内容提要
20世纪70年代至今,欧盟在对征信机构监管方面形成了完善的以平衡信息共享与隐私保护为核心的法律框架,建立了比较完备的征信体系,对我国当下征信业健康发展有重要借鉴意义。本文主要从欧盟征信机构类型、征信机构的监管框架、征信行为的法律规制和征信机构的法律责任等方面阐述目前欧盟征信机构的发展现状和监管机制,并对当下欧盟征信机构监管框架改革进行简要评述,期望能对我国个人征信体系的完善有一定理论镜鉴价值。
关键词
欧盟征信机构 征信行为 隐私权 征信机构监管
一般而言,征信机构,作为借款人信用信息的“数据库”,是金融市场上借贷双方之间的信息中介。征信机构有助于减少出借人与借款人的信息不对称情形,提高金融市场授信效率,促进实体经济发展。从金融监管和金融安全角度来看,征信机构提供借款人信用报告,有助于包括银行在内的出借人提高信贷质量,防范金融风险,维护金融体系稳定。基于上述理论,欧盟成员国普遍建立了公共征信机构和私人征信机构,形成了欧盟三大征信模式:公共征信模式、私人征信模式和混合征信模式。欧盟征信机构在金融市场上的地位十分重要,是欧洲经济发展的重要推动力。
一、欧盟征信机构类型
根据2013年欧盟政策研究中心(Centerfor European PolicyStudies)和欧盟征信研究所(European Credit Research Institute)联合发布的欧盟征信报告制度改革建议“TowardsBetter Use of Credit Reporting in Europe”显示,欧盟征信机构总体可以分为公共征信机构(Public Credit Registers, PCRs)和私人征信机构(PrivateCreditReference Agencies, CRAs)。[1]欧盟征信机构主要功能在于帮助出借人对借款人进行信用风险评估,进而决定是否授信。[2]此外,在一些国家,例如德国和英国,私人征信机构的信用数据也会为其他服务提供商(例如通信公司、公共事业公司和邮政公司)所采用,以决定是否在消费者逾期付款时提供相关服务。[3]
在欧盟成员国内部,由于各国征信市场成熟程度、法律架构、文化传统、语言差异以及金融需求在内的一系列因素使得欧盟出现了公共征信模式、私人征信模式和混合征信模式三种类型。以法国和比利时为代表的公共征信模式,征信市场只有公共征信机构;在英国为代表的私人征信模式,其只有私营征信机构存在;而在德国为代表的混合征信模式中,公共征信机构和私人征信机构并存。[4]
(一)公共征信机构
公共征信机构是欧盟典型的征信机构,最早是由各国金融监管机构为评估金融机构资产组合的信用风险而建立。例如,德国在1934年建立了第一家公共征信机构,随后法国于1946年、意大利和西班牙于1962年、比利时于1967年建立了各自的公共征信机构。值得注意的是,基于金融稳定和监管需求,欧盟各国通过法律授权公共权力机构(通常是银行监管机构,比如中央银行或者其他监管机构)设立公共征信机构,实现信用数据收集和分配。
欧盟公共征信机构在征信数据收集方式上具有鲜明的强制性,各国法律要求有关机构必须将与借款人有关的征信数据向公共征信机构报告,公共征信机构的主管机构有权要求相关机构在征信数据失真和传输缺失的情况下改正,违反其命令的相关机构将会受到处罚。在征信数据收集范围上,公共征信机构存在特定性,其重点集中收集公司和消费者信用信息,涵盖贷款类型和借款人特征,例如贷款期限、货币、担保等信息,但是排除银行业之外的信息,例如来自通讯公司、公共事业公司、零售公司等的信息。在征信数据的使用方面,欧盟公共征信机构通常只向金融机构出借人提供借款人信用报告,并不提供额外服务,例如信用分数或者投资组合风险监控(portfolio monitoring)服务。
(二)私人征信机构
私人征信机构(CRAs)通常为私有,分为多种所有权结构:一种是出借人或者其他服务供应商是股东;一种是非出借人所有的专业公司所有并运营(CRAs owned and operated by specialized firms with no ownershipbycreditors);还有一种是由行业协会所有。[5]
私人征信机构通过出借人或者公共渠道(如法院、公共登记机构、税务机关等)收集征信信息,经过内部数据加工和处理后,向出借人提供信用报告。需要指出的是,私人征信机构在征信数据的收集、流动和使用方面,要通过和出借人通过事先合同约定,以互惠原则(the principle of reciprocity)为基础,出借人向私人征信机构汇集征信数据、私人征信机构向出借人提供征信信息,同时收取一定费用,以此实现征信数据的分配。
大多数欧盟私人征信机构是营利性机构,其收入和提供征信报告数量是呈正比例的,存在扩大客户数量的内在利益驱动机制。私人征信机构根据各成员国法律,向包括银行、其他金融机构、信用卡公司、消费金融公司、租赁公司、公共事业公司、通讯公司等的客户提供征信服务。私人征信机构在各国数据保护法的范围内,可以基于消费信贷、按揭信贷、商业贷款、信用卡申请过程中借款人征信信息向客户提供各种类型的征信报告,既包括借款人的历史违约或者迟延的负面信息,也包括借款人资产和负债情况、担保情况、债务期限结构、付款模式等详细的正面信息。除此之外,私人征信机构还提供额外的多样化、个性化的征信数据,例如通过运用统计模型去量化个人征信数据,提供信用分数(credit scoring)服务。总之,欧盟私人征信机构具备信用信息来源广泛、内容全面、信用报告个性化的比较优势,可以满足不同出借人的差异化的征信需求。
此外,从欧盟各国征信市场结构来看,由于征信行业本身具有明显的网络外部性和规模经济的特征,各国征信市场呈现自然垄断(natural monopoly)的现象。[6]在德国、芬兰、爱尔兰、瑞典等欧盟大多数国家,一家征信机构占征信市场支配地位是常见现象;在英国和意大利,两三家主要征信机构共同占据了征信行业主要市场,呈现寡头垄断特征,这体现了欧盟征信行业市场结构较为成熟,而市场规模集中度不同的征信机构的并存,有利于促进市场竞争,提升征信机构服务质量,促进征信行业发展,保护公众的合法权益。
二、欧盟征信机构监管框架
欧盟对征信机构形成了综合性监管架构,分为欧盟指令、成员国法律和征信行业准则三维度,多数欧盟国家在上述法律制度框架内设立了专门的数据保护部门来监督其征信法律法规的执行情况,维护个人作为数据主体的合法权益,以实现恰当地平衡信用信息分享和个人隐私权保护的征信立法宗旨。
(一)欧盟指令
欧盟1995年颁布的《涉及个人数据处理的个人权利权利保护以及此类数据自由流动的指令》(Directiveon the Protection of Individuals with Regard to theProcessing of Personal Dataand on the Free Movement of such Data, EU 95/46/EC,简称《数据保护指令》),规定了征信信息的收集、保存、处理、获取和删除规则,违反该指令的法律责任以及在欧盟内部以及欧盟外部各国之间的跨国界征信信息的流动规则。该指令成为欧盟征信机构存在和运行必须的前提和基础,其赋予了借款人在其个人征信信息数据被使用时享有的一系列权利,对公共征信机构和私人征信机构使用个人征信数据做出了严格限制。[7]此外,在监管层面上,该指令倡导欧盟各成员国层面成立相应的征信机构监管部门和欧盟层面的个人数据保护工作组,确保该指令的实施。
其次,欧盟《消费者信用指令》(Consumer Credit Directive, 2008/48/EC)第8条和第9条分别对信用获取义务和征信机构信息数据库获取的问题做了规定。该指令强调征信机构获取充分征信信息以进行信用评估的重要性,同时对个人获取征信数据库信用信息的适当性进行了说明,征信机构必须遵从数据保护法案,确保数据主体可以无歧视地获取征信机构数据库的个人信用信息。
最后,欧盟《资本要求指令IV》(Capitalrequirements directive , CRD IV,2013/36/EU)和《资本要求规则》(Capitalrequirements regulation,CRR,REGULATION(EU) No.575/2013)对于征信机构的规定、对征信报告系统和征信机构的活动有重要影响,对用于信用风险模型评估的征信数据规则做了明确规定,并且要求个人信用评价必须出于谨慎目的(prudential purpose)。
(二)欧盟成员国法律
总的来说,在成员国层面,征信机构应当遵守成员国个人数据保护法律、消费者保护法律、银行法以及其他部门法(例如商法典等)。目前,欧盟成员国对于征信机构的监管框架主要内容为:监管机构权力、征信机构义务、消费者权利、征信机构法律责任以及跨境数据流动规则等。[8]
欧盟主要成员国征信监管机构和法律法规[9]
国家
监管机构
适用法律
奥地利
奥地利数据保护委员会
奥地利数据保护法(DSG2000)
比利时
财政部
经济事务部
中央个人征信登记法 (2001年10月)
捷克
数据保护办公室
数据保护法、商法典
德国
联邦数据保护局
德国联邦数据保护法(BDSG)
丹麦
丹麦数据保护局
个人数据保护法(Persondataloven)
芬兰
数据保护监察员
司法部
信用数据法
个人数据法
希腊
数据保护局(DPA)、国会
个人数据保护法等
克罗地亚
无
克罗地亚登记法
匈牙利
国会
征信机构和金融企业法
爱尔兰
数据保护局
数据保护局规章
意大利
数据保护局
数据保护法、行为准则(Code of Conduct)
荷兰
荷兰数据保护局
个人数据保护法
挪威
数据保护局
个人数据法
波兰
经济部
个人数据保护总视察员
银行法
个人数据保护法
罗马尼亚
数据保护局
677/2001号个人数据处理法
瑞典
司法部
数据保护委员会
征信机构法
斯洛文尼亚
数据保护办公室
银行法
斯洛伐克
数据保护局
个人数据保护法
银行法
商法典
西班牙
西班牙数据保护局
个人数据保护法等
土耳其
无
无
英国
数据保护专员
数据保护(1998),消费者信用法, SCOR互惠原则等
法国
国家信息与自由委员会(CNIL)
法国数据处理、数据文件及个人自由法
(三)征信行业准则
在行业行为准则层次,各国立法实践区别较大,仅有10个国家制定了公共行为准则和(或)行业指南,对数据报送机构、报送数据的种类、数据的收集、保存、用途,提供给信息主体的信息、信息主体的权利等都做出了详细规定。例如,意大利《私营机构处理消费者信用信息的行为准则》和《信用信息系统与利益平衡的规定》要求处理个人正面信息必须得到书面同意,处理个人负面信息只需通知个人,无须得到个人认可;处理法人的正面和负面信息都不用得到信用信息主体的同意。[10]
三、欧盟征信机构征信行为的法律规制
征信是征信机构采集、传输、存储、加工、披露与使用个人和企业信用信息的活动。征信机构收集、处理征信信息后供出借人使用的征信行为,可以帮助出借人节省作出贷款决定的成本和时间,提高贷款授信的效率。然而,征信机构的征信行为对个人隐私权构成了威胁。事实上,从20世纪70年代以来,随着计算机技术的普遍推广和使用,欧盟征信机构采用复杂且高度专业化的数据自动化处理程序,可以轻易获取和快速加工处理来自多种数据来源的个人数据,迅速更新借款人征信信息,并在借款人尚未被告知的情况下将个人征信信息提供给任何第三方(客户),用于多种目的,私人征信机构尤是如此,对个人隐私权保护构成了严重威胁。另一方面,以法国为代表的欧盟国家传统上十分注重保护个人隐私权,《欧洲人权公约》(European Convention on Human rights)第8条也明确规定了个人享有个人、家庭生活与通信受到尊重的权利。鉴于此,欧盟逐步制定了一系列个人数据保护规则,建立了较为完善的规制征信机构的法律框架,合理平衡了征信信息共享与个人隐私保护的关系。
欧盟现行征信报告流程从借款人向出借人提出贷款申请开始,出借人通常会通知并征得借款人同意,从征信机构获取借款人的信用报告,或者根据内部客户信用数据,或者从公共权力机构(public authority)获取借款人信息,以此来评估借款人的信用情况从而决定是否授信。[11]
在整个贷款合同订立和履行期间,出借人可以将授信决定报告给征信机构,也可以根据征信机构提供的借款人实时动态信用数据监控贷款合同履行情况,还可以将借款人逾期还款等负面信息向征信机构报告,同时对借款人采取必要的措施维护自身的合法利益。
综上所述,征信机构的征信行为一般会对借款人的个人数据信息进行收集、处理、传输和使用,可能会侵害借款人个人的隐私权,必然受到欧盟有关指令和成员国数据保护法的规制,本文将从征信机构业务模式出发,从征信机构的征信行为中信用信息的获取、处理、储存和利用四个维度,对征信行为方面的法律问题进行详细阐释。对于征信机构的市场准入监管问题,一般认为,成立征信机构必须向国家数据保护机构登记,[12]这部分不再展开说明。
(一)征信数据信息收集
1.征信信息收集来源
从欧盟征信机构征信信息收集来源来看,由于征信机构的类型不同而有差异。正如前文所述,欧盟公共征信机构通常根据各国法律的强制规定,从决定是否授信的金融机构处收集、获取正面信息和负面信息(大多数情况下),[13]以及个人和法人破产记录等。
根据欧洲消费者征信信息提供商协会(The Association of Consumer Credit Information Suppliers)2012年调查报告显示,[14]私人征信机构的信用信息源主要是银行、租赁公司和信用卡公司,此外还涉及政府部门、法院、按揭贷款提供商(Mortgage providers)、保险公司、自来水、电力、天然气等公共事业公司、通信公司、消费金融公司(Consumer Finance companies)、P2P出借人(Peer topeer lenders)以及其他中介机构等等。在丹麦和希腊,税务机关也是重要的数据提供者。在缺乏统一身份认证系统的国家如英国,选民手册和电话通讯录也会被征信机构收集。从贷款类型看,大多数私人征信机构获取的征信信息范围包括借款人家庭购物贷款/按揭贷款(home purchase loans/mortgages)、无担保贷款和信用卡/储值卡(storecards)信用记录,此外还有公共事业公司和通信公司中的个人还款记录以及零售、邮购、家庭还款贷款(home collected credit)、发薪日贷款(payday loans)等小额债务的信用记录。[15]总之,私人征信机构收集来源广泛,信用数据收集门槛很低。
2.征信信息的范围
在法律层面,欧盟《数据保护指令》及贯彻该指令的成员国数据保护法律要求征信机构在内等数据控制人(Data Controller)采集征信信息必须符合特定、明确、合法的目的,并且这些数据的采集是适当、相关、适量的。征信机构有义务告知借款人,并保证借款人享有获取和更正信息的权利。如前文征信业务流程所示,征信数据信息的收集行为主体涉及征信机构和出借人,其在信贷流程中都会涉及征信信息的收集,具体而言,出借人为了评估借款人的信用,在借款人提交贷款申请时会要求借款人提供个人信用信息用以评估借款人信用状况,为此出借人会从事数据信息收集;而公共征信机构依据法律强制规定从出借人获取信用数据,而私人征信机构依据互惠原则要求出借人履行征信合同义务,提供信用数据,均构成征信收集行为。所以,在征信流程中,征信机构和出借人均可能成为数据控制人,其采集征信信息必须符合特定、明确、合法目的,并且数据采集是适当、相关、适量的。需要指出的是,出借人从征信机构收集信息的范围应当仅限于评估借款人信用状况的基本信息(essential information)。
然而,从征信的范围来看,欧盟各国对于什么信息可以收集,什么信息不能收集的规定各不相同。征信信息通常包括个人身份识别信息和个人信用状况信息。个人身份识别信息,是保证信息与个人相匹配的基本信息。个人信用状况信息,是个人信息的核心。[16]据统计,欧盟征信机构收集个人身份识别信息范围是借款人的名字、住址、原住址(former address)、出生日期、纳税人识别号(taxpayer IDnumber)、身份证号、护照编号以及出生登记号等,各国征信机构个人身份识别信息范围规定不一而足。
欧盟征信机构在个人信用状况信息的收集范围方面包括正面信息和负面信息。正面信息主要涉及借款人收入状况、债务状况、贷款数量和类型、币种、贷款利率、到期日、担保状况、历史还款记录、分期付款状况、通讯公司、自来水、电力、天然气等公共公司个人信用记录等信息。负面信息主要涵盖贷款债务违约数据、迟延付款(逾期)数据、拖欠记录以及破产记录、欺诈记录、司法判决状况等信息。尽管在欧盟大多数成员国,征信机构可以收集和处理各种信息(包括正面信息和负面信息),但是由于法律框架、国别基础设施(national infrastructure)以及文化偏好等因素的差异,丹麦、芬兰、法国和马耳他等欧盟成员国征信机构并不会提供和储存正面信息。究其原因,公共征信机构受到了隐私和其他消费者权益保护法律的限制,如法国允许法兰西银行(Banque de France)依法收集个人负面信息。
此外,征信信息除了用于贷款人评估借款人信用之外,也可以起到反欺诈和收债等作用,不仅贷款人可以使用,非贷款人也可以使用。这样,征信机构的征信信息,不仅对银行业意义很大,对于其他使用征信信息的行业也有很大影响。
欧盟《数据保护指令》第7条确立了征信机构收集个人征信信息的法律标准:(a)数据主体明确同意;(b)为履行数据主体为一方当事人的合同,或为实现订立合同前应数据主体的请求而采取的措施;(c)控制人为遵循承担的法律责任;(d)为保护数据主体的重大利益;(e)为执行符合公共利益的任务,或者控制人或接受信息披露的第三方为行使官方职权;(f)为实现控制人或接受信息披露的第三方追求的合法利益,除非该利益不符合第1条1款规定的数据主体享有的基本权利与自由的保护。[17]在理论上,欧盟征信机构收集个人的征信信息原则上应当通知借款人,告知其征信信息内容、目的和用途,并取得个人的明确同意,但是欧盟成员国内主要征信机构在收集个人征信信息类型方面进行了区分处理。对于借款人正面信息,欧盟征信机构在收集上述个人信用信息时,应当事先通知个人,并取得借款人个人的明确同意。而对于负面信息,大多数欧盟征信机构基于该指令第7条第(f)款所规定的“合法利益(legitimate interests)”,只需通知借款人,在不影响个人基本权利(尤其是隐私权)和自由的前提下并不需要获得借款人的同意。[18]从理论上说,第7条(f)款的目的是平衡数据控制人的商业利益和数据主体的隐私权利,“合法利益”成为欧盟征信机构进行个人征信数据收集、处理、信用评估和使用的重要法律基础。[19]事实上,欧盟征信机构收集、处理个人负面信息在许多情况下并不需要借款人的任何同意。[20]
3.征信信息的除外范围
尽管个人信用信息的分享有助于提高信贷市场的有效性,但是并非所有的个人信息都应该纳入欧盟征信机构采集的个人信用信息范畴,有些信息不仅对于判断个人信用高低并无助益,而且会损害个人的隐私权。加之,征信过程不仅要满足隐私保护的需求,还要确保信息主体的信贷机会平等,并排除潜在的非属信用评估参考范围的歧视行为。[21]欧盟《数据保护指令》第8条规定了征信信息的除外范围,原则上涉及借款人的种族或者民族、政治主张、宗教或哲学信仰、工会会员身份以及与健康或性生活相关的个人信息,征信机构禁止收集个人敏感数据,除非存在以下情形:(1)借款人明确同意,并且成员国法律没有排除个人同意的禁止性规定;(2)数据控制人(用人单位)为了实现劳动法赋予的权利和履行有关义务,并采取了充分的数据保障措施;(3)在借款人因生理或者法律原因无法做出同意的意思表示的情况下,征信机构为了保护借款人或其他人的重大利益;(4)政治、哲学、宗教或者工会性质的基金会、协会或者非盈利组织进行合法组织活动的需要;(5)借款人主动公开个人信息或者在诉讼中行使法律上的请求权所必需;(6)数据控制人(医疗机构)基于预防和诊断疾病、护理或者治疗目的所必需,以及根据国内法律或者规章规定负有职业保密义务的医生和负有同等义务主体基于上述目的所必需;(7)成员国基于公共利益需要,可以依据国内法律规定或者监管机构决定做出特别规定,对于个人民事判决、行政处罚、犯罪和刑事判决信息应当由各国官方机构进行数据收集和处理;(8)基于新闻目的或者文学艺术的表达自由的考虑,成员国可以做出例外或豁免的规定。综上可以看出,欧盟各国征信机构的政府监管部门原则上严格禁止征信机构从事相关个人敏感数据收集,即非征信数据是被禁止收集和储存的。
此外,征信机构在收集征信信息时,应当确保征信数据信息的质量和准确度。根据欧盟《数据保护指令》(Directive95/46/EC)第6(1)(c)款和(d)款的规定,出借人应当立即更新征信信息或者由征信机构进行及时更新,如果发现征信数据有误、陈旧,其有义务及时改正所报告的信息,出借人必须确保征信信息的质量和准确度。借款人有权利获取、更新、检查和更正其个人信息,并有助于实现征信信息的准确性,而征信机构确保数据质量不仅仅是数据保护规则的要求,也是评估信用风险的内在需求。
(二)征信数据信息的处理
欧盟数据保护法律框架直接适用于征信机构征信数据处理的整个流程。在欧盟境内,所有征信机构都必须遵守各国为贯彻《数据保护指令》(Directive95/46/EC)第7条关于数据处理流程的法定标准而制定的各国国内法,保证个人数据记录、组成、改编或变更、修复、查询、通过传输、分发或任何其他方式的披露、排列或组合、隔离、删除或销毁等方面处理程序的透明度与公开性,确保个人(数据主体)的知情权。在个人信用数据处理的方面,征信机构要确保在采用计算机数据处理技术等自动化手段以及其他方式的个人数据处理的保密和安全,避免征信信息的非法泄露、破坏、遗失和拦截。
此外,欧盟对于私人征信机构信用评分(credit score)机制做出了明确规制。一般来说,借款人的信用分数通常被贷款人用来作为判断是否授信的额外标准,并远远超过了信用历史数据的价值,只是信用分数的评估对于不同类型的借款人需要适用不同的信用评分表和权重。欧盟《数据保护指令》保护个人有权利不受此类自动数据处理的影响,并且还规定对于数据主体的自动信用评级必须在特定保障下才能进行。
(三)征信数据信息的储存
欧盟《数据保护指令》对征信机构征信数据信息的储存时限只是做了原则性规定,要求数据保留期限不得长于实现数据收集或处理的目的所必需的期限。由于各国数据保护立法的差异,欧盟征信机构在征信信息储存保留期方面差异很大。
图示:欧盟主要成员国征信数据保留期限简介[22]
国家
征信数据保留期
奥地利
违约记录在偿还债务后保留5-7年,正面信息是付款后3个月
比利时
违约记录保留10年,其他数据则一直保存
塞浦路斯
违约记录保留5年,正面信息保留期限不定
捷克
征信数据保留至贷款债务消灭后4年
德国
根据《德国联邦数据保护法》(BDSG)的规定数据保留期不同,违约数据在还债后保留3年,负面信息一般保留3年,其他类型数据最高保留期限是6年
丹麦
违约数据保留期限最长为5年,或者债务清偿完毕为止
希腊
违约记录保留10年,正面信息保留5年,欺诈记录保留5年
西班牙
违约记录保留6年,公共数据保留3年
克罗地亚
个人信用记录账户关闭之日后的第4年消除个人信用记录
匈牙利
违约记录在还债后保留1-5年,其他记录在贷款债务未清偿前均存在,债务消灭后最长保留5年
意大利
违约记录保留3年,其他记录在贷款债务清偿后保留1-3年
荷兰
信用记录在账户关闭后保留5年
瑞典
违约记录保留3年
斯洛文尼亚
信用记录在债务清偿后保留4年
斯洛伐克
信用记录保留至贷款清偿完毕后4年
英国
征信记录保留6年
法国
个人征信记录在征信系统(FICP)中保留5年[23]
其次,欧盟征信机构在征信信息储存方面,同样要求保证征信数据的质量与准确性,监测与防范欺诈数据信息也成为其重要职责。欺诈性的数据信息经常被储存于征信机构和出借人的数据库中,出借人应当检查贷款申请是否涉及欺诈,并且应当雇佣专家和采取专门手段监测和阻止信用欺诈和相关账户的欺诈活动。
最后,欧盟征信机构作为数据控制人根据《数据保护指令》要求确保征信信息安全和保密,必须采取适当的技术措施和组织措施来保护个人数据以防止它们被意外或非法毁灭或者意外遗失、变更、未经许可披露或获取,并且防止任何其他非法形式的处理。
(四)征信数据信息的使用
根据欧盟《数据保护指令》的规定,征信机构作为数据控制人使用征信数据,必须向作为数据主体的借款人披露相关数据,包括出借人等数据处理人的身份和数据采集的目的。《数据保护指令》严格限定个人数据的使用,征信机构只能根据特定的、明晰的、合法的目的来使用有关个人信用信息,除了历史的、统计的或科学的目的等法定情形外不得以与这些目的不相容(incompatible)的方式使用个人数据,也就是个人数据的再次处理、使用的目的不得超过获得数据主体同意的征信机构原始收集数据的目的范围。[24]但是,对于征信机构征信数据的分享与使用规则,欧盟该指令并没有做出具体规定。实际上,欧盟征信机构通常是在出借人提出请求的情况下使用个人征信信息,提供个人信用报告或者信用分数,从而帮助出借人评估借款人的个人信用。然而,出借人请求获取借款人的信用报告的情形是不同的,有些情况下,出借人仅仅为了核实一下借款人信用信息的准确性;而有些情况下出于频繁借贷需要,出借人需要获取借款人的征信记录;加之,出借人依据征信机构利用个人征信数据通过自动化数据处理程序获得的个人信用分数,用以评估个人消费信贷中未来的偿还意愿和还款能力,决定是否授信。这也是个人征信数据的重要的利用方式之一,可以提高贷款效率,有助于实现公平授信。[25]
在跨境数据流动方面,欧盟《数据保护指令》倡导征信信息在成员国之间的自由流动与跨界使用,建立统一的信贷市场。但是基于各国数据保护水平、市场结构、法律机制与文化传统的差异,征信机构跨界数据流动与使用的规模与需求并不高。研究表明,尽管私人征信机构中有43%的机构从事跨界数据分享和利用业务,但是体量和规模很小。[26]
(五)征信信息共享与隐私权保护
总体上看,欧盟现行的《数据保护指令》监管框架平衡了个人权利保护和数据共享,使得借款人个人隐私权受到充分法律保障。本指令要求征信机构数据的收集、处理在通常情况下应当通知借款人,并且要取得借款人个人的明确同意,还要求征信数据的收集必须是充分、相关和适量的,并且与数据收集、处理目的密切相关,不得收集和处理与目的不相关的信息,保证数据处理程序的透明度和数据的真实性、准确性,征信数据的存储期和使用要符合正当商业的目的,确保数据的保密性和安全性。从数据主体个人来说,有权从征信机构获得个人信用信息,原则上有权选择同意或者拒绝征信机构征信数据收集行为(通常为正面信息),更正不准确信息,删除错误信息,删除超过数据保留期限不需要的信息等。
此外,《欧盟消费者信用指令》(Consumer Credit Directive)第8条和第9条规定,出借人具有评估信用义务(obligation to assesscreditworthiness);而消费者具有征信数据库信息获取权(Databaseaccess)。欧盟成员国应当确保,出借人在决定授信的结论做出之前,应当合法从消费者或者征信机构获得充分的征信信息后评估消费者信用。消费者具有无歧视地平等获取征信机构数据库中个人征信信息的权利,这与欧盟数据保护法律的要求是一致的。
综上,欧盟现行的征信机构监管法律框架平衡了个人权利保护和数据共享,不仅使消费者(借款人)根本性的隐私权得到了世界最高水平的法律保护,而且实现了社会效益的最大化。
四、欧盟征信机构的法律责任
欧盟层面的征信立法没有对征信机构的法律责任进行明确规定。《数据保护指令》第23条规定,因非法的处理操作或任何与依照本指令制定的国内法不符的行为而受到损害的任何人,有权要求控制人赔偿其遭受的损失。控制人如果能证明他对导致损害发生的事件没有责任,可以免除全部或部分的责任(liability)。第24条规定,成员国应采取合适的措施,来确保本指令内容的贯彻执行,特别应对违反依照本指令所制定的法律的行为加以处罚。可以看出,欧盟《数据保护指令》关于征信机构的法律责任和处罚部分规定并不明确,需要各成员国以立法形式贯彻该指令,制定明确、具体的法律。因此本文从欧盟现存的三大典型征信模式中的代表国家,即法国、德国和英国的数据保护法出发,分析欧盟征信机构应相应的法律责任特点。
(一)法国征信机构的法律责任
法国《数据处理、数据文件及个人自由法》(Data Processing,Data Files and IndividualLiberties)规定公共征信机构违反该法的可能会承担行政和刑事责任。首先,关于行政责任,法国征信机构的监管机构国家信息与自由委员会(Commission nationale de l’informatique et des liberté ,CNIL)可以对违反该法义务的征信机构采取警告、罚款、停止处理命令、撤销批准等行政处罚手段;在出现严重违反第1条(人权、隐私权、公共或个人自由)提及的权利与自由情形时,法国国家信息与自由委员会(CNIL)主席可以通过简易程序,要求相应权限发布命令,在必要时对其实行每日罚款(daily penalty)以及其他必要措施。值得一提的是,该法对征信机构行政违法的行政处罚金额进行了梯度式规定。如果是第一次违反,罚款不应超过150000欧元。如果在前一次罚款确定之日起5年内第二次违反,则罚款不应超过300000欧元,而对于法人而言,罚款应不超过其最后一个会计年度总营业额的5%,如果数额多于300000欧元的,最多罚款300000欧元。当征信机构的监管机构国家信息与自由委员会(CNIL)在刑事法院就相同或相关事实判决确定之前已做出罚款的最终决定时,刑事法院可以命令从罚金中扣除已罚款部分。
其次,关于征信机构的刑事责任,根据该法案第50条的规定,违反本法规定的行为依据法国刑法典第226-16~226-24条规定的不同情形,被判处罚金100000欧元、被判处3年有期徒刑并处罚金300000欧元、被判处5年有期徒刑并处罚金300000欧元。[27]
(二)德国征信机构的法律责任
德国《联邦数据保护法》(FederalData Protection Act)对征信机构的违法行为规定了民事、行政和刑事责任。
首先,该法对征信机构的违法行为规定了民事侵权损害赔偿责任。如果征信机构收集、处理、使用了本法或其他数据保护规定不允许的或者不当的个人数据而侵害了数据主体的利益,征信机构有义务赔偿个人的损失。如果征信机构尽到了具体情形下的注意义务,其可以免除损害赔偿义务。在第8节“公共机关自动化数据处理中的损害赔偿”中,其采取了无过错责任和责任限额的特殊规定:(1)如果征信机构通过不为本法或者其他数据保护规定所允许的或者不正确的数据自动收集、处理和使用侵害了数据主体的利益,其无论是否存在过错,均有义务赔偿数据主体的损失。(2)在严重损害数据主体人格权的情况下,对与数据主体的物质损害应当给予适当的金钱赔偿。(3)受害人赔偿请求总额应当限制在130000欧元以内。如果因为同一事件需要向多人进行损害赔偿,赔偿总额将超过130000欧元,则对每个人的赔偿应当按比例减少使赔偿限制在130000欧元之内。(4)在自动化处理数据的情况下,如果数个征信机构都有储存个人数据的权利,并且受害人无法确定实际储存人的,每个征信机构都应当承担责任。如果数据主体对于损害的产生也有过错,适用《德国民法典》上的过错相抵原则。本法中的诉讼时效比照适用《德国民法典》关于侵权行为诉讼时效的规定。
其次,该法对征信机构承担行政责任的情形做出了详细列举性规定。征信机构未经许可,收集、处理通常不可获取的个人数据,无论故意还是过失,均构成行政违法行为,应当处以50000欧元以下罚款;征信机构未经许可、私自以数据恢复程序获取个人数据、非法获取处理程序内的个人数据;非法传输错误个人数据、非法获得数据主体同意、非法向第三方传输个人数据等,不论故意或者过失,实施上述行为均构成行政违法,应处以300000欧元以下罚款。
最后,该法对包括征信机构从事有关犯罪行为导致的刑事责任的情形做了规定,该法规定,为了获取报酬,或者意图为自己或他人牟取暴利,或者意图损害他人利益而故意违法,应当被判2年以下监禁或者判处罚金。此种违法行为人仅在针对其提出控告的情况下才能对其起诉。控告可以由个人、负责数据保护的联邦委员和监督组织提出。[28]
(三)英国征信机构的法律责任
英国《1998年数据保护法》(DataProtection Act 1998)对征信机构违法本法的可能承担的民事责任、行政责任和刑事责任的情形做了全面规定。在民事责任方面,征信机构的违法行为造成个人损失,个人有权要求征信机构承担民事赔偿责任,同时征信机构可以把尽到相应的注意义务作为抗辩事由。在行政责任方面,数据保护专员(data protection supervisors)可以对违反个人数据保护规则的征信机构发送执行通知,并告知征信机构具有向法院提起诉讼的权利。征信机构拒不履行生效通知要求的,就构成犯罪,被指控的行为人可以尽到合理的注意义务为抗辩事由。而在刑事责任方面,该法同时规定自然人犯罪和法人犯罪的两种情况。征信机构未经登记而进行数据处理的,即属犯罪,未履行法定通知义务的,即属犯罪;如果法人组织犯本法规定之罪,且有证据证明是经该法人组织的董事、经理、秘书或相似的职员或其他自称有权以上述身份行为的人员的同意或默许,或因其过失所致,则上述人员和该法人均构成犯罪,应被起诉并处以相应的处罚。如果法人的是由其成员管理的,则应将行使管理职能的人员视为法人组织的董事,其行为和应当适用前款规定。如果苏格兰的合伙人犯本条规定之罪,并且有证据证明涉案的犯罪行为是经合伙人同意或默许,或由其过失所致,则该合伙人和该合伙组织均构成该罪,应被起诉并处以相应的处罚。[29]
五、总结
可见,欧盟及成员国在征信机构监管方面拥有较为完善的法律框架,着重突出了对个人隐私权的保护,妥善地平衡了征信信息的获取、交换与个人隐私权的平衡。欧盟征信业市场较为成熟,公共征信机构和私人征信机构并存并立,形成了相对完整的社会信用体系。欧盟征信机构通过法律和市场机制实现征信信息数据的流动和分享,不仅提高了借贷质量和效率,而且有利于防范和化解金融风险,推动实体经济的发展。
古语有云:世异则事异,事异则备变。随着科技迅速发展,互联网的广泛应用和大数据时代的到来,个人网上活动产生的海量信息在网上沉淀,征信机构很有可能在商业利益驱动下利用大数据、云计算等数据挖掘和数据分析技术从网上获取各种个人信息,并且用于信用征信以外的其他目的,在个人缺乏网上个人信息保护意识且未被告知的情况下侵犯个人隐私权。这显然超出了近20年来未被修订的欧盟《数据保护指令》的规制范围,面对新问题显得力不从心。在欧盟数据保护法律在修订中的今天,有学者认为,未来欧盟征信机构监管法律应当从侧重个人(数据主体)的权利保护到加强个人权利保的数据保护法的重护的同时,更加侧重征信机构(数据控制人)义务,是互联网时代数据保护法的重要转变。[30]
当下,我国正处于个人征信体系逐步完善、互联网技术大量应用的时代,我国面临征信体系的完善和个人隐私权保护的双重挑战,借鉴欧盟征信机构监管机制和互联网大数据时代的应对策略,对我国信用体系完善与个人隐私权保护益处良多。
[1]值得注意的是,欧盟征信机构也可以分为个人征信机构和企业征信机构,符合当下欧盟征信实践,但是企业征信基本不存在隐私权保护问题,欧盟各国对企业征信的规制相当宽松,主要依靠市场力量和行业自律。欧盟征信立法主要是针对个人数据保护,涉及企业征信的内容很少,也鲜见学者论述。企业商业秘密保护已经存在其他法律之中,个人与企业相比处于弱势地位,需要专门征信立法予以保护。所以,作者基于上述原因,并结合相关文献,从所有权角度,分为公共征信机构和私人征信机构。详细内容请参见李清池、郭雳著:《信用征信法律框架研究》,经济日报出版社2008年版,第91页。
[2]DIETERSTEINBAUER,ELINAPYYKK,Towards Better Use of Credit Reportingin Europe,CEPS-ECRI Task Force Report23(2013).http://www.ceps.eu/system/files/Towards%20Better%20Use%20of%20Credit%20Reporting_0.pdf,
最后访问日期:2015年5月25日。
[3] See Report of the Expert Group onCredit Histories, p.10.http://ec.europa.eu/internal_market/consultations/docs/2009/credit_histories/egch_report_en.pdf,
最后访问日期:2015年5月25日。
[4]据调查统计,除没有任何征信机构的卢森堡外,欧盟成员国中采取公共征信模式的国家有3个,为法国、比利时、克罗地亚;而采取私人征信模式的国家有13个,为塞浦路斯、爱沙尼亚、丹麦、希腊、瑞士、匈牙利、荷兰、爱尔兰、波兰、瑞典、英国、马耳他、芬兰;采取混合征信模式的国家有11个,为奥地利、保加利亚、捷克、德国、西班牙、意大利、罗马尼亚、斯洛文尼亚、斯洛伐克、拉脱维亚、葡萄牙。See Report of the Expert Group on Credit Histories, pp.11-12.ACCIS2012 Survey of Members, An analysis of credit bureaus in Europe,pp.29-30.爱沙尼亚征信机构概况,参见世界银行工作组做生意(DOING BUSINESS)
网站:http://www.doingbusiness.org/data/exploreeconomies/estonia/getting-credit/,
最后访问日期:2015年5月25日。
[5] See Report of the Expert Group onCredit Histories,p.9.http://ec.europa.eu/internal_market/consultations/docs/2009/credit_histories/egch_report_en.pdf,,
最后访问日期:2015年5月25日。
[6]具体来说,随着潜在借款人的征信数据的获得越多,征信机构对于出借人作用越大,更大覆盖面的出借人基于征信信息对借款人授信的需求越大,这些更大的客户需求可以增加征信机构客户群,从而摊销征信机构的固定成本,征信机构获取征信信息的范围越广,则可以形成良性循环,实现规模经济。而广大出借人形成对私人征信机构的路径依赖,使得别的征信机构进入征信市场的难度加大,容易形成征信机构的自然垄断问题。
[7]需要指出的是,欧盟及其成员国并不存在专门针对征信机构的监管框架,而是将征信机构作为一类数据控制人,纳入数据保护法律监管框架,进行统一监管。个人作为数据主体,在借贷法律关系中,一般是借款人;在消费信贷法律关系中,角色通常是消费者。欧盟在下文所述的法律中,数据主体、借款人、消费者均界定为个人,为了忠于原文和行文方便,这些术语会交替使用,下不赘述。
[8]刘荣、孟灿霞:“欧盟国家征信行业监管框架研究”,载《金融纵横》2011年第10期。
[9] Marc Rothemund and Maria Gerhardt(European Credit ResearchInstitute), The European Credit Information Landscape,An analysis of a surveyof credit bureaus in Europe7.
[10]刘荣、孟灿霞:“欧盟国家征信行业监管框架研究”,载《金融纵横》2011年第10期。
[11] DIETER STEINBAUER, ELINA PYYKK,Towards Better Use of CreditReporting in Europe, CEPS-ECRI Task ForceReport11(2013).
[12]玛格丽特米勒(编):《征信体系和国际经济》(CreditReporting Systems and the International Economy),王晓蕾、佟炎译,中国金融出版社2004年版,第322页。
[13]法国存在两种征信信息收集模式,一种是由包括租赁与保理公司在内的所有金融机构向法兰西银行报告正面信息和负面信息,另一种是金融机构向法兰西银行报告个人贷款逾期(delinquencies)数据,只有负面信息。详见玛格丽特米勒(编):《征信体系和国际经济》,王晓蕾、佟炎译,中国金融出版社2004年版,第74-75页。
[14]欧洲消费者征信信息提供商协会(ACCIS)是1990年创立于都柏林,目前由欧洲28个国家的41个征信机构作为正式会员和欧洲以外的6个征信机构作为非正式会员所组成的非营利性国际组织。
[15] ACCIS 2012 Survey of Members, Ananalysis of credit bureaus inEurope,16-19.
[16]李清池、郭雳:《信用征信法律框架研究》,经济日报出版社2008年版,第72页。
[17]个人数据处理(处理)是对个人数据进行的任何操作或一些列操作,无论是否采用自动化手段,例如收集、记录、组成、存储、改编或变更、修复、查询、使用、通过传输、分发或任何其他方式的披露、排列或组合、隔离、删除或销毁。可见,欧盟《数据保护指令》的处理包括了数据收集、加工处理、流动、使用的各个环节,是广义概念。本文为了行文方便,界定本文所称处理为狭义概念,仅指数据加工和处理环节。
[18] DIETER STEINBAUER, ELINA PYYKK,Towards Better Use of CreditReporting in Europe, CEPS-ECRI Task ForceReport29(2013).
[19] ACCIS “Response to the proposalfor a General Data ProtectionRegulation-Perspective of Credit Bureaus”, p.2.http://www.accis.eu/fileadmin/filestore/position_papers/ACCIS_Position_Paper_on_DP_April_2015.pdf,
最后访问日期:2015年5月25日。
[20] Report of the Expert Group onCredit Histories, p.48.http://ec.europa.eu/internal_market/consultations/docs/2009/credit_histories/egch_report_en.pdf,
最后访问日期:2015年5月25日。
[21]李清池、郭雳:《信用征信法律框架研究》,经济日报出版社2008年版,第76页。
[22] See “ACCIS 2012 Survey ofMembers, An analysis of credit bureausin Europe”, p.53.The European CreditInformation Landscape, An analysis of asurvey of credit bureaus in Europe, MarcRothemund and Maria Gerhardt (EuropeanCredit Research Institute), p.17.
[23]https://www.banque-france.fr/en/banque-de-france/missions/the-services/services-for-the-community/national-database-on-household-credit-repayment-incidents-ficp.html,
最后访问日期:2015年5月25日。
[24] See ACCIS “Response to theproposal for a General Data ProtectionRegulation-Perspective of Credit Bureaus”,p.3.http://www.accis.eu/fileadmin/filestore/position_papers/ACCIS_Position_Paper_on_DP_April_2015.pdf,
最后访问日期:2015年5月25日。
[25] DIETER STEINBAUER, ELINA PYYKK,Towards Better Use of CreditReporting in Europe, CEPS-ECRI Task ForceReport43(2013).
[26] See “ACCIS 2012 Survey ofMembers, An analysis of credit bureausin Europe”, pp.9-10.
[27] Data Processing, Data Files andIndividual Liberties.
[28] Federal Data Protection Act(amended2009).
[29] Data Protection Act 1998. 本部分参考了陈飞等译,张新宝等校:《个人数据保护欧盟指令及成员国法律、经合组织指导方针》,法律出版社2006年版,英国《1998年数据保护法》译文部分。
[30] Gutwirth Serge, Leenes Ronald, DeHert Paul, Reforming EuropeanData Protection328(2015).
