我国个人信用征信制度的立法探讨

个人信用征信制度是关于个人信息收集与传递的机制,是减少失信行为、促进交易的有利手段,是建立信用经济的重要环节。但是我国关于规范个人信用的全国性立法还是空白。个人信用征信制度的建立需要解决公民隐私权的保护问题,并在信息的收集、处理、公开、法律责任等方面构建当事人的权利与义务。     

大数据时代的个人信用信息保护——以个人征信制度的完善为契机

我国个人征信制度具有鲜明的时代特征,但在个人信息保护方面不仅与欧美发达国家之间存在着明显差距,自身也面临着诸多的挑战。我国个人征信主体权利的实现,应当以权利的规范与保护为核心,建立在个人信息控制权的基础上。GDPR规则下的欧盟个人征信监管模式以及FCRA规则下的美国征信监管体系,对我国个人征信监管模式的发展具有借鉴意义。完善我国的个人征信制度,应当提升个人信息保护的立法层级,平衡个人信用信息使用与个人信息保护之间的冲突,健全个人征信主体的权利保护与救济体系,发展个人征信行业协会,促进行业自律,推动个人征信业的发展。     

个人征信体系存在的问题及发展对策探讨

个人信用征信是指依法设立的个人信用征信机构对个人信息进行的采集、加工,并根据用户要求提供个人信息查询和评估服务的活动。建立和发展个人征信体系有利于促进个人消费贷款业务的健康发展;有利于改善经济增长结构;促进我国加快法制、法规建设,引导人们懂法、学法、守法;有利于金融机构加强信贷风险控制,防止不良资产发生。本文试从我国个人征信体系发展过程,浅析我国个人信用体系发展存在的问题,探讨发展个人征信体系的对策。     

我国个人征信体系建设中的隐私权保护

在我国个人征信体系建设过程中,对个人信用信息进行采集、转让披露、出售三个环节中可能会侵害个人的隐私权。鉴于我国征信体系建设起步较晚的现实,有必要借鉴国外个人征信发展模式中隐私权保护的立法经验。我国应从规范个人信息的采集范围和采集方式、完善披露制度、建立充分的权利救济保障体系等方面加强对个人隐私权的保护。     

我国个人征信体系建设中信用信息采集制度的重构

我国个人征信体系建设在制度设计上存在一定疏漏,尤其在个人信用信息采集方面,采集范围不明确、采集程序可操作性弱、信息主体的权利救济机制不健全等问题亟待解决。个人信用信息采集制度的重构,应当坚持以比例原则为指导,同时有选择性地借鉴他国有益成果。采集范围的确定宜采"简要定义+肯定列举+否定列举"的模式;在明确采集范围的前提下应当赋予征信机构直接采集信息的权利;为确保信息主体得到及时、有效的救济,应当否定征信机构违法采集到的信息的效力,明确征信机构违法采集时信息主体可以申请损害赔偿的范围。     

论疫情防控中个人信息保护——以CoviD-19突发公共卫生事件应急为视角

CoviD-19疫情引发的特别重大突发公共卫生事件中,个人信息在有效预防和及时防控疫情中发挥了非常重大的作用,但是也出现了一些个人信息泄露和侵权的问题。因此,需要平衡个人信息收集处理与个人信息保护。第一,在疫情防控中个人信息收集,应当明确与个人数据的不同,不能简单用保护网络数据规则保护个人信息;与《民法总则》私法规范基于知情合意收集个人信息不同,无需个人同意,且个人必须如实提供个人信息。同时,个人信息收集主体对涉及个人隐私等敏感信息得保密或去敏化处理。第二,在疫情防控中个人信息处理,遵从统一领导原则和奉行属地原则,以维护公共健康利益为目的对个人信息进行处理利用,分离敏感信息,由专门职能部门对个人信息使用及时公布;严格遵守最小比例原则,将使用范围控制在使用目的所必需的范围内。第三,《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等法律法规对疫情防控中个人信息收集处理规定的内容过于抽象、操作性差,《网络安全法》不能代替个人信息保护的立法,需要制定统一的《个人信息保护法》,根据公开透明原则、比例原则、个人信息安全管理原则、以私权为中心兼顾公共利益原则,建立完善个人信息保护法律制度。     

个人信息自动化处理领域的个人信息保护规则

个人信息自动化处理技术能大量存储个人信息、整合诸多个人信息片断以及给第三人获取个人信息创造便利条件,属于对个人人格和财产具有较高加害危险的领域。因此,有必要在此领域引入以信息禁止原则为出发点的个人信息保护规则：原则上禁止收集、处理和利用个人信息,除非得到信息主体的同意、符合法定事由或者具有其他合法利益;收集个人信息时的目的限制了日后的处理和利用行为。另外,在这个高度危险领域,应当赋予信息主体干预信息处理过程的权利,具体包括：查询权、更正错误信息的权利、删除错误信息的权利等。我国未来的个人信息保护法应当将上述严格的保护规则限定在个人信息自动化处理行为上。     

《民法典》中私密信息的内涵——兼论私密信息与敏感个人信息的关系

我国《民法典》采用了隐私权与个人信息并立保护的"二元模式",并将"私密信息"作为二元并立的交叉部分规定在第1034条第3款,形成了《民法典》私密信息与一般个人信息的划分.《民法典》中未对"私密信息"作出界定."私密信息"的内涵为可直接或间接识别至特定自然人,且不愿为他人知晓的信息;同时"私密信息"应受到公共利益的限制.与《民法典》的分类不同,《个人信息保护法》采用的是敏感个人信息与一般个人信息的分类.但是,"敏感个人信息"不等于"私密信息",二者之间是包含与被包含的关系.二者在内涵上存在重叠;信息主体对"私密信息"的控制程度远高于"敏感个人信息";"敏感个人信息"的外延大于"私密信息".     

辽宁个人信用体系立法对策

阐述辽宁个人信用体系建设的重要性，以深圳、上海等个人信用立法的先进经验为例，对辽宁省个人信用体系建设尤其是对个人信用方面的立法状况进行分析，指出应尽快出台地方个人信用法规，规范个人信息的采集、征信产品的提供以及合格用户，对个人信用信息资源进行有效整合，并完善与之相关联的法规，建立个人失信惩罚机制。     

论重大疫情防控中个人信息的民法保护——以新冠肺炎疫情为例

在重大疫情防控的特殊时期进行个人信息共享,是对疫情状况进行研判预测的前提.在新冠肺炎疫情防控时期,个人信息共享中存在信息获取内容的非必要性、信息获取主体的非授权性、信息登记传播的非隐私性、信息获取使用的非程序性以及信息泄露侵权风险.在重大疫情防控中,个人信息的获取应该遵循程序法定原则,认定只有法律明确授权的机构才能收集个人信息,获取信息内容应当以必要性为原则,获取过程需要遵循"告知同意"原则,在个人信息的合法使用中,应符合目的性原则,实现个人信息的民法保护.对于重大疫情防控时期个人信息共享中的侵权问题,应当区分不同情形,认定相关主体的补充责任、按份责任或连带责任,实现疫情防控时期个人信息的依法保护.     

论个人信息权在人格权法中的地位

尽管实践中对个人信息采用刑法、行政法等多重保护机制,但并不能影响或改变个人信息权为民事权利的基本属性。个人信息与个人人格密不可分,个人信息主要体现的是一个人的各种人格特征,故个人信息权是一种新型的具体人格权。个人信息权不属于一般人格权。个人信息与个人隐私在内容上存在一定的重合,但整体而言,个人信息概念远远超出了隐私信息的范围,应当将个人信息权单独规定,而非附属于隐私权之下。我国未来"人格权法"应当对于个人信息权作出规定,明确个人信息权的范围、内容、收集原则、侵害责任,以及商品化使用问题。     

论征信活动中保护个人信用信息隐私权之目的特定原则

目的特定原则对于在征信活动中保护个人信用信息隐私权具有重要作用:一是加强了个人信用信息隐私权的安全性;二是在保护个人信用信息隐私权与其他重要利益间维持平衡。主要包含以下内容:收集个人信用信息的目的特定,处理和利用个人信用信息的目的特定,目的变更后的目的特定,目的消失后的删除义务。     

大数据技术下个人公平征信监管的数据治理维度

个人征信广泛用于信贷、租赁等经济交易场景，关乎征信主体重大经济利益。从国内外征信业发展看，大数据征信已经成为传统征信的重要补充，并呈现出征信主体多元化、个人信用信息泛化、征信过程智能化和自动化等特征。大数据征信一方面有利于解决缺少信用记录主体获得金融支持的困境，另一方面又可能带来信用歧视和不公，而现有征信监管未能有效回应。基于大数据征信数据驱动的本质，可借鉴数据治理的现有立法实践，在征信监管中一方面坚持和完善大数据征信下数据处理的透明度要求，另一方面夯实大数据征信机构在个人信息准确性和合法性方面的保障义务，并赋予信用主体挑战不公平征信结果的权利，以实现大数据下个人公平信用权益的有效保障。     

平台共治视角下个人信用保护的范式转换

党的二十大报告提出建立市场经济中的信用基础制度,加强个人信息保护的目标。平台企业参与的信用治理是中国式现代化指引下的治理创新,始终在国家顶层设计中占据重要地位。随着平台企业成为信用治理的关键枢纽,个人信用保护面临信息处理边界不清和信用制度利益失衡的困境。必须仔细探寻个人信用保护困境背后的理论根源,防止信用共享共治异化为信用管制。现行信用法律制度在权利归属、程序设计、责任机制方面均存在空白,导致个人信用仅构成一种反射利益。传统权力制约范式难以回应数字时代的个人信用保护需求,新型信息权利是解决困境的根本,数据流通规则有助于解决权利成本过高问题。应当围绕个人在信息处理活动中的权利体系,完善数据流通规则,重建个人信用保护的法律框架。首先,必须明确界定信息的敏感程度及其信用评判价值功能,并对信用领域的信息处理行为适用层次化同意规则:针对有利于信息主体的正面敏感个人信息采取单独同意与资格准入规则,适用责任规则;针对不利于信息主体的负面敏感个人信息一般采取禁易规则,基于公共利益目的除外。其次,信用领域数据流通的商业实践要求转向行为风险规制模式,实施以合同为中心的支配规则,适当运用特别规则强化个人信用保护力度。其中,平台与经济组织之间的数据流通应当在同意规则以外,增设标准合同文本、平台责任强化、证明责任分配规则三类倾斜性保护措施。平台与行政部门之间的数据流通应当确立以主体责任和救济机制为关键内容的流通秩序。     

论非基于个人同意的个人信息处理与单独同意规则的体系解释

出于个人信息保护与利用相协调的目的，立法者对个人信息设置了与著作权法的合理使用规则类似的无需个人同意的个人信息合理使用规则，赋予了个人信息处理者在特定情形下无需取得个人同意而实施个人信息处理行为的合法性。合理使用规则对自主决定权的限制不能类推得出知情权同样被限制的结论。不同于《通用数据保护条例》对一般情形和特殊情形相区分的双层合理使用规则，我国并没有对特殊情形下的合理使用规则进行单独设置，因此产生了合理使用规则与单独同意规则在具体适用时的排斥竞合。在解释论视角下，通过体系解释可以得出原则上单独同意优先于合理使用规则适用的结论。同时，限制个人知情权的例外条款可以作为个人信息合理使用规则的制度填补，在敏感信息等特殊场景下妥适地协调个人信息保护与利用的关系。     

数字经济时代个人信息处理的法律基础

在数字经济时代,为实现个人信息保护与利用的平衡,2021年8月20日通过的《个人信息保护法》明确将规范个人信息处理活动作为立法目的之一,并围绕其具体构建个人信息处理制度.个人信息处理的合法性事由不仅包括知情同意,还可涵盖法律、行政法规规定的其他情形;而敏感个人信息一经泄露或非法使用即会产生侵害权利的高度风险,其处理应受到严格限制.应在解释论上进一步完善个人信息处理制度,构建知情同意的动态信息披露机制,完善个人信息处理的合法性事由,确立"原则禁止、法定允许"的敏感个人信息处理原则,从而奠定数字经济时代个人信息处理的法律基础.     

数字经济时代个人信息处理的法律基础

在数字经济时代,为实现个人信息保护与利用的平衡,2021年8月20日通过的《个人信息保护法》明确将规范个人信息处理活动作为立法目的之一,并围绕其具体构建个人信息处理制度.个人信息处理的合法性事由不仅包括知情同意,还可涵盖法律、行政法规规定的其他情形;而敏感个人信息一经泄露或非法使用即会产生侵害权利的高度风险,其处理应受到严格限制.应在解释论上进一步完善个人信息处理制度,构建知情同意的动态信息披露机制,完善个人信息处理的合法性事由,确立"原则禁止、法定允许"的敏感个人信息处理原则,从而奠定数字经济时代个人信息处理的法律基础.     

开放平台用户个人信息使用者侵权责任探究

随着互联网的发展,开放平台的兴起与个人信息保护之间的矛盾日益激化,基于网络应用而产生的能够直接或间接识别特定个人的一切信息都应当纳入个人信息保护的范围.对个人信息的侵权行为,在内容上包括非法收集用户的个人信息和不当披露、利用用户的个人信息,在方式上可分为单方侵权行为和共同侵权行为.对于这种侵权行为,开放平台提供者宜适用过错推定原则,第三方开发者适用过错责任原则,并承担损害赔偿、停止侵害、消除影响、赔礼道歉的侵权责任.     

特定行业中个人信息保护问题探讨

信息社会里,调和个人信息流动与个人信息保护的问题已引起世界各国的高度关注.通过对大众传播、征信行业和医疗机构三个特定行业中的个人信息保护问题的案例分析,对个人信息保护立法问题作了思考:保护个人信息安全是个人经济生活、社会互动的基础,对个人信息的立法必将推动整个信息化法律体系的建设与完善.国家应在吸收国外个人信息保护经验的基础上,加快中国的个人信息保护立法进程,消除立法藩篱,促进信息流动与信息保护的和谐发展.     

《个人信息保护法》下网络平台的地位和责任构造

平台在内容收集和传播环节上的自主性决定了它属于《个人信息保护法》下的信息处理者,而相应的合规义务不仅会侵害内容发布者的合法权益,减损信息自由传播效率和公众言论自由,还有可能颠覆平台的商业模式。应当正确认识平台信息处理者和网络服务提供者的双重身份,避免采取任何一种全无或全有的责任适用方式。在由典型的网络服务提供者和典型的信息处理者作为两端的类型光谱上,根据平台对内容收集和传播的自主性,将其分为信息处理受托者、类信息处理者和非典型信息处理者,分别配置责任范围,并以过错推定责任作为激发其履行个人信息保护义务的动力,兑现我国高水平保护个人信息的承诺。