21天内对数据主体终止数据征集的要求给予回复,回答是否已经停止征集或准备停止征集;如果不能完全执行数据主体的要求,指出要求不合理的地方;如果是只能部分执行,说明已经执行或打算执行的部分。

《数据保护法》还规定:被征集人有权知道有关他的数据信息是否被收集、录入数据库。如果被收集并录入,征集机构应当通知数据主体数据信息的内容、收集的目的和可能使用者。同时,数据主体还应被告知数据信息的来源。

在涉及个人信用评估时,信息征集机构必须尽快通知数据主体根据征集的数据所得出的结论。数据主体有权在收到通知后21天内要求数据征集者重新考虑其决定。数据征集者必须在21天内给予答复有关重新考虑的结果。

瑞典《个人数据法》规定:(1)数据征集人有义务免费向被征集人提供他本人的信息。(2)如果信息的来源不是直接来自当事人,信息征集人也应当向本人提供来源信息。如果数据向第三方提供,第一次必须把涉及的信息首先向本人提供。但在能够证明反馈本人遇到了很大困难或者证明信息反馈需要付出于之不相符的努力才能实现时,可以放弃对信息向本人的反馈。反馈的信息包括:(1)信息征集机构名称;(2)信息征集的目的;(3)征集人在进行咨询、核查本人信息时所必需的信息。

关于对不准确数据的修正,瑞典《个人数据法》规定,在被征集人提出要求的情况下,信息征集人有责任立即对有关数据进行核查或修改。如果错误可能导致对被征集人利益的损害,信息征集人需要通知第三方使用者有关信息的修正情况。除非证明客观上不可能通知到,或遇到与很大困难的条件下,信息征集者才能放弃通知第三方。

美国《公平信用报告法》规定:如果数据主体要求了解有关本人数据的情况,征信机构应当及时反馈有关信息,其中包括数据主体信用方面的一切信息以及信息的来源,但有关调查性消费者报告(investigative consumer report)方面的信息来源除外。

美国《公平信用报告法》规定对发现错误的数据主体有权要求更正:(1)对于不完整或准确性出现之一的数据,征信机构在收到数据主体的通知30天内应对数据进行重新调查。调查所需的费用由征信机构承担。如果调查需要展期,最多不超过15天;(2)在收到数据主体通知后5个工作日内,征信机构应当通知所有信息的使用者有关信息的争议情况;(3)征信机构应在5个工作日以后30天以内通知数据提供方;(4)如果征信机构理由充分地证明数据主体提出的质疑是没有说服力,征信机构可以终止调查并在做出此决定的5个工作日内通知提出质疑的数据主体;(5)调查结束后5个工作日内征信机构应将调查结果通知质疑提出人;(6)通过调查发现被质疑的数据是不准确、或不完整的、或无法证明是准确的和完整的,征信机构应当立即删除该项信息或根据调查的结果进行修改;(7)被修改后的数据应在被核实准确、完整后才能被使用,应在开始使用后5个工作日内通知数据主体。

在个人权力方面,英国《数据保护法》和瑞典《个人数据法》明显赋予数据主体更多的权利。尽管《公平信用报告法》也赋予数据主体拒绝列入以非个人发起的信用、保险交易为目的的信用报告的名单中,但没有给予个人全部拒绝数据被征集的权利。《公平信用报告法》遵守了国际公约中规定的“当事人知情权”的原则,但是只有在本人向征信机构提出要求时,征信机构才给予反馈,并且作为一项有偿服务。

在对数据准确性和完整性提出质疑的权力方面,欧、美国家之间没有太大区别。总体上贯彻了国际公约原则。从有关规定的倾向性看,欧洲国家的规定更注重数据主体查询的便利性,而美国则更注重征信机构操作的简便性。

7、数据质量控制

加拿大《个人信息保护和电子文挡法》对保证数据质量进行原则性的规定:要求采用措施保护个人信息的安全;建立接受和回答关于抱怨、咨询的程序;对员工进行有关组织政策和操作方的培训保证一切操作的正确性。

英国《数据保护法》在个人数据征集的基本原则细则中要求:有关个人的数据必须保持精确,必要时及时更新。

美国《公平征信法》规定:征信机构应当采取适当的措施,以合理的程序保证信息最大限度的准确性。

8、不良纪录的保留时间

美国《公平征信法》规定,关于破产并超过十年以上的信息、民事诉讼、裁决、被逮捕等纪录并超过七年;拖欠税款自偿付后七年以后的纪录;以及其他超过七年的负面信息,不能包括在信息征集的范围。

瑞典《个人数据保护法》规定:数据的保留不能超过必要时间。同样,英国《数据保护法》同样禁止超过必须时限地保存个人数据信息。

大部分欧洲国家与英国、瑞典的情况相似,对个人数据的保留时间没有做出明确的规定,仅是设定了一般性原则。这可能与综合立法的形式有一定关系。由于不同用途的数据所需保存的时间不尽相同,因此很难具体确定一个统一的时间标准。

9、敏感数据的范围和征集限制

敏感数据的定义:瑞典《个人数据法》中对敏感数据的定义包括:种族或民族、政治派别和观点、宗教信仰、工会组织成员、健康状况和性生活。

《个人数据法》禁止征集敏感数据。只有下列特殊情况作为例外:(1)如果被征集人明确表示同意征集或对公众公布过的信息;(2)数据征集人在履行就业法所赋予的权力;(3)在被征集人丧失了表示同意的能力的情况下,敏感数据的征集必须确保被征集人和有关人的利益能够得到保护;(4)用于医疗、保健;(5)用于研究和统计。

英国《数据保护法》对敏感数据的定义中包括:(1)种族、民族;(2)政治观点和党派;(3)宗教信仰;(4)是否是工会成员;(5)身、心健康状况;(6)性生活。

对于敏感数据的征集和使用,《数据保护法》要求必须得到被征集人的明确同意;此外,《数据保护法》还列举了若干特殊情况,比如受国务院的指令收集某些敏感数据;为保护被征集人重要利益或他人重要利益;出于司法的需要等;这些主要是为国家安全、司法、医疗服务等情况设定的特别条款。针对征信系统而言,对敏感数据的征集必须以本人同意为前提条件。

美国《公平信用报告法》中没有涉及敏感数据问题,既没有对敏感数据进行定义,也没有对敏感数据的收集和使用进行限制。

10、数据库的安全措施

瑞典《个人数据法》规定:数据征集者必须采取适当的技术、机构措施对数据库进行保护。适当的安全措施涉及的方面包括:(1)技术手段的可行性;(2)安全措施的经济成本;(3)在个人数据输入过程中存在的特殊风险;(4)可能存在的风险对个人信息数据库潜在的危害。

对于具体的情况,政府主管机构(supervisory authority)有权决定数据征集机构应当采取的安全措施。

英国《数据保护法》要求信息征集机构采取适当的技术和组织措施防止数据未经授权或非法使用,防止数据丢失、破坏和损坏。

11、信息使用者的责任

美国《公平信用报告法》规定:如果信息使用者根据或部分根据信用报告的信息采取了不利于数据主体的决定,使用者(1)应当将决定以口头、书面、或电子邮件等方式通知当事人;(2)告知当事人信用报告提供机构的名称、地址、电话号码。

12、有关收费的规定

美国《公平征信法》规定:(1)数据主体核查本人有关的数据,征信机构可以对信息反馈服务收费,每次收费不超过8美元。事前应告知核查人收费标准。(2)有关对质疑数据调查的信息反馈服务,征信机构可以收费,但不超过其他查询的收费标准,并且事前要通知收费标准;(3)对负面信息的通知,征信机构不能收费;

13、关于数据跨国传输

瑞典《个人数据保护法》规定:禁止个人数据向第三国传输,除非第三国具有对个人数据的适当保护。对个人数据保护的适度性评价包括数据传输的各个方面,尤其应当针对个人数据的特点,使用数据的目的,使用的时限,第三国的国别,数据使用的最终目的以及业已存在的对第三国数据保护的法规。在被征集人同意的情况下,不执行上述条款。

英国《数据保护法》禁止个人数据传输到欧盟以外的国家和地区,除非该国家或地区对与个人数据有关的个人权利和自由有适当的保护法规。

根据上述比较分析,得出如下简单结论:一是各国基本遵守国际性公约。从欧美主要国家立法看,各国在制定本国的征信法律时充分考虑到相应的国际公约,特别是个人隐私权保护和数据跨国界流动方面,都满足了公约所制定的基本原则;二是各国在平衡个人权力保护与信用征信行业发展两个方面有不同的倾向性。总体看,欧洲国家在包括隐私权在内的个人权力保护方面规定更为严格。相比之下,美国更为注重征信行业运作的成本和行业发展。这可能是美国征信行业比欧洲国家更为发达的一个重要原因;三是单独为征信活动立法具有较高的效率。根据美国与其它国家相关法律对比分析,信用征信单独立法,立法对象明确,所规范行为具体,便于体现一种倾向性。相反,综合立法需要照顾的方面太多,容易出现限制不严导致对个人权利的侵犯,限制过严对征信行业发展不利的局面。

(四)关于征信机构的法律规定

在大多数国家,征信机构的信息收集与共享一般受普通法制约。各国的征信体系基本由两类机构组成,一类是公共征信机构;另一类是私人征信机构。尽管公共征信机构与私人征信机构在许多方面存在差别,但各国在立法上并没有对两类机构给予区别,而是采用统一标准进行规范。

1、征信机构的信息披露与信息共享

从信息使用的限制条件看,欧洲国家的要求比美国的要求严格。英国要求第三方只有在获准数据主体的同意的条件下才能使用信息。而美国则允许在具有正当理由的情况下,可以不经数据主体的许可使用数据。这些限制的不同导致了信用信息使用的便利程度和成本上的差别,必然对征信行业的发展产生不同的影响。

美国《公平信用报告法》规定只有在如下用途和条件,征信机构可以向第三方披露信息:(1)根据数据主体本人的指示向第三方披露有关他本人的信息;(2)信息需求方准备给予数据主体贷款;(3)信息需求方准备雇用数据主体;(4)信息需求方准备接受数据主体的投保;(5)对个人信息的需求与数据主体证件、执照的签发有关;(6)作为潜在的投资者、服务提供者、或合同期内的保险方,需要对信用、偿付风险的评价;(7)其他类型的有关数据主体发起的商业交易;(8)州、地方儿童抚养机构为了解数据主体经济能力、作为抚养人履行抚养义务的能力和资格。出于雇工目的的查询,事前必须征得数据主体本人许可的情况下,查询方能进行。与信贷、保险交易为目的的查询,其中这些交易不是由个人(consumer)首先发起的,征信机构只有在数据主体授权的情况下提供这样的信息;或者征信机构采用如下方法:设立免费电话或其他方式,使个人能够便利地通知征信机构把自己的名字、地址等信息排除在提供的名单之外。而没有通知的被视为同意征信机构提供其有关信息。通知的有效期为两年。上述非个人发起的有关信贷、保险交易的查询,征信机构所提供的信息包括:姓名、地址、其他相关信息;对于提供的资产、负债信息,不能包括能够被使用者识别、推断出与其他信贷者负债关系的信息。

关于查询纪录的信息。《公平信用报告法》规定,征信机构不能向任何人提供有关查询信用、保险交易的纪录信息。

英国《数据保护法》对个人数据披露的限制是:当个人数据向第三方披露时,必须经数据主体的同意,否则不能向第三方提供。在没有获得数据主体同意的情况下,数据征集机构只能在具有充分的原因和理由时,才能向第三方提供。其中所谓充分原因理由可以是如下情况:(a)受信息保密的责任制约;(b)为得到数据主体的许可已经做了努力但没有回应;(c)数据主体没有能力给予同意的表示。涉及信息披露问题的普通法以1924年英国法院对Turnier诉英国国民地方与联合银行一案为代表。银行、放贷机构之间的数据共享受Tournier判例原则制约。银行间呆帐信息的共享应本着银行出于其利益而加以披露的原则来进行,而新账户正面信息的共享按照需经客户同意才可披露的条款执行。征信机构必须遵照数据保护原则执行,采取相应的保密措施以防有人擅自查看或披露个人数据。

在西班牙等国家,征信机构不能共享正面信息。同样,澳大利亚的信用咨询公司也只能收集负面信息。

斯里兰卡《征信所法》并不限制征信所的工作范围,允许征信所在其成员之间收集和共享信用报告。斯里兰卡的《征信所法》没有具体法规作为补充。而美国、英国、澳大利亚和新西兰则有具体法规,即以数据保护/隐私法的形式,对信用报告的收集与共享予以加强、指导并加以少量的限制。

在澳大利亚和新西兰,信息共享是根据Turnier判例的最终原则即经过客户明示或暗示同意来进行的。澳大利亚的《联邦隐私法》(1988年版)对征信机构披露信用报告的要求及从征信机构接收信息的人应该符合的条件作了规定。此法旨在防止澳大利亚的银行和其他机构向征信机构报告正面信用报告。新西兰的《隐私法》(1993年版)对个人信息共享作了限制性的规定。

2、征信机构的法律责任和处罚

借款人在申请不到信用时,征信机构所提供的信用报告就变得很敏感。在建立了征信机构的国家中,有一种普遍的认识,认为征信机构应免受信用报告牵连,或免除因在信息提供过程中好心办错事而应承担的责任。而具体的隐私法作为补充法规为征信机构指明了方向,使之能够在明确界定的范围内行事。理想的情况是,在征信机构收集的信息方面,应该有法规既保护借款人,而同时又保护征信机构免于因在其正常的业务活动过程中善意使用所提供的信息而承担责任。

在全球范围内从事信用调查的私人征信机构都必须遵守所在国有关个人信息的隐私法,否则就会受到惩罚。

在澳大利亚,故意传递个人信息或伪造的/引起误导的信息是违反《联邦隐私法》(1988年版)的。

在美国,《公平信用报告法》(1971年版)对公民故意违法或过失违法的责任作了规定。

在英国,《数据保护法》(1984年版)将向无权接收信息的人披露个人信息定为刑事犯罪。

在日本,对征信机构的不正当行为,如泄露信息、不正当提供信息、不正当使用信息等,根据情形的不同,分别施以刑罚和行政处罚。对机构内部工作人员的不正当行为,不仅要适用刑罚,也要给以民事处罚;对于机构外部人员的不正当行为,则作为盗窃罪来处理。

此外,在国际征信法律建设方面还有一个趋势值得关注,那就是,正在建立或准备建立征信体系的国家都将征信立法作为建立征信体系中的一项重要内容。例如印度在研究征信体系建设时,将修订有关法规内容、颁布《征信所法》作为其中的一项重要工作。

 

 

未经允许不得转载:征信宝官网 » 国外企业征信和个人征信系统建设情况

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址